“讓安全與業(yè)務(wù)保持一致”，這是許多網(wǎng)絡(luò)安全資深人士經(jīng)常說(shuō)的一句話。但實(shí)際上，這只是個(gè)美好的愿望，絕大部分組織機(jī)構(gòu)中的安全就是個(gè)成本中心。雖然成本中心也會(huì)有很多價(jià)值，但更不幸的是，很難從安全成本中心將價(jià)值識(shí)別出來(lái)。

網(wǎng)絡(luò)安全與業(yè)務(wù)保持一致的兩個(gè)步驟

基本上來(lái)說(shuō)，讓安全與業(yè)務(wù)保持一致需要兩個(gè)步驟。第一步是理解業(yè)務(wù)語(yǔ)言，因?yàn)樗衅髽I(yè)的通用語(yǔ)言都是財(cái)務(wù)指標(biāo)。大家都有自己的成本效益(ROI)衡量標(biāo)準(zhǔn)，比如零售業(yè)每平方英尺的銷售額或醫(yī)療保健行業(yè)每名患者的治療成本。因此，我們需要在網(wǎng)絡(luò)安全方面，開(kāi)發(fā)出類似于企業(yè)其他部門或業(yè)務(wù)線的ROI方法和指標(biāo)。

第二步是開(kāi)發(fā)方法和指標(biāo)，以確定效益成本分析和以價(jià)值（而非利潤(rùn)）方式的投入回報(bào)。一開(kāi)始，可以使用作業(yè)成本法等成本核算方法，來(lái)計(jì)算成本?；蚴褂糜澠胶夥治?，來(lái)評(píng)估投資。它可以很簡(jiǎn)單，比如明確投入的金額以定性地判斷投入是否“值得”。很可能許多組織已經(jīng)在這樣做，但沒(méi)有將其清晰明確。

進(jìn)一步地，如果在一個(gè)解決方案上花費(fèi)100萬(wàn)是“值得的”，那么這個(gè)解決方案能夠通過(guò)減少風(fēng)險(xiǎn)帶來(lái)的相應(yīng)價(jià)值至少要超過(guò)100萬(wàn)。這種方法可稱之為投入下限，既一個(gè)組織愿意為網(wǎng)絡(luò)安全付出的支出總額，要少于因沒(méi)有投入而減少的業(yè)務(wù)收入，當(dāng)然也包括因缺乏安全措施而帶來(lái)的損失。

一旦有了這些“經(jīng)濟(jì)賬”，事情就會(huì)變得非常令人興奮。企業(yè)就能通過(guò)查看財(cái)務(wù)比率，如控制成本、會(huì)話成本、損失價(jià)值比等，來(lái)明確“網(wǎng)絡(luò)安全是否與業(yè)務(wù)保持一致”，并非常便于下一次的決策。

曾有一些人表示過(guò)，“不惜一切代價(jià)”確保安全。但這絕不適用于以“贏利”為存在目的的企業(yè)，只適用于安全需求大于經(jīng)濟(jì)利益的某些較為極端的情況。