如何在安全上进行投资?在信息安全领域这也许是最具挑战性和争议性的话题。首先是FUD——恐惧、不确定性和怀疑。没有可以衡量的指标或提供具体的数据结果,高管们只是因为害怕而花钱。这个理由注定维持不了持续的在安全上进行投入。此后不久,投资回报率(ROI)企图将“收益回报”作为安全市场投资的一个衡量指标。这是采用一个标准的做法来合理制定信息化的预算,但它和安全其实并没有太紧密的联系。实在没有一个好的办法,将在安全上所投资的金钱用某种直观的形式展示出来。因此,把投资回报率与损失期望(ALE)相结合,风险度量策略与损失成本的频率(或概率)相结合的方式,来制定年度总体投资预算。但随之而来的问题是,损失期望太高,并且无法平均分摊到每年,所以损失期望估算值也并不准确。
安全投资产生的价值被形容成了一种类似保险的衍生品。个人和企业每年花在买保险上面的钱高达资产本身价值的10%,尽管他们从来没有得到过真正意义上的任何索赔。他们只是花钱买了一份安心,因为他们知道所有的事件后果都将由这份保险承担。同样,企业在安全上的投资,也等同于为其资产不被非法盗用买了一份保险。你是如何衡量这份保险的价值?它肯定是具有价值的,但是非常难以被量化。
因此,哪里能离开安全?安全的商业价值很难用一个简单的货币价值来表达。因此,考虑如下投资安全的理由:良好的安全实践可以更好的支持业务。可以保障业务蓬勃发展。为业务的发展和壮大提供了坚实的基础。健全的信息安全实践,不仅是降低风险和成本,同样提供了新的财政收入机会。在过去,安全被认为仅在保护 (阻止访问,封闭出口、 分段和分离系统和网络,并否认连接) 的范围内。今天,这一观点已经发展到偏重于支持全球范围内使用新的通讯方式的业务。通过提高信息的获取量,推动其业务发展。每个企业都可以扩大其业务在全球范围内的影响力,而不管该企业的规模或位置。信息是企业拥有的重要资产之一,当它共享给有权限访问的人群时,是更可贵的。现代安全实践可以将信息提供给那些需要信息的人,而不会将其透露给其他无关人员。
良好的安全实践可以让企业以一个更加整体化的方式下运营,特别是在与他们的客户打交道时。通过精细化的提供给每个客户的访问权限,强企业可以扩大其客户群体并且可以提供给每个客户的更好的服务,而不会损害企业利益、声誉和客户信息的机密性和完整性。一个好的安全计划的明显收益是提高业务的灵活性、降低成本和便携性。
一、保证业务灵活性
如今,每家公司都希望将自己的经营业务展示给客户、供应商和合作伙伴,以达到接触更多的人,并推动和扩展合作机会的目的。例如,制造商希望通过电子商务网站,增加个人客户和提高销售。网站需要连接到后端资源,如库存系统,客户数据库,以及材料和资源计划(MRP)的应用程序。外部网络需要允许合作伙伴和承包商连接到系统的开发,源代码,和产品开发资源。通过互联网和SaaS应用程序交付业务流程工具给客户。
在企业中知识就是力量,你知道得越多,就越能更好地适应。因此在企业中,强大的安全防护可以深入了解在网络上正在发生的事情。薄弱的安全防护让许多企业忽视他们的基础设施中的日常的信息流动。如果一家公司的竞争对手可以更好地控制他们的诚信信息,他们将更有优势。保护一家公司的信息可以促进新的商业机会,并且可以高效,安全地管理业务流程时消耗更少的资源。现代安全技术和实践使生活更加轻松,而不是更加辛苦。
安全性准许更有效地使用组织目标的信息,因为它是安全的,组织可以放心地让更多的外部团体利用这些信息。你提供的可访问信息越多,越多的人访问,就意味着你可以用较少的资源做更多的事。通过适当的安全技术构建可靠的自动化业务流程,可以让企业专注于自己的核心业务。相互连接的生产力工具开启了运营效率的新水平,以及一个可靠的安全计划可以有效的规避风险。
当公司各级管理人员有强烈的安全意识、安全原则并具备其基本知识,高度重视安全工作,公司将得到最大的收益。
二、降低成本
现代的安全实践的确可以降低一些成本。比如数据丢失,滥用或错误的损失可能是非常严重的。猖獗的病毒爆发,网站故障,或拒绝服务(DoS)攻击导致服务中断,客户不能进行购买和公司不能办理业务。甚至更糟的是,服务中断可能会导致负面的新闻报道。不重视安全的后果将是非常显著的。披露的安全事件会严重损害公司的信誉,因此需要具备争取并留住客户的能力。
越来越多的攻击,被归类为高级持续性威胁(APTs)。这些攻击的目的是在网络中部署恶意软件,并保持不被发现,直到达到其恶意目的。通常情况下,攻击的目标是窃取金融信息或知识产权。服务或敏感数据泄漏的损失可能会导致罚款,费用增加,并造成企业声誉和股价的整体下跌。强大的安全性降低了信息丢失的可能性并提高服务可用性和保密性。
三、注重便携性
便携性意味着软件和数据可以被用在多个平台或可转组织内使用。“商品化”的信息已经列入公司的需求上,以便能够即时的提供合理和准确的信息。
首席信息官和首席信息安全官在2011年调查得出的一项结论是信息安全支出超过前三年的一个最大驱动力是客户的需求,这意味着客户想从具有良好安全保障的公司购买产品和服务,事实上有时在完成购买前需要提供安全实践的凭证。
为了满足当今企业和消费者的需求,安全控制需要作为架构和网络设计开发过程的一部分。显然,广泛获取信息资源的水平需要经过深思熟虑和正确的部署安全计划。良好的安全性建立在最底层,可以实现一个重要的功能就是数据的便携性。
便携性也可以为业务创造价值。例如,苹果公司的产品可以播放音乐并且允许个人音乐库同步到平板电脑,手机,MP3播放器大大增加了苹果产品的功能。安全移动平台可以让用户的音乐无处不在,同时保护企业的利益,防止未经授权的下载有版权保护的资料。
作者:羽扇纶巾
来源:51CTO