“Alignsecuritywiththebusiness”是很多网络安全老手常说的一句话。但实际上,这只是一厢情愿,安全是大多数组织的成本中心。虽然成本中心也可以有很多价值,但不幸的是,很难从安全成本中心识别价值。使网络安全与业务保持一致的两个步骤基本上,有两个步骤可以使安全与业务保持一致。第一步是了解业务语言,因为所有业务的通用语言都是财务指标。每个人都有自己的成本效益(ROI)衡量标准,例如零售业每平方英尺的销售额或医疗保健中每位患者的治疗成本。因此,我们需要在网络安全方面制定类似于企业其他部门或业务线的ROI方法和指标。第二步是开发方法和指标来确定收益成本分析和投资回报的价值(而不是利润)。最初,可以使用基于活动的成本核算等成本核算方法来计算成本。或者使用收支平衡分析来评估投资。可以简单的通过指定投资金额来定性判断投资是否“值得”。很可能许多组织已经在这样做,但还没有明确说明。更进一步,如果花100万在一个解决方案上是“值得的”,那么这个解决方案通过降低风险所能带来的相应价值至少要在100万以上。这种方法可以称为投资的下限,即一个组织愿意为网络安全支付的总金额应该小于因不投资而减少的业务收入,当然还有因缺乏安全措施而造成的损失.一旦这些“经济账户”到位,事情就会变得非常令人兴奋。通过查看控制成本、会话成本、损失价值比等财务比率,企业可以明确“网络安全是否与业务一致”,这对于下一步的决策非常方便。有些人说“不惜一切代价”是为了安全。但这绝不适用于以“利润”为存在目的的企业。它仅适用于安全需求大于经济利益的某些极端情况。
