信息安全從技術(shù)角度來(lái)看，有5條基本原則，從管理角度來(lái)看也有5條基本原則。

　　技術(shù)角度的5條準(zhǔn)則：

強(qiáng)密碼

操作系統(tǒng)打補(bǔ)丁

第三方應(yīng)用打補(bǔ)丁

應(yīng)用白名單

加密

技術(shù)的事就交給極客去做吧，但在決定公司應(yīng)該承擔(dān)什么風(fēng)險(xiǎn)上，還是需要加入點(diǎn)管理技巧的。這些風(fēng)險(xiǎn)可能包括：

超出預(yù)算

生產(chǎn)力下降

數(shù)據(jù)泄露

不敢冒風(fēng)險(xiǎn)

不作為

你是冒險(xiǎn)者嗎？為驅(qū)動(dòng)公司前進(jìn)，敢冒多大風(fēng)險(xiǎn)？很大的風(fēng)險(xiǎn)？拉斯維加斯級(jí)別的風(fēng)險(xiǎn)？

公司就是由風(fēng)險(xiǎn)和回報(bào)組成的，這不是什么秘密。作為處于游戲頂層的高管，我們知道如果不承擔(dān)風(fēng)險(xiǎn)也就沒有回報(bào)，風(fēng)險(xiǎn)是必需品。

風(fēng)險(xiǎn)變數(shù)很多，所以我們有風(fēng)險(xiǎn)經(jīng)理，有商業(yè)情報(bào)軟件，有行業(yè)白名單，有顧問(wèn)，當(dāng)然，還有我們的直覺、動(dòng)力和野心。我們能做的最好的事，就是盡可能多地找出牽涉到的風(fēng)險(xiǎn)，將它們都研究透，然后基于風(fēng)險(xiǎn)回報(bào)率做出決策，奮力一搏。

再把前美國(guó)國(guó)防部長(zhǎng)唐納德·拉姆斯菲爾德的那段名言搬出來(lái)：

“

有已知的已知，我們知道自己知道。有已知的未知，我們知道自己不知道。還有未知的未知，我們不知道自己不知道。

IT風(fēng)險(xiǎn)是公司整個(gè)風(fēng)險(xiǎn)組成的其中一部分。在很多企業(yè)里，IT相關(guān)風(fēng)險(xiǎn)被認(rèn)為是操作風(fēng)險(xiǎn)，比如新巴塞爾資本協(xié)定中的金融行業(yè)就是這樣。然而，即使是戰(zhàn)略風(fēng)險(xiǎn)也有可能包含有IT成分，尤其是在IT作為新開拓業(yè)務(wù)的關(guān)鍵促成要素的情況下。

　　IT適用領(lǐng)域

信用風(fēng)險(xiǎn)也是如此，糟糕的IT安全可能導(dǎo)致信用評(píng)級(jí)降低、信譽(yù)喪失、合同終止、罰款或訴訟(管制產(chǎn)業(yè))。因此，最好不要依賴其他類型的風(fēng)險(xiǎn)評(píng)級(jí)來(lái)描述IT風(fēng)險(xiǎn)。與IT風(fēng)險(xiǎn)類似，信息安全和隱私風(fēng)險(xiǎn)也不應(yīng)該被看做“僅IT相關(guān)”的問(wèn)題。

信息安全從業(yè)者傾向于處理更復(fù)雜的問(wèn)題。他們會(huì)試圖向管理層講述跨站(XSS)、高級(jí)持續(xù)性威脅(APT)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)、傳輸控制協(xié)議(TCP)，或者其他什么聽起來(lái)高大上的東西，但起到的通常是反效果?；旧?#xff0c;只是在暴露自己對(duì)業(yè)務(wù)或者業(yè)務(wù)運(yùn)營(yíng)方式的無(wú)知而已。

信息安全投入只有在最終結(jié)果是形成業(yè)務(wù)增長(zhǎng)、提高工作效率、獲得更多利潤(rùn)的情況下才有意義。利潤(rùn)、獎(jiǎng)金、福利、工資、最后結(jié)果……如果這些都不考慮，那你要么是慈善機(jī)構(gòu)，要么是政府部門。

拿著剪刀奔跑

無(wú)論起伏升跌，腳步不能慢，決策必須做。投資電子郵件系統(tǒng)不是為了封鎖病毒或垃圾郵件，而是因?yàn)橐盟M(jìn)一步推進(jìn)我們的使命任務(wù)，增加與客戶的溝通，提高公司的效率。

高管的首要任務(wù)，在于幫助自家價(jià)值7億的公司壯大成價(jià)值10億的。我們不得不拿著剪刀奔跑，而且還得把它們磨得更鋒利。

太多失敗的安全項(xiàng)目讓公司資金打了水漂，且絲毫起不到保護(hù)公司資產(chǎn)或客戶隱私的效果。某些案例中，這些項(xiàng)目實(shí)際上還妨礙了公司是目標(biāo)。具體參考煩人的美國(guó)運(yùn)輸安全管理局(TSA)。

TSA的使命是“保護(hù)國(guó)家運(yùn)輸系統(tǒng)，確保人民行動(dòng)自如，商業(yè)流通自由”。(最近乘坐過(guò)航班的人就知道，空港的行動(dòng)自如是怎么會(huì)事兒了)當(dāng)然，再?zèng)]有什么坐輪椅上患脊柱裂的3歲小女孩威脅運(yùn)輸系統(tǒng)安全了。她在經(jīng)受過(guò)空港的“行動(dòng)自如”體驗(yàn)后早被嚇得不敢再乘飛機(jī)了。大多數(shù)IT安全項(xiàng)目都沒抓住重點(diǎn)，盡在需要‘使能’的時(shí)候‘阻止’。

信息安全需要給公司注入真正的價(jià)值，表現(xiàn)出恰當(dāng)運(yùn)營(yíng)的安全和隱私團(tuán)隊(duì)可以降低開支，增加客戶和用戶滿意度，驅(qū)動(dòng)盈利。信息安全從業(yè)者應(yīng)謹(jǐn)記深深刻印在我們腦海里，或者至少常駐屏保中的6條金融術(shù)語(yǔ)：底線、毛利率、固定和可變成本、凈值和負(fù)債、杠桿、資本支出。

信息安全不是火箭科學(xué)，不影響業(yè)務(wù)的情況下降低風(fēng)險(xiǎn)挺難。花在安全和隱私上的錢就是無(wú)底洞。我們需要做的，是綜合考量安全和隱私?jīng)Q策上愿意冒的風(fēng)險(xiǎn)，以及該怎樣最佳化利用預(yù)算。使用心理恐怖戰(zhàn)術(shù)(FUD)來(lái)證明安全支出花得值只有3個(gè)月的有效期，或者只管用到你終于認(rèn)識(shí)到地獄般的悲慘預(yù)測(cè)根本沒降臨。

花出去的第一塊錢有98%的效果，第二塊錢有97%，依次遞減。塔吉特實(shí)際上在不過(guò)分投入IT安全上，做出了正確的商業(yè)決策。是的，它的CIO和CTO確實(shí)被解雇了，但塔吉特的股價(jià)從2013年11月數(shù)據(jù)泄露時(shí)的每股60美元，上升到了去年7月的每股83美元，現(xiàn)在也還穩(wěn)定在70美元每股的價(jià)位上。

他們做出了錯(cuò)誤的安全決策，但商業(yè)決策卻是正確的。這也就是我們需要CEO和CFO的地方。只要外面理解了商業(yè)重點(diǎn)，“協(xié)調(diào)好IT和業(yè)務(wù)”，我們就能合作安排好安全預(yù)算。

與IT或信息安全的正確合作姿勢(shì)：成立一個(gè)委員會(huì)，總監(jiān)級(jí)或更高級(jí)別，具備影響公司高層策略的能量。業(yè)務(wù)部門應(yīng)主導(dǎo)該委員會(huì)的議程，每季度開例會(huì)，商討信息安全問(wèn)題。當(dāng)然，供委員會(huì)發(fā)揮作用的預(yù)算是必備的，超出部分必須經(jīng)由高管層的允許。數(shù)次會(huì)議之后，信息安全這匹野馬也就能被馴服了。你會(huì)發(fā)現(xiàn)，IT風(fēng)險(xiǎn)在做出的決策下會(huì)變得更加溫和。

注：火箭科學(xué)，在經(jīng)濟(jì)學(xué)領(lǐng)域是指由專業(yè)信息技術(shù)人員為管理人員提供投資決策支持的活動(dòng)，決策支持的細(xì)節(jié)來(lái)自于數(shù)學(xué)模型的計(jì)算結(jié)果。

====================================分割線================================

本文轉(zhuǎn)自d1net（轉(zhuǎn)載）

總結(jié)

以上是生活随笔為你收集整理的如何科学的进行信息安全投入：信息安全不是火箭科学的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。