當心！內部安全標準未必靠譜

隨著預算規劃時間的臨近，關于如何衡量安全是否成功，從而為資源分配或擴張找到理由的討論就回到了議事日程。有很多文章可以幫助我們確認安全標準，用以證明安全項目的價值，但是在選擇標準之前，我們必須首先定義成功。而成功可能更是一門藝術而非科學。

安全工具也擅長告訴用戶企業遭受了多少攻擊，有多少系統得到了強化，有多少認證需要第二個因素。通過合規審計，企業還可以得到一些關于控制是否符合策略的報告。雖然依賴現成的標準是很容易的，但是我們如何確定哪些標準符合整體的業務優先級，從而能夠真正衡量安全是否成功？

成熟的企業都傾向于衡量風險以及如何減輕風險，這正是IT安全最終要關注的全部。但是，即使所謂安全性做得最好的企業也可能用錯誤的標準來評估自己。

為真正衡量安全項目的成效如何，我們首先必須定義成功。

誰來定義成功？

安全團隊和其他團隊一樣都趨向于自己定義成功。但是，如果預算有正當理由，或者企業有很強的能力，那么成功的因素就不能僅由內部的人員來決定。問題是，企業并不知道除了“不被黑客攻擊”和“讓審計人員高興”外，又該如何描述從安全中得到什么。

有一種容易使用的可有助于縮小安全團隊和企業管理人員之間差距的模式，即由底層到高層分別為目標、任務、策略、計劃、行動五部分組成的結構。這是一種在性質上的層級結構，所以每一層都支持其上層。所以，我們不妨舉個例子，可以從一個現實的目標開始：

減少數據泄露或信息丟失的風險，以滿足行業內的標準。

由此可以確立任務如下：將完成系統更新（應用程序補丁）的時間減少50%；增加雙重認證的使用，以覆蓋全部的敏感數據；對所有管理員實施特權賬戶管理。

完成任務都要有相關的策略，有分解計劃，進而為員工分解為特定的行動，以便于執行。

策略和行動推動著整體的企業成功，而目標是可測量的要素，這些正是企業與業務關系經理定義成功的因素。在此過程中，為實現共同的目標而進行的成本教育也是一個步驟。如果決策者在成本問題上猶豫不決，就有了改變目標的空間，所以，對企業來說這是很現實的。

衡量企業的健康程度

與企業協作是一種相互關系。雖然安全團隊有必要教育企業的合伙人需要什么才能完成任務，企業也必須準備向安全團隊提供具體計劃和需要優先考慮的問題。換言之，企業必須分享其成功的衡量標準。

這種信息必須能夠告知安全計劃和優先處理的問題。必須至少每年重新評估一次當前的預算項目，用以決定項目是否必要以及是否符合業務計劃。

例如，如果你將全部的預算都放在下一代防火墻的升級上，卻發現通過新移動應用更好地吸引客戶的業務計劃中，有管理員在銷售用戶的個人信息，那么安全也就偏離了方向。隨著數字時代的快速發展，非常關鍵的問題是，由于競爭者推動著企業在應對不斷變化的市場需求時，變得日益靈活，從而使得企業以安全為核心而進行應對的時間也相應縮短。

衡量安全性是否成功的藝術歸結為與業務的一致性。雖然這種衡量未必總是明顯的一對一的匹配，卻需為此付出努力。企業不應僅通過內部的固有標準來衡量安全性，而是應利用共享企業目標來推動安全性與業務優先級的更大一致性。