通常人们只是认为信息安全只是花钱的部门,不能产生直接的经济效益。
在一个企业内我们经常看到这样的情景:年终总结会上,销售经理们在为不断提高的销售业绩而沾沾自喜、弹冠相庆时,安全主管对自己的最高奖赏只能是向总经理汇报“平安无事”。 因此安全预算经常受到质疑,特别是在企业经营状态不佳时,首先受到压缩就是信息安全预算,然而企业决策者们往往没有意识到,过度压缩的安全预算,往往会使企业蒙受很大的风险。
“911”事件中,当Morgan Stanley 集团和American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时,没有人怀疑灾难恢复计划的重要性;“SARS”肆虐时,成功实施业务持续性计划的亚信、摩托罗拉、惠普等公司使人们看到面对这样的重大灾害时,企业怎样才能避免束手无策。
安全计划只有在安全事例发生后,才能证明其价值,然而只有在安全事件发生前,取得企业决策者们的支持才更有意义。这就需要安全主管与企业决策者们进行有效的沟通,不要企图用高深的技术数据说服高层管理者们。这样往往适得其反,安全主管与决策者们的最佳沟通方式就是投资回报计划,安全主管应当为安全预算做出一份有说服力的投资回报计划,来获得决策者们的理解与支持。
信息安全投资回报计划就是要研究信息安全的成本效益,其成本效益组成如下:
◆从系统生命周期看信息安全的成本:获取成本和运行成本;
◆从安全防护手段看信息安全的成本:技术成本和管理成本;
◆信息安全的价值效益:减少信息安全事故的经济损失;
◆信息安全的非价值效益:增加声誉、提升品牌价值。
