如何在安全上進行投資?在信息安全領域這也許是最具挑戰(zhàn)性和爭議性的話題。首先是FUD——恐懼、不確定性和懷疑。沒有可以衡量的指標或提供具體的數據結果，高管們只是因為害怕而花錢。這個理由注定維持不了持續(xù)的在安全上進行投入。此后不久，投資回報率(ROI)企圖將“收益回報”作為安全市場投資的一個衡量指標。這是采用一個標準的做法來合理制定信息化的預算，但它和安全其實并沒有太緊密的聯(lián)系。實在沒有一個好的辦法，將在安全上所投資的金錢用某種直觀的形式展示出來。因此，把投資回報率與損失期望(ALE)相結合，風險度量策略與損失成本的頻率(或概率)相結合的方式，來制定年度總體投資預算。但隨之而來的問題是，損失期望太高，并且無法平均分攤到每年，所以損失期望估算值也并不準確。

[[134292]]

安全投資產生的價值被形容成了一種類似保險的衍生品。個人和企業(yè)每年花在買保險上面的錢高達資產本身價值的10%，盡管他們從來沒有得到過真正意義上的任何索賠。他們只是花錢買了一份安心，因為他們知道所有的事件后果都將由這份保險承擔。同樣，企業(yè)在安全上的投資，也等同于為其資產不被非法盜用買了一份保險。你是如何衡量這份保險的價值?它肯定是具有價值的，但是非常難以被量化。

因此，哪里能離開安全?安全的商業(yè)價值很難用一個簡單的貨幣價值來表達。因此，考慮如下投資安全的理由：良好的安全實踐可以更好的支持業(yè)務?？梢员Ｕ蠘I(yè)務蓬勃發(fā)展。為業(yè)務的發(fā)展和壯大提供了堅實的基礎。健全的信息安全實踐，不僅是降低風險和成本，同樣提供了新的財政收入機會。在過去，安全被認為僅在保護 (阻止訪問，封閉出口、 分段和分離系統(tǒng)和網絡，并否認連接) 的范圍內。今天，這一觀點已經發(fā)展到偏重于支持全球范圍內使用新的通訊方式的業(yè)務。通過提高信息的獲取量，推動其業(yè)務發(fā)展。每個企業(yè)都可以擴大其業(yè)務在全球范圍內的影響力，而不管該企業(yè)的規(guī)模或位置。信息是企業(yè)擁有的重要資產之一，當它共享給有權限訪問的人群時，是更可貴的?，F(xiàn)代安全實踐可以將信息提供給那些需要信息的人，而不會將其透露給其他無關人員。

良好的安全實踐可以讓企業(yè)以一個更加整體化的方式下運營，特別是在與他們的客戶打交道時。通過精細化的提供給每個客戶的訪問權限，強企業(yè)可以擴大其客戶群體并且可以提供給每個客戶的更好的服務，而不會損害企業(yè)利益、聲譽和客戶信息的機密性和完整性。一個好的安全計劃的明顯收益是提高業(yè)務的靈活性、降低成本和便攜性。

一、保證業(yè)務靈活性

如今，每家公司都希望將自己的經營業(yè)務展示給客戶、供應商和合作伙伴，以達到接觸更多的人，并推動和擴展合作機會的目的。例如，制造商希望通過電子商務網站，增加個人客戶和提高銷售。網站需要連接到后端資源，如庫存系統(tǒng)，客戶數據庫，以及材料和資源計劃(MRP)的應用程序。外部網絡需要允許合作伙伴和承包商連接到系統(tǒng)的開發(fā)，源代碼，和產品開發(fā)資源。通過互聯(lián)網和SaaS應用程序交付業(yè)務流程工具給客戶。

在企業(yè)中知識就是力量，你知道得越多，就越能更好地適應。因此在企業(yè)中，強大的安全防護可以深入了解在網絡上正在發(fā)生的事情。薄弱的安全防護讓許多企業(yè)忽視他們的基礎設施中的日常的信息流動。如果一家公司的競爭對手可以更好地控制他們的誠信信息，他們將更有優(yōu)勢。保護一家公司的信息可以促進新的商業(yè)機會，并且可以高效，安全地管理業(yè)務流程時消耗更少的資源?，F(xiàn)代安全技術和實踐使生活更加輕松，而不是更加辛苦。

安全性準許更有效地使用組織目標的信息，因為它是安全的，組織可以放心地讓更多的外部團體利用這些信息。你提供的可訪問信息越多，越多的人訪問，就意味著你可以用較少的資源做更多的事。通過適當的安全技術構建可靠的自動化業(yè)務流程,可以讓企業(yè)專注于自己的核心業(yè)務。相互連接的生產力工具開啟了運營效率的新水平，以及一個可靠的安全計劃可以有效的規(guī)避風險。

當公司各級管理人員有強烈的安全意識、安全原則并具備其基本知識，高度重視安全工作，公司將得到最大的收益。

二、降低成本

現(xiàn)代的安全實踐的確可以降低一些成本。比如數據丟失，濫用或錯誤的損失可能是非常嚴重的。猖獗的病毒爆發(fā)，網站故障，或拒絕服務(DoS)攻擊導致服務中斷，客戶不能進行購買和公司不能辦理業(yè)務。甚至更糟的是，服務中斷可能會導致負面的新聞報道。不重視安全的后果將是非常顯著的。披露的安全事件會嚴重損害公司的信譽，因此需要具備爭取并留住客戶的能力。

越來越多的攻擊，被歸類為高級持續(xù)性威脅(APTs)。這些攻擊的目的是在網絡中部署惡意軟件，并保持不被發(fā)現(xiàn)，直到達到其惡意目的。通常情況下，攻擊的目標是竊取金融信息或知識產權。服務或敏感數據泄漏的損失可能會導致罰款，費用增加，并造成企業(yè)聲譽和股價的整體下跌。強大的安全性降低了信息丟失的可能性并提高服務可用性和保密性。

三、注重便攜性

便攜性意味著軟件和數據可以被用在多個平臺或可轉組織內使用。“商品化”的信息已經列入公司的需求上，以便能夠即時的提供合理和準確的信息。

首席信息官和首席信息安全官在2011年調查得出的一項結論是信息安全支出超過前三年的一個最大驅動力是客戶的需求，這意味著客戶想從具有良好安全保障的公司購買產品和服務，事實上有時在完成購買前需要提供安全實踐的憑證。

為了滿足當今企業(yè)和消費者的需求，安全控制需要作為架構和網絡設計開發(fā)過程的一部分。顯然，廣泛獲取信息資源的水平需要經過深思熟慮和正確的部署安全計劃。良好的安全性建立在最底層,可以實現(xiàn)一個重要的功能就是數據的便攜性。

便攜性也可以為業(yè)務創(chuàng)造價值。例如，蘋果公司的產品可以播放音樂并且允許個人音樂庫同步到平板電腦,手機,MP3播放器大大增加了蘋果產品的功能。安全移動平臺可以讓用戶的音樂無處不在，同時保護企業(yè)的利益，防止未經授權的下載有版權保護的資料。