當(dāng)前，隨著信息安全形勢的愈演愈烈，業(yè)界對于信息安全的關(guān)注度也日漸升溫，與此同時，在信息安全保障過程中，繞不開投資回報率(ROI)這個問題。

投資回報率(ROI)屬于財務(wù)分析的概念范疇，ROI是指通過投資而應(yīng)返回的價值。企業(yè)常常通過ROI分析來幫助進(jìn)行決策。如今許多企業(yè)的IT部門也在使用ROl，很多IT方案在實(shí)施之前都進(jìn)行了ROI分析。而和IT部門密切相關(guān)的信息安全部門也開始做類似的工作，但是信息安全部門在考慮ROI時存在很多困難，比如：難以找到適用于企業(yè)信息安全環(huán)境的ROI評估模型和方法來、甚至是企業(yè)中一些人對信息安全ROI的決策參考價值不認(rèn)可。

但我們談信息安全的ROI，就是為了方便解決企業(yè)在信息安全建設(shè)中的一些決策問題，特別是讓決策者能明明白白地知道哪些安全投入能給企業(yè)帶來最高的投資回報，即使決策者并不具備信息安全專業(yè)知識背景。巿面上流行的安全方案有很多并且不是能適應(yīng)于所有企業(yè)。你得有尋找一些有效的方法來幫助你做出有效地判斷和正確的決策。而信息安全ROI正是企業(yè)進(jìn)行信息安全決策的重要工具之一。

幾種對ROI的看法

但是由于企業(yè)的安全環(huán)境和需求差異較大，人們對安全的ROI很難形成統(tǒng)一的看法。比如：有些人認(rèn)為信息安全是個只懂得花錢不懂賺錢的主。在安全上的投入好象沒有看到有什么實(shí)際的投資回報。或者他們認(rèn)為信息安全的ROI太低，所以不情愿為安全進(jìn)行過多的投入。

有些人認(rèn)為信息安全很重要，又或者是因?yàn)橛猩霞壔虮O(jiān)管部門有強(qiáng)制性要求，所以他們不管有沒有回報都得會去投入。既然是必須做的，也不用費(fèi)心去考慮什么ROI的問題。他們本身并不關(guān)注ROI的大小，那怕ROI是零他們也得去做。

還有些人覺得ROI的想法很好，但是無法落地。有人甚至認(rèn)為評估信息安全的ROI是在浪費(fèi)時間，因?yàn)楦菊也坏接行У腞OI分析方法。雖然也許他們也確實(shí)感覺到某些安全投入幫助企業(yè)防御了某某威脅、降低某些風(fēng)險。但是他們無法說出一個具體的數(shù)值，換句話說，他們認(rèn)可信息安全的ROI，但卻無法量化它。

信息安全工作需要做ROI分析

我們知道有不少企業(yè)是因?yàn)榭謶侄M(jìn)行安全投入的，因?yàn)楹ε赂腥静《径徺I防病毒產(chǎn)品，因?yàn)楹ε峦獠烤W(wǎng)絡(luò)攻擊而部署防火墻和IDS。投資者都知道，因?yàn)榭謶只蜇澙范顿Y，都是不理性的投資行為。也許會一時成功，但沒人能保證這種投資理念能一直成功。而通過分析比較ROI來輔助進(jìn)行投資，則被公認(rèn)為一種理性的投資方式。因此筆者認(rèn)為，企業(yè)在開展信息安全工作時是需要評估ROI的。

回顧幾年前以前企業(yè)的信息安全建設(shè)思路，你會發(fā)現(xiàn)很多企業(yè)采取的是一種“堡壘”式的建設(shè)思路，這種思路比較簡單，就是把需要保護(hù)的信息用高高的圍墻保護(hù)起來。這時，我們可以通過簡單地比較“圍墻”的建造維護(hù)成本、被保護(hù)資產(chǎn)的價值來進(jìn)行安全投資決策。但隨著這幾年信息技術(shù)的發(fā)展，企業(yè)的業(yè)務(wù)情況和安全形勢變得非常多樣化和更加復(fù)雜。比如：很多企業(yè)都開始使用移動辦公了，為了在不影響移動辦公的同時又要保障信息安全，企業(yè)只好不斷地針對某個問題進(jìn)行投入，安全的預(yù)算也不斷增加。但企業(yè)不可能無上限的增加安全的預(yù)算。在有限的安全的預(yù)算下，這時就更需要評估安全投資的ROI，去評估哪些方案具有最高的ROI。可見，在如今威脅不斷增加而安全預(yù)算有限的背景下，現(xiàn)代企業(yè)較從前更需要進(jìn)行ROI分析了。

評估信息安全ROI的思路

雖然ROI的概念很好理解，但如何評估信息安全的ROI呢?很多企業(yè)都會認(rèn)同這種看法：“分析信息安全的ROI是一項(xiàng)棘手的工作”。當(dāng)我們動手評估一個信息安全方案的ROI時，很難找到一個適用的ROI估模型和方法。在網(wǎng)上可以找一些信息安全ROI分析的理論和案例，雖然可供企業(yè)參考借鑒。但最終還是需要企業(yè)根據(jù)自身實(shí)際情況來建設(shè)一套適合自己的ROI分析模型和方法。

D1Net評論：

信息安全保障工作，需要遵循正確的方法，在做出相關(guān)投資決策過程中，要基于成本、收益、風(fēng)險權(quán)衡、性能、時間進(jìn)展等諸多因素。在如今威脅不斷增加而安全預(yù)算有限的背景下，現(xiàn)代企業(yè)在進(jìn)行信息安全決策之前，企業(yè)的高層很需要知道一些關(guān)鍵ROI指標(biāo)，企業(yè)應(yīng)該積極建立適合自身的信息安全ROI評估模型和方法，以便決策者能更好地在最優(yōu)的安全與最優(yōu)的ROI之間權(quán)衡，最終做出最佳的安全決策，切不可盲目。