引言：在過去十年中，信息安全技術(shù)已經(jīng)得到了很多改進，例如下一代防火墻和改進的入侵防御系統(tǒng)。然而，在過去一年中，我們也看到非常多成功的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事故。現(xiàn)在攻擊變得越來越復雜，我們需要新的防御技術(shù)來與攻擊者進行網(wǎng)絡(luò)軍備競賽。但攻擊的復雜性并不一定是數(shù)據(jù)泄露事故激增的根本原因。

數(shù)據(jù)泄露事故的增加只是因為很少企業(yè)將信息安全作為戰(zhàn)略重點。信息安全往往被視為成功部署新項目或新產(chǎn)品的路障，這種看法直接關(guān)聯(lián)到信息安全產(chǎn)業(yè)的不成熟性。在乘客安全方面，汽車行業(yè)也經(jīng)歷著類似的階段。安全帶和安全氣囊只是根據(jù)法律要求而被添加，因為開發(fā)更安全的產(chǎn)品需要更多時間，并要到很久以后才會帶動汽車的銷售。安全預算通常只是滿足最低限度的合規(guī)要求，而沒有被納入企業(yè)戰(zhàn)略，其實后者這樣才更有效。

首席信息安全官或信息安全經(jīng)理可以采取一些步驟來幫助將信息安全從開銷費用轉(zhuǎn)變?yōu)閼?zhàn)略機會。下面是三個例子：

首先，安全領(lǐng)導很重要。大多數(shù)企業(yè)領(lǐng)導者對CISO的職能范圍只有基本的了解。他們知道這個角色的存在是為了提供安全性和合規(guī)性。這種情況可以被視為是一個缺點，但這實際上是一個機會。這種模糊性為CISO提供了機會來為自己重新定義這個角色，同時可將對信息安全的看法從成本中心轉(zhuǎn)變?yōu)閼?zhàn)略合作伙伴。強有力的信息安全領(lǐng)導還可以從其他業(yè)務(wù)領(lǐng)導獲得戰(zhàn)略安全預算所需的支持。

其次，避免所謂的滅火式做法。很多安全領(lǐng)導掉入了只能響應(yīng)的陷阱。這可能是由于缺乏資源、不安全的環(huán)境，或者習慣采用反應(yīng)式做法。有效的安全領(lǐng)導者知道，為了構(gòu)建有效的戰(zhàn)略，他們不能總是遠離前線。他們可能需要外包某些功能，或構(gòu)建自動化流程來專注于更大的藍圖。這似乎有悖常理，但花時間來向領(lǐng)導層構(gòu)建用例來獲得更多資源，要比抓住鍵盤來編寫新的防火墻規(guī)則有著更大的整體影響。

為信息安全戰(zhàn)略性預算獲得支持的最后一步是專注于制定和報告指標。安全領(lǐng)導必須非常坦誠地交代現(xiàn)有信息安全計劃的缺點，并以指標和報告的方式展示可操作的數(shù)據(jù)，這是提供誠實評估的最佳方式。不同的企業(yè)安全部門可能會使用不同的指標，因為這些是企業(yè)特有的指標。有些指標通常會聯(lián)系到企業(yè)提供的特定產(chǎn)品或服務(wù)，這些指標可能產(chǎn)生最大的影響;一個很好的指標示例是：通過企業(yè)開發(fā)的移動應(yīng)用丟失個人信息的客戶百分比。企業(yè)通過部署更強的安全做法，這個數(shù)據(jù)應(yīng)該最終會減少，并可以以此要求戰(zhàn)略性安全預算。

戰(zhàn)略性安全預算可以幫助避免很多最近發(fā)生的大型數(shù)據(jù)泄露事故。這種預算類型很難以得到，因為信息安全領(lǐng)域仍然沒有得到企業(yè)領(lǐng)導的理解。首席信息安全官或信息安全經(jīng)理必須提供強有力的領(lǐng)導力來幫助這些領(lǐng)導了解戰(zhàn)略性信息安全預算的價值。他們也需要讓自己從日常滅火式活動中脫離出來，以便把重點放在高層次的戰(zhàn)術(shù)，其中包括制定和報告指標數(shù)據(jù)。

D1Net評論：

希望未來有這么一天，企業(yè)領(lǐng)導了解了信息安全在企業(yè)戰(zhàn)略中的重要性，正如氣囊和安全帶對于汽車的重要性。現(xiàn)在是信息安全領(lǐng)域激動人心的時候，因為現(xiàn)在的首席信息安全官和信息安全領(lǐng)導有機會開拓出一條道路。