多年來，企業安全團隊為籌集到網絡安全所需資金而深入進行合規預算。一些企業留意到，盡管能贏得短期資本，但從長遠來看這種做法反而會造成困擾。“合規不等同于安全”這種說法聽起來像極了陳詞濫調，但許多企業正在采取措施致力于構建一個富有生機的IT體系，而非僅僅通過安全審計。

最近，來自IT專家專業社區Wisegate的一份題為“從合規到基于風險的安全”的報告顯示，實現一個風險管理項目的最大驅動是滿足合規要求。其中，不到一半的受訪者談及面臨攻擊的場景時神色如同驚弓之鳥。

這不安的情緒足以解釋為什么諸多企業仍停留在消防模式---從一個安全缺口跳躍到下一個緊急情況，沒有任何機會搶在風險之前。

雖然可以十分確鑿并且強烈地認為，在諸如薩班斯-奧克斯利法案、PCI DSS及大量此類法規和違反數據信息披露法律等一系列的合規法律出臺之前，安全并沒有引起足夠重視。但更加確定的是，從長期來看，各企業將在安全建設方面做出進一步的努力并且漸入佳境。令人失望的是，許多企業只是為通過安全審計和達到合規要求而只去做達到最低要求的少量工作。

“制定這些規定的最終原因就是為了確保企業網絡更加安全，但可悲的是合規清單卻經常出現”，LLC(LTCP)的前首席信息安全官，現任信息系統安全協會董事會成員Candy Alexander說到。這是為什么呢?因為合規對于高管、專家和首席信息安全官來說是頗具誘惑的交易。

“然而，如果你在尋找資本最好的商業利用，從純粹的投資回報率角度來看，支出大量的資金用于安全建設是否有意義對于許多高管來說頗有爭議,”馬薩諸塞州藍十字藍盾企業安全架構師Martin Sandren說到。

又有幾個公司能夠真正理解呢?Alexander解釋到，“他們知道自身是否合規，而且同樣知道他們或許是安全的，抑或是不安全的。”

這個態度同由普華永道首席安全官和首席信息官雜志展開的第十一屆年度全球信息安全調查結果一致。對9600多個企業和機構調查后發現，只有17%的受訪者知道什么才算得上一個成熟的風險管理程序。此程序要求一個企業做到：具備整體信息安全策略、配備首席信息安全官或者與之等同的向行政領導報告的主管、及時回顧過去一年安全建設的有效性、并且能夠準確掌握過去一年該企業發生過何種類型的安全事件。

那么，企業如何從合規清單心態改進到更全面的風險管理?“這是一個大的飛躍，” 加拿大阿爾伯塔政府首席信息安全官Tim McCreight說。從安全事件發生時作出反應，到試圖強制企業使用安全控制，再到使企業理解風險并做出適當的基于風險的決策。“這需要企業去理解自身風險承受能力的等級，”McCreight說。

這聽起來簡單，事實絕非如此。安全管理人員如何做到既關心IT安全風險，又能清楚掌握承受太多IT風險的商業后果呢?

Sandren介紹了企業應如何采用良好的安全指標。“我們在藍十字藍盾的一個公司治理結構，基于已完成的風險評估來進行業務部署，”他說，“這做起來并非易事，因為對一個企業而言接受風險成本十分困難，高管們經常要么拒絕接受任何風險，要么就想忽視風險。”

IT安全公司Securosis分析師兼主席邁克·羅思曼表示，不管困難與否，最好的說服者就是數據。“員工向公司匯報之前要收集盡可能詳細的數據和指標。如何通過更快速的反應來減少風險以及對安全的投資如何保護關鍵業務及資產將會引起高管的注意，”他說。“高管喜歡圖表和數字，他們認為越準確越可信越好。”

歸根結底，它是一個不那么微不足道的轉變——從合規到使目標系統被攻擊時應變能力更強。此外，沒有一個簡單的合規清單能夠完全實現信息安全。“沒有到達那里的方式沒有對錯之說。企業的路徑各不相同，因為各自所面臨風險狀況不同，并且風險承受等級各異，”亞歷山大說，“所以能做的事情就是努力爭取。”