通常人們只是認為信息安全只是花錢的部門,不能產生直接的經濟效益。
在一個企業內我們經常看到這樣的情景:年終總結會上,銷售經理們在為不斷提高的銷售業績而沾沾自喜、彈冠相慶時,安全主管對自己的最高獎賞只能是向總經理匯報“平安無事”。 因此安全預算經常受到質疑,特別是在企業經營狀態不佳時,首先受到壓縮就是信息安全預算,然而企業決策者們往往沒有意識到,過度壓縮的安全預算,往往會使企業蒙受很大的風險。
“911”事件中,當Morgan Stanley 集團和American Express等公司能在世貿中心遭受攻擊后數小時內迅速恢復服務時,沒有人懷疑災難恢復計劃的重要性;“SARS”肆虐時,成功實施業務持續性計劃的亞信、摩托羅拉、惠普等公司使人們看到面對這樣的重大災害時,企業怎樣才能避免束手無策。
安全計劃只有在安全事例發生后,才能證明其價值,然而只有在安全事件發生前,取得企業決策者們的支持才更有意義。這就需要安全主管與企業決策者們進行有效的溝通,不要企圖用高深的技術數據說服高層管理者們。這樣往往適得其反,安全主管與決策者們的最佳溝通方式就是投資回報計劃,安全主管應當為安全預算做出一份有說服力的投資回報計劃,來獲得決策者們的理解與支持。
信息安全投資回報計劃就是要研究信息安全的成本效益,其成本效益組成如下:
◆從系統生命周期看信息安全的成本:獲取成本和運行成本;
◆從安全防護手段看信息安全的成本:技術成本和管理成本;
◆信息安全的價值效益:減少信息安全事故的經濟損失;
◆信息安全的非價值效益:增加聲譽、提升品牌價值。