"50万的安全建设投入,和1000万的产品研发投入相比,谁更值得?"有人觉得当然是产品研发更值得,企业的核心资产就在产品研发上。那么,谁来保证这个核心资产的价值呢?先来看一则实际案例,A公司投资近千万,耗时两年打造了某产品。在该产品上市前1个月,B公司也在市场上推出了该产品。主要参数一摸一样,价格却减半。于是公司内部各种传闻、猜疑声四起。A企业的损失只是上千万么?市场占有率呢?人员团结呢?--也许都是损失,不可估量的损失。这样来看,50万的安全投入,是否就值得了呢?
游侠安全网站长张百川挺赞成一句话:安全,成就价值。它本身不一定非要创造价值,但是却可以帮助你实现价值。以上例子,则是***的说明。
说到安全价值,这可以回归到IT部门的本源上。在很多公司,人们普遍认为IT部门都是消费者,都是花钱,需要买服务器、PC机、网络设备等等。然而,没有IT部门的规划,目前很多信息化管理工作都需要回到最原始的状态,例如纸质的以人为核心的办公方式。而一旦回到那种状态,工作效率降低了,公司的业绩下滑了,赚钱少了,这不正意味着IT也是在赚钱吗?"同样的道理,我认为安全投入是非常必要的前期投资。"信息安全专家李洋博士肯定了安全投入的价值。
看来,安全投入当然值得,但是总觉得花着钱,却看不见东西,对于企业经营者来说,这滋味也不是很好受。郑州三全食品股份有限公司CIO周清湘做了一个有趣的比喻,说出了大多数企业的心声:企业信息安全类似"交强险",若不出现意外情况,感觉花钱买"保险"很冤枉;若出现问题,那就赚大发了。由此可以看出,安全产品其实是预防风险,而企业苦在虽然风险漂无不定,却必须设防。
所谓保险,不怕一万就怕万一。万一的情况虽然是万分之一,但是一次损失可能就足以摧毁一个企业。要平衡好其中心态,首先,要重视安全风险。从内网安全的层面来看,正是由于内网中所面临的不确定的安全风险点太多,外设、网络、人员、在线沟通,所有点累计起来,就可能使信息安全风险提升到一个很高的角度。管理者不应该认为安全事件离自己很远,就在今年,就发生了索尼PSN网络泄密、韩国赛我网用户泄密、富士康I-Pad2图纸泄密等多个泄密事件,因为种种原因没有公开披露的事件更多。其次,正确衡量安全风险。一个可能的安全事件所造成的影响,取决于该安全事件发生的几率以及一旦发生所能造成的损失大小。假设一次信息泄漏事故发生的损失是1000万,而部署对应的安全产品可能需要5万元,这时,如果部署安全产品,这个安全事件发生的概率可能从30%下降到1%,你会怎么选择呢?溢信科技产品总监黄凯强调,"对于手中握有重要机密信息的组织来说,从财务报表上看,安全不能给你带来账面收益,但却能保护你的核心竞争力。" 三一重工是把安全风险看的比较清楚的企业之一,三一重工股份有限公司研究总院信息化经理谭俊峰表明安全投入对三一重工来说是绝对有价值的。"安全投入绝对不是花钱。技术是无形的,怎么样从嵌入业务在到体现价值,应该是管理者必须要考虑的问题。"
总体看来,安全是有价值的,投入是必须的。而要体现价值,则是一个难题。制造业信息化专家黄培博士认为管理者要思考的这个问题,首先需要针对不同安全风险的级别,把钱花对,不然就真的是"花钱"不讨好。"不同的企业,面临的安全风险大小不同。比如拥有自己核心技术的企业,安全风险就比较大,简单做来料加工的企业,安全风险就比较小。对于前者,投入巨资去做安全是很划算的,因为这笔投入保证了核心技术不外泄,保证企业的生存能力,这属于挣钱;而后者因为风险很小,只需做一些基础的管理和防护工作就可以了,投入巨资去做安全就没有必要了,那就属于花钱。"
争论"花钱"还是"挣钱",无非也就是讨论安全的价值。综观各位专家的观点,都可以回到文首张站长的一句话:安全不一定为企业创造价值,但是它可以帮助企业实现价值。笔者认为,无论以IT现状来类比,还是以保险作喻,这句话都可以作为企业对安全看法的参考。"安全帮助企业实现价值"这句话,可以一分为二来看待。一方面,安全"保证"了企业的价值,这是上文提到的"保险"的角度;另一方面,安全助力企业"创造"价值。安全已经渗入到企业业务流程的各个方面,不安全的环境给企业带来的是诸多的困扰,病毒、断网等都会影响企业的工作效率,在有限的高效工作环境中,"创造"价值的空间缩小。而在安全的环境中,企业会降低这些安全风险,无形中就有更多精力和时间去创造价值。
正因为它可以帮助企业实现价值,因而安全投入是必需的,这个道理大家都明白。焦点其实在于,怎么样觉得这笔钱花的舒服。如上文所述,企业一定要重视安全风险,它并不是万分之一的几率,而是随时有可能发生。其次要正确衡量安全风险,看它所保护的是多少的价值。这样一想,安全投入就很划算了。而要真正衡量内网安全究竟是"花钱"还是"挣钱",应当通过企业要保护的数据对于企业的重要性来选择投入。如果一个企业的敏感数据对企业影响小,那么安全投入大可以降低投入,过多投入也是浪费;如果一个企业的敏感数据对企业影响大,有上千万或者企业全部身家的价值,那么就算是安全投入了十万,也是百分之一的投入,杜绝了万分之一的一败涂地的几率。当然,花好这笔钱,只是体现安全价值的***步。它的价值体现,还有待管理者们去继续思考。
一些CIO们,在安全投入上非常谨慎,只在核心设计部门部署了加密产品。而这样真的就能保证内网安全么,请关注下期内容。
