如何创建一个有意义的信息安全度量项目

核心提示：现实证明安全预算比很多其它的IT领域更能抵御衰退，但是它们并不能完全不受衰退的影响，如何创建一个有意义的信息安全度量项目，从2002年到2007年像火箭飞船起飞般两位数增长的安全花销，在两年前开始停滞，但他们多数都是你可以归类到“每日趣事”文件夹的统计数据，你的老板不在乎你的网关挡住了多少的垃圾

现实证明安全预算比很多其它的IT领域更能抵御衰退，但是它们并不能完全不受衰退的影响。从2002年到2007年像火箭飞船起飞般两位数增长的安全花销，在两年前开始停滞。来自企业的报告显示那些有商量余地的安全项目被推迟或者“打回实验室”再次评估。对2010年来说，Forrester Research预期总体的安全预算会比2009年提高不到5个百分点——比前一年高，但不是很多。

在增加安全预算上的不情愿也给安全经理辩护他们的安全项目带来很大的压力。可悲的是，安全被认为是一个成功理所应当，但是失败却会令人难堪的领域。在外行人看来，安全人员、技术和流程开销很大却很少产生看得见摸得着的产出，除了一个模糊的“今天没发生什么坏事”的满意感觉。结果就是，聪明的安全经理感觉到他们预算上突然出现的弱点，并且开始寻找更好的方法来度量及证明他们每天做的事的价值。

但是在投入一个安全度量项目之前，有很多事情要记在心上。我们下面一起来看看一些可能导致挫折和失败的错误步骤以及一个有效的项目要素。

度量错误

一些企业，被“测量虚无”的挑战所吓倒，而没有把建立度量提到日程上来。还有一些公司开始了雄心勃勃的安全度量项目却被三个主要的陷阱所绊倒，特别是在项目实施刚开始的时候：

试图把大海煮沸。面对不想错过什么重要事情的压力，企业试图测量“所有”他们能够想到的事情：每个威胁和弱点类型，从补丁到垃圾邮件再到身份管理的数十个运营度量，以及对如何量化应用风险和缺陷的多种尝试。

采用方便的度量，而不是有意义的。大型企业所拥有的几乎每个安全产品都有某种报告功能可以生成供应商认为重要的数据。使用这些作为开始是很简单的，而且有些情况下他们也可以作为很好的度量。但他们多数都是你可以归类到“每日趣事”文件夹的统计数据。你的老板不在乎你的网关挡住了多少的垃圾邮件，或者是你的桌面系统有多少“违反规定操作”——不管他们是什么。