构建高效安全计划需要战略、耐心和清晰愿景

首席信息安全官面临着日益增多的威胁，包括勒索软件、商业电子邮件欺诈、基于身份的攻击、网络钓鱼攻击以及数据泄露。构建、实施和维护一个能应对所有这些风险的有效安全计划，需要极大的耐心和适应能力。

很多技术和安全措施可用于应对组织面临的各类问题，但要妥善实施这些措施则需要投入大量时间和资源。Capital One 网络安全首席技术官 Mike Benjamin 在上个月于旧金山举行的 RSAC Conference 上表示，其中一种方法是将组织的安全计划视为一款产品。他解释说，就像产品一样，安全计划也拥有客户、满足需求、提供有价值的内容，并且可以被“购买”。当然，也有人会争辩说，安全计划并不像产品，而更像是一个成本中心，因为其存在是出于必需或者交付成果不明显的原因。

Benjamin 说：“那些认为安全计划不是一款产品的人，我们所看到的一切，都说明这是一个需要改进的安全计划。企业之所以这么做，仅仅是因为这是要求。难道有人希望他们的计划被如此看待吗？我们都渴望将它打造为企业重视的资产，成为企业运作中的核心组成部分，而不是仅仅一项必须完成的任务。”

高效的安全计划需要在技术投入、内部协同和整体风险管理之间达到平衡。实现这种平衡可能很不容易，尤其是在应用安全计划的执行上。安全团队必须在确保没有漏洞的同时，防止业务运营受到拖延。