您在安全上投入过多

……或者投入不足，但肯定没有做对。

安全需要投入，但并非全有或全无那么简单。了解根据风险承受水平投入多少至关重要。改进安全计划时，首先要做的是设定诚实的目标，明确想要实现什么。

理想的安全投资意味着：做必要的事，不多做。每一美元用于保护不会被攻击的东西，就是没有用于引领市场、构建新功能或销售和营销解决方案的一美元。

问题是，您不知道会在哪里受到攻击，也无法确切知道那条线在哪里。因此，您总是投入过多或不足，但不可能做到完美。

我经常谈论目标。我认为目标是通过其可以理解任何行动的镜头。没有目标，您会被安全供应商的市场宣传、当天的可怕攻击，或者团队或董事会带来的最具短期紧迫性的任何事情推着走。目标为您提供了一个锚点，让您对投入的内容有信心。

目标可以是崇高和长期的，也可以是尖锐和可操作的：

这些都是很好的目标，可以帮助您明智地选择下一步。如果安全是您的目标，您需要知道那意味着什么以及如何衡量它，否则您永远不会知道是否在取得进展，甚至是否已经实现了它！

如果我们想创建一种安全文化，让安全成为组织的价值，那么您必须改变公司的DNA，建造一座城堡，并为安全岛设定航向。

如果您只需要通过比竞争对手更安全来避免风险，那么设定一个明确说明这一点的目标，并将您的安全和开发活动与该目标对齐。

重要的是知道您的目标是什么，以便您可以相应地计划投资。

请订阅我们的新闻通讯。每个月我们会发送一份新闻通讯，包含新闻摘要和我们最近几篇文章的链接。不要错过！

另请参阅

领导力、安全团队、黑客