您在安全上花费过多 | 重新思考安全

作者：Joe Basirico
发布日期：2019年11月1日
阅读时间：2分钟

…或者投入不足，但您肯定没有做对。
安全需要投入，但并非全有或全无那么简单。了解根据风险承受能力投入多少至关重要。改进安全计划时，首先要做的是设定诚实的目标，明确想要实现什么。

理想的安全投资意味着：做必要的事，不多做。每一美元用于保护不会被攻击的东西，就是没有用于引领市场、构建新功能或销售和推广解决方案的一美元。

问题在于：您不知道会在哪里受到攻击，也无法确切知道那条线在哪里。因此，您总是过度支出或支出不足，但不可能做到完美。

我经常谈论目标。我认为目标是通过其可以理解任何行动的镜头。没有目标，您会被安全供应商的市场宣传、当天的可怕攻击或团队或董事会带来的最具短期紧迫性的事情推着走。目标为您提供一个锚点，让您对支出有信心。

目标可以是崇高和长期的，也可以是尖锐和可操作的：

• 我希望能够衡量我们安全计划的有效性
• 我希望在生产中发现更少的漏洞，在测试中发现更多
• 我希望能够创建一个风险框架，以便我知道首先需要关注什么

这些都是很好的目标，可以帮助您明智地选择下一步。如果安全是您的目标，您需要知道那意味着什么以及如何衡量它，否则您永远不会知道是否在取得进展甚至是否已经实现！

如果我们想创建一种安全文化，其中安全是组织的价值，那么您必须改变公司的DNA，建造一座城堡，并为安全岛设定路线。

如果您只需要通过比竞争对手更安全来避免风险，那么设定一个明确说明这一点的目标，并将您的安全和开发活动与该目标对齐。

重要的是知道您的目标是什么，以便您可以相应地计划投资。