“這是個最好的時代,這是個最壞的時代，這是智慧的時代,這是愚蠢的時代，這是信仰的時代,這是懷疑的時代…”--狄更斯的《雙城記》

鑒于美國白宮預算現狀，以及美國正處于自克林頓第一任期以來第一次政府關門的情況，引用這句話似乎很合適，而且很到位。預算討論是一件很棘手的事情，當有多方爭搶預算時，這會是很令人頭痛的問題。這種預算問題不僅是政府關心的問題，在所有企業、非營利性組織、學習機構，每天都在進行預算討論。并且，由于預算現在成為大家關注的重點，我們現在應該認真考慮安全預算了。

如果你擔心筆者正在推銷什么安全解決方案，你大可放心。筆者希望你在計劃2014年的安全預算時，了解自己企業當前的安全狀況。首先回答這五個問題：

1.當涉及安全性時，最重要的企業資產得到了應得的關注嗎?

2.當前的安全做法能夠幫助企業避免合規性和其他監管風險嗎?

3.目前的安全基礎設施能夠適應不斷變化的威脅和漏洞環境嗎?

4.企業安全優先考慮事項符合企業的發展目標嗎?

5.企業的高管重視安全性嗎?以及清楚保持最重要數據資產的必要性嗎?

你會注意到，在這五個問題中，涉及了技術和業務方面的問題。你可能不知道領導團隊對安全的看法，但你必須清楚這一點。你需要讓企業領導層了解安全態勢，以及安全需求，這樣你就可以讓安全功能符合業務優先級。

雖然筆者沒有說技術因素很容易，但筆者認為大部分安全主管和管理人員更愿意處理安全方面的事情，而不是業務方面的事情。因為IT/安全專業人士往往邏輯地看待問題，他們能夠評估以及解決問題，最終建立正確的技術解決方案。他們需要額外的預算和資源來妥善處理企業的安全需求。

大約15個月前，我們發布了一份研究報告，其中強調了首席執行官及其安全官之間的脫節。雖然在技術領域，15個月可能意味著翻天覆地的變化，但在這個期間，并沒有太大改變。在我們的發現中，其中令人震驚的統計數據是，雖然所有首席執行官都表示安全是其企業的頭三項優先工作，但36%的CEO從來沒有聽取其首席信息安全官或者負責安全的高級IT經理的更新報告。

這不是因為缺乏興趣，或者缺乏了解。技術人員往往從技術層面解釋問題，而業務領導總是從財務狀況和風險方面來看問題。這兩種語言往往很難溝通，而這會導致削減或者拒絕關鍵安全項目所需的預算資金。

下面這段話真的非常清楚地概括了這個問題：當我與其他首席執行官談論安全問題時，他們經常表達出他們的無奈，那些領導安全項目的人難以簡明地溝通什么是威脅，以及威脅對業務的影響，潛在的損失，安全的投資是否會在實際上顯成效。

當首席執行官要求其他領導提供更新報告時，他們通常會收到業務報告。以首席財務官為例，當被要求報告企業的財務狀況時，他們會制定P&L或者資產負債表，其中會明確列出最重要的信息，讓高層都能明白。而如果你要求首席信息安全官提供報告時，他們并不會有效地結合安全問題和業務問題。

當你在計劃2014年的安全預算時，請記住，從技術的角度來看，你的預算討論通常要從業務討論開始。在既定的預算資金中，你有很多競爭對手，你需要向高管展示最好的業務案例。