安全，这项措施会花费IT预算的8%。这项支出是必须的吗？那些将IT安全看作是昂贵的软件套件的CIO们正在忽略这个问题。

　　“安全性是一个有价值的业务组成部分。它可以促进业务增长，也可以成为竞争优势，” EMC公司全球安全组织首席安全官Roland Cloutier说。相对于安全防护软件系统的定义，我们更应该称之为保护业务的系统。

　　但是，除非像CIO们、首席技术官（CTO）、首席信息安全官（CISO）以及所有业务部门的C类官员承认它是保护业务的，否则这种事很难发生，Babson学院信息管理研究中心发言人Cloutier最近指出。

　　Cloutier最先在执法部门工作，他认为，保护并不是一个“一刀切”的过程。“每个人都不应该有相同的回答。” 防护措施依赖于每个公司的具体情况，监管气候和安全漏洞的“顺游影响”。像IT医疗保健行业这样的领域，不能很好保护组织的影响就会涉及到生命或死亡问题。

　　所有公司需要考虑不同的安全策略的原因之一就是，威胁的性质发生了变化，Cloutier说。当黑客破获了公司的安全密码而快速获得公司的信息，或者袭击了你的存储系统时，这些日子就不复存在了。

　　组织犯罪，像Cloutier声称的那样派往一些新成员到大学里学习如何攻入公司的业务，已经超出了勒索的范畴（“因为我发现了这一点，你必须付给我钱。”），例如，将你的公司的隐私出售给出价最高者。当然，公司也不能幸免于恐怖袭击，Cloutier说，他给出一个数据显示所有的恐怖主义袭击中有65%的目标是针对公司，而不是政府。在EMC公司，他这几天来的工作焦点是劳动力场所暴力事件——尽可能防护这类事件的发生并利用技术解决方案使EMC员工办公场所变得越来越安全。

　　一个不太引人注目，但是却同样改变了“游戏”的发展是现在的业务不再受公司地理位置的限制，而是在广泛分布式着雇员和商业伙伴的网络中实现。公司不再是依赖“外部易碎，内部过柔”的安全系统，Cloutier说。“这种边缘正在逐渐消失。”

　　另外，你的下一步安全措施很可能就是内部的。“如果你认为公司还没有发生数据丢失，那么你就错了；有75%的数据泄漏来自于公司的内部威胁，” Cloutier说。

　　许多信息安全系统都试图加固护墙，Citigal公司的首席顾问Scott Matsumoto说，这是一家咨询公司，专门从事软件安全。但是，周边安全并不能防护软件。也不需要软件测试，因为安全防护成功取决于了解你所处于的威胁，Matsumoto说，他认为有必要购置一个遇到攻击能够快速恢复的软件。“软件安全并不是安全软件，”他说。

　　CEO所理解的安全

　　CIO们将永远无法将安全作为公司的资产一样像CEO邀功，除非他们自己是CEO，Cloutier说。“CEO关心的是什么？CEO关心的是保护公司的资产，”这也就是意味着要保护公司的知识产权和供应链，确保人们不能带着有价值的信息走出公司大门，并遵守公司规定。“CEO们通常都是不看好安全装备的，”他讽刺道。

　　病毒和恶意软件仍然对公司业务构成巨大的威胁。避免公司业务受到这些威胁将会影响底线。这对于安全专家来说看起来是明显的，但是，对于高级业务管理人员，这并不是显而易见的，Cloutier称。当一个大型的EMC设施由于一个IT病毒而停工16小时，损失可以用数百万美元衡量。现在，相当多的资源被投入到确保不会再发生类似的事情，Cloutier说。“他们在备份业务。”

　　Cloutier热衷于聚合，或者为企业有一个单独的安全策略。确实是这样，将会有一个比较困难的谈话，但是，单独的策略会确保资源集中保护公司业务，而不是趋向于个人的安全策略。拥有一个独立的系统也能为你提供更好的指标，Cloutier说，因为这样你就能看到趋势。这些趋势可以引导你的开支，引导你应该在哪些领域投资更多或改变战术。

　　在任何情况下，安全保护的级别都不是有CIO来做出决定的，而是公司决定，Cloutier说。他建议，安全应该被作为一种业务或者业务部门愿意承受的风险级别责任的服务来出售。

　　Cloutier的言论与David Saul产生了共鸣，他是State Street公司的CISO。“我们将安全作为公司的业务资产。这个观点来自于公司的董事会，审计委员会、CFO、CIO、CTO，”他说。“我们的客户信任我们，我们有责任保护他们的信息。” 保护周边安全是必要的，但是是不够的，他认为，State Street在保护数据库和应用层面上有了多年的经验。