一些企業往往在隨意安裝所有技術性防御的時候無形中擴大了安全漏洞，這是為什么呢？

這是一項所有IT安全從業人員都在做的為時已晚的調查：企業都過于癡迷法規遵從，他們隨意將一些安全技術放在需要執行的列表中，這種做法恰巧增加了企業的風險。

總部位于加拿大安大略省CISO和安全顧問James Arlen對此發表了看法并給人們提出了一些建議。以下是外網的采訪記錄。

問：近幾年關于安全的問題討論得不少，但是作為一個CISO，你最關心的技術問題是什么？

答：我們需要更加關注安全技術實施的質量。僅僅將東西買來，靜靜地等待這項技術“死去”是不夠的。如果你能夠讓你所需要采購的東西符合一系列的標準和法規并保證其一一通過公司的批準，當然很了不起，但是你能保證你建議采購的這些東西的價值嗎？

問：你是否也看到了這些情況的存在？

答：在很多情況下，由于執行和實施的問題，使用的價值確實無法確保。你購買了這些東西，并讓它們開始運作，紅燈閃爍，發出運作的聲音。但是它們也許對你來說沒有任何用處。你所做的對風險降低沒有任何幫助。我們需要找到一些能更快做得更好的方式。

問：可否舉個例子告訴我們，在你的業務生涯中，你在哪里看到了這種問題。

答：在我漫長的安全顧問職業生涯中，我幾乎總能看到這些現象的存在。你會看到，在部署防火墻的時候，需要進行大量長時間的規則設置以及各種各樣的努力。但是，不久你就不得不面對最基礎的規則設置，發現事先進行繁冗的規則設置可以讓測試變得更簡單，或者可讓它們更快地投入到公司業務中。

不幸中的萬幸是，當你成為一名安全運營人員的時候，你會對更多的人進行培訓，因為安全行業是個變化很快的行業——快節奏也意味著“高營業額”。有些設備你不得不擱置下來，因為你沒有這方面的專業人才。

問：通過對廣大人群的培訓，這些問題可以緩解嗎？

答：在你還沒有到執行那一步的時候，培訓的費用不可以放進預算中。培訓費用按理說應該來自于你日常的運營預算，實際上你并沒有這部分培訓費用。你根本負擔不起送一個人到某個地方進行數周培訓的經費，當你想雇一個有這方面能力的人時你就會產生這樣一個念頭：你希望你可以雇傭這種技能。最后你必定面臨“雇傭還是解雇？”這樣一個對企業安全沒有任何用處的問題上。你最后不得不掄起手中的“錘子”砸向那些需要加以重擊的“釘子”，沒人知道誰最后會成為這枚“釘子”。

問：最近國外一項調查中，企業告訴記者，他們近幾年已經花費了幾千美元的經費來支持他們的IT安全系統。但是有些已經開始反思是否值得這樣做。

答：這就涉及到了我這么多年來一直設法讓人們理解的一個觀點：你不一定被兼容，但你要在一開始做到“兼容”。你不想符合具體哪項制度。而應該符合所有制度的“超級集合體”。最佳的做法是擁有必要的開明的欲望并且用來做正確的事情。

最后我們發現，安全花費與季度業績和股東價值有著不可分割的關系，因為到最后一天，安全消費其實只是另一種保證金。