遗憾的是，你要做所有这些工作，但预算与这些威胁的紧迫性相比却微不足道。事实上，IT安全只是整个IT预算的一部分；而IT预算又只是整个公司预算的一小部分。你不但要根据威胁对公司的潜在影响来认真评定威胁级别，还要根据IT预算中的其他各部分来权衡适当的补救技术和产品。最后就是，这一切必须基于这个必要原则：降低与资本支出有关的运营费用。要是你派不出人员和时间来运营，那么世界上最好的威胁管理策略对你也没有太大的好处。

    这一切可以解释为什么IT主管们对统一威胁管理如此有兴趣，因为它有望降低实施及管理安全基础架构的复杂性，从而降低成本。但它同时也为关注这种统一的IT主管们提供了一种特别实用的方法，这种方法可以归纳为以下三点：

    1、不要把安全本身看成是目标，把它看成确保网络和应用程序可用性的一个重要部分更合适——目的是让用户能完成工作。你选择的安全技术和产品将取决于它们实际上如何满足这个目的。这种观点的一个优点就是，因而很容易把安全决策与总体IT目标联系起来，并且与服务对象：公司的经济收入联系起来。

    2、厂商合并变得很重要。要降低运营费用，需要简洁性，而不是复杂性。继续购买各不相同的“同类中非常好的”的单一功能产品，以应对不断变化的安全“威胁格局”，那只会带来管理上的灾难；如果你最后面临难以管理的混乱局面，单一功能产品性能再佳，也毫无用处，正如下文会介绍的那样，这同样需要你选择的厂商提供统一的管理、报告和搜索功能。

    3、没有叉车式升级！不管你实施了什么方案，都必须作为现有安全投资的补充。这个道理太明显不过了，简直不值得一提；可是那么多的厂商似乎想当然地认为：自己的解决方案胜过你在多年来的慎重投资、实施、培训和经验。不过，这同样使得统一的管理、报告和搜索功能变得更加重要，避免数量激增的管理接触点（management touchpoint）多得你的团队无力应对。管理方面的复杂性望远不可能完全避免，但如果选择合适的厂商，还是可以尽量减小复杂性的。