现实证明安全预算比很多其它的IT领域更能抵御衰退，但是它们并不能完全不受衰退的影响。从2002年到2007年像火箭飞船起飞般两位数增长的安全花销，在两年前开始停滞。来自企业的报告显示那些有商量余地的安全项目被推迟或者“打回实验室”再次评估。对2010年来说，Forrester Research预期总体的安全预算会比2009年提高不到5个百分点——比前一年高，但不是很多。

　　在增加安全预算上的不情愿也给安全经理辩护他们的安全项目带来很大的压力。可悲的是，安全被认为是一个成功理所应当，但是失败却会令人难堪的领域。在外行人看来，安全人员、技术和流程开销很大却很少产生看得见摸得着的产出，除了一个模糊的“今天没发生什么坏事”的满意感觉。结果就是，聪明的安全经理感觉到他们预算上突然出现的弱点，并且开始寻找更好的方法来度量及证明他们每天做的事的价值。

　　但是在投入一个安全度量项目之前，有很多事情要记在心上。我们下面一起来看看一些可能导致挫折和失败的错误步骤以及一个有效的项目要素。

　　度量错误

　　一些企业，被“测量虚无”的挑战所吓倒，而没有把建立度量提到日程上来。还有一些公司开始了雄心勃勃的安全度量项目却被三个主要的陷阱所绊倒，特别是在项目实施刚开始的时候：

　　试图把大海煮沸。面对不想错过什么重要事情的压力，企业试图测量“所有”他们能够想到的事情：每个威胁和弱点类型，从补丁到垃圾邮件再到身份管理的数十个运营度量，以及对如何量化应用风险和缺陷的多种尝试。

　　采用方便的度量，而不是有意义的。大型企业所拥有的几乎每个安全产品都有某种报告功能可以生成供应商认为重要的数据。使用这些作为开始是很简单的，而且有些情况下他们也可以作为很好的度量。但他们多数都是你可以归类到“每日趣事”文件夹的统计数据。你的老板不在乎你的网关挡住了多少的垃圾邮件，或者是你的桌面系统有多少“违反规定操作”——不管他们是什么。

　　丢西瓜拣芝麻。好的安全度量应该具有5种属性。大多数公司都知道怎样选择符合前4种属性的度量：他们分别是，用数字说话，测量有一种或多种计量单位，以持续客观的方式测量，而且可以以较小的代价收集。但是只有很少的一部分选择了符合最重要条件的度量：语境相关。也就是说，度量需要帮助某人——通常是老板——作出和安全或者业务相关的重要问题的决定。太多的公司使用度量来建立拜占庭式的“安全”教堂，测量他们知道的细节，而不是老板想要知道的事。

经验教训

　　其实建立一个安全度量项目不是一件易事。但是它也不一定是充满压力的。建立一个度量体系意味着要有正确的视角。这里是从企业安全领导那里得到的4个经验：

• 明确性和背景易接受性。一些安全度量的含义十分清楚。要理解“给工作站打补丁的平均时间”这个度量的含义以及它如何得来的很容易；度量的单位表述的很清晰。“补丁”以及“工作站”这两个词的含义无需解释。但是“应用风险分”93分的含义呢？它比起80分又有多好呢？在这些情况下，有经验的项目经理就会解释分数是如何取得的。他们的展示和“仪表盘”简洁明了地说明他们不太容易明白的公式中都包含了什么，以及读者应该如何解读其结果。
• 洞悉来自对比。耶鲁大学教授 Edward Tufte在他的佳作《Envisioning Information》中说，“如果数字很无聊，那说明你得到了错误的数字。”洞察有关安全项目健康度的非常好的方法就是不要把公司看作一个整体。当你按业务单元、部门、经理或者地域来把安全度量分割开时，总是会出现发人深省的模式。你的哪个部门是明星，而哪个是“牛仔”或者叛徒？通过对比不同的小组，你度量测量的工作就会变得有趣起来，而洞悉也变得显而易见了。
• 少即是多。在计算机和消费电子领域，苹果公司的簇拥者们十分欣赏它的简洁、干净的设计和流畅的用户界面。使得苹果公司的产品如此特殊并不是这个公司放进去了什么，而是它拿出来了什么。类似地，“新英格兰爱国者”橄榄球队的教练Bill Belichick的每周比赛计划要求队员只擅长很少的几件事。他告诉他的队员，“如果你做到这三四样，你就会赢的。”成功的安全度量项目工作方式很类似。使安全部门工作得很好有很多很多因素。但是一个有效的度量项目会通过限制团队要关心的度量来使他们更专心。
• 平衡计分卡正确对待所有事。差不多20年前，哈弗大学的Robert Kaplan和David Norton发明了一个概念叫“平衡计分卡”。作为度量公司表现的一个更佳方式，平衡计分卡设置了对预测长期的成功很关键的四个互补的观点：财务、客户、内部流程和学习及成长。套用到安全上来，平衡记分牌帮助建立了信息安全和管理层之间的桥梁。从Forrester 讲习班得到的对平衡安全计分卡概念的反馈十分令人激动。

建立一个平衡安全计分卡

　　安全计分卡中应该包括什么——“平衡”还是反之？由于每个公司都是不同的，度量的数量和组成在很大程度上取决于每个公司的业务环境和工作重点。也就是说，成功的计分卡应该是简洁、干净并综合的。它们不应该长篇累牍使用户厌倦，也不应该用神秘的条款使用户困惑。还有它们应该包括足够的关键绩效指标来保证安全项目全部被覆盖到。在开始一个安全度量项目的时候，一个公司应该：

• 从管理层获得提示。安全部门，以及高级管理团队，有一系列的原则来规范安全项目应该做什么，以及它的初衷。这些原则可能是有关信息保护的：“做一个好看护人，来管好我们病人的医疗纪录”或者“无论如何都要保护我们的创新”或者可能关乎名誉（“只是保证我们的公司不要上报纸”），卓越的服务或者控制成本。这些原则尤其影响财务和客户方面的度量选择。预测管理团队会对何种问题反应强烈是很关键的。
• 为各个角度都选择少量的度量。平衡计分卡的四个方面迫使你在为计分卡选择度量时要按照顺序原则。你不能“过分看重”内部流程方面，因为这意味着你在学习和增长方面会过于吝啬。但是同时，度量总数过多会使计分卡难于理解。最好的情况是四个方面每个有三到四个度量。图1显示了一个安全经理可能希望使用何种度量的一个例子。

  

• 长期和季节性的度量结合使用。建立一个度量项目就像照料一个花园：使它保持新鲜和有趣，种上一套你总是需要的（长期）度量，再洒上一些短期的额外度量。“长期”的度量要反映安全部门的长期管理重点，例如持续关注人员编制，利用基准测试跟踪法规遵从情况，并监视风险评估分数。需要增加“季节性”的度量，以便暴露那些近期需要改善的运营领域，例如数据泄露、应用安全性或者社会媒体滥用。
• 利用阳光来产生同行压力。向前面提到的那样，把度量按业务部门或地域来切分是一个使数据更加有趣的好方法。但是它有一个副作用：当你在不同部门之间共享数据的时候，你会产生一种很微妙的同行压力，促使那些比较拖后的部门想表现的更接近那些领先者。没人喜欢落在最后。一个公司在数年前把它变成了一个游戏：每个经理都收到了一个T恤，上面印着他或者她的应用安全性分数。你可以想像会议之有趣，经理们都用自己的数字，而不是用他们的名字（“你好，我是53，你的分数是多少？”）做破冰自我介绍。然后他们交流了他们得到较好的分数或者低分的经验。回到现实中来，用T恤来进行“阳光政策”可能并不适用于所有的公司。其中的关键，是用审慎的而非评头论足式的方式来共享不同部门的表现信息。

更进一步

　　如果你现在没有一个度量项目，从零开始建立可能看起来很难，实施起来也更难。但是度量很像锻炼身体。尽管不会马上看到明显的效果，但也没有任何理由说明你可以不进行。首先看看你有什么数据源，你的团队（和老板）重视什么，以及你完成的时候记分卡应该是什么样子。把平衡记分卡作为一个组织的原则。把握现在，及时努力，而回报将会是不可估量的。