前些年,信息安全正处在超级大风口,为此很多企业也纷纷投入了大量的资源,都是几百万,几千万,几个亿的资金投入,但是当大风过后,这些企业发现,之前投入的大量资源似乎都打水漂了,在企业负责信息安全的那些人,根本没法向大老板,向董事会交代清楚,企业花费了那么多资源,最后到底给企业带来什么价值。
对于企业的大老板,以及董事会而言,他们最在意的肯定是企业的核心业务,要是把信息安全与企业的核心业务剥离开来,这样一来,在大老板和董事会眼中,信息安全对于企业而言,就当然一文不值了。
所以,信息安全要发挥作用和价值,就必然需要聚焦在企业的核心业务上面,保障核心业务的信息安全,确保核心业务的正常运行。只有以这样的思维模式去规划和实施企业的信息安全,才能给企业带来真正的价值,也只有以这样的思维方式去向大老板和董事会论述和报告,才能让大老板和董事会相信信息安全确实能够给企业带来价值。
现在在中国搞信息安全的那堆人,根本就不懂企业业务和企业管理,就只能脱离企业本身的业务,去死磕信息技术,盲目去搞0day,搞渗透,搞攻防,盲目大买安全产品和安全服务,实际上这些都是脱离企业的核心业务的,所以最终对企业而言都是无用功。