“讓安全與業務保持一致”，這是許多網絡安全資深人士經常說的一句話。但實際上，這只是個美好的愿望，絕大部分組織機構中的安全就是個成本中心。雖然成本中心也會有很多價值，但更不幸的是，很難從安全成本中心將價值識別出來。

網絡安全與業務保持一致的兩個步驟

基本上來說，讓安全與業務保持一致需要兩個步驟。第一步是理解業務語言，因為所有企業的通用語言都是財務指標。大家都有自己的成本效益(ROI)衡量標準，比如零售業每平方英尺的銷售額或醫療保健行業每名患者的治療成本。因此，我們需要在網絡安全方面，開發出類似于企業其他部門或業務線的ROI方法和指標。

第二步是開發方法和指標，以確定效益成本分析和以價值（而非利潤）方式的投入回報。一開始，可以使用作業成本法等成本核算方法，來計算成本。或使用盈虧平衡分析，來評估投資。它可以很簡單，比如明確投入的金額以定性地判斷投入是否“值得”。很可能許多組織已經在這樣做，但沒有將其清晰明確。

進一步地，如果在一個解決方案上花費100萬是“值得的”，那么這個解決方案能夠通過減少風險帶來的相應價值至少要超過100萬。這種方法可稱之為投入下限，既一個組織愿意為網絡安全付出的支出總額，要少于因沒有投入而減少的業務收入，當然也包括因缺乏安全措施而帶來的損失。

一旦有了這些“經濟賬”，事情就會變得非常令人興奮。企業就能通過查看財務比率，如控制成本、會話成本、損失價值比等，來明確“網絡安全是否與業務保持一致”，并非常便于下一次的決策。

曾有一些人表示過，“不惜一切代價”確保安全。但這絕不適用于以“贏利”為存在目的的企業，只適用于安全需求大于經濟利益的某些較為極端的情況。