解析云安全成本投入

在《云安全框架：目前状态》的文章中，讨论了系统工程和管理的原则，这种原则的前提是很简单的：

-任何系统的边界都是由参与其中的各方的集体观念而定义的，虽然有时候是错误的。

-相关工作越复杂，就需要更多的交互，和更复杂的解决方案

-如果你试图专注于系统的单个技术或者业务部分，而排出其他部分，那么，相关工作的成功和有效性将会受到影响

将这个原则应用到安全投资，你会发现，如果企业想成功地解决云安全的各种挑战，它必须保持整个生态系统的一致性。不协调的单个组件可能造成更大的损失，这也是现在大多数企业安全战略面临的问题。考虑到这一点，让我们看看图1，并想一想安全成本应该如何计算。

在一个典型的企业，你所看到的安全成本是直接安全成本，这些可以量化的费用包括人员、设备和软件。

另一个成本是间接安全成本，虽然仍然可见，但却很难量化，这包括培训、生命周期成本（例如设备和软件）以及管理费用。事实上，安全生命周期成本是进行智能投资的最大障碍之一。

低效成本通常不容易识别，很难被量化，即使是在封闭式系统（例如，典型的非基于云的框架），这包括从使用和维护过时的硬件和软件到过度保护资源抵御不存在的威胁等。这个成本对于云安全以及安全策略的有效性非常重要，我们将在第二部分进行讨论，现在让我们将重点放在你的企业如何决定如何保护数据上。

在根水平，数据安全主要是关于两件事情：风险和信任。

风险

风险由两部分组成，接受和管理：

-接受：平衡威胁和可接受风险水平

-管理：保护真正需要保护的数据

如果你看一下现在很多企业使用的模型，你会发现，接受比有针对性的数据管理更加重要。为什么是这样？安全成本是沉没成本，由几种成本组成。管理有效性成本从来没有被质疑过，至少在数据泄露发生前，这种情况否定了企业积极管理特定数据安全水平以及相关成本的必要性。而在一个成熟的云社区，情况可能并不是这样。将数据分为重安全需求和轻安全需求意味着你需要弄清楚你要为这些需求支付多少成本。

现在，很多企业均匀的部署安全策略，而不管数据的真正价值。这意味着面对真正的威胁，将很难计算数据真正成本。

信任

如果你从纯技术的角度来考虑信任（安全）作为补救措施和基础设施的一个因素，你将永远无法与你的业务建立信任关系。这对于封闭安全系统可能行得通，但在一个成熟的云社区就行不通了。这不可避免的向我们提出了一个问题：如果无法赢得信任或者信任被破坏，信任是否可以购买。在短期内你可能无法购买信任，你需要意识到你可能需要为其支付高昂的费用，你更应该使用更传统的方法通过更广泛的生态系统来建立信任。