安全从业人员普遍认为，在保证业务正常运转和保证信息安全之间存在着一个微妙的平衡关系。但实际上，这种所谓的微妙平衡关系是不存在的。两者之间的关系正如此图：

能平衡吗？

这个平衡不存在的核心原因是，安全人员无法跨越“破坏业务”这条底线。

每一次当平衡落到安全这一头的时候，安全人员所能做的就是尽力把安全“落地”的时间保持的长一点，否则另一头（业务）很快就会把安全跷起。但问题是，如何把安全保持的长一点呢？

很简单，我们要证明安全工作给企业业务带来的价值所在。我们要让安全保持“黏性”。比如，把安全问题与企业无法忽视的业务连在一起，用业务价值来证明安全的重要性。而不是一味的递交那些无用的安全数字，如防火墙阻塞了多少端口扫描行为，或是多少SQL注入攻击等等。那样的话，我们就远离了证明安全对业务的价值所在。

这很容易让我们起企业关键绩效指标(KPI)来，这些KPI的分数紧紧地与企业的业务目标联系在一起，提醒着员工业务要完成的目标是什么。你所在的企业具备这种意识和知识吗？作为安全从业人员的你，使用了这种方法吗？

如果没有的话，我向你保证：上面这幅漫画则是你永远的命运，无论是过去、现在还是将来。

作者简介：Rafal Los, 惠普战略安全服务主管，安全界知名演讲者、作者，云安全联盟及OWASP等安全组织的撰稿人。