问：在你的IT Security Track描述中，你说道这些“挑战导致了在信息安全性方面更多明智的威胁驱动投入需要”。企业应该如何开发更多明智的威胁驱动投入呢？哪些威胁驱动投入是不明智的呢？

　　答：威胁和漏洞分析并不是技术。对于什么可能是一个真正的威胁……更多的人都把时间花费在寻找过程上，他们说“那样我所要花费的时间和精力将远远超出我所能承受的范围。难道我买下那个设备还不够吗？”其实，那个设备并没有满足业务特定需求的正确解决方案。

　　目前有一个反病毒（AV）实验正在测试当前的工具，并且研究发现40%的攻击都无法被病毒扫描所捕捉到。因为，如果反病毒公司要获取利润的话，那么在他们对病毒签名之前，他们必须花费大量的时间和精力来将成千上万相同的问题放置在一起进行分析。他们必须处理广泛范围的安全问题，而不是一个小的安全领域，这样就会遗留下很多已知问题。

　　很多更狡猾的黑客会专门针对一个组织编写攻击，并尽量不被发现。比如TJX 和Hannaford这样的例子，这些都是真实存在的，这些攻击都是相当有技术含量的。

　　问：在经济艰难时期，很多业务都入不敷出，对于帮助这些企业不受制于网络安全威胁，你有哪些建议呢？

　　答：我所要提供的指引是实施业务过程映射：了解数据是如何从A点到达B点，然后找到你的数据。当找到后，就将它分类；研究一下它是否需要比其它的数据有更高的安全级别，因为不是所有的数据都是平等的，可以通过使用威胁和漏洞技术来这样做。

　　一旦完成了这个过程，就可以查找高发性和高危害性的区域了。这是你需要花费时间的地方。

　　总让我揪心的问题就是适应性——特别是要给企业提供检查清单……这是一个对安全性对号入座的方法，而不是安全性风险评估。

　　人们都认为安全性是一个停止点而不是一个帮助点——这就是为何我把术语“安全性”修改为“风险管理”的原因所在。

　　问：大多数公司都在寻找减少开支的方法。公司怎么会在安全性方面投入更大的开支呢？

　　答：在之前的经济衰退中，安全性是首当其冲的。信息安全是风险管理，因此人们都会规避风险。

　　在目前的经济衰退形势中，安全性是最后一个消失的，因为事实上风险会导致更大的花费。比起采取防范措施来规避风险而言，公司必须花费更多来处理一个意外事件。

　　但是，在经济衰退中，人们并不会在安全性方面做出更多的投入，如果你有能力证明的话，安全性可以带来价值。

　　问：当网络经理抱怨说上级管理并不赞同他们时，你该如何证明需要在安全方面做出更大的投入呢？

　　答：事实是这样的，网络经理仍然只是谈论技术，而不是人员因素。

　　他们必须在业务方面有所改进，并且获取业务技术，这样他们就避免文不对题，同时让CIO和CFO技术是如何支持业务发展的。

　　大多数的高层管理都关注利润，因此，你必须提出“这个安全解决方法将如何影响利润？”并用你自己的语言进行解释。