Jordan转载了一篇文章Estimate the true cost of a new security control,看完颇有感触:无论是中立的咨询顾问还是产品厂商,在与客户交流的时候,能把这些信息给客户交代清楚,一则尽责,二来其实也可以提高印象分 :)

简单翻一下,文章大意如下:

部署一款新的安全产品,需要考虑的成本大致包括以下几类:

1、采购成本 各种软硬件及服务的直接成本(可能还包括需要扩展的模块组件)。 2、实施成本包括了方案设计、产品测试、部署、咨询等。 3、日常维护成本 维护、监控、日志审计等。 4、培训成本 就该产品的使用进行培训教育。

上面四类成本是我们很容易想到的,但后面几类成本,则往往为人们忽略:

5、制度成本由于部署新的安全产品,安全策略与制度通常也会发生相应的变化,制度的宣讲贯彻、维持也有成本。 6、效率成本人们常说安全性与易用性是一对矛盾,安全产品部署往往会一定程度上导致操作流程、使用习惯变化。这也理所当然地会导致工作效率上发生变化。写到这里,不禁还要再做个广告,目前市场上的电子文档(图纸)防泄露产品,绝大多数都带来了使用习惯上的大变化(比如:改变文档类型、文件需要上传到服务器等等),这方面给普通计算机操作人员带来的困扰和效率影响会相当大。铁卷在这方面用心设计,做到的“透明使用”就能在几乎不影响使用效率的情况下,达成对电子文档(图纸)的安全防护。

7、验证成本 引入新产品后,往往也是增加了新的控制点,这时候我们需要验证该控制点的可用性、安全性后(比如渗透测试),才能将其融入现有的安全体系中。