现实证明安全预算比很多其它的IT领域更能抵御衰退，但是它们并不能完全不受衰退的影响。从2002年到2007年像火箭飞船起飞般两位数增长的安全花销，在两年前开始停滞。来自企业的报告显示那些有商量余地的安全项目被推迟或者“打回实验室”再次评估。对2010年来说，Forrester Research预期总体的安全预算会比2009年提高不到5个百分点——比前一年高，但不是很多。

　　在增加安全预算上的不情愿也给安全经理辩护他们的安全项目带来很大的压力。可悲的是，安全被认为是一个成功理所应当，但是失败却会令人难堪的领域。在外行人看来，安全人员、技术和流程开销很大却很少产生看得见摸得着的产出，除了一个模糊的“今天没发生什么坏事”的满意感觉。结果就是，聪明的安全经理感觉到他们预算上突然出现的弱点，并且开始寻找更好的方法来度量及证明他们每天做的事的价值。

　　但是在投入一个安全度量项目之前，有很多事情要记在心上。我们下面一起来看看一些可能导致挫折和失败的错误步骤以及一个有效的项目要素。

　　度量错误

　　一些企业，被“测量虚无”的挑战所吓倒，而没有把建立度量提到日程上来。还有一些公司开始了雄心勃勃的安全度量项目却被三个主要的陷阱所绊倒，特别是在项目实施刚开始的时候：

• 试图把大海煮沸。面对不想错过什么重要事情的压力，企业试图测量“所有”他们能够想到的事情：每个威胁和弱点类型，从补丁到垃圾邮件再到身份管理的数十个运营度量，以及对如何量化应用风险和缺陷的多种尝试。
• 采用方便的度量，而不是有意义的。大型企业所拥有的几乎每个安全产品都有某种报告功能可以生成供应商认为重要的数据。使用这些作为开始是很简单的，而且有些情况下他们也可以作为很好的度量。但他们多数都是你可以归类到“每日趣事”文件夹的统计数据。你的老板不在乎你的网关挡住了多少的垃圾邮件，或者是你的桌面系统有多少“违反规定操作”——不管他们是什么。
• 丢西瓜拣芝麻。好的安全度量应该具有5种属性。大多数公司都知道怎样选择符合前4种属性的度量：他们分别是，用数字说话，测量有一种或多种计量单位，以持续客观的方式测量，而且可以以较小的代价收集。但是只有很少的一部分选择了符合最重要条件的度量：语境相关。也就是说，度量需要帮助某人——通常是老板——作出和安全或者业务相关的重要问题的决定。太多的公司使用度量来建立拜占庭式的“安全”教堂，测量他们知道的细节，而不是老板想要知道的事。

　　经验教训

　　其实建立一个安全度量项目不是一件易事。但是它也不一定是充满压力的。建立一个度量体系意味着要有正确的视角。这里是从企业安全领导那里得到的4个经验：

• 明确性和背景易接受性。一些安全度量的含义十分清楚。要理解“给工作站打补丁的平均时间”这个度量的含义以及它如何得来的很容易；度量的单位表述的很清晰。“补丁”以及“工作站”这两个词的含义无需解释。但是“应用风险分”93分的含义呢？它比起80分又有多好呢？在这些情况下，有经验的项目经理就会解释分数是如何取得的。他们的展示和“仪表盘”简洁明了地说明他们不太容易明白的公式中都包含了什么，以及读者应该如何解读其结果。
• 洞悉来自对比。耶鲁大学教授 Edward Tufte在他的佳作《Envisioning Information》中说，“如果数字很无聊，那说明你得到了错误的数字。”洞察有关安全项目健康度的最佳方法就是不要把公司看作一个整体。当你按业务单元、部门、经理或者地域来把安全度量分割开时，总是会出现发人深省的模式。你的哪个部门是明星，而哪个是“牛仔”或者叛徒？通过对比不同的小组，你度量测量的工作就会变得有趣起来，而洞悉也变得显而易见了。
• 少即是多。在计算机和消费电子领域，苹果公司的簇拥者们十分欣赏它的简洁、干净的设计和流畅的用户界面。使得苹果公司的产品如此特殊并不是这个公司放进去了什么，而是它拿出来了什么。类似地，“新英格兰爱国者”橄榄球队的教练Bill Belichick的每周比赛计划要求队员只擅长很少的几件事。他告诉他的队员，“如果你做到这三四样，你就会赢的。”成功的安全度量项目工作方式很类似。使安全部门工作得很好有很多很多因素。但是一个有效的度量项目会通过限制团队要关心的度量来使他们更专心。
• 平衡计分卡正确对待所有事。差不多20年前，哈弗大学的Robert Kaplan和David Norton发明了一个概念叫“平衡计分卡”。作为度量公司表现的一个更佳方式，平衡计分卡设置了对预测长期的成功很关键的四个互补的观点：财务、客户、内部流程和学习及成长。套用到安全上来，平衡记分牌帮助建立了信息安全和管理层之间的桥梁。从Forrester 讲习班得到的对平衡安全计分卡概念的反馈十分令人激动。