这是一篇转载自安全牛的。文章引述了一个老外的言论。

我的体会：这个文章其实在讲要围绕业务做安全才能产生价值。而价值如何度量？文章开出了一个药方——KPI。的确，这是一个药方，我们国内也都在做KPI类的东东，但是否是良药则还需统筹考虑。一句话，安全要紧贴业务，也要紧贴客户需求。

原文转载如下：

安全从业人员普遍认为，在保证业务正常运转和保证信息安全之间存在着一个微妙的平衡关系。但实际上，这种所谓的微妙平衡关系是不存在的。两者之间的关系正如此图：

能平衡吗？

这个平衡不存在的核心原因是，安全人员无法跨越“破坏业务”这条底线。

每一次当平衡落到安全这一头的时候，安全人员所能做的就是尽力把安全“落地”的时间保持的长一点，否则另一头（业务）很快就会把安全跷起。但问题是，如何把安全保持的长一点呢？

很简单，我们要证明安全工作给企业业务带来的价值所在。我们要让安全保持“黏性”。比如，把安全问题与企业无法忽视的业务连在一起，用业务价值来证 明安全的重要性。而不是一味的递交那些无用的安全数字，如防火墙阻塞了多少端口扫描行为，或是多少SQL注入***等等。那样的话，我们就远离了证明安全对 业务的价值所在。

这很容易让我们起企业关键绩效指标(KPI)来，这些KPI的分数紧紧地与企业的业务目标联系在一起，提醒着员工业务要完成的目标是什么。你所在的企业具备这种意识和知识吗？作为安全从业人员的你，使用了这种方法吗？

如果没有的话，我向你保证：上面这幅漫画则是你永远的命运，无论是过去、现在还是将来。