多年来，企业安全团队为筹集到网络安全所需资金而深入进行合规预算。一些企业留意到，尽管能赢得短期资本，但从长远来看这种做法反而会造成困扰。“合规不等同于安全”这种说法听起来像极了陈词滥调，但许多企业正在采取措施致力于构建一个富有生机的IT体系，而非仅仅通过安全审计。

最近，来自IT专家专业社区Wisegate的一份题为“从合规到基于风险的安全”的报告显示，实现一个风险管理项目的最大驱动是满足合规要求。其中，不到一半的受访者谈及面临攻击的场景时神色如同惊弓之鸟。

这不安的情绪足以解释为什么诸多企业仍停留在消防模式---从一个安全缺口跳跃到下一个紧急情况，没有任何机会抢在风险之前。

虽然可以十分确凿并且强烈地认为，在诸如萨班斯-奥克斯利法案、PCI DSS及大量此类法规和违反数据信息披露法律等一系列的合规法律出台之前，安全并没有引起足够重视。但更加确定的是，从长期来看，各企业将在安全建设方面做出进一步的努力并且渐入佳境。令人失望的是，许多企业只是为通过安全审计和达到合规要求而只去做达到最低要求的少量工作。

“制定这些规定的最终原因就是为了确保企业网络更加安全，但可悲的是合规清单却经常出现”，LLC(LTCP)的前首席信息安全官，现任信息系统安全协会董事会成员Candy Alexander说到。这是为什么呢?因为合规对于高管、专家和首席信息安全官来说是颇具诱惑的交易。

“然而，如果你在寻找资本最好的商业利用，从纯粹的投资回报率角度来看，支出大量的资金用于安全建设是否有意义对于许多高管来说颇有争议,”马萨诸塞州蓝十字蓝盾企业安全架构师Martin Sandren说到。

又有几个公司能够真正理解呢?Alexander解释到，“他们知道自身是否合规，而且同样知道他们或许是安全的，抑或是不安全的。”

这个态度同由普华永道首席安全官和首席信息官杂志展开的第十一届年度全球信息安全调查结果一致。对9600多个企业和机构调查后发现，只有17%的受访者知道什么才算得上一个成熟的风险管理程序。此程序要求一个企业做到：具备整体信息安全策略、配备首席信息安全官或者与之等同的向行政领导报告的主管、及时回顾过去一年安全建设的有效性、并且能够准确掌握过去一年该企业发生过何种类型的安全事件。

那么，企业如何从合规清单心态改进到更全面的风险管理?“这是一个大的飞跃，” 加拿大阿尔伯塔政府首席信息安全官Tim McCreight说。从安全事件发生时作出反应，到试图强制企业使用安全控制，再到使企业理解风险并做出适当的基于风险的决策。“这需要企业去理解自身风险承受能力的等级，”McCreight说。

这听起来简单，事实绝非如此。安全管理人员如何做到既关心IT安全风险，又能清楚掌握承受太多IT风险的商业后果呢?

Sandren介绍了企业应如何采用良好的安全指标。“我们在蓝十字蓝盾的一个公司治理结构，基于已完成的风险评估来进行业务部署，”他说，“这做起来并非易事，因为对一个企业而言接受风险成本十分困难，高管们经常要么拒绝接受任何风险，要么就想忽视风险。”

IT安全公司Securosis分析师兼主席迈克·罗思曼表示，不管困难与否，最好的说服者就是数据。“员工向公司汇报之前要收集尽可能详细的数据和指标。如何通过更快速的反应来减少风险以及对安全的投资如何保护关键业务及资产将会引起高管的注意，”他说。“高管喜欢图表和数字，他们认为越准确越可信越好。”

归根结底，它是一个不那么微不足道的转变——从合规到使目标系统被攻击时应变能力更强。此外，没有一个简单的合规清单能够完全实现信息安全。“没有到达那里的方式没有对错之说。企业的路径各不相同，因为各自所面临风险状况不同，并且风险承受等级各异，”亚历山大说，“所以能做的事情就是努力争取。”