在最理想的情况下，CIO和其他的主管应根据整体业务战略来对IT投资进行评估，从而获得最大的回报并满足所有重要的IT投资和业务需求关系。

　　在最理想的情况下，CIO和其他的主管应根据整体业务战略来对IT投资进行评估，从而获得最大的回报并满足所有重要的IT投资和业务需求关系。然而在现实世界中，往往有很多因素交织在一起，单个IT项目往往被当成真空项目，组织没有从这个项目所存在的大环境中进行通盘考虑。这种做法所导致的结果是，产生了一个会引起诸多问题的孤立的决策过程。

　　问题出在哪里？

　　举个例子来说，当我们提到IT相关的安全问题决策时，许多公司都会做最坏的打算。他们往往更加关注那些可能会给组织带来巨大灾难的事件，并引用以前发生过的一些案例，最后使用一种最安全的投资方式，而不是对这些事件做一个更好的、基于事实的评估。

　　这种逻辑存在的首要问题是，安全失控所带来的成本影响没有同安全失控的概率联系起来。换句话说，虽然IT安全系统的瘫痪会给组织带来巨大的损失，但是这个事件的实际风险却没有考虑进去。

　　其次，规避安全问题的方案往往没有考虑消除风险的所有相关投资。组织往往会从防火墙和病毒扫描系统开始，来证明这个投资对预防全面和不可避免的安全瘫痪的必要性。但是很快的，一些其他方面的投资需求又冒了出来，例如入侵检测、反入侵软件、数字认证等等。所有的这些相关投资实际上都在解决相同的问题，而且每种投资都是基于预防全面的安全失控问题上进行考察的。当诸如此类的投资无休止的节节攀升时，管理层就可能质疑IT安全基本业务案例的有效性了。

　　在何地、何时进行投资，以及做多少投资才能够避免系统瘫痪所造成的损失，必须要通盘考虑所有的安全方案和相关的预算。问题不在于值不值得追加新的防火墙投资，从而避免全面的安全失控。而在于CIO们必须要问：“我们的是否把钱花在应该花的地方，从而使我们在面对安全问题时更加自信。”

上一篇 : 北大教授为茅台发布会言论道歉             下一篇 : 烤箱 烤箱和微波炉的主要用途和区别