在今天的金融行业中，信息安全仍然是首要任务，尽管经济萧条，但至少概念上是这样的。然而，当那些企业首席执行官级别的管理者面临资金短缺又需要制定预算时，他们又很难做出决定。为什么购买信息安全服务这么难呢？虽然大家能意识到安全固有的重要性，但是高层管理者在经济衰退的时候侧重于对业务的作用进行优化，他们对信息安全的观念与信息安全所能为企业做些什么是脱节的。

　　如果你询问任何一个大型金融公司的顶级首席安全官和首席信息安全官，让他们用一句话来定义信息安全，可能他们中的大部分人会给出跟维基百科上的定义差不多的答案：“保护信息和信息系统不会被未经授权的人访问、使用、泄露、歪曲、修改或者破坏。”虽然，这是一个正确的描述，它描述了信息安全防御的是哪些入侵，但是它没有描述出信息安全的基本框架是做什么的。所以，更好的定义应该是这样：“为了授权的接收方能够取得访问权、并有效使用资源信息而建立的安全通信通道。”

　　如果你再看一遍这两个定义，你会开始发现第一个定义侧重于负面的信息，是一个对业务来说是有阻碍的；而第二个定义则侧重于信息安全服务能做些什么的积极方面，对业务来说是有利的。虽然第一个定义是正确的，但是使人联想到锁定、密钥、时刻警惕警察和政府监控等情景。它也没考虑过信息的源头可能不是一个信息系统，而可能会是一个人。而第二个定义则侧重于信息安全是怎样工作，怎样让商业活动从中受益等。它使人联想起协作、信息的访问、适应性、很少或者没有路障——这也是商业希望一个信息安全模型可以提供的所有益处。

　　金融企业高层管理人员非常清楚，他们传统的以产品为重点和多层管理的运行模式对于今天的市场来说是非常保守的，他们也正在主动朝着以市场为导向的、动态的、实在的、团队协作的、灵活的商业模式进行转变。如果把安全定位为一个“防御服务”，那么它可能被管理者认为是对信息进行锁定，这跟他们的灵活适应性是相违背的。就像新的商业运行模式一样，信息安全框架也应该被看成是灵活的。对于商业来说，信息安全框架提供了到位的服务和技术，让人们可以安全有效地开展工作，而不是使他们感动困扰——这个说法跟商业思维非常的符合。

　　那么，这将需要多少成本呢？其中的一个定义是否比另外一个更能清楚的说明成本问题呢？

　　当谈到保护这个词的时候，你不可能定量的确认你在防御谁或者防御什么；这个战场非常巨大。纵观历史，我们可以看到在一个王国的周围匆忙建立起围墙和防御工事只提供了对付敌人的短期保护，在这段时间内可以找出并测试敌人的弱点，然后开发出对付敌人的有效武器。这样才能让王国持续的部署新武器和防御工事。但是，也正是这些防御工事阻碍了王国与王国之间的自由贸易来往。

　　在今天的信息安全领域中，这个道理同样适用。不管你要防御什么，总是有人或者有更好的反防御本领，或者找到你的另一个漏洞进而发起攻击——看看那些几乎每天都披露新漏洞的文章你就知道了。所以说，防御这件事，耗费财力、时间和人力，或许到最后也不能有效的保护公司最脆弱的地方，甚至不能阻击一个并不存在的敌人。随着资源越来越有限，这一做法并不合理。另外，当单个访问需要从一个信息安全防御系统进入到另一个系统时，用户必须停下来验证自己的身份，只有系统确认他们并经过授权了之后才能继续传输。这些在传输路径上的安全中断将引起系统缓慢，导致生产效率低下。

　　但是，如果你把安全看成商业利益，那就意味着安全是为企业量身定做的信息安全服务，从而可以减少成本。要把你的信息安全模型工作围绕着 “安全的通信通道”的部署而展开，建立起灵活的防御机制：建立一个验证敏感信息的访问所需要的授权认证点和一个在信息资源端的出口，而不是去建立一般的、效率低下的、防御不存在的敌人的防御机制。不管是那些经过授权的访问（加密通道，从网络访问管理系统到多业务系统）利用联邦协议来去除多重验证的需要，还是通过一个消息应用程序来加密电子邮件，这些服务的目标都是让接收方能够安全的得到他们想要的信息，而不必去理会这些安全机制或者受其困扰。如果把信息安全看成是商业安全的获得信息的需要，而不是看成防御那些假想的敌人的话，信息安全完全是一个很成熟的计划，在必要时成本和利益都会算得一清二楚。

　　所以，当企业高管跟负责企业信息安全项目的人员讨论他们的需求时，是应该谈论如何封锁信息呢，还是谈论如何安全地访问信息呢？该怎样做才能让管理人员满意离开呢？这完全取决于企业对信息安全的基本认识。