IBM将在本周的2009年RSA大会上介绍一些安全话题，进一步解释Big Blue所谓的信息安全框架（Information Security Framework）。安全专家，甚至安歇不使用IBM产品的安全专家都可以从这些架构中获益。这个架构包括一个基本的信息安全项目参考模式，这是一个自我评估成熟模式，使一个测量目前状态和IBM提供的培训的评估工具。安全专家可以通过复制IBM的这种安全思想，主动把它植入到业务中，而不是作为事后反思的方式。

如果说IBM擅长的事情，就应该不只是简单的产品比较到把IT和安全接合到商业价值中。例如，客户经常要和IBM进行扫描Web服务器适应PCI DSS法规中的漏洞的技术讨论，这种闭合的商业程序讨论时关于如何有效地把修正退回都开发资源库，然后防御已知漏洞从设计进入到企业的Web 应用中。如果IT安全专家在2009年RSA大会上花费了一周来寻找新的安全功能，这些评估就可以通过牢记IBM的三个主要安全主题实现了：

? 走在进化的危险之前。威胁分级和预先降低业务操作的风险是安全项目的具体细节。新的威胁通常包括和基础架构相关的新产品，以及需要维护的新厂商关系，而在建立关系前，厂商已经确定威胁是真实存在的。较小的厂商通常会宣传进化的正在进化的威胁。理解他们的安全问题、决定业务风险并确定紧急程度非常重要。

? 利用新的业务机会。每个IT安全团队都不喜欢很晚进入保护的程序中。抓住机会主动走在业务之前，可以通过探索大趋势，例如虚拟化（数据中心和桌面）、云计算、员工智能手机以及其他无线通讯的方式等的安全意义。利用会议的机会来学习新的安全功能，以及这些研究可以怎样斑竹企业增加新的业务机会，这样安全就可以先行了。

? 追求更有效的IT业务模式。很多IT企业，特别是在这种经济情况下，都需要从现有的技术架构的年度费用中减少10%或者更多。这通常都会转化到节约劳动力成本上，可以通过使安全过程自动化、加强交换机安全和多功能安全设备、集中服务期使用的安全虚拟化和端点保护、以及简化复杂的法规程序等方法实现。密切关注安全创新的能力，来减少劳动力成本满足操作目标。

这些讨论有些婆婆妈妈，但是我一次次地和安全管理人员谈到对威胁状态的短期关注，以及党可以销售他们最新的安全建议的时候只能获得的商业利益。IT预算紧缩，很少的公司可以负担得起通过购买产品防御每一种威胁，但是可以用于支持企业盈利、节约和满足法律和道德要求能力的购买安全产品的资金。IBM非常理解这一点。即使和IBM没有业务往来的安全工作人员也可以从模仿它的安全模式中获益。