鉴于美国白宫预算现状，以及美国正处于自克林顿第一任期以来第一次政府关门的情况，引用这句话似乎很合适，而且很到位。预算讨论是一件很棘手的事情，当有多方争抢预算时，这会是很令人头痛的问题。这种预算问题不仅是政府关心的问题，在所有企业、非营利性组织、学习机构，每天都在进行预算讨论。并且，由于预算现在成为大家关注的重点，我们现在应该认真考虑安全预算了。

如果你担心笔者正在推销什么安全解决方案，你大可放心。笔者希望你在计划2014年的安全预算时，了解自己企业当前的安全状况。首先回答这五个问题：

1. 当涉及安全性时，最重要的企业资产得到了应得的关注吗?
2. 当前的安全做法能够帮助企业避免合规性和其他监管风险吗?
3. 目前的安全基础设施能够适应不断变化的威胁和漏洞环境吗?
4. 企业安全优先考虑事项符合企业的发展目标吗?
5. 企业的高管重视安全性吗?以及清楚保持最重要数据资产的必要性吗?

你会注意到，在这五个问题中，涉及了技术和业务方面的问题。你可能不知道领导团队对安全的看法，但你必须清楚这一点。你需要让企业领导层了解安全态势，以及安全需求，这样你就可以让安全功能符合业务优先级。

虽然笔者没有说技术因素很容易，但笔者认为大部分安全主管和管理人员更愿意处理安全方面的事情，而不是业务方面的事情。因为IT/安全专业人士往往逻辑地看待问题，他们能够评估以及解决问题，最终建立正确的技术解决方案。他们需要额外的预算和资源来妥善处理企业的安全需求。

大约15个月前，我们发布了一份研究报告，其中强调了首席执行官及其安全官之间的脱节。虽然在技术领域，15个月可能意味着翻天覆地的变化，但在这个期间，并没有太大改变。在我们的发现中，其中令人震惊的统计数据是，虽然所有首席执行官都表示安全是其企业的头三项优先工作，但36%的CEO从来没有听取其首席信息安全官或者负责安全的高级IT经理的更新报告。

这不是因为缺乏兴趣，或者缺乏了解。技术人员往往从技术层面解释问题，而业务领导总是从财务状况和风险方面来看问题。这两种语言往往很难沟通，而这会导致削减或者拒绝关键安全项目所需的预算资金。

下面这段话真的非常清楚地概括了这个问题：当我与其他首席执行官谈论安全问题时，他们经常表达出他们的无奈，那些领导安全项目的人难以简明地沟通什么是威胁，以及威胁对业务的影响，潜在的损失，安全的投资是否会在实际上显成效。

当首席执行官要求其他领导提供更新报告时，他们通常会收到业务报告。以首席财务官为例，当被要求报告企业的财务状况时，他们会制定P&L或者资产负债表，其中会明确列出最重要的信息，让高层都能明白。而如果你要求首席信息安全官提供报告时，他们并不会有效地结合安全问题和业务问题。

当你在计划2014年的安全预算时，请记住，从技术的角度来看，你的预算讨论通常要从业务讨论开始。在既定的预算资金中，你有很多竞争对手，你需要向高管展示最好的业务案例。