现代网络安全计算机安全的商业考量

计算机网络安全正处于十字路口。它的定期失败，日益严重的结果。 CEO们已经开始知晓。当他们终于厌倦了，他们将要求改善。 （或者说，他们将放弃或互联网，但我不认为这是一个可能性。 ） ，而且会得到改善，他们的需求;美国公司可以成为一个强大的动力，一旦找到状态。

出于这个原因，我认为计算机安全将改善最终。我不认为改进将在短期内，我认为他们将得到相当大的阻力。这是因为发动机的改进将推动公司董事会，而不是计算机科学实验室，因此不会有任何与技术。真正的安全改进，只有通过赔偿责任：持有软件制造商的安全负责，更一般地说，其产品质量。这是一个非常巨大的变化，和一个计算机行业是不会接受不战而屈。

但我走在前面的我在这里。让我解释为什么我认为责任的概念，可以解决这个问题。

很显然，我认为电脑安全是没有问题的技术可以解决。安全解决方案有一个技术部分，但基本上是安全的人的问题。企业的做法，因为它们的安全是否有任何其他企业的不确定性：在风险管理。组织优化它们的活动，以最大限度地减少其成本风险的产品，了解这些动机的关键是了解计算机安全今天。是没有意义的花更多的安全费用比原来的问题，就像是没有意义的支付损害赔偿责任时，花钱做的安全是便宜。企业期待的金融甜点，充分保障以合理的成本，例如，如果一个安全的解决方案并没有商业意义，该公司不会这么做。

这种思维方式的安全，否则解释一些令人费解的安全的现实问题。例如，历史上大多数组织没有花很多钱的网络安全。为什么？由于成本已显着：时间，费用，减少了功能，沮丧的最终用户。 （越来越多的安全经常受到阻挠最终用户。 ）另一方面，费用越来越无视安全和黑客已经在计划中，相对较小。我们在计算机安全领域要认为他们是巨大的，但他们还没有真正影响到公司的底线。从CEO的角度来看，风险的可能性，包括负面新闻和愤怒的客户和网络停机，其中没有一个是永久性的。还有一些监管的压力，来自审计或诉讼，增加额外的费用。其结果是：一个聪明的组织并没有什么其他人，并没有更多。事情正在发生变化;慢慢地，但他们还是不断变化的。越来越多的风险，因此，支出增加。

这同样的经济理论解释了为什么软件厂商花费多少努力确保自己的产品。我们认为，在计算机安全厂商都是一群白痴，但他们的行为完全合理地从自己的观点。增加的费用，良好的安全软件产品基本上是同样的费用在增加网络安全，庞大的开支，缩减功能，推迟产品的发布，懊恼的用户，而忽视安全的费用是次要的：偶尔负面新闻，也许一些用户切换到竞争对手的产品。的财政损失的行业，由于全球漏洞， Microsoft Windows操作系统不承担微软，因此微软没有财政奖励修复。如果一个主要的首席执行官说，他的软件公司董事局，他将削减该公司的每股收益的三分之一，因为他要真的，没有假装，采取安全的严重的是，理事会将火他。如果我是在董事会，我要火了。智能软件供应商将讨论大的安全，但尽可能少，因为这是使最经济意义。

想想为什么防火墙成功地在市场上。这不是因为他们是有效的;大多数防火墙配置很低，他们几乎没有有效的，有许多更有效的安全产品，还从来没见过广泛部署（如e - mail加密） 。防火墙是无处不在，因为企业审计开始要求他们。这改变了企业的成本方程。成本的增加是牺牲了防火墙和用户烦恼，而且成本不具有防火墙未能审计。甚至更糟糕的是，一家公司在没有防火墙可以被指责为不遵守行业最佳做法的诉讼。其结果是：每个人都有自己的防火墙的所有网络，不管他们做任何实际的好不好。

作为科学家，我们已经被淹没在安全技术。我们知道如何建立更安全的操作系统。我们知道如何建立更安全的访问控制系统。我们知道如何建立更安全的网络。可以肯定的是，仍有一些技术问题，继续研究。但是，在现实世界中，网络安全是一个商业问题。只有这样，才能修复它是把注意力集中在商业动机。我们需要改变的经济成本和效益的安全性。我们必须使组织中的最佳位置，以解决这一问题要解决这一问题。

为了做到这一点，我有一个三步走计划。没有任何步骤有任何与技术;他们都与企业，经济和人民。

第一步：加强债务。这是至关重要的。请记住，我说的费用，不坏的安全所承担的软件供应商，生产的不良安全。在经济学中，这是称为外部：费用的决定，是由人以外的其他作出决定。今天有没有真正的后果有坏的安全，或有低质量的软件的任何形式。更糟的是，市场往往报酬低质量。更确切地说，它奖励额外的功能，及时的发布日期，即使牺牲质量。如果我们希望软件供应商，以减少功能，延长开发周期，并投资于安全的软件开发过程，他们必须承担的安全漏洞在其产品中。如果我们希望首席执行官花费大量资源，对自己的网络安全，特别是安全的客户，他们必须承担责任不当其客户的数据。基本上，我们必须调整的风险，因此公司首席执行官方程关心实际上解决了这个问题，并施加压力，他的资产负债表是最好的方式做到这一点。

这种情况可能在几个不同的方式。立法机关可能对责任的计算机产业，迫使软件厂商一起生活在同一产品责任的法律，影响到其他行业。如果软件制造商制作了一个有缺陷的产品，他们将承担所造成的损失。即使没有这一点，法院可以开始实行责任状处罚的软件制造商和用户。这正开始发生。美国法官迫使内政部采取网络脱机，因为它不能保证安全的美洲印第安人的数据是委托。几起案件已导致惩罚公司使用的客户数据，侵犯其隐私权的承诺，或收集的数据进行虚假陈述或欺诈。和法官发出禁止令对不安全的网络公司是用作攻击他人。另外，该行业可能会走到一起，并确定自己的责任标准。

显然，这是不是全有或全无。有许多有关各方在一个典型的软件攻击。还有谁该公司出售的软件中的漏洞放在首位。还有的人谁写的攻击工具。有攻击者本人，谁使用这种工具闯入网络。有所有人的网络，谁负有维护网络。百分之百的赔偿责任不应落在肩上的软件供应商，就像100百分之不应落在黑客或网络的拥有者。但是，今天的百分之一百的成本属于网络上的主人，而且只要停止。

然而事实上，责任改变了一切。目前，没有任何理由为一家软件公司没有提供更多的功能，更高的复杂性，多个版本。责任部队软件公司前三思而后行改变一些东西。责任部队，以保护公司的数据，他们已经委托。

第二步：允许当事人转移负债。这将自动发生，因为CEO们谈谈保险公司，帮助他们管理风险和责任转移是保险公司做。从CEO的角度看，保险变成可变成本风险纳入固定费用支出，以及喜欢固定费用支出，因为它们能够被编入预算。一旦CEO们开始关心的安全和将采取的执法责任，使他们真正关心， 去期待保险业，帮助他们了。保险公司也不笨，他们要进入网络保险的一大途径。当他们这样做，他们将驱动器的计算机安全产业...就像他们推动安全产业在砖块与灰泥世界。

一位首席执行官不购买的安全，他的公司的仓库强锁，窗花，或报警系统，因为这使他感到安全。他购买的安全，因为保险费率下降。同样的事情将举行真正的计算机安全。一旦足够的政策正在写，保险公司将开始收取不同的保费不同级别的安全。即使没有法律责任，该公司将开始注意到他的保险费率的变化。而一旦公司开始购买安全产品，根据他的保险费，保险业将发挥巨大的力量在市场上。他们将决定产品的安全无处不在，而且会被忽略。而且由于保险公司支付的实际损失，他们有很大的鼓励是合理的风险分析和安全产品的有效性。这不同于很多防火墙的审计决定，是重要的;这些都是公司的财政奖励做得正确。他们不会动摇的新闻稿和公关活动;他们会要求实际的成果。

和软件公司将采取的通知，并将努力提高安全的产品出售，以使它们的竞争在这个新的“成本加保险费用”的世界。

第三步：提供机制，以减少风险。这也将自动发生。一旦保险公司开始真正的安全要求的产品，这将导致海平面变化，在计算机领域。保险公司会奖励公司提供真正的安全，并惩治公司别，这将是完全市场导向。安全性将提高，因为，保险业将推动改善，正如他们在消防安全，电气安全，汽车安全，银行安全，和其他行业。

此外，保险公司将要在标准模式，他们可以建立政策周围。整个网络的变化每个月或一个产品，更新每隔几个月将更加努力，以确保产品相比没有变化。但是，计算机领域自然变化迅速，这使得不同的，在一定程度上，来自其他保险驱动产业。保险公司将期待的安全程序，他们可以依赖。

其实，这不是一个三步走计划。这是一个一步计划有两个不可避免的后果。执行责任，和其他一切将产生它。它。没有其他的选择。

许多互联网安全是一个共同的：一个地区所使用的社会作为一个整体。像所有的商品，保持工作的好处每个人，但任何人都能受益于利用它。 （想想刑事司法系统在现实世界中。 ）在我们的社会，我们保护我们的商品，环境，工作条件，食品和药物的做法，街道，会计惯例，这些领域的立法和决策责任公司采取不正当的好处的这些商品。这种想法是让我们的桥梁，不崩溃，洁净的空气和水，卫生的餐馆。我们不是生活在一个“买家小心”的社会;我们公司承担赔偿责任时，利用买家。

我们没有理由对待软件不同于其他任何产品。今天，凡世通轮胎就可以生产出具有单一系统性缺陷和他们承担责任，但微软可以生产操作系统与多个系统漏洞发现每周不承担任何责任。今天，如果你房屋建筑一所房屋销售与隐藏的缺陷，使人们更为窃贼打破，你可以起诉房屋建筑;如果一个软件公司销售您的软件系统具有相同的问题，您坚持的损害赔偿。这使得没有任何意义，它的首要原因是如此糟糕的安全今天。我有很多的信心在市场上和聪明才智的人。给予该公司最有能力解决这一问题的财政激励来解决这个问题，他们会解决它。