比較法和最佳實踐局限性

在信息安全中使用比較法的最大問題在于：機構(gòu)之間不存在交流。即是說， 一次成功的攻擊在很大程度上被視為一個機構(gòu)的失敗，并且機構(gòu)會對此保密而不對外公布。因為有價值的教訓沒有得到記錄、傳播以及評估，結(jié)果，整個行業(yè)都會遭到攻擊。但是，現(xiàn)在已經(jīng)有越來越多的安全管理者加入到像信息系統(tǒng)安全協(xié)會(ISSA，information systems security association)這樣的專家組織和團體中，并且分享他們的故事和教訓。另外一個跟上述類似的做法是：公開發(fā)布教訓。一些單獨的安全管理員正開始在安全雜志的凈化版本（即刪除了關(guān)鍵部分的版本）上發(fā)布其機構(gòu)和信息受到的攻擊，以與他人分享他們的教訓。

比較法的另一個問題是：沒有兩個機構(gòu)是完全相同的。即使兩個機構(gòu)在同一 個市場提供產(chǎn)品和服務(wù)，他們的規(guī)模、結(jié)構(gòu)、管理理念、企業(yè)文化、技術(shù)基礎(chǔ)設(shè)施和安全預算也可能會有顯著的不同。即使它們真的交換了信息，一個機構(gòu)也可能不能使用另外一個機構(gòu)的策略。機構(gòu)最需要的是能夠在戰(zhàn)略層次上幫助他們的經(jīng)驗，而不是他們應該采納的具體技術(shù)。請回憶一下：安全是一個管理問題，不僅是技術(shù)問題。如果它僅是一個技術(shù)問題，那么實施同樣的技術(shù)將會解決所有相同的問題，而不受行業(yè)和機構(gòu)構(gòu)成的制約。正因為它還是一個管理和人員上的問題， 所以在任何兩個機構(gòu)之間，影響機構(gòu)安全的因素在數(shù)量和類型上可能會有很大的差別。

第三個問題是：最佳實踐是不停變化的目標。在面對現(xiàn)在的威脅時，兩年前運行良好的實踐可能已經(jīng)完全沒有價值。安全計劃必須和新的威脅保持同步，同樣也要同策略、技術(shù)、方針、指南、教育、培訓方法的不斷更新保持同步。

最后一個需要考慮的問題是：要知道幾年前發(fā)生了什么。這是比較法所強調(diào)的，而不需要告訴你下一步該做什么。如果一個機構(gòu)沒有對過去出現(xiàn)的攻擊有應對措施，那么它們有可能再次遭到這些攻擊。雖然，即使一個機構(gòu)有對過去出現(xiàn)的攻擊的應對措施，那也不夠使其遠離以后這類攻擊的威脅。在準備中要盡量包括已知威脅，然后要把精力集中到監(jiān)控通訊以及面向系統(tǒng)和安全管理員的新通訊列表上，他們可以使用這些資料來確定發(fā)生了什么，并認識到應該怎樣做好準備。