8.1 遵从规范
客户手里只有有限的预算,因此,他们通常不会将安全作为主动投入成本的首选对象。根据我们的经验,客户会先将经费用在其他技术领域,直到出现一些问题导致损失,这时才会调配响应性的支出。许多客户现有设施中就已存在很多问题需要解决,而他们同时还在升级系统以跟上最新的技术发展,对提供评估现有安全状况的服务——如渗透测试——的服务提供商来说,这时他们面对的情况要复杂得多。一个类似的情况是,在许多人购买笔记本电脑时,他们会顺便考虑买一些功能型软件,而不是安全防御型软件(例如买微软的Word应用,而不是杀毒软件)。当该笔记本电脑用了一段时间感染了病毒时,用户才会暂停考虑功能型软件,提高购入安全软件以删除恶意应用的优先级。
提高你的服务在客户采购中优先级的一个方法是将其跟商业规定看齐。客户通常更倾向于购买用来使其符合商业责任要求的服务,这样比较方便他们跟相关方说明这项投入的意义。许多行业都对未通过审计的情况采取了严厉措施,从罚款到解雇都有。将交付的结果跟标准规定看齐是有助于推广服务的一剂强心针。
跟行业规范相关的一些重要术语如下。