在《云安全框架：目前狀態(tài)》的文章中，討論了系統(tǒng)工程和管理的原則，這種原則的前提是很簡單的：

-任何系統(tǒng)的邊界都是由參與其中的各方的集體觀念而定義的，雖然有時候是錯誤的。

-相關工作越復雜，就需要更多的交互，和更復雜的解決方案

-如果你試圖專注于系統(tǒng)的單個技術或者業(yè)務部分，而排出其他部分，那么，相關工作的成功和有效性將會受到影響

將這個原則應用到安全投資，你會發(fā)現(xiàn)，如果企業(yè)想成功地解決云安全的各種挑戰(zhàn)，它必須保持整個生態(tài)系統(tǒng)的一致性。不協(xié)調的單個組件可能造成更大的損失，這也是現(xiàn)在大多數企業(yè)安全戰(zhàn)略面臨的問題。考慮到這一點，讓我們看看圖1，并想一想安全成本應該如何計算。

在一個典型的企業(yè)，你所看到的安全成本是直接安全成本，這些可以量化的費用包括人員、設備和軟件。

另一個成本是間接安全成本，雖然仍然可見，但卻很難量化，這包括培訓、生命周期成本（例如設備和軟件）以及管理費用。事實上，安全生命周期成本是進行智能投資的最大障礙之一。

低效成本通常不容易識別，很難被量化，即使是在封閉式系統(tǒng)（例如，典型的非基于云的框架），這包括從使用和維護過時的硬件和軟件到過度保護資源抵御不存在的威脅等。這個成本對于云安全以及安全策略的有效性非常重要，我們將在第二部分進行討論，現(xiàn)在讓我們將重點放在你的企業(yè)如何決定如何保護數據上。

在根水平，數據安全主要是關于兩件事情：風險和信任。

風險

風險由兩部分組成，接受和管理：

-接受：平衡威脅和可接受風險水平

-管理：保護真正需要保護的數據

如果你看一下現(xiàn)在很多企業(yè)使用的模型，你會發(fā)現(xiàn)，接受比有針對性的數據管理更加重要。為什么是這樣？安全成本是沉沒成本，由幾種成本組成。管理有效性成本從來沒有被質疑過，至少在數據泄露發(fā)生前，這種情況否定了企業(yè)積極管理特定數據安全水平以及相關成本的必要性。而在一個成熟的云社區(qū)，情況可能并不是這樣。將數據分為重安全需求和輕安全需求意味著你需要弄清楚你要為這些需求支付多少成本。

現(xiàn)在，很多企業(yè)均勻的部署安全策略，而不管數據的真正價值。這意味著面對真正的威脅，將很難計算數據真正成本。

信任

如果你從純技術的角度來考慮信任（安全）作為補救措施和基礎設施的一個因素，你將永遠無法與你的業(yè)務建立信任關系。這對于封閉安全系統(tǒng)可能行得通，但在一個成熟的云社區(qū)就行不通了。這不可避免的向我們提出了一個問題：如果無法贏得信任或者信任被破壞，信任是否可以購買。在短期內你可能無法購買信任，你需要意識到你可能需要為其支付高昂的費用，你更應該使用更傳統(tǒng)的方法通過更廣泛的生態(tài)系統(tǒng)來建立信任。