پنج گام به سوی یک برنامه استراتژیک کارآمد

Stan Gatewood، مدیر ارشد امنیت اطلاعات دانشگاه جورجیا، اهداف امنیتی را بر اساس انطباقشان با اهداف و استراتژی عمده دانشگاه سازماندهی می‌نماید. وی دلایل متعددی برای این امر که چرا مدیران ارشد امنیت اطلاعات نباید خود را برای برنامه‌ریزی استراتژیک به زحمت بیاندازند، دارد. فقط کافیست بپرسید. مدیر ارشد امنیت اطلاعات دانشگاه جورجیا، می‌گوید: ”شما مسئله اقتصاد را دارید که در مقابل شما نقش ایفا می‌کند. شما دارای رفتار اجتماعی هستید که در مقابل شما نقش ایفا می‌نماید.
شما تکنولوژی را دارید. شما قوانین و مقررات را در پیش رو دارید.“ و خود را برای یافتن کتاب‌ها یا سمینارهای تخصصی در جهت کمک به شما برای اعمال اصول برنامه‌ریزی استراتژیک تجاری در امنیت به زحمت نیاندازید. چون چیزی نخواهید یافت.
علی‌رغم همه این موارد، Gatewood اینجاست تا بگوید که شما به انجام برنامه‌ریزی استراتژیک نیاز دارید. او می‌پرسد: ”اگر شما هیچ برنامه‌ای نداشته باشید، چگونه متوجه خواهید شد که آن را به درستی انجام می‌دهید؟“ او این گونه ادامه می‌دهد: ”شما در برابر هر چیز کوچکی که در شب تکان می‌خورد عکس‌العمل نشان خواهید داد.“ نهایتا، این روشی بوده که اغلب گروه‌های امنیت اطلاعات سال‌ها بر اساس آن عمل کرده‌اند: شیشه را بشکن، دستگیره را بکش.
دپارتمان‌های امنیت به دشواری می‌توانستند آینده خود را کنترل نمایند، زمانی که راهبری آنها بیش از حد بر اساس حوادث بود، این ایده کاربرد خود را از دست داد.اما همه این‌ها در حال تغییر است، همچنان که مدیران ارشد امنیت و مدیران ارشد امنیت اطلاعات شروع به مد نظر قرار دادن ارزش استفاده از اصول شناخته شده‌ی برنامه‌ریزی استراتژیک برای راهبری تلاش‌ خود نموده‌اند. در اساس خود، برنامه‌ریزی استراتژیک چیزی بیش از یک فرایند رسمی برای تنظیم اهداف بر اساس منظورهای تجاری و سپس مشخص کردن شیوه دستیابی به این اهداف نیست – البته در طی سال‌های پیش رو، نه ماه‌ها.
مطمئنا، بسیاری از شما دارای سیاست‌های بلندپروازانه‌ای هستید. و مطمئنا، اغلب شما دارای برنامه‌های تاکتیکی در راستای بودجه‌هایتان برای سال پیش رو هستید. به هر حال، یک برنامه استراتژیک خوب، در مکان مطبوعی میان این دو سطح قرار می‌گیرد. مدیران ارشد امنیت که نحوه ایجاد و پیاده‌سازی یک برنامه تاکتیکی را درک نموده‌اند مدعی‌اند که این امر در استفاده خردمندانه از منابع، جلب پشتیبانی برای طرح‌های امنیتی و نائل شدن به هم‌ترازی با تجارت به آنها کمک می‌نماید. هیچ شیشه‌ای شکسته نشده است.James Quinnild، یک همکار امنیتی در طرح مشورتی در PricewaterhouseCoopers، می‌گوید: ”در مورد مدیر ارشد امنیت، ارشدیت اهمیت ویژه‌ای دارد. مدیران ارشد امنیت سرمایه‌های بیشتری را اداره می‌کنند، سطح میدان دید آنها درون سازمان بسیار بالاتر است، و افراد بیشتری مدیر ارشد امنیت را مورد پرس و جو قرار می‌دهند، کارها چطور پیش می‌رود؟ مشغول انجام چه کاری هستید؟ آیا کارهای خود را اولویت‌بندی می‌نمایید؟ یک برنامه خوب طراحی شده در پاسخگویی به این سوالات مفید واقع می‌شود.
به خصوص در حوزه امنیت اطلاعات که به سرعت در حال تغییر است، برنامه‌ریزی برای آینده می‌تواند مخاطره‌آمیز باشد. تکنولوژی‌ها تغییر می‌کنند، و تهدیدات جدید پدیدار می‌شوند. اما در مقابل این چالش‌ها، در صورتی که شما خواهان خارج ساختن سازمان خود از حالت بحرانی هستید، فرایند برنامه‌ریزی استراتژیک یک امر حیاتی است. در ادامه پنج گام برای آغاز کار مطرح می‌گردد. همان گونه که مشاهده خواهید نمود، این یک روند محرمانه نیست. این Business ۱۰۱ است، که در حوزه امنیت اعمال گردیده است.
۱) کار را با برنامه تجاری دارای چشم‌انداز وسیع آغاز نمایید
هنگامی که Gatewood دو سال پیش کار خود را در دانشگاه جورجیا آغاز کرد، یکی از نخستین کارهایی که انجام داد مطالعه همه برنامه‌های تجاری برای دانشگاه بود که او می‌توانست مورد استفاده قرار دهد. مهمترین مورد؟ یک برنامه پنج ساله که توسط رییس دانشگاه (که بیش از ۳۳۰۰۰ دانشجو داشت) نوشته شده بود. این نوع رویکرد با چشم‌انداز وسیع و طولانی‌مدت می‌تواند به مدیر ارشد امنیت در خارج شدن از وضعیت تاکتیکی یاری برساند. Gatewood می‌گوید: ”من نقطه‌ای که دانشگاه قصد رسیدن به آن را داشت دیدم، و سپس کار ایجاد اهداف استراتژیک امنیتی را بر مبنای آن آغاز کردم.“
برای نمونه، یکی از اولویت‌های رییس جذب استادان رده بالا و عالی بود. Gatewood اطمینان حاصل نمود که برنامه‌های دپارتمان او انعکاس دهنده همین هدف باشد. Gatewood می‌گوید: ”اگر شما پا پیش بگذارید و بگویید، ‘من برای یک فایروال جهت حفاظت از گروه تحقیقات به ۵۰۰۰۰ دلار نیاز دارم’ این کافی نیست.“ در عوض، او اهداف خود را بر اساس مطابقتشان با اهداف و استراتژی عمده دانشگاه سازماندهی می‌نماید. او می‌گوید: ”من این سوال را مطرح کردم: شما چگونه می‌توانید یک استاد را برای انجام تحقیقات پیشرفته جذب نمایید در صورتی که تکنولوژی مورد استفاده او قابل اعتماد نباشد؟“ گاهی اوقات یک تغییر معنایی می‌تواند تفاوت بزرگی ایجاد نماید. به هر حال، فقط مطالعه استراتژی تجاری کافی نیست. شرکت دادن افراد تجاری در فرایند برنامه‌ریزی تضمین می‌نماید که امنیت در مسیر درست پیش می‌رود و همچنین به شما در جذب پشتیبانی برای برنامه‌تان کمک می‌کند. Bobby Gillham، رییس سابق امنیت ConocoPhillips که اکنون یک مشاور است، می‌گوید: ”کسب و کارها بودجه‌های ثابتی دارند و همچنین محدودیت‌هایی در مورد کارهایی که می‌توانند انجام دهند و کارهایی که نمی‌توانند. شما مجبورید اینها را متقاعد نمایید که یک پیشرفت امنیتی واقعا جزو بهترین موارد مورد علاقه کسب و کارها به شمار می‌آید، و این که آنها در مورد پرداخت پول برای آن راضی و موافق هستند.“
Gillham می‌گوید، با نگاه به پیشرفت‌هایی که قصد دارید در طی سه سال آینده به آنها نائل آیید به جای این که تنها نگاهتان به چرخه بودجه جاری باشد، ممکن است شما توانایی متقاعد ساختن رؤسای تجاری نسبت به دادن التزام طولانی‌مدت‌تر در قبال یک پروژه خاص را داشته باشید. اگر یک دپارتمان خاص در بودجه خود برای سال مالی آتی برای پروژه شما پول ندارد، شاید بتوانید گروه را نسبت به گنجاندن آن برای سال بعد متقاعد نمایید. حتی این احتمال وجود دارد که راهی برای بسط هزینه در طی چندین سال بیابید. در پیش گرفتن یک چشم‌انداز طولانی مدت اغلب می‌تواند به عملی شدن اهدافی که نمی‌توانند در بودجه یک ساله بگنجند کمک کند.
۲) همواره یک ارزیابی ریسک انجام دهید
هنگامی که از اولویت‌های تجاری آگاهی یافتید، گام بعدی درک این مطلب است که چه ریسک‌های امنیتی ممکن است مانع دستیابی کسب و کار به اهداف گردد. این کار با یک ارزیابی ریسک صورت می‌پذیرد. در Avon Products، این فرایند چهار ماه قبل از این که Robert Littlejohn، قائم‌مقام مدیرعامل در امنیت جهانی، مدیران رده بالای خود را برای یک نشست استراتژی سالانه دو روزه گرد هم آورد آغاز ‌گردید. با آغاز در ماه ژوئن، از سرتاسر جهان مدیران امنیت منطقه‌ای فرم‌هایی را برای مدیران تجاری Avon ارسال می‌نمایند تا از آنها برای ارزیابی ریسک‌هایی که در پیش روی آنها قرار دارد استفاده گردد. از مدیران تجاری خواسته شده است که احتمال وقوع هر رویداد و تاثیر بالقوه آن بر شرکت (که در ۱۴۵ کشور مشغول به فعالیت است) را برآورد نمایند. در ماه آگوست، این ارزیابی ریسک توسط یک نظرخواهی مشتری در این مورد که مدیران تجاری فرایندهای ریسک سازمانی و امنیتی را چگونه می‌بینند همراهی خواهد شد: چه چیز نتیجه می‌دهد؟ چه چیز نتیجه نمی‌دهد؟ مهمترین دغدغه‌های آنها چیست؟
سپس مدیران امنیت منطقه‌ای به بررسی دقیق ارزیابی ریسک می‌پردازند تا اعتبار آن را مورد تایید قرار دهند، تغییراتی را در آن اعمال نمایند یا در صورت لزوم مواردی را به آن بیافزایند. برای نمونه، Littlejohn به یاد می‌آورد که سال گذشته، یک مدیر تجاری در مورد شرکتی نشان داد ریسک بالایی وجود دارد که ورشکست گردد. مدیر امنیت منطقه‌ای به شرکت مراجعه کرد، با مدیر امنیت منطقه‌ای و مدیر آن شرکت به همفکری پرداخت، و مشخص گردید که از آن چه که مدیر تجاری نشان داده بود، این شرکت با ثبات‌تر است. تنها چیزی که می‌توان گفت این است که اگر چه باید مدیران تجاری را در فرایند برنامه‌ریزی شرکت داد، اما در برخی موارد به وجود یک متخصص امنیت برای تایید اعتبار ارزیابی ریسک نیاز است.
این مهارت، اتفاقا می‌تواند خارج از برنامه‌ریزی استراتژیک دپارتمان امنیت حاصل گردد. می‌تواند مدیر ارشد امنیت را در طی برنامه‌ریزی استراتژیک تجاری نیز به فردی فوق‌العاده با ارزش تبدیل نماید. Paul Laudicina، یک قائم‌مقام‌ مدیرعامل A.T. Kearney و مدیر Global Business Policy Council که World Out of Balance را نوشته است: Navigating Global Risks to Seize Competitive Advantage، بر این عقیده است که شرکت‌هایی که خواهان کسب موفقیت در بازار جهانی هستند باید در مورد اداره همه انواع ریسک فهیم‌تر و زرنگ‌تر باشند – از بیماریهای مسری و واگیردار گرفته تا اپیدمی‌ها، تا ویروس‌های کامپیوتری. یک مدیر ارشد امنیت می‌تواند در این فرایند نقش حیاتی داشته باشد. یا اصلا نقشی نداشته باشد. Laudicina می‌گوید: ”در هر صورت مدیریت این ریسک‌ها وظیفه مدیر ارشد امنیت است یا شخص دیگری باید تعیین نماید که آیا مدیر ارشد امنیت قادر به نیل به اهداف است.“
۳) اهداف قابل سنجش را برای گروه خود تعیین نمایید، تا برنامه خود را استوار نگه دارید
هنگامی که وظیفه خود را انجام دادید، نوبت به پیوند دادن اهداف و ریسک‌های تجاری است. شما نیازمند استراتژی خودتان هستید. در بالاترین سطح، اهداف شما قرار دارند. آنها می‌توانند به همان سادگی که شما می‌خواهید باشند. Littlejohn در شرکت Avon یک وظیفه آسان بر عهده دارد: حفاظت از کارکنان، محصولات، منافع، دارایی‌ها، فرایندها، و اعتبار Avon. در AT&T، اهداف CISO Ed Amoroso به همین میزان ساده است: بهبود امنیت، کاهش هزینه‌ها، و استفاده از امنیت برای برقرار ساختن تفوق رقابتی. (فقط مدیر ارشد اجرایی AT&T را در حال سر و کله زدن با هر یک از آنها تصور کنید، مهم نیست که استراتژی کلی این غول ارتباطی با چه عظمتی در حال تغییر است.)
استراتژی، راهی است که شما از آن طریق این وظایف را در طی سال‌های آتی انجام می‌دهید. هر چه برنامه جلوتر می‌رود، جنبه‌های خاص و جزئیات آن کمتر می‌گردد. همچنین، شما ممکن است این روند را برگزینید که یک برنامه دارای جزئیات کمتر را با هیئت مدیره شریک شوید و یک برنامه مفصل‌تر داشته باشید که آن را در دپارتمان امنیت بخشنامه نمایید. ترفند این است که برای سال آینده فراتر از تاکتیک‌های خود بنگرید و اهدف خود را برای سال‌های پیش رو مجددا شکل دهید. برای نمونه، یک برنامه تاکتیکی ممکن است چگونگی اداره برنامه‌های اصلاحی نرم‌افزاری برای آینده نزدیک از سوی دپارتمان امنیت را در بر گیرد. اما بخش استراتژیک مدیریت برنامه‌های اصلاحی (patch ها) بسیار متفاوت است، منوط به این که مدیر ارشد امنیت اطلاعات پیش‌بینی نماید که برای چه مدتی مدیریت جدی برنامه‌های اصلاحی لازم خواهد بود.
Amoroso می‌گوید: ”اگر ما به این نتیجه می‌رسیدیم که صنعت نرم‌افزار در دو یا سه ماه آینده به باگ دیگری در نرم‌افزارهای خود بر نخواهد خورد، در آن صورت ما تصمیم به سرمایه‌گذاری برای یک زیربنای patch نمی‌گرفتیم. درون من به من می‌گوید که این وضعیت در دو ماه آینده بهتر نخواهد شد. اما سوال اینجاست که چه وقت این اتفاق خواهد افتاد؟“ اگر مدیر ارشد امنیت اطلاعات پیش‌بینی نماید که گروه او در طی پنج سال آینده مجبور به نصب تعداد فراوانی برنامه اصلاحی باشد، شاید به این نتیجه برسد که برای ادامه این راه و کارآمد سازی فرایند نصب نیاز به بودجه وجود دارد. اما اگر او به این نتیجه برسد که برنامه‌های اصلاحی یک راه‌حل موقتی هستند و فروشندگان نهایتا محصولات بهتری را تولید خواهند نمود، شاید او یک تصمیم استراتژیک مبنی بر انجام patchها به صورت دستی اتخاذ نماید.مهم نیست که آن را چگونه مطرح می‌نمایید، به هر حال، دو راهکار برای کارآمد کردن استراتژی وجود دارد. یکی این است که نهایتا، شما هر دلاری که خرج می‌کنید با یکی از اهداف شما در ارتباط باشد (که سپس با یک هدف تجاری مرتبط می‌باشد). Amoroso می‌گوید: ”این مسئله به صورت یک بودجه و مجموعه‌ای از اولویت‌ها و طرح‌ریزی برنامه‌ای که شما در صدد اجرای آن در یک سال مشخص شده هستید نمود پیدا می‌کند.“ راهکار دیگر این است که شما معیارهایی را بیابید که بتوانند میزان مطابقت شما با آن اهداف را در گذر زمان بسنجند. برای نمونه، Littlejohn، شروع به انتساب یک مقدار عددی به همه موارد موجود در گزارش‌های ارزیابی کشور خود نمود:
۱) برای پیاده‌سازی نشده،
۲ ) برای تا اندازه‌ای پیاده‌سازی شده
۳) برای کاملا پیاده‌سازی شده. این امر به صورت سال به سال به او امکان ترسیم میزان موفقیتش در دستیابی به اهداف مورد نظرش را می‌دهد. او استراتژی خود را دارد – و یک راه برای نشان دادن پیشرفت خود.
Gatewood، که از سال‌های دهه ۱۹۷۰ در حوزه امنیت اطلاعات مشغول به کار است، می‌گوید: ”مدیران تجاری به آن آسانی که می‌ترسیدند، دیگر نمی‌ترسند. اگر شما بگویید، ‘آسمان در حال سقوط است،’ آنها می‌گویند، ‘من این موضوع را هفته گذشته شنیدم.’ آنها خواهان حقایق و اعداد مستدل هستند. آنها خواهان چیزی هستند که قابل ارزیابی، امکان‌پذیر و تکرارپذیر باشد.“
۴) بدانید که هیچ چارچوب زمانی ”صحیحی“ وجود ندارد
در صحبت بر سر اهداف سال به سال، همواره دندان قروچه‌هایی درباره این که یک برنامه استراتژیک باید چه محدوده زمانی را شامل شود وجود داشته است. ما اینجاییم که با شما بگوییم پاسخ یک چیز است و برای همه: آن به موارد مختلف بستگی دارد. مطمئنا، تصور B-school سنتی واقعا دارای برنامه‌ریزی ”استراتژیک“ نیست مگر آنکه برنامه‌ریزی مزبور بیش از یک سال را مد نظر قرار دهد. اما واقعیت این است که برای مدیران ارشد امنیت اطلاعات حداقل، دو سال ممکن است حدود بیرونی چشم‌انداز واضح باشد، به خصوص در طی فاز اولیه خروج از وضعیت انفعال.
Ann Garrett، مدیر ارشد امنیت اطلاعات فرمانداری ایالت کارولینای شمالی، می‌گوید: ”همه این مزخرفاتی که شما در مدارس تجاری درباره برنامه‌های پنج ساله می‌شنوید،“ – خب، اجازه دهید بگوییم که او بر این تصور است که آن در مورد امنیت اطلاعات عمل نمی‌کند. Garrett، که دارای یک مدرک MBA از کالج Meredith است، می‌گوید: ”شما ناچارید که اهداف سطح بالا داشته باشید، اما شما نمی‌توانید خیلی بیش از ۱۴ ماه به جزییات برنامه‌ها بپردازید. تکنولوژی همواره در حال تغییر است. پیش‌بینی این که مسائل عمده به چه سویی حرکت می‌کنند دشوار است.“ تهدیدات جدید می‌توانند پدیدار گردند. مقررات می‌توانند نیازهای قانونی شما را تغییر دهند. فروشندگان عمده می‌توانند توسط سایرین خریداری گردند. شما برای همه‌ چیز نمی‌توانید برنامه‌ریزی نمایید. برای از عهده بر آمدن، رویکرد Garrett تنظیم یک برنامه برای دو سال آینده است. (فرمانداری بر مبنای یک چرخه بودجه دو ساله فعالیت می‌نماید، بنابراین دست او برای انتخاب در این خصوص باز نیست.) چشم‌انداز دو ساله او شامل اهداف خاص و راه‌هایی برای دستیابی به آنها است. او همچنین چارچوب زمانی دو تا چهار ساله را مد نظر قرار می‌دهد. هر چیز دیگری از نظر او تلف کردن وقت است.
در سوی دیگر این طیف، David Burrill (رئیس امنیت گروهی British American Tobacco) قرار دارد. Burrill در حال کار بر روی یک برنامه ۱۰ ساله برای امنیت تجاری در این شرکت دخانیات است. و علی‌رغم نمود ظاهری برنامه‌ای که یک محدوده زمانی ده ساله را در بر می‌گیرد، Burrill تاکید می‌کند که چیزی که او اکنون ارائه می‌دهد چندان متفاوت از آن چه که او ۱۳ سال پیش در هنگام ملحق شدن به این شرکت در سر داشت، نیست. Burrill می‌گوید: ”قبلا، بسیاری از تصورات رو به جلو در ذهن من متمایل به جلو بوده‌اند. چیزی که رخ داده است این است که از آنجایی که ما کارکرد امنیت را رشد داده‌ایم، دیگر راهبری چیزی توسط یک قهرمان کافی نیست. اکنون من شاهد حضور افراد عالی در اطراف خود هستم، و بنابراین به جای حضور دیدگاه یک مرد با پشتیبانی وسیع، حالا یک بحث گروهی وجود دارد، بحثی که به نتیجه‌گیری‌های گروهی در مورد کارهایی که باید در آینده انجام دهیم ختم می‌گردد.“
ـ نتیجه: برای هر مدت زمانی که می‌توانید برنامه‌ریزی نمایید، و نگران چیزی نباشید.
۵) انعطاف‌پذیر باقی بمانید
در حقیقت، آنچه که در مقایسه با چارچوب زمانی برنامه شما از اهمیت بیشتری برخوردار است این است که شما تا چه حد می‌توانید در پیاده‌سازی آن انعطاف‌پذیر باشید. phishing را در نظر بگیرید. یا spyware. یا هک کردن گوگل، که در آن حمله‌کنندگان از این موتور جستجوی محبوب برای تحلیل آسیب‌پذیری یک شرکت استفاده می‌کنند. هیچ یک از این موارد سه سال پیش در انجام برنامه‌ریزی دخالت نداشتند. الان هم ممکن است در یک برنامه استراتژیک مد نظر قرار نگیرند. اما یک برنامه خوب به شما در مواجهه با این تهدیدات جدید به شکلی مطلوب‌تر کمک می‌کند. شما دارای یک روش سازمان یافته حرکت به سوی آنها خواهید بود، زیرا شما می‌توانید ببینید که چگونه آنها با خطرات و تهدیدات جاری تلفیق می‌گردند. برنامه‌ریزی خوب حتی ممکن است از تحت تاثیر قرار گرفتن سازمان شما در اولین موقعیت از سوی یک تهدید جدید جلوگیری به عمل آورد.
Amoroso می‌گوید: ”تصور کنیم که شما سازمانی را در اختیار گرفته‌اید که از رمزهای عبور برای دسترسی از راه دور به ایمیل استفاده می‌کند. من نمی‌توانم به شما بگویم که فردا، یا هفته آینده، هک می‌شود. اما می‌توانم به شما بگویم که اگر شما احراز هویت با دو فاکتور را بیافزایید، تعداد بسیار زیادی از مشکلات ممکن وجود دارند که با اعمال این تغییر از سوی شما بروز نخواهند کرد. تصمیم شما بر این مبنا نیست که، شاید، یک سال دیگر اتفاقی رخ می‌دهد. بلکه این تصمیم درستی است که یک سال دیگر هنگامی که یک کرم رمزهای عبور را حدس می‌زند، این امر تاثیری بر کاربران من نخواهد داشت.“ هنگامی که شما در تلاش برای ماندن در راس همه چیز هستید، مطمئنا برداشتن گام‌های نخست با هدف دستیابی به برنامه‌ای که واقعا پیاده شود می‌تواند دشوار باشد. اما در طی زمان، فرایند برنامه‌ریزی استراتژیک ساده‌تر خواهد شد. همین که آن را آغاز نمودید، برنامه فقط باید به روز رسانی شود، نه ایجاد. Craig Shumard، مدیر ارشد امنیت اطلاعات و قائم‌مقام ارشد مدیرعامل Cigna، می‌گوید: ”این بخشی از کار است.“ او می‌گوید کل دپارتمان او به گونه‌ای ساخت‌یافته است که اطلاعاتی را که استراتژی او را تغذیه می‌نماید دائما به سوی او روانه است. او حتی نمی‌تواند مشخص کند که چه میزان از زمان او صرف استراتژی در برابر عملکردها می‌شود.
و هر چه بیشتر شما در یک وضعیت استراتژیک وارد می‌شوید، زمان بیشتری را برای تمرکز بر روی چیزی که واقعا اهمیت دارد اختصاص می‌دهید: ایجاد ارزش تجاری. Quinnild از PricewaterhouseCoopers در مورد کار می‌گوید: ”همواره یک سری واکنش وجود دارد. اما با انجام برنامه‌ریزی بیشتر، مدیران ارشد امنیت زمان بیشتری را برای کمک به تجارت و انجام برخی کارهایی که خواهان انجام آنها هستند اما به دلیل مشغله زیاد نمی‌توانند، خواهند داشت. ما مشتریان بسیاری داریم که می‌گویند، ‘ما در بازیابی دلیرانه خبره هستیم.’ این امر فراگیر ناشی از نداشتن یک استراتژی است. واکنش من این است که، ‘بهتر نیست که مجبور به اصلاح مشکل نباشیم؟’“
و یک چیز دیگر: این یک شانس برای دپارتمان امنیت در جهت دستیابی به اعتبار تجاری نیز هست. بدون برنامه‌ریزی استراتژیک، ”چیزی که ما انجام می‌دهیم تلوتلو خوردن از یک چالش به چالش دیگر، از یک بحران به بحران دیگر است.“ این گفته Burrill (برنامه‌ریز برنامه ۱۰ ساله) است. اگر ما این کار را انجام دهیم، کارکرد امنیت همواره از دید سایر کارکردها فاقد اهمیت خواهد بود. امنیت، طفلی است که پس از به تحقق پیوستن، اعتبار قابل قبول را کسب می‌نماید.