一直以来，企业安全预算都难于准确地进行判断，而且全球经济危机正在使得这一关键的流程更为困难。企业安全专业人士面对着一个复杂的情景，他们要利用非常有限的财力和人力资源来管理并改善快速变化的风险环境。

　　“现阶段，由于经济的不确定性，绝大多数企业的 IT 开支都无可避免地受到严格的审查，IT 安全和风险管理——虽然相对于总体的 IT 预算所受到的影响强度没有那么剧烈——但也不会例外，”Gartner研究副总裁 Jay Heiser 说道，“正确地判断和优化安全开支的关键在于确保安全和风险控制的实施满足商业目的，并且尤为重要的是说服老板掌握风险的控制权。”

　　针对当前的情况，Heiser 亦提出警告，如果安全专业人士陷入以下四个常见的风险控制困境，他们就不可能实现这样的目标。

　　一、相同等级的保护，或者相同等级的安全支出，对于每个企业不可能是同样有效且经济上可行的，对于企业中的每个组成部分更是如此。安全支持的最优化等级应考虑到风险的评估等级，避免过度支出和过度保护。

　　二、 切忌基于安全机构所需而非企业所需来制定计划。过去，安全专业人士 通常根据他们认为需要什么而不是企业所需来制定决策，也即以技术为中心来进行投资和部署。既然他们不是基于企业所需考虑，当然就不可能为安全计划或他们所要求的预算 提供合适的理由。

　　三、风险相关的沟通过于复杂将使业务部门无法理解。安全专业人士必须开发出一套连贯的方式以清楚地表达特定 IT 系统、信息资产和商业流程的安全临界点。Gartner推荐一个简单的分为三个等级的标准——高、中、低，以此为表达 IT 商业临界点提供常用的参考点，而且这个标准也可用于相应的风险管理服务等级。

　　四、不能允许业务部门将其风险转移到 IT 机构和 IT 安全机构。业务主管们非常愿意利用 IT 机构或 IT 安全机构的意愿而接受余值风险（residual risk），错误地预设 IT 提供的“标准服务”将有效地解决所有形式的 IT 风险。这种态度使得 IT 机构或 IT 安全机构成为安全失效以及由此引发的服务理解或灵活性降低的替罪羊。如果所有系统或信息资产由负责安全或连续性的特定企业经理人“拥有”，内部“市场力 量”将能够有助于将风险与利益对齐挂钩。

　　简单、可管理的风险评估框架，明确地接受余值风险和安全服务等级协议（service level agreements，简称 SLAs）”将会令提供坚固的企业安全成为可能，并且也使得反对安全预算消减成为可能。” Heiser 先生这样说到，“为了更好地与企业合作，IT 风险管理人可以迈出的第一步是不要将业务经理视为一个需要解决的问题，而是将他们看作需要安全和可靠的计算服务的客户。”