比較法和最佳實踐局限性

在信息安全中使用比較法的最大問題在于：機構之間不存在交流。即是說， 一次成功的攻擊在很大程度上被視為一個機構的失敗，并且機構會對此保密而不對外公布。因為有價值的教訓沒有得到記錄、傳播以及評估，結果，整個行業都會遭到攻擊。但是，現在已經有越來越多的安全管理者加入到像信息系統安全協會(ISSA，information systems security association)這樣的專家組織和團體中，并且分享他們的故事和教訓。另外一個跟上述類似的做法是：公開發布教訓。一些單獨的安全管理員正開始在安全雜志的凈化版本（即刪除了關鍵部分的版本）上發布其機構和信息受到的攻擊，以與他人分享他們的教訓。

比較法的另一個問題是：沒有兩個機構是完全相同的。即使兩個機構在同一 個市場提供產品和服務，他們的規模、結構、管理理念、企業文化、技術基礎設施和安全預算也可能會有顯著的不同。即使它們真的交換了信息，一個機構也可能不能使用另外一個機構的策略。機構最需要的是能夠在戰略層次上幫助他們的經驗，而不是他們應該采納的具體技術。請回憶一下：安全是一個管理問題，不僅是技術問題。如果它僅是一個技術問題，那么實施同樣的技術將會解決所有相同的問題，而不受行業和機構構成的制約。正因為它還是一個管理和人員上的問題， 所以在任何兩個機構之間，影響機構安全的因素在數量和類型上可能會有很大的差別。

第三個問題是：最佳實踐是不停變化的目標。在面對現在的威脅時，兩年前運行良好的實踐可能已經完全沒有價值。安全計劃必須和新的威脅保持同步，同樣也要同策略、技術、方針、指南、教育、培訓方法的不斷更新保持同步。

最后一個需要考慮的問題是：要知道幾年前發生了什么。這是比較法所強調的，而不需要告訴你下一步該做什么。如果一個機構沒有對過去出現的攻擊有應對措施，那么它們有可能再次遭到這些攻擊。雖然，即使一個機構有對過去出現的攻擊的應對措施，那也不夠使其遠離以后這類攻擊的威脅。在準備中要盡量包括已知威脅，然后要把精力集中到監控通訊以及面向系統和安全管理員的新通訊列表上，他們可以使用這些資料來確定發生了什么，并認識到應該怎樣做好準備。