人们常常对安全性改进持怀疑态度, 因为它们似乎总是与更高的时间要求和不断上升的成本联系在一起. 情况并非总是如此,因为常见的业务流程优化类型(Gadatsch 2017, p. 35 and Bleicher 1991, p. 196)可以通过改进安全性来触发或促进:
•如果一个活动对结果没有积极影响,删除过程活动是有用的. 如果活动涉及安全风险,而不是业务所要求的, 消除这些活动不仅可以增加安全性, but also optimize the process. For example, 由于潜在的完整性问题,应该删除涉及数据转换的媒体中断. 如果整个过程可以选择一种介质, 流程将得到优化,安全性将得到提高.
•外包可以通过将活动从一个过程转移到另一个过程来实现. 活动或整个过程可以外包给外部组织. 对于外包后可以更有效地执行的活动,建议外包. 某些安全活动可以由专家更快、更可靠地执行. 例子包括漏洞扫描、渗透测试和源代码分析. 这些活动需要一定的专业知识,其他专业人员, 例如软件开发人员或网络管理员, often struggle to acquire.
•总结是指将两个或两个以上的活动合并为一个新的活动. 摘要的优点是减少了必须传输数据的接口. From a security perspective, 接口经常涉及数据泄露的风险, manipulation, or corruption. 但是,功能分离这一重要的安全原则绝不能受到损害. 否则,操作和其他违反安全的行为就不太可能被同事发现.
•如果顺序活动可以并行进行,或者一个活动可以分成几个并行活动,则并行化是合适的. 通常,安全活动可以与业务活动并行进行. 提高安全性有利于提高产品质量. 此外,如果整合了额外的安全活动,现有的程序将不会延迟.
•重新安排活动可以使活动更早地执行. 这可以缩短执行流程所需的时间. 特别是在信息安全领域,重新定位对于优化具有重要的地位. 如果安全活动在流程中执行得更快, 出现的设计问题更少,需要的返工时间也更少. 设计安全性是一种旨在尽早嵌入安全性的原则, thereby optimizing processes.
•活动的加速缩短了流程时间, 比如提供额外的工作设备. 这意味着更少的等待时间,这不仅对业务有利,而且对安全性也有好处. 某些安全进程对时间要求非常严格, such as the distribution of security patches, 对安全事件的响应和恢复机制的激活. Besides, business processes can become more secure when accelerated; for example, 新想法申请专利的速度越快,窃取创意的风险就越低.
•可以通过某些检查来避免循环, 比如输入检查和数据提交的完整性检查. Mostly, 数据的完整性可以从额外的检查中受益, 由此可以避免错误和随后的更正和返工. 确保尽早识别错误不仅可以提高安全性, but also eliminates time-consuming loops.
•增加活动可以最终提高最终产品的质量. 信息安全可以是一个质量特征. 一些客户认为安全是理所当然的,特别是在IT产品中. 增加安全改进活动最初可能需要付出更多努力. However, 通过将安全视为整体质量的重要组成部分, 业务流程和最终产品都将得到改进.
