关于安全政策的六个偏见 (2)

新的信息安全策略不应该让人感到惊讶。制定策略的过程应该是个集体的活动，从一开始就要包括来自公司各个部门的人员。起草策略，然后询问同事新的策略对他们的工作方式会有什么影响。例如，一开始我们的策略拒绝任何非公司的计算机连接到公司的网络上。但是从我们的公司业务部门了解到，住在公司的一些顾问使用自己的膝上型电脑，许多员工将工作带回家通过VPN从私人的系统连接到公司的网络。预算中没有考虑为这些人购买新的计算机。于是我们需要回来修改这届策略，以在安全和预算中找到平衡。

尽早让某些用户融入新的安全策略可以让他们成为新策略的受益者，并且让它们向公司其他员工宣传这些新的制度。相信需要信息安全的同事对其他同事的影响力要比IT安全的"职业妄想狂"大的多。如我公司的顾问组就变成了一个常设的委员会，可以同业务部门联络，保证安全措施同主要的业务部门相适应。

Ø 偏见5：适当制造一定的安全威胁对新安全策略的推广往往是很有效的。

要想赢得人们对新的策略的支持，并且让他们都遵守它是很难的，于是利用人们的恐惧心理推销自己新的信息安全策略就很有诱惑力的。尽管警告经理和同事们放松安全警惕的严重后果一定程度上有效，但是每一次新病毒产生、每一次IIS有漏洞发现都发出警报的话，时间长了就有点像喊“狼来了”见怪不怪了。在谈到信息安全的时候要冷静，而且集中于事情本身。让大家遵守新策略的关键是让他们相信信息的巨大价值，并且应该保护信息；制定新策略要在安全需要和工作需要之间找到平衡；要得到公司高层对新策略的公开支持。这也意味着最后一个神话是至关重要的。

Ø 偏见6：好了，新策略制定完毕，我的活干完了。

如果您今晚失眠，可以找一份典型的信息安全策略来看。马上就是第二天早晨。无论您的新策略多么地深思熟虑，多么地全面，但是如果人们不知道它们仍旧等于白费，建议让公司的高层来宣布新的安全策略。确定您的新策略散发的时候封皮上要有来自CEO的备忘录，备忘录要强调这是管理层的指示。这步完成之后，真正的工作才开始。

本公司的管理层几年前就知道信息安全优先的必要性，而且建立了一套非常好的了解程序。执行这套程序的同事把今年的新的信息安全的策略作为他们工作的中心。过去几个月里，他们：

* 印刷日历，日历每个月强调不同的策略，悬挂在多数办公室和隔间里面。

* 用浅显、幽默的语言写一份信息安全策略基本手册，分发给员工，人手一份。

* 对所有员工进行时间为90分钟的信息安全培训。

* 举行一系列受欢迎的信息安全知识的游戏比赛，参加者可以获得奖励和表扬。

* 建立一个内部网站，作为信息安全的交流中心，其中包括所有的策略和标准。

就算您的公司不大，而且管理层没有意识到信息安全的重要性，你还是可以做到让人们了解到信息安全的重要性。以下是本人建议的几个方法：

* 每隔一周或者两周向全公司发送一份电子邮件，告诉大家一个关于安全的小提示。

* 在自助餐厅和休息室的布告板上张贴信息安全注意事项。

* 认可那些为信息安全做出贡献的员工。员工提出了好的建议或者在防止和应对信息安全事故时做出了贡献要大力宣扬，送给他们礼物，并且在公司的通讯封面上表扬他们。

* 设立一个“安全热线”，使用户对新策略有疑问或者报告可能发生事故的时候可以打电话或者发邮件。

* 有对员工的疑问、报告有所反映，让他们很容易得到问题的解决办案。

修补我们的信息安全策略是一件很繁重的劳动。标准需要制定和更新，用户需要得到指导，以便了解这些标准。要对遵守情况进行评估，我们的信息安全部门经常不得不对同事进行一些指导，以便让他们不犯错误。

但是，针对性太强并且太过于严格的信息安全策略却会使公司将精力都花费在安全问题上，而影响正常的商务活动。这一点，我们的安全组和公司其他部门的同事都深有体会。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有