一位客戶曾經(jīng)邀請我參加一個會議。我答應了，并且詢問會議的主題是什么?？蛻舾嬖V我，主題是希望對IT安全策略進行調(diào)整?，F(xiàn)在，我們都知道該策略存在問題了。該公司的***執(zhí)行官也知道讓所有人都支持是非常重要的，因此，她希望這將成為堅持不懈的工作。

結(jié) 果

令人驚訝的是會議的進展是相當不錯的。***執(zhí)行官對實際情況進行了說明，并且要求所有人都開始工作。很快，所有人一致認為安全策略出現(xiàn)的大部分問題都來自三個方面。

1：策略內(nèi)容不明確

我看到過的大多數(shù)IT安全策略講述得都很不清楚，因此，對于員工來說，可以說是毫無價值的。舉例來說，該公司的IT安全策略規(guī)定，禁止使用社會化網(wǎng)絡應用。

在會議期間，我詢問了幾名員工使用即時通訊(IM)工具的情況。除了感覺到他們沒有違反公司的規(guī)定外，所有人都提到即時通訊工具讓自己的工作輕松了許多。沒有人看到問題的關鍵所在。

這證明了安全策略存在含糊不清的部分。為了消除所有的含糊之處，會議上提出了下列的調(diào)整措施：

· 如果某些程序或服務被禁止，在安全策略中將會具體列出，并通報給每一位員工。

· 定期對安全策略進行審定。如果確實需要改變以滿足目前業(yè)務要求，就予以調(diào)整。

· 通過技術(shù)措施實現(xiàn)禁止功能，而不依賴于對用戶進行培訓。

2?。涸诎踩c工作效率之間實現(xiàn)平衡

安全和工作效率是一個問題的兩個方面。對所有人來說，***的辦法就是在中間取得平衡。在本次會議上，這個問題顯得非常突出，更類似一個無人地帶。

IT人員按照自己的理解進行工作。一些安全措施會導致生產(chǎn)過程的開支大大增加，這在他們的眼里是可以接受的。但工廠經(jīng)理卻不會同意這種做法。因為，在他們的頭腦中，提高工作效率降低生產(chǎn)成本才是公司成功的***準則。

誰的觀點是正確的?我認為兩者都不是。無論如何，地盤之爭對大家都沒有好處。在***執(zhí)行官的監(jiān)督下，雙方共同努力，創(chuàng)建一個新戰(zhàn)略，可以提高安全，增加產(chǎn)量，并減少間接費用?，F(xiàn)在，大家的立場一致了。

3：該策略適用于所有人

在關于安全策略是否應該適用于所有人的討論中，我發(fā)現(xiàn)了有趣的問題。有些員工確實認為安全策略并并不適用于他們。***執(zhí)行官迅速結(jié)束了這樣的討論。她指出，如果這里存在問題的話，就對安全策略進行重新審核，看看它是否需要進行調(diào)整。

結(jié) 論

我的客戶經(jīng)歷了一個痛苦而有益的探索過程。我想和大家一起分享他們的經(jīng)驗，這可能會給其它人提供幫助。

【編輯推薦】

1. IT安全涵蓋 從數(shù)據(jù)中心到桌面系統(tǒng)
2. 兩妙招助你成為超級IT安全專家
3. IT安全認證逐漸走俏 需求呈上升趨勢