如何根据情况更改企业IT安全策略

安全
我看到过的大多数IT安全策略讲述得都很不清楚,因此,对于员工来说,可以说是毫无价值的。举例来说,该公司的IT安全策略规定,禁止使用社会化网络应用。

一位客户曾经邀请我参加一个会议。我答应了,并且询问会议的主题是什么。客户告诉我,主题是希望对IT安全策略进行调整。现在,我们都知道该策略存在问题了。该公司的***执行官也知道让所有人都支持是非常重要的,因此,她希望这将成为坚持不懈的工作。

结 果

令人惊讶的是会议的进展是相当不错的。***执行官对实际情况进行了说明,并且要求所有人都开始工作。很快,所有人一致认为安全策略出现的大部分问题都来自三个方面。

1:策略内容不明确

我看到过的大多数IT安全策略讲述得都很不清楚,因此,对于员工来说,可以说是毫无价值的。举例来说,该公司的IT安全策略规定,禁止使用社会化网络应用。

在会议期间,我询问了几名员工使用即时通讯(IM)工具的情况。除了感觉到他们没有违反公司的规定外,所有人都提到即时通讯工具让自己的工作轻松了许多。没有人看到问题的关键所在。

这证明了安全策略存在含糊不清的部分。为了消除所有的含糊之处,会议上提出了下列的调整措施:

· 如果某些程序或服务被禁止,在安全策略中将会具体列出,并通报给每一位员工。

· 定期对安全策略进行审定。如果确实需要改变以满足目前业务要求,就予以调整。

· 通过技术措施实现禁止功能,而不依赖于对用户进行培训。

2 :在安全与工作效率之间实现平衡

安全和工作效率是一个问题的两个方面。对所有人来说,***的办法就是在中间取得平衡。在本次会议上,这个问题显得非常突出,更类似一个无人地带。

IT人员按照自己的理解进行工作。一些安全措施会导致生产过程的开支大大增加,这在他们的眼里是可以接受的。但工厂经理却不会同意这种做法。因为,在他们的头脑中,提高工作效率降低生产成本才是公司成功的***准则。

谁的观点是正确的?我认为两者都不是。无论如何,地盘之争对大家都没有好处。在***执行官的监督下,双方共同努力,创建一个新战略,可以提高安全,增加产量,并减少间接费用。现在,大家的立场一致了。

3:该策略适用于所有人

在关于安全策略是否应该适用于所有人的讨论中,我发现了有趣的问题。有些员工确实认为安全策略并并不适用于他们。***执行官迅速结束了这样的讨论。她指出,如果这里存在问题的话,就对安全策略进行重新审核,看看它是否需要进行调整。

结 论

我的客户经历了一个痛苦而有益的探索过程。我想和大家一起分享他们的经验,这可能会给其它人提供帮助。

【编辑推荐】

  1. IT安全涵盖 从数据中心到桌面系统
  2. 两妙招助你成为超级IT安全专家
  3. IT安全认证逐渐走俏 需求呈上升趋势
责任编辑:赵宁宁 来源: ZDNet安全频道
相关推荐

2012-11-09 10:55:44

2018-03-09 10:51:08

2011-01-24 13:51:46

信息安全策略安全管理

2013-12-10 13:26:51

移动安全MDM

2010-01-05 11:00:54

2013-03-29 10:44:00

移动设备BYOD移动安全

2013-09-17 11:07:22

2024-10-24 14:23:03

2011-08-11 10:37:48

2019-08-07 06:04:15

网络风险数据泄露漏洞

2017-02-07 09:28:29

云安全策略云计算

2011-02-23 09:54:49

2022-07-27 11:26:55

数据安全企业

2011-03-01 14:04:30

2022-06-29 11:04:17

开源软件企业安全策略

2015-09-02 10:21:55

2021-12-14 16:02:30

API安全漏洞网络攻击

2010-09-17 14:50:06

2010-09-27 17:02:00

2019-07-22 13:11:39

网络安全信息安全网络威胁
点赞
收藏

51CTO技术栈公众号