规模较大企业的IT部门常常分工较细,IT人员各守一摊,于是IT安全团队和IT运维团队各司其职的同时也难免各自为政。需要注意的是,不是每位IT员工都具有安全意识,有些甚至无形中为IT安全拆台,如果连IT人都不重视安全,指望技术门外汉的普通员工来维护安全简直是无稽之谈。
正所谓“态度决定高度”,这句名言其实对于各类机构及企业实施并维护IT安全也能起到很好的指导作用。——无论大家对这句话是否认同,每位IT工作者的态度都会切实影响到所在机构、企业或者高校的IT安全保障。安全处理态度的影响力绝不仅仅局限于IT部门,更会决定机构中普通成员对安全事务的重视程度。
对普通IT工作人员来说,安全事务依然会被视为一个麻烦事儿——他们不仅认为这类工作“事不关己”,还将由此带来的限制当成是对自身业务的严重阻碍。环顾任何IT部门,我们会发现“孤岛”状况依旧存在。
只要企业规模足够庞大,个人及由个人构成的群体都会自然而然地被专业知识划分开来。其中包括网络组、数据库组、规划组、中间层组、VoIP组、系统分析师、系统管理员以及计算机支持组等等;而在各个分组之外,傲慢的安全人员又会形成属于自己的独立领域。
IT人员认为对用户接入敞开方便之门,帮助他们访问更多数据、简化信息检索流程并提高员工的日常工作效率是IT部门的职责;但IT安全团队的成员则习惯怀疑一切并对所有活动加以锁定。更有甚者,某些IT安全从业者会对其他疏于考虑产品或服务保护的IT人士颐指气使、横加指责,进而加剧双方的工作矛盾。
用户常常会打来电话汇报“昨天我们还能做‘X’,但今天突然就不行了”,对这类意见IT团队往往会在电话中或即时通讯平台上直接抱怨称“那是因为安全小组锁定了‘Y’,因此导致‘X’无法继续生效。终端用户当然不理解新政策到底是好是坏,他们只能从IT团队的反馈中得知是其他人从中作梗才破坏了“X”的正常使用,进而阻碍了自己熟悉的工作流程。从这个角度看,安全保护工作成了一件坏事,而且这种观点会由IT团队传播至终端用户当中。
安全不应该以这种孤立的方式推行。所有IT人员与普通员工都需要理解安全工作的重要性、进而弄清楚自己在日常业务中的决定会给整个企业的安全体系带来何种影响。无论是执行技术实施方案还是与用户交流新的安全实践措施,IT部门做出的决策都会给企业带来深远影响。安全问题不容忽视,每个人都应严肃对待。态度积极、执行主动才是切实保障安全性的两大主要方式。
大多数IT工作者对于IT安全人员及其管理政策都不至于抱有敌意。IT团队中的某些成员缺乏IT安全知识,他们在进行日常决策时往往没有从安全角度出发进行全面考虑。这种将安全考量视为阻碍或者不加重视的习惯通常与IT人士受到的教育紧密相关。
大家不妨回想自己在大学中的学习经历,这里我们以编程课程为例。各位还记得学校什么时候才开始教自己进行输入验证或者错误检查吗?通常我们会先学习如何利用键盘输入内容并将其在屏幕上显示出来,然后才在学期后半段接触有关内容修改的知识。我们往往把大部分时间用在帮助学生理解基础运作方式上,却忘了为其规划整体思路、强调输入验证与缓冲区溢出检查的重要性。很多人都认为“学生会在处理高级设计项目时自己掌握这类知识”,但事实上编程入门课程往往根本没有真正把IT安全教育融入其中。我们曾在过去的一系列讨论中确定了安全事务的跨学科属性,而IT人士对于安全问题的处理态度就把握在我们这些教育工作者手中。
回到原点!我们需要对IT人员进行培训、确保他们掌握安全基础知识。态度不仅影响个人工作效果、也会决定整个机构的安全水平,而这一切都将在日常事务中得到体现。