轻松维护网络安全 无需更多的举报人

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：汤姆·欧扎克

下面的这个事实你可能不会同意，就是管理中的风险和拒绝执行安全措施，并不一定会给公司带来安全上的漏洞。你需要对外部机构提供的安全报告进行仔细分析和衡量。

正在我阅读相关杂志（以便赶上预定的进度，将积压的杂志和其他永无休止的期刊阅读完）的时间，看到了一场有信息安全主管参加的讨论。主题是，安全是否需要举报人？

安全专业人士存在的价值是，防止个人可识别信息以及电子受保护健康信息处于危险之中。如果没有他们的帮助，管理将带来很大的风险，投递这个文章的用户，鲍勃·布兰顿是这样得出结论的：

这个问题可以归结到一点上：如果内部的人认为存在可能导致“重大损害或不便 ”的问题会导致顾客的隐私被破坏，而公司拒绝进行任何改善的话，是不是最佳方案。也许是，也许不是。尽管我记得的一些财务数据可能在TJX公司服务器的某个角落，但我还是不知道。你的呢？

资料来源：《信息安全主管杂志》 2008年7月-8月刊第6页的话题讨论

我认为这场讨论错过了一些根本性的问题。举例来说，决定是否向报告公司的疏忽是一个道德的挑战。尽管存在保护举报人的法律，但举报将会给你的职业生涯带来消极的影响。但不管怎么说，一家公司如果采取了这样的做法，无论在法律上或道德上都是错误的。

在确认了公司存在不当行为的时间，员工有四种选择。

1.他们可以保持沉默，希望事情的结果变成最好的预计，并且忘记这个问题。

2.他们可以对管理层不停的抱怨，让时间来验证这一切。

3.他们可以选择其它的工作，报告这个问题并继续工作。

4.他们可以留下来，报告疏忽或违法违规行为。

这些选择受到包括财务状况、家庭责任、职业生涯的目标和目的以及其它方面在内的很多因素的影响。

这里还有一个要考虑的问题。安全管制申请的决定，并不是一门精确的科学。它依赖于风险评估、管理层对潜在商业影响力的认识，以及如何让公司回避风险的想法。决定什么是合理和适当的控制，往往是主观的，而且经常伴随着安全团队的分歧。不过这并不一定意味着该公司的疏忽是不道德的。判断这一点的最重要因素是在举报人举报前是否实际存在不合理的风险。