安全热议 您的企业安全策略是否有效？

　　美国市场调查公司InsightExpress近日进行的一次企业安全调查，该调查涉及10个国家的2000多名员工和IT专业人士，调查问题包括企业安全政策的普及率和有效性，以及员工不遵循安全政策的原因等。调查显示，企业安全策略的管理存在十分严重的缺陷。不遵守企业安全政策的原因，往往是员工与IT专业人士间缺乏沟通和认识，并且没有及时根据员工的工作目标调整政策。

　　思科公司的高级安全顾问Christopher Burgess说，“技术并不等于安全，如果员工们能够懂得安全政策的价值，他们就会很好的遵守它。”

　　对于渠道合作伙伴而言，该调查可以开启他们与客户关于安全问题的新对话，同时创造新机会来向客户提供咨询和评估服务。

　　思科业务发展渠道主管Susan Don说，“这将帮助我们的合作伙伴全方位地了解他们所能够提供地咨询方面地服务，并能衍生出一系列相关问题。公司的数据可能通过很多种方式被泄漏，客户从他们的渠道商来了解这些问题是很重要的。”

　　以下是该调查发现的问题：

　　缺乏政策和变化的工作环境

　　对于那些安全问题已经升级的公司，大约只有四分之一(23%)的企业表示他们没有一个标准的安全政策。

　　缺乏适当安全政策的部分原因可能是由于工作环境改变太快，改变程度已经超过了很多公司的IT政策能控制的范围。这项调查表明，安全政策与员工行为之间存在沟通问题的原因之一是因为工作环境变得更具移动性和协作性，并且随着周围环境的改变，旧的安全政策也随之失效。

　　“(员工们)变得更加灵活和分散，数据也被分散在各处，”Burgess说。同时，很多员工开始把笔记本电脑带回家或者咖啡店操作，因此安全政策常常顾忌不到公司外的数据泄漏行为。

　　缺乏对政策的认识

　　大多数公司都部署了安全政策，但是研究表明，员工通常无视或者忽视安全政策。

　　原因何在?他们可能甚至都不知道公司有这样一个安全政策。

　　尽管IT管理员会意识到他们公司有一个安全政策，知道并不是所有信息都能够暴露给员工。研究表明，知道安全政策存在的IT管理员要比必须遵循安全政策的员工高出20%到30%，百分比相差最大的是美国、巴西和意大利。

　　沟通障碍

　　员工不遵循公司条例往往是由于缺乏沟通，这项调查发现，当IT部门将政策告知员工时，他们通常使用的是非言语手段，很容易被遗忘的方式，如电子邮件、即时消息和语言信箱等。其结果是，调查中有11%的员工表示IT部门从来没有或者很少与他们交流安全政策方面的知识。

　　安全政策需要更新

　　调查中有四分之三的IT专业人士以及将近一半的员工认为他们的安全政策需要更加频繁地进行更新， 需要指出的是，中国和印度这两个国家是最缺乏定期更新意识的国家。

　　不公平的安全政策

　　调查的10个国家中有8个国家的大多数员工认为他们公司的安全政策不公平或者妨碍他们工作。那些能够更多地使用web 2.0应用程序和社交网站、视频和移动设备的员工表示，他们开始越来越多地在工作场所使用这些程序，但是很不喜欢限制他们使用web 2.0应用程序的过时的IT安全政策。

　　IT人士和员工：不遵循政策的原因

　　IT人士坚持认为员工无视于政策存在的原因包括：没有意识到安全风险的严重性，并认为IT只是保护他们而根本不关心他们。

　　另一方面，员工们则表示，他们忽视安全政策是因为他们认为安全政策并不符合他们的工作要求，其次是因为接入程序的需要没有涵盖在政策中。

　　Burgess表示，如果你的员工不理解为什么需要安全政策，那么，你需要调查为什么安全政策存在的原因。

　　作为企业的安全管理人员，需要积极主动的适应新的安全需求，灵活制定策略，以满足新形势下的安全需求。