如何根据情况更改企业IT安全策略

　　一位客户曾经邀请我参加一个会议。我答应了，并且询问会议的主题是什么。客户告诉我，主题是希望对IT安全策略进行调整。现在，我们都知道该策略存在问题了。该公司的首席执行官也知道让所有人都支持是非常重要的，因此，她希望这将成为坚持不懈的工作。

　　结 果

　　令人惊讶的是会议的进展是相当不错的。首席执行官对实际情况进行了说明，并且要求所有人都开始工作。很快，所有人一致认为安全策略出现的大部分问题都来自三个方面。

　　1：策略内容不明确

　　我看到过的大多数IT安全策略讲述得都很不清楚，因此，对于员工来说，可以说是毫无价值的。举例来说，该公司的IT安全策略规定，禁止使用社会化网络应用。

　　在会议期间，我询问了几名员工使用即时通讯(IM)工具的情况。除了感觉到他们没有违反公司的规定外，所有人都提到即时通讯工具让自己的工作轻松了许多。没有人看到问题的关键所在。

　　这证明了安全策略存在含糊不清的部分。为了消除所有的含糊之处，会议上提出了下列的调整措施：

　　· 如果某些程序或服务被禁止，在安全策略中将会具体列出，并通报给每一位员工。

　　· 定期对安全策略进行审定。如果确实需要改变以满足目前业务要求，就予以调整。

　　· 通过技术措施实现禁止功能，而不依赖于对用户进行培训。

　　2　：在安全与工作效率之间实现平衡

　　安全和工作效率是一个问题的两个方面。对所有人来说，最好的办法就是在中间取得平衡。在本次会议上，这个问题显得非常突出，更类似一个无人地带。

　　IT人员按照自己的理解进行工作。一些安全措施会导致生产过程的开支大大增加，这在他们的眼里是可以接受的。但工厂经理却不会同意这种做法。因为，在他们的头脑中，提高工作效率降低生产成本才是公司成功的最高准则。

　　谁的观点是正确的?我认为两者都不是。无论如何，地盘之争对大家都没有好处。在首席执行官的监督下，双方共同努力，创建一个新战略，可以提高安全，增加产量，并减少间接费用。现在，大家的立场一致了。

　　3：该策略适用于所有人

　　在关于安全策略是否应该适用于所有人的讨论中，我发现了有趣的问题。有些员工确实认为安全策略并并不适用于他们。首席执行官迅速结束了这样的讨论。她指出，如果这里存在问题的话，就对安全策略进行重新审核，看看它是否需要进行调整。

　　结 论

　　我的客户经历了一个痛苦而有益的探索过程。我想和大家一起分享他们的经验，这可能会给其它人提供帮助。