漫谈企业责任与安全责任

 ZDNet安全频道原创翻译 转载请注明作者以及出处

对于一家技术公司来说，在保证股东利益的责任和保障客户安全的责任之间是有着直接冲突的。忽略这一点会带来极大的危险。

企业责任是一个术语，通常指的是公共机构中的政策授权和业务决策者的优先级别。这种责任在具体道德领域属于一种特殊类型，和一般情况下的普通道德系统有着明显的区别。这一责任在理论和实际中的应用限制是整个公共机构里的所有决策者以及代理商，防止出现了可能干扰决策者或代理商为企业提供直接服务能力的情况，尤其在特定领域道德体系的问题出现时。

总而言之，企业责任的范围是整个公共机构里的所有决策者以及代理商，他们必须将首要责任确定为"保证公司股东投入的资源获得成功。"这样的话，决策者以及代理商才属于"完成了服务，任何会阻碍这一目标实现的情况都属于排在第二位需要清除的。结束。"

与此相反，在我们对公司提供的软件和服务进行选择作出决定的时间，希望看到的是真实情况，了解共同责任，并对事实进行诚实乐观的陈述。为计算机选择操作系统的时间，你会倾向于将优先满足使用者要求的公司放在第一位，还是将优先为股东投入获得良好投资回报率的公司排在前面?

当这一问题涉及到软件和服务的安全性时，就可能以多种不同的方式表现出来。下面给出的三个(假设并不是完全)例子仅仅是冰山的一角。

A.隐私

在政府执法机构提出定期处理客户数据的要求后，你认为下面的哪种方式更能够节约资金?

1、对要求的来源进行审核，确认这样的要求(传票、许可等等)涉及到的法律规定，要求律师对文件进行详细研究，为了遵循法律要求而将个人客户信息的暴露降低到最低限度，并且在最后进行合法性搜索处理，以保证访问数据的任何非法请求都被拒绝，充分保证公司客户的安全。

2、建立一个自动化的执法数据访问门户网站，然后故意忽略掉它，只是祈祷这里没有任何可能的漏洞并希望没有人会注意到有违规行为的出现。

B.测试

当对数百万最终用户用来管理财务信息的软件或者服务进行安全测试的时间，你认为哪一种方式更有效?

1、对软件或服务进行全面测试。在开发完成后，进行深入的专题小组测试。当该工作结束后，就进行封闭测试。最后，开展第二版beta测试，在足够的时间里尽量清除系统中的错误，将可能的错误数量降到最低。只有这样的话，软件或服务才算做到了发布的状态。

2、进行简单的测试，直到你认为剩下的错误不可能在很短的时间内完全破坏掉公司的声誉即可，然后不开展进一步的保密测试就直接将充满错误的软件发布到公开市场上，并利用基于脆弱性管理的策略(见下文)，试图掩盖将未完成的软件强加给不知情客户群的真正事实。

C.脆弱性管理

对于最终用户来说，你认为使用桌面应用程序或网络服务发现存在的漏洞与安全攻击者利用它进行攻击后变成为众所周知的事实相比，哪一种方法更有效?

1、确保安全安全漏洞是可以被迅速修复的，并且要提醒用户了解漏洞的情况，让他们在补丁发布之前可以通过停止使用软件或服务的变通方式来保证安全。

2、保持沉默，让用户尽可能对漏洞的存在一无所知，这样的话，公司产品和服务的信心就不会受到损害。

严酷的现实

很可能，从一名最终用户和提供软件或网络服务公共机构的首席执行官那里，获得的答案是不相同的。这一可悲事实的关键在于，朽木不可雕的问题对于商业公司名誉来说带来的是破坏。相反，从道德角度来看，这一问题存在相互矛盾。一方面，公司必须要保证客户责任，另一方面，它又需要对股东负责。相比道德，现实中强制执行的法律又几乎普遍要求公司更加关注客户利益。因此，这取决于你如何看待这一问题，你可以认为它没有正确答案，也可以说没有错误答案，甚至"更正确"的答案对于最终用户来说也不是什么大问题。

这就是《为什么不会有值得信赖的品牌》的原因。它也是《加密不等于用户不可靠》的部分原因。也许这是我们都应该学会自己的事情自己处理最重要的一个原因。