在讨论公司的安全预算时,会有很多种考虑:是购买更好的防火墙、入侵防护系统、防病毒软件,或者还有其他听起来更诱人的终端安全软件?其实,最需要投资的是企业内部的一个最大安全漏洞——最终用户,如果企业能对员工进行充分的安全教育,这比其他任何安全技术加起来的作用都要大。
绝大多数公司认为,只要发个E-mail,告诉员工什么能做,什么不能做就行了。也有些公司在新员工培训的幻灯片中花五分钟谈安全问题。这些动动嘴皮子的做法基本上没什么用。实际上,这样做的结果无异于告诉员工:我们不用重视IT安全,你们愿意做什么就做什么好了。
人们倾向于认为,由技术带来的问题可以用更多的技术来解决。在许多时候,这样做或许是对的。但对于网络安全来说,却是个例外。安全解决方案的最关键要素是人,技术的作用相对来说比较小。
在给员工发放计算机和网络口令之前,应该先就如何安全使用内部网络系统进行半天或一天的培训,把宝贵的时间和资源花费在安全培训上,目的是告诉新员工,公司非常重视IT系统安全流程,并不是说说就完了。培训应该告诉员工从敲出口令那一刻开始有关安全的所有常识;还要告诉他们如果破坏了系统安全,要承担什么后果。
如果有人违规了,就应该受到惩罚。安全网管可能认为罪该除名,但人力部门未必同意。因此可以想出一些折中的办法。比如说,如果有人把密码口令写在信封上或贴在显示器上,就该罚他少休一天年假,这样才会引起注意,因为没人喜欢少休假。如果有人因为安全问题被罚了一礼拜的假,等待他的就应该是被开除。
关于安全问题常见的抱怨是,密码太复杂了,很难记得住。困难当然存在,也许你需要把密码写下来,放在一个安全的地方,比如说钱包里。你把钱和信用卡放在钱包里,装在衣袋最里面,想来是要确保其安全。如果你觉得为了保存密码口令而打开钱包太麻烦的话,那么解职也许是最合理的解决办法。
如果员工努力保护了公司的网络安全,也应该受到奖励。比如说,如果公司IT系统全年都未曾被病毒感染过,那么所有的员工可以在来年获得一天额外的休假。
关于安全,人们对技术强调得太多了,却忘记了,技术掌握在人的手里。为了保护公司的网络系统安全运转,从CEO开始,需要花费更多的资源来培训和重新培训员工,告诉他们安全问题事关重大。如果没有每个人的参与,安全之仗必输无疑。
【相关文章】
相关文章
