如何让领导认识到信息安全的重要性

在不少公司中,信息安全都属于非常难于被接受的概念,这一现实是毋庸置疑的。尤其是在经济危机的时代,公司资金状况开始变得非常紧张,安全方面的措施和预算就会属于首先遭遇削减甚或完全取消的项目。这时间,最常见的一种借口就是安全项目缺乏明确的投资回报率(ROI)。但在绝大部分情况下,对事实真相利用前景理论来解释就是:如果在针对一个安全项目的支出(确定的“损失”)与一起潜在安全事件(可能会也可能不会发生的更大损失)带来的风险之间进行选择时,管理层往往会选择针对不会发生问题的概率进行赌博。如果他们对于威胁和潜在影响没有足够认识的话,这种情况就会变得尤其明显。

把握听众的内心

为了避免这样的问题出现,技术人员就需要选择对威胁、风险和防范措施等方面的情况进行明确说明。这时间,技术人员需要注意的就是不要使用过于专业的技术语言来对风险情况进行详细说明,而应当将内容重点放在与业务整体的关联上,让听众了解到该做法将会对业务和声誉带来的实际影响。

此外,做到满足安全法规的要求也是让管理层理解信息安全方面需求的一种好办法。当然,这里需要注意的就是不要本末倒置,将法规遵循情况作为安全的最终目标。大家一定不会忘记作为标准的泰坦尼克号的最终下场。并且,即便公司遵循了安全法规,依然很有可能遭遇到安全事故或者风险。毕竟,遵循安全法规仅仅属于万里长征的第一步。它只能强迫公司部署最基本的安全措施。因此,安全项目不应该仅仅针对于满足法规方面的要求,而应当关注公司整体面临的安全风险。

利用其它项目来捆绑安全措施

通常情况下,对于技术人员来说,选择将安全措施与业务需求捆绑成为一个整体就属于很好的解决方法。在新业务项目或者计划开始的时间,安全功能就应当成为整体中的组成部分。这就如同一辆新汽车中应当包含安全带、安全气囊以及大量其它方面的安全措施和功能一样,新项目中应当包含有安全组件的必要预算。此外,在对现有产品和服务进行调整的时间,也属于添加安全功能的好时机。不过,所有这些方法都与信息技术在业务中的地位相关。毕竟,“影子技术”类型的项目可能会在私下没有适当安全性要求的情况下实施。因此,技术整体策略中应当包含内容明确的安全政策,而不仅仅是简单的说明。只有这样,才能有效降低问题出现的概率。

制造恐慌可能会适得其反

当然,制造恐慌确实属于可行的方法。作为一种基本情感,恐惧可以驱使人们脱离正常合理的普通方式去进行思考以及行动。因此,我们很难证明它不会产生出效果。但就个人而言,我不喜欢这种做法。公司过于恐惧的话就会导致太多的虚假警告出现,而这可能让人们变得愈加偏执。最终的结果就会反过来,这将导致真正威胁到来的时间,人们会因为存在“狼来了”的错误心态而予以漠视。

准备好迎接意外之财

最后,技术人员还要做好迎接“意外之财”的周详准备。当然,造成这种情况出现的原因可能会有很多种。失败的审计、灾难性的安全事故或者成功的防范都可能属于其中涉及的情况。而这样导致的结果就会是安全预算资金意外激增,针对的范围可能会是整体也可能会是特定某个部分(举例来说,数据泄露防护就是属于可能的领域之一)。因此,技术人员在平时就应当做到从安全策略的整体来进行全盘考虑,找出自身的优势以及缺陷所在;这样在意外之财到来的时间,所有要做的工作就是进行充分有效的利用。