保护企业网络和数据安全 十大计算机安全陋习

　　正确做法：组建一个覆盖公司各个部门的综合小组，决定企业内部哪些是在安全方面需要注意的危险区域。

　　陋习四、安全管理过于苛刻死板，以安全的名义扮演扼杀者的角色

　　信息安全管理员最爱干的事可能就是先摇摇头再大声说“这样不行!”。一些IT部门长久以来形成了一种不好的名声，就是以安全管理的名义对什么能做什么不能做持最终“一票决定权”。

　　但长此以往这样下去是有害的。“负责安全的人员会倾向于否定其他人的想法，当然主要是从安全管理的角度来看。” Eric Maiwald说，“如果安全管理人员总是用没有时间来搪塞，长期下来其他人可能就会觉得或多或少受到了排斥。”

　　芝加哥安全咨询公司Neohapsis的首席执行管Kelly Hansen认为总说“不行”只是懒人推卸责任的借口而已。“很多时候他们说不行只是担心万一出问题自己要承担后果而已，他们觉得有可能会出问题，但是又没有时间去调查，相比之下仅仅说一声‘不行’则要简单多了。长此以往，其他人就会觉得安全管理员并没有起到任何帮助和推动公司业务的作用，而实际上却坏了很多事。” Hansen说。

　　Hansen所工作的一个信息安全部门则推行着一套“只说可以”的制度。设想这样一个场景，如果一位业务主管想在某个敏感的区域安装一个无线接入点的话，他来征求安全管理员的意见，这位管理员很可能会回答说“我明白你的需求，这主意不错，不过对这件事我总结了一份风险概要，你能不能看一下，然后在上面签个字?” 如果业务主管看了后觉得确实有问题的话，他很可能就会征求并最终采纳安全管理员的建议。这种做法就能让双方在解决问题时积极配合。