据国外媒体报道，不知道是不是FBI的疏忽大意，他们在44个月内总共丢失了160台笔记本，里面都有“敏感或者机密信息”，还有上个月的零售商TJX的二月陈述的闹剧，他们把客户信用卡信息放到了窃贼的手里，收到影响的客户比最初的预想还要多，安全事故屡次成为头版头条，让政府部门十分恼火。

　　不幸的是，即使是世界上最安全的技术也不能彻底保护企业免受最大的弱点攻击，那就是企业的——终端用户。安全研究人员反复强调终端用户是对企业安全造成威胁的最大风险。与那些可以打补丁的应用程序，或者可以加强威胁抵御的系统不同的是，终端用户无论是出于天真、不小心，还是恶意的想法，都会不断地将IT资源暴露在严重的安全威胁之下。

　　“安全基本上是个人的问题，” Scott Crawford说，他是企业管理联合会的高级分析员。“人类的本性是完全不可预测的，所以当它涉及IT的时候，风险状况就会每天都不断变化。”

　　当企业数据变得更加轻便的时候，它们就越容易受到不断进化的威胁的攻击，危险和这些危险所带来的相关成本都在不断增加。如果数据出事的话，可能会导致声誉的损害，补救的开支，罚款，以及其它成本，公司将面临着严重的经济后果。

　　由Ponemon学会秘密智囊团进行的，由安全供应商PGP Corporation 和 Vontu Inc.公司资助的一项研究，证明没丢失或者暴露一个记录，它的平均成本是182美元。根据公司的业务，以及记录对企业的重要程度，成本还不止于此。例如，专门为保险和其他行业提供风险管理和虚假客户信息的数据集成供应商ChoicePoint，在宣布他们的系统受到攻击，14万5千名客户的账号受到威胁的消息之后，看到它的市值狂跌7亿2千万美元。

　　但是，尽管在数据是如此方便带走的时代对网络信息进行保护是个真正的挑战，那些应用了正确安全技巧和技术的业务可以成功保护他们的资源。这从拥有最好的第一线防御开始：一个有效的可实施的企业安全策略集合，解决了如何以及由谁来访问、存储、传输和处理信息的问题。企业需要与访问这些信息的员工、承包人，以及合作伙伴对策略进行沟通。

　　控制的文化

　　“你想要做的就是在你的企业核心创建一种安全的文化，” 市场研究公司Heavy Reading 的高级分析师Robert Lerner说。“当你创建的时候，你的企业就立即会安全得多了。”

　　Lerner说，对控制所有数据联络点的策略的沟通——不管是进来还是出去——都是真正构成这个安全为核心的文件的基础。要想有效果，这些策略沟通需要持续，而不是像员工上班第一天就收到但是以后永远不再看的员工手册上某一夜的一个表格那样的过去的独角戏。

　　实际上，安全教育和持续的策略和程序的巩固都可以为业务提供保护自己的最强有力的武器。Lerner说，那些制订、沟通和加强有效的安全策略的企业不仅可以最小化数据丢失或者暴露的风险，还可以潜在地减少对一些昂贵的安全产品的需求。

　　“技术不会解决所有问题，” Lerner说。“但是那不意味着你就不能用其它的控制来取代技术——人为的控制——来保护你的企业。”

　　然而，一些企业仍然回避把注意力优先放在制订IT安全策略的问题。这种忧郁有着无数的原因，包括许多业务迄今为止还没有遇到过由于安全漏洞导致重大损失的事实。

　　然而，很多企业还单单陶醉在在公司范围内布置IT安全策略来保护数据的前景上面，而这些数据相当真实地在防火墙内外传输。当终端用户在笔记本电脑，或者其它移动设备，或者打印机和存储设备上，在企业网络和互联网上移动数据的时候，IT安全策略是无法涉及所有方面的。

　　瞄准基础

　　但是分析师说，企业没有必要把整个大洋都烧开了来设想和执行成功的安全策略。相反，企业应该注重IT安全的实效，从这里开始根据对最高优先级别和最有价值的资产进行的保护来定义他们的策略。企业管理委员会的Crawford建议可以使用的一种方法就是勾画出那些极少量的，但是如果被滥用了或者偷去了却会对企业自身带来最大风险的信息类型，然后列出保护这些数据的合适的策略。

　　Crawford还建议公司从根据信息种类定义安全策略处入手。Crawford说，公司可以从一些信息种类开始，根据这些数据的泄漏将会对业务造成的潜在影响，将严格的策略应用在数据的处理方式上。

　　“你不需要让一个信息或者数据安全策略作用在成百上千个精细分类上，” Crawford说。

　　相反，Crawford建议，按照对企业的潜在危害的比率来为各个类别制订策略。

　　那些可以公开并且不会给企业带来严重危险的信息可以不用特别的处理。

　　那些泄漏了就会对企业造成影响，但是还不是十分严重的影响的信息，只需要最小化的控制。

　　如果受到攻击会对公司产生严重影响，并且永远不会公开的数据记录，应该有最详细的控制策略来保护。最后，那些只能在公司内部拥有的数据应该彻底的锁住。

　　然后根据这些类别，公司就可以列出策略了。例如，所有需要最大保护的数据都应该加密，并且严格限制只能存储在强硬的系统中。

　　教育和加强

　　当然，如果用户不拥护，并且公司不坚持的话，那么最好的安全策略也是没有价值的。因此，成功依赖于安全企业教育可以访问公司IT资源的员工、承包商和合作伙伴的能力。这其中应该包括直接来自安全企业和上级的笔头和口头的交流。

　　自动化是另一个加强这些安全策略的关键工具。无论它是像取消手工操作终端用户电脑上的防病毒软件升级这么简单的，还是复杂的约束哪些数据可以打印或者存储在USB设备上，Crawford说，没有自动化，公司执行安全策略的范围就会变得难以处理。

　　有一些种类的安全解决方案可以在策略强制方面扮演重要角色，包括确定类似加密到更加先进种类，例如信息结构，的技术，和可以识别信息记录，并且采取相应的策略来进行保护的分级管理产品。

　　然而，虽然这样的安全解决方案在帮助企业在设置和实行企业范围内的信息安全策略方面起到了作用，但是仍然有太多的企业还没有把这些需求列入企业内容。

　　“我十分害怕，我觉得即使是真的发生了严重的损失之后，事情也不会有真正的改变，” Heavy Reading的 Lerner说。

　　他暗示那些还没实施真正的安全策略的公司正在用他们最重要的东西作赌注——他们的数据——还有他们的未来。他建议那些还没有对因特网使用加以保护策略的企业也需要为他们处理公司信息的方式制订一整套的规范给他的终端用户和管理者们。

　　“你可以做的能够保护你的信息的最便宜的事情就是让雇员们负责任，” Lerner说。他补充，这不仅会为企业在出事的时候提供一个替罪羔羊，还可以为他们需要更加精明地使用技术以及更负责任地处理数据的时候提供指南。

　　结果是：公司可以降低他们出事的风险，并且维护了一个更加安全的、更有生产效率的商业环境。

　　Amy Larsen DeCarlo是个自由作家，具有14年的商业和技术经验。Amy在多家出版社担任职位，包括Data Communications和InformationWeek。她还是2家企业的分析师——Enterprise Management Associates (EMA) 和Current Analysis公司。