如果組織在工作安全方面限制過多的話，工作人員通常選擇便利性而不是安全性。但是組織可以采取一些步驟將安全平衡扭轉回來。

作為一名網絡安全專家，Oxford Solutions 公司總經理Richard White對于鎖定敏感數據以免被人誤用表示支持。另一方面，他表示，有些公司在安全方面也有過度限制的情況。

企業在安全方面如果過度限制，那么容易將其工作人員拒之門外，這可能會弄巧成拙，很難讓工作人員有效的工作。因此他們需要找到更好的解決方法。這是一個降低生產力的場景，具有諷刺意味的是，數據本身處于危險之中。

White表示，他在辦公室中就看到這樣的一件事：一名工作人員在其電腦屏幕上拍攝了一張受保護信息的照片，這樣他就可以利用這張圖片完成一項工作。“如果安全措施過于復雜，工作人員要做的第一件事是尋找解決方法，而這樣組織所設置的安全措施將完全失敗。網絡安全專家需要根據實際的安全風險真正了解自己的政策、程序、技術，這是非常必要的。”White說：“這必須是理性的安全措施和用戶想要完成工作的合理組合。”

White和其他專家表示，網絡安全團隊不需要改變他們的操作來實現安全措施和可用性的更好平衡。相反，他們可以首先解決常見的幾個領域問題，即工作人員通常會犧牲安全懷來提高生產率。

(1)復雜的密碼要求

制定密碼是安全的關鍵措施，但安全專家表示，組織已經制定了如此復雜的密碼策略，以至于工作人員試圖擺脫這種過度保護的權力，這種行為反而變成了漏洞。這些安全策略和措施通常要求工作人員使用過長的密碼，而且需要的特性太多(例如，大寫和小寫字母，數字和符號，以及最少數量的字符)。這些安全策略也經常要求工作人員至少每隔幾個月更換一次密碼。

其結果是，有些工作人員將密碼記錄下來，或者甚至更糟的是，將密碼存儲在計算機文件中。White說，他曾與一家遭受黑客攻擊的公司合作，在審查中發現一名行政級別的工作人員將其密碼存儲在一個電子文件中。雖然目前還不清楚這個存儲的密碼在發生的這次攻擊事件中扮演了什么角色，但White表示這的確是一個嚴重的問題。

當然，White和其他安全專家說，密碼仍然十分重要。他們建議組織更聰明地使用密碼政策，并將復雜的要求限制在更合理的水平。

(2)共享密碼

總部在德克薩斯州奧斯汀的安全咨詢商Spohn公司的高級安全顧問Tim Crosby在一個相關的說明中表示，一些工作人員與同事分享他們的密碼。盡管從安全的角度來看這不是一個聰明的做法，但工作人員這樣做是因為他們需要與同事共享文件訪問權限。他說，這種情況發生在組織內部的各個層面，從與助手共享密碼的管理人員到一起工作級別較低的工作人員。

為了抵制這種行為，他說，網絡安全團隊應該與業務人員開展合作，以便更準確地識別哪些用戶需要訪問哪些文件，然后創建如何允許共享訪問的安全策略。

(3)登錄過載

組織不僅在對密碼要求的復雜性方面具有問題，而且他們希望員工在登錄簽名的次數也有問題。許多工作人員在一天的工作中需要進行多次登錄并通過認證，OneLogin公司是一家基于云計算身份和訪問管理提供商，該公司首席信息安全官Alvaro Hoyos表示，許多工作人員在整個工作日都具有多次登錄和身份驗證要求，以致于他們的工作效率下降。

他和其他專家表示，這樣的舉動迫使工作人員設法規避登錄要求，例如，將他們需要的數據從安全的應用程序中轉移出來，并將其放在一個易于訪問的地方，而不必擔心如果離開辦公桌幾分鐘則必須重新登錄的問題。調研機構Forrester Research公司首席分析師，暨ISACA(一家專注于IT治理的國際專業協會)的董事會主席Rob Stroud說，安全團隊可以采取多種方案來解決這種情況。

這些解決方案包括使用身份管理和單點登錄解決方案、令牌、更高級的用戶和實體行為分析(UEBA)功能，區分正常和異常的工作模式，指示需要關閉的潛在威脅，以及快速生物測定，并且需要方便的訪問。Hoyos說：“組織必須在安全性和便利性之間找到適當的平衡。”安全專家應該針對“無摩擦的安全性”進行研究。

(4)數據被劫持

保護敏感數據的需求已經成為大多數組織的首要任務，但是網絡安全專家認為，許多組織創造了如此多的不必要的保護層，以至于他們降低生產率，并促使工作人員實施了不安全的行為。這種工作人員不遵守安全規定的證據越來越多。White說，像工作人員拍攝他所需要的信息的例子屢見不鮮。其他安全專家則表示，曾經目睹工作人員在不安全的情況復制文件、傳輸文件，以及使用未經批準的文件共享應用程序。

Crosby說：“許多管理者并不知道獲取數據是多么的容易。”他補充說，這樣的解決方案相當于在組織的保護層打穿了一個漏洞，從而增加了風險。“這不是企業面臨的一個新困境，它是安全范式的一部分。每當組織推出更安全的舉措時，這為工作人員帶來不便，他們會想辦法解決問題，特別是如果他們不明白原因的話。”

White說，組織應該認識到，如果他們以相同的敏感度來對待所有的數據，就會給自己己帶來難題。他表示，安全團隊需要花更多的時間在數據分類上工作，以保護真正敏感的信息，同時消除大多數工作人員采用工作的低敏感信息的障礙。White說：“這是一項艱苦的工作，但只有一次才能完成。”

(5)繁瑣的工作流程

工作流程是企業業務的安全性和生產力相互沖突的另一方面。印刷管理解決方案商Y Soft公司的掃描部門高級副總裁Wouter Koelewijn說，他看到工作人員在正常的工作中共享、掃描、發送電子郵件，以及打印文件。他們或者沒有意識到潛在的安全風險，或者只是為了必須完成工作而不顧安全措施。

Koelewijn表示，在以往，企業為了讓工作人員更加安全地工作，錯誤地設計了不容易適應現有日常工作流模式的系統。他說：“但我們從用戶那里看到的行為是，如果詢問他們太多的安全問題，或者對文件進行分類，他們想要達到的目標就失去了平衡，所以他們會找到自己的解決方案。”

他表示，企業需要投資技術和系統設計，使工作人員能夠輕松遵守規則，更重要的是盡可能實現自動化。例如，系統應該被設計成安全地掃描被識別為敏感的文件，而不會使工作人員忽略。

Stroud補充說：“我們必須考慮安全性并不突出的工作流程，組織需要根據風險適當地加入安全措施，因此并沒有一個適合所有人的解決方案。”