在本文中，阿方索巴雷魯介紹了數(shù)條可以幫助領(lǐng)導(dǎo)認(rèn)識到信息安全重要性所在的秘笈——以及應(yīng)當(dāng)盡力避免的多種錯誤做法。

在不少公司中，信息安全都屬于非常難于被接受的概念，這一現(xiàn)實是毋庸置疑的。尤其是在經(jīng)濟危機的時代，公司資金狀況開始變得非常緊張，安全方面的措施和預(yù)算就會屬于首先遭遇削減甚或完全取消的項目。這時間，最常見的一種借口就是安全項目缺乏明確的投資回報率（ＲＯＩ）。但在絕大部分情況下，對事實真相利用前景理論來解釋就是：如果在針對一個安全項目的支出（確定的“損失”）與一起潛在安全事件（可能會也可能不會發(fā)生的更大損失）帶來的風(fēng)險之間進(jìn)行選擇時，管理層往往會選擇針對不會發(fā)生問題的概率進(jìn)行賭博。如果他們對于威脅和潛在影響沒有足夠認(rèn)識的話，這種情況就會變得尤其明顯。

把握聽眾的內(nèi)心

為了避免這樣的問題出現(xiàn)，技術(shù)人員就需要選擇對威脅、風(fēng)險和防范措施等方面的情況進(jìn)行明確說明。這時間，技術(shù)人員需要注意的就是不要使用過于專業(yè)的技術(shù)語言來對風(fēng)險情況進(jìn)行詳細(xì)說明，而應(yīng)當(dāng)將內(nèi)容重點放在與業(yè)務(wù)整體的關(guān)聯(lián)上，讓聽眾了解到該做法將會對業(yè)務(wù)和聲譽帶來的實際影響。

此外，做到滿足安全法規(guī)的要求也是讓管理層理解信息安全方面需求的一種好辦法。當(dāng)然，這里需要注意的就是不要本末倒置，將法規(guī)遵循情況作為安全的最終目標(biāo)。大家一定不會忘記作為標(biāo)準(zhǔn)的泰坦尼克號的最終下場。并且，即便公司遵循了安全法規(guī)，依然很有可能遭遇到安全事故或者風(fēng)險。畢竟，遵循安全法規(guī)僅僅屬于萬里長征的第一步。它只能強迫公司部署最基本的安全措施。因此，安全項目不應(yīng)該僅僅針對于滿足法規(guī)方面的要求，而應(yīng)當(dāng)關(guān)注公司整體面臨的安全風(fēng)險。

利用其它項目來捆綁安全措施

通常情況下，對于技術(shù)人員來說，選擇將安全措施與業(yè)務(wù)需求捆綁成為一個整體就屬于很好的解決方法。在新業(yè)務(wù)項目或者計劃開始的時間，安全功能就應(yīng)當(dāng)成為整體中的組成部分。這就如同一輛新汽車中應(yīng)當(dāng)包含安全帶、安全氣囊以及大量其它方面的安全措施和功能一樣，新項目中應(yīng)當(dāng)包含有安全組件的必要預(yù)算。此外，在對現(xiàn)有產(chǎn)品和服務(wù)進(jìn)行調(diào)整的時間，也屬于添加安全功能的好時機。不過，所有這些方法都與信息技術(shù)在業(yè)務(wù)中的地位相關(guān)。畢竟，“影子技術(shù)”類型的項目可能會在私下沒有適當(dāng)安全性要求的情況下實施。因此，技術(shù)整體策略中應(yīng)當(dāng)包含內(nèi)容明確的安全政策，而不僅僅是簡單的說明。只有這樣，才能有效降低問題出現(xiàn)的概率。

制造恐慌可能會適得其反

當(dāng)然，制造恐慌確實屬于可行的方法。作為一種基本情感，恐懼可以驅(qū)使人們脫離正常合理的普通方式去進(jìn)行思考以及行動。因此，我們很難證明它不會產(chǎn)生出效果。但就個人而言，我不喜歡這種做法。公司過于恐懼的話就會導(dǎo)致太多的虛假警告出現(xiàn)，而這可能讓人們變得愈加偏執(zhí)。最終的結(jié)果就會反過來，這將導(dǎo)致真正威脅到來的時間，人們會因為存在“狼來了”的錯誤心態(tài)而予以漠視。

準(zhǔn)備好迎接意外之財

最后，技術(shù)人員還要做好迎接“意外之財”的周詳準(zhǔn)備。當(dāng)然，造成這種情況出現(xiàn)的原因可能會有很多種。失敗的審計、災(zāi)難性的安全事故或者成功的防范都可能屬于其中涉及的情況。而這樣導(dǎo)致的結(jié)果就會是安全預(yù)算資金意外激增，針對的范圍可能會是整體也可能會是特定某個部分（舉例來說，數(shù)據(jù)泄露防護(hù)就是屬于可能的領(lǐng)域之一）。因此，技術(shù)人員在平時就應(yīng)當(dāng)做到從安全策略的整體來進(jìn)行全盤考慮，找出自身的優(yōu)勢以及缺陷所在；這樣在意外之財?shù)絹淼臅r間，所有要做的工作就是進(jìn)行充分有效的利用。