最近邁克菲就"用戶本身對安全帶來的威脅與影響" 話題發起了 #SecChat的Twitter線上討論活動。我們得出了一個結論：無論安全技術變得多么先進，用戶始終是企業安全計劃中最薄弱的一環。因此，我們就如何應對用戶這最薄弱的一環，以及企業如何優化技術解決方案和策略來緩解用戶威脅所帶來的風險這些話題進行了討論。

安全的技術因素

一開始，我們首先詢問參與者常見的"最薄弱技術環節"是什么。有參與者認為劣質的安全應用程序是最要命的。其中有人補充到：應用程序設計者毫無風險意識，或者根本沒把安全視為問題。而大家普遍認為：將特定技術視為"最薄弱環節"是不負責任的。任何技術，無論多么先進，能否有用，都取決于實施它們的人。

接著我們的討論發生了轉折，有參與者提出，很多人之所以不愿意去制定安全策略，只是因為安全策略的制定并非易事。那么作為IT 團隊，如何能更好地使安全與業務目標和用戶需求相符呢？我們認為：用戶的關注點，始終在其工作本身，而非 IT。只有掌握到這一態勢之后，安全團隊才能制定有效地策略。

安全策略：透明度問題

其中有人給出了一個建議，即增加透明度。透明度可幫助員工建立起關于違規產生的實際后果的心智模型，從而增加用戶認同感。我們認為用戶引發的一些最常見問題都因為員工無視其行為帶來的后果，而作為安全團隊，需要解釋策略背后的"原因"，而不是去盲目期待每一個員工的行為符合要求。

在技術層面上，參與聊天的一些人提到了 DLP 解決方案（Data Leakage Prevention，數據泄露防護），因為它們不僅能代替用戶保證安全，而且還增加了透明度。DLP 能在用戶違規時發出警報， 幫助用戶了解其行為的后果并讓他們親臨實境的看到遭到攻擊后產生的惡果。

之后，我們的話題開始轉向電子郵件威脅所帶來的挑戰，透明度成了關鍵議題。我們認為在 Web 保護方面，顯示攔截的頁面并解釋攔截原因促使員工關注其活動對整個企業的影響大有幫助。它會令員工不僅關注必須做什么，還關注為什么需要這樣做。這是企業文化層面的變革，而非僅僅停留在策略層面。

最后，我們以詢問參與者的主要心得來結束了這場討論。我們都認為：員工安全教育是關鍵，但必須輔以相關的實際示例， C 級認同感是讓計劃有效的關鍵所在。我們應該在確立安全策略的業務價值的同時，以適當的技術解決方案作為策略后盾。