一間房如果窗戶破了，沒(méi)有人去修補(bǔ)，隔不久，其它的窗戶也會(huì)莫名其妙地被打破;一面墻，如果出現(xiàn)一些涂鴉沒(méi)有被清洗掉，很快的，墻上就布滿了更多的痕跡;一條人行道有些許紙屑，不久后就會(huì)有更多垃圾，最終人們會(huì)視若理所當(dāng)然地將垃圾順手丟棄在地上。--------這就是破窗效應(yīng)。

破窗效應(yīng)的兩個(gè)維度

在信息安全管理中，也同樣存在這樣的現(xiàn)象。如企業(yè)的一名新員工，雖然簽訂了保密協(xié)議，也了解了公司的保密制度，但是如果看到其他同事的計(jì)算機(jī)開(kāi)機(jī)密碼基本都是123456，系統(tǒng)補(bǔ)丁半年不打一次，內(nèi)部資料可以通過(guò)U盤隨意拷進(jìn)拷出，打印機(jī)旁時(shí)常看到財(cái)務(wù)報(bào)告、市場(chǎng)策略等敏感文件…他還會(huì)死守公司保密制度上寫的那些條條框框嗎?此為橫向的破窗效應(yīng)。

再設(shè)想一下，在企業(yè)里，高管不重視信息安全，處于中間層的信息安全管理者自然也會(huì)松懈，想著既然老板不在意，我又何必太用心呢?也會(huì)擔(dān)心管得太認(rèn)真，一也不會(huì)因此受到獎(jiǎng)賞，二還可能引起員工的反感，多一事不如少一事。那基層的員工在進(jìn)行一些威脅企業(yè)信息安全行為時(shí)，發(fā)現(xiàn)根本沒(méi)人發(fā)現(xiàn)并制止，只會(huì)更加隨心所欲肆無(wú)忌憚，企業(yè)信息泄露防護(hù)體系也就這樣被架空了。此為縱向的破窗效應(yīng)。

在當(dāng)前國(guó)內(nèi)，很多企業(yè)的信息安全管理正是對(duì)破窗效應(yīng)的最佳詮釋。從總體來(lái)說(shuō)，企業(yè)高層對(duì)信息泄露防護(hù)的忽視形成一個(gè)影響極壞的不良示范。國(guó)際知名內(nèi)網(wǎng)安全管理先鋒溢信科技表示，一個(gè)不良示范，就像一個(gè)瘟疫源，一傳十十傳百，很快整個(gè)公司的信息泄露防護(hù)體系就會(huì)千瘡百孔，形同虛設(shè)，樓雖還是那個(gè)樓，但窗都變成了破窗，自然樓也會(huì)成為危樓倒塌。

安全應(yīng)自上而下

鑒于此，要想使企業(yè)的信息泄露防護(hù)策略行之有效，首先要做出改變的就是高管們對(duì)信息安全的態(tài)度。作為企業(yè)的領(lǐng)導(dǎo)者，其一言一行都對(duì)企業(yè)的發(fā)展起著舉足輕重的作用，上行下效，不可不戒。高管需要加強(qiáng)對(duì)信息泄露防護(hù)的重視程度，并將信息安全管理納入考核范疇，領(lǐng)導(dǎo)制定相關(guān)的政策與指標(biāo)，獎(jiǎng)懲制度、考核周期等。

警惕始作俑者

其次需要做出改變的是信息安全管理的執(zhí)行人員的執(zhí)行力度，是否能夠?qū)⒅贫ǖ男畔⑿孤斗雷o(hù)措施嚴(yán)格地執(zhí)行到底。當(dāng)?shù)谝粋�(gè)人違反規(guī)則時(shí)，執(zhí)行部門是鐵面無(wú)私按制度辦事呢?還是睜一只眼閉一只眼，只要不是什么大問(wèn)題就“得饒人處且饒人”，發(fā)揚(yáng)風(fēng)格，求得暫時(shí)的和諧。如果是后者就等于告訴大家剛剛制訂的信息泄露防護(hù)制度是有空子可鉆的，于是很快這個(gè)“潛規(guī)則”就在辦公室里傳播開(kāi)來(lái)，防護(hù)效果自然大打折扣。

因此執(zhí)行人員必須能夠堅(jiān)守自己的原則，絕不容許第一個(gè)姑息事件發(fā)生，孕育一個(gè)不良示范，以遏制這種負(fù)面因子的進(jìn)一步傳染。同時(shí)及時(shí)發(fā)現(xiàn)違規(guī)行為也是相當(dāng)重要的，如果有人想盡方法繞過(guò)公司的防泄密措施，而執(zhí)行人員卻一無(wú)所知，無(wú)疑是自掌嘴巴。對(duì)此溢信科技認(rèn)為企業(yè)應(yīng)采取可視化的審計(jì)手段來(lái)對(duì)策略執(zhí)行情況進(jìn)行跟蹤，其IP-guard審計(jì)模塊對(duì)文檔操作、電子郵件、即時(shí)通訊、移動(dòng)存儲(chǔ)、打印等十多個(gè)內(nèi)網(wǎng)安全項(xiàng)目近1000項(xiàng)操作進(jìn)行詳細(xì)記錄，并生成相應(yīng)的報(bào)表，使管理者能夠?qū)��?nèi)網(wǎng)情況一目了然，違規(guī)行為無(wú)處可逃。

當(dāng)然，要想取得理想的信息泄露防護(hù)效果，還得考慮業(yè)務(wù)人員的實(shí)際情況。如果企業(yè)的防泄密措施對(duì)業(yè)務(wù)開(kāi)展造成了明顯的阻礙，就必須加以修訂以保證不會(huì)因?yàn)榘踩珌G掉業(yè)務(wù)機(jī)會(huì)。在兩者之間找到一個(gè)平衡點(diǎn)，才能讓信息安全防護(hù)策略執(zhí)行到位，兩者相得益彰。

信息化時(shí)代，信息安全成為決勝商場(chǎng)的必備因素。警惕無(wú)視風(fēng)險(xiǎn)的傳染性，別讓破窗效應(yīng)毀了你的企業(yè)大廈。