不要忽略内部的安全问题

此外，我还看到了很多雇员在出去吃午餐的时候，仍然将机器登录在系统里。这绝对不是理想安全系统里应该有的东西。

随着与隐私和安全相关的新立法数量的增加，你可能认为情况会有所不同。但是我的观察仍然证明了我们都知道的东西。我们可以花成千上万美元去购买“边界安全（设备）”，例如防火墙、反病毒软件，以及类似的东西，但是糟糕的内部安全常常是我们自己最危险的敌人。

造成现状的一个原因是由于管理高层缺乏对安全的考虑。很多机构都采用历史的观点来看到安全问题。那些安全防线被攻破过的公司都知道有这一必要，但是那些还没有此经历的公司却认为这是没有必要的。

那么你要如何才能够让管理高层警醒和关注这一问题呢？把一些仔细选择的情形放在一起。和你机构里有相关经验的人员谈一下，把安全被攻破后会给你所在机构的经济和社会利益造成的后果详细列出来。

这些情形可能看起来不太好，但是这是有用的。要确保使用一个实际的、详细的案例，还要把握好（管理高层的）情绪。通过详细描述你的机构将面临的损失，你就能够让管理层了解保证安全的必要。

一旦你引起了管理层的注意，就到了起草或者精心制定机构的安全策略和措施来保证其有效工作的时候了。你要面对这些问题：你有多少人制定了安全策略和措施来采取相应的行动，但是却只能够叫出一些例子来，如果有的话，机构什么时候会真正地实施它们。

这就要求管理高层的责任了。他们必须通过支持实际行动来说明它们对于实施安全是很严肃的。我看到过太多的管理层或者人力资源部的人员，他们任意改变安全环境和严重违反安全策略，结果造成安全漏洞。

糟糕的内部安全经常成为我们自己最危险敌人的另一个原因是存在太多的密码。雇员要记住的用户名、密码和个人信息码（PIN）的数量是让人头疼的。

一次登录的软件和服务是解决这一问题的一种方法。有很多生产商都能够提供解决方案，允许一次验证就能够利用其应用程序将用户登录到任何Web、客户／服务器，以及原有的应用程序里。但是这些解决方案不便宜。

其他你可以独立使用或者和一次注册软件配合使用的方法是智能卡和生物测定法。当然，这两种解决方案还是相对比较贵的，但是随着这些技术更加普及，其价格正在下降。

那么这最终有什么结果呢？在管理高层决定安全值得投资之前——不论是通过政策的加强还是投资购买有助于帐号和用户管理的技术——筑起高技术的围墙只能解决你一半的安全问题。