著名電子產品企業Xerox(施樂)的首席信息安全官艾莉莎·約翰遜(Alissa Johnson)博士，在談到企業信息安全時表示，在未來能夠對安全帶來影響的因素，主要是人的創造力(科技的發展)，不同組織間的合作能力，以及逐漸趨向自動化的辦公場景。

[[244434]]

她認為，大數據時代已經到來，以后人們得到的信息將會是多個數據糅合的結果，而這些信息會受到來自多方面的干擾：例如隱私政策、安全協議、潛在威脅等等。任何小問題都有可能帶來大的影響，人們總是想要一勞永逸，防患于未然沒有錯，但是安全沒有捷徑，必須穩扎穩打。

所以，對于企業來說，多幾手準備才是正確操作。

網絡安全保險?還是網絡安全防御?

隨著網絡攻擊的盛行，在一些國家出現了網絡安全保險，顧名思義，就是一項保險，像保險公司那樣。可以在企業遭受黑客攻擊的時候進行一定的賠償。現在已經成為企業安全的一項重要措施。網絡安全保險的出現，一定程度上代表了企業安全意識的進步，算是網絡安全發展良好的表現。但是治標不治本，保險并不能代替真正的安全措施而存在。

很多企業選擇花重金購買網絡安全保險而不注重增強安全防御機制，這樣做的結果是可能會招來更多的黑客攻擊。當然，更重要的是，保險的理賠并不一定能彌補攻擊帶來的損失，只是個心理安慰罷了。

當企業遭到一次網絡攻擊，損失的可能不僅僅是數據，因為安全防護能力薄弱，可能會給客戶帶來不可靠的印象。當企業對自身數據安全不以為然的時候，它的品牌和聲譽也不復存在。想要再改善這個狀況可能需要非常大的時間和金錢成本，并且存在無法挽回的可能。

企業安全防護往往具備一定的復雜性，需要根據企業需求的不同來定制，通過多個模塊共同協作來保障系統、數據的正常運營。當然，也存在一些想要偷工減料的例子，一些企業試圖通過簡單的部署達到全然的防范，這顯然是不可能的。各項安全措施的存在是為了相互補足。想讓其中某一項去取代或填補另一項的空缺都是不切實際的想法。

安全帶來的收益

以施樂公司為例，由于主要業務的獨特性，因此非常容易收到APT攻擊。為保護公司的正常運行，該公司采用了時下較為先進、全面的安全防御技術。該技術具有設備受損檢測、文檔和數據檢測等多個功能，能夠長時間持續對設備、數據進行監控。

其中，入侵檢測技術，依賴于企業內部部署的防火墻、用戶訪問機制以及McAfee的身份驗證和白名單功能。檢測受損的設備則是采用固件驗證的方式。對企業信息數據采用多種加密功能，保障個人隱私和敏感信息的安全。同時，施樂長期與McAfee保持合作關系，也保證了設備更新的時效性。

通過與專業的安全公司、技術團隊合作，能夠有效的提升企業安全素養。并且相對自動化的防護也為日常工作帶來了極大的便利。

約翰遜表示，長時間保持對信息安全的關注，除了能確保第一時間處理問題之外，還對企業文化的建立帶來一定的影響。安全意識的提升，不僅對自身有益，還能增加合作伙伴的信任和好感度。

網絡安全人才短缺

據統計以及預測，至2022年，網絡安全領域的崗位不飽和度將達70%。也就是說，各行各業對信息安全人才的需求量將持續增大，并且人才市場供不應求。

對此狀況，約翰遜的理解是，網絡攻擊的多樣化導致安全需求擴大，同時整個市場也會面臨勞動力短缺的狀況。

未來的工作將更多的向自動化、人工智能方面偏移，一方面能夠提高效率、精確度，另一方面也能夠降低人工帶來的風險。而這些都將依托互聯網或物聯網，這正是黑客重點關注的目標。

因此，企業之間應當進行更多的交流溝通，群策群力，互相之間取長補短。

企業仍需關注安全問題

除了人才方面的供應，企業的主觀因素也是需要考慮的問題。任何措施或行為能夠實施的先決條件都需要老板先點頭。因此，讓企業高層意識到安全的重要性也是刻不容緩。管理層的直接對話，既能進行有效的溝通，也是計劃執行的保障。能夠讓管理者如實了解相關的狀況，知曉存在威脅的大小，以及可能造成的損失，對安全措施的部署也能起到一些積極作用。

當然，除非科班出身，一般的管理層不說能不能意識到安全的重要性，讓他們上手操作肯定也是一頭霧水。所以仍然需要專業人士進行相關技能的指導或合作。對企業來說，基本上有兩種選擇，一是安全外包，交給專業的來;或者是自行培養安全團隊，這可能會是一個很長的周期，但對企業未來的發展來說，是有益的。

當安全成為企業文化的一部分，也就是說當企業自身成為了安全的保障，那么不論是對客戶還是對用戶都將是一個喜聞樂見的結果。