3、信息安全专业的实用策略与思维方式

信息安全专业的实用策略与思维方式

1. 借鉴其他行业的经验

在解决信息安全问题时，我们不应忽视其他行业的过往经验。有时候，其他领域可能早已找到解决我们当前难题的方法，尤其是当这些潜在解决方案来自信息安全领域之外的意想不到的源头时，会给我们带来极大的启发。

1.1 应对对手

我们常认为“电信”是一项近期的创新，但实际上，远距离通信以及人类用于传递思想的网络在几个世纪以来有多种形式，如大萧条时期华尔街的自行车信使、商业快递公司、国家邮政服务、信号旗、烽火、烟雾信号、同步光电报和信鸽等。我们可以思考这些电信网络曾如何被用于恶意或犯罪目的、被注入虚假数据，或者以意想不到的方式被使用，从中吸取教训。

1.2 参与项目

作为信息安全专业人员，我们可能被同事视为“否决部门”的不受欢迎代表，尤其是在参与其他部门主导的项目时。此时，即兴表演的技巧可以帮助我们更有效地沟通。在面对同事提出的可能触发我们信息安全警报的难题时，关键是用“是的，而且……”来回应，而不是直接拒绝。同意考虑请求，并说明如何实现它，通常比立即拒绝更有成效。

1.3 与同事合作

信息安全团队通常负责安全意识项目，但有些项目会失败，原因包括内容平淡、目标不明确以及采用一次性合规检查的方式。成功的安全意识项目不仅要让终端用户意识到潜在的暴露领域，还要改变导致问题的潜在行为。我们可以借鉴公共卫生风险管理的经验，拓宽对话，鼓励基本的安全习惯。此外，向家人和朋友寻求建议也很有帮助，这能迫使我们清晰地描述问题，若做不到，可能意味着我们尚未完全理解问题的本质。

2. 有效沟通比强大指标更重要

在信息安全领域晋升