为什么说IT信息安全是被自己打败的？

    让我们再来看一下腾讯事件过程，事件之所以发生除了外力外，更是自身缺乏信息安全管理所导致的。因此，企业信息安全除了受外界攻击外，自身的安全缺陷也是很严重的问题，甚至可以将自己打倒。

    （1）对信息安全风险，总是视而不见
    虽然高价值信息管理的缺陷和技术不足，使得攻击、泄密、破坏等安全事件时有发生，给企业带来损失。但最为可惜的是，大多数企业的IT管理人员以及决策者，对于企业信息安全风险甚少有意识，往往只是在事件发生后捶胸顿足、哀声长叹。即使有部分具有前瞻眼光的决策者，察觉到了信息安全风险的可怕，却也缺少一种科学的分析方法，对于核心业务信息安全风险更缺乏严格的评估、量化和分析。没有进行安全风险评估，更没有做好预防措施。

    （2）没有对高价值数据不被窃取进行保护
    据有关数据显示，内部泄密对企业造成的威害远比黑客外部进攻网络造成损失的比例大得多、惨重得多。因此，企业信息安全已日趋成为众多企业CIO的心病和关注焦点。统计资料显示，百分之七十以上的数据都是因为没有做好防护而泄露的。例如，一些机密性的电子资料、电子文档轻易的就可以通过电子邮件等途径泄密到公司外部。

    （3）移动设备的泛滥使用
    技术是一把双刃剑。一般来说,移动终端设备除了笔记本电脑外,还包括掌上电脑、智能手机、USB设备，这给我们数据存储与转移提供了非常大的便利，可惜的是，它们对于企业的数据安全也带来了非常大的隐患。

    根据国外机构调查，因为其移动方便的特性,利用移动存储设备来偷窃企业重要信息已经是危害企业信息安全的头号杀手。而事实上，我们常常看到的是许多公司对其移动设备在安全和策略管理上的缺失。CIO需要清楚认识移动设备不再只是方便使用的工具之一，而是关乎数据外泄的问题。因此，减少移动设备数据外泄风险的关键，是采取预防式的手段管理和保护敏感信息，以防止非法访问或信息泄露。所以，防患于未然，对敏感的机密数据进行有效管理是CIO必须面对的问题。

    （4）缺乏IT安全制度，没有高价值信息的规范使用流程
    大多数人误解了以为阻止即时通讯、电子邮件以及外部存储设备的使用，就不必担心资料外泄。俗话说，道高一尺，魔高一丈。实际上除了技术上的限制外，在IT安全管理上也要跟上。这主要是因为很多公司没有认识到信息安全策略和管理制度的重要性，也有很多公司虽然知道了信息安全管理的重要性，但却不知道该如何制定行之有效的策略和流程。

    （5）缺乏培训，员工不清楚哪些资料不能外泄
    俗话说，千防万防，家贼难防。对于企业来说，信息安全管理的重点是如何防止企业内部员工泄露信息，信息安全确实让很多CIO伤透了脑筋。为了防止泄密，很多企业采取了各种方法防范，有些比较极端，如规定员工在办公环境下不得使用U盘，普通员工没有权限访问互联网。但大多数的员工还是会在无意间将企业的重要资料泄露，主因是他们并不了解他们公司的IT安全策略，也不了解和不清楚哪些资料不能外泄。在当前这样一个人员越来越流动的工作环境中，有效的做法是要给员工进行相关培训，告知员工哪些资料是机密资料应该要慎重处理。