信息安全，先让领导重视起来

虽然现在信息泄露事件频发，但是目前在不少公司中，信息安全还属于不被重视的领域。特别是在经济危机的时代，当公司的资金状况变得非常紧张时，信息安全方面的预算就属于最容易首先遭到削减甚至被安全取消的部分。而通常给出的理由是：信息安全项目缺乏明确的投资回报率(ROI)。如果在针对一个安全项目的支出与一起潜在的安全事件带来的风险之间进行选择，在绝大部分情况下，领导们往往会对安全事件不会发生的概率进行赌博，特别是如果他们对于威胁和潜在影响没有足够认识的话，这种情况就会变得更加突出。

把握听众（领导）的内心

为了避免这样的问题出现，技术人员就需要选择对威胁、风险和防范措施等方面的情况进行明确说明。这时间，技术人员需要注意的就是不要使用过于专业的技术语言来对风险情况进行详细说明，而应当将内容重点放在与业务整体的关联上，让听众了解到该做法将会对业务和声誉带来的实际影响。

此外，做到满足安全法规的要求也是让管理层理解信息安全方面需求的一种好办法。当然，这里需要注意的就是不要本末倒置，将法规遵循情况作为安全的最终目标。大家一定不会忘记作为标准的泰坦尼克号的最终下场。并且，即便公司遵循了安全法规，依然很有可能遭遇到安全事故或者风险。毕竟，遵循安全法规仅仅属于万里长征的第一步。它只能强迫公司部署最基本的安全措施。因此，安全项目不应该仅仅针对于满足法规方面的要求，而应当关注公司整体面临的安全风险。

利用其它项目来捆绑安全措施

通常情况下，对于技术人员来说，选择将安全措施与业务需求捆绑成为一个整体就属于很好的解决方法。在新业务项目或者计划开始的时间，安全功能就应当成为整体中的组成部分。这就如同一辆新汽车中应当包含安全带、安全气囊以及大量其它方面的安全措施和功能一样，新项目中应当包含有安全组件的必要预算。此外，在对现有产品和服务进行调整的时间，也属于添加安全功能的好时机。不过，所有这些方法都与信息技术在业务中的地位相关。毕竟，“影子技术”类型的项目可能会在私下没有适当安全性要求的情况下实施。因此，技术整体策略中应当包含内容明确的安全政策，而不仅仅是简单的说明。只有这样，才能有效降低问题出现的概率。

制造恐慌可能会适得其反。

当然，制造恐慌确实属于可行的方法。作为一种基本情感，恐惧可以驱使人们脱离正常合理的普通方式去进行思考以及行动。因此，我们很难证明它不会产生出效果。但就个人而言，我不喜欢这种做法。公司过于恐惧的话就会导致太多的虚假警告出现，而这可能让人们变得愈加偏执。最终的结果就会反过来，这将导致真正威胁到来的时间，人们会因为存在“狼来了”的错误心态而予以漠视。

准备好迎接意外之财

最后，技术人员还要做好迎接“意外之财”的周详准备。当然，造成这种情况出现的原因可能会有很多种。失败的审计、灾难性的安全事故或者成功的防范都可能属于其中涉及的情况。而这样导致的结果就会是安全预算资金意外激增，针对的范围可能会是整体也可能会是特定某个部分（举例来说，数据泄露防护就是属于可能的领域之一）。因此，技术人员在平时就应当做到从安全策略的整体来进行全盘考虑，找出自身的优势以及缺陷所在；这样在意外之财到来的时间，所有要做的工作就是进行充分有效的利用。