问：今年比往年更盛行的最大的网络安全威胁是哪些呢?

　　答：最大的问题——在我从事信息安全行业的近18年来——并不是最新的攻击。而往往是一些原本就存在的——这也是我充满工作激情的地方。目前，“发现”我的数据所在——缺乏数据认证和分类——是最大的问题。

　　比如，在Smartphones和BlackBerry设备中，不管何时你在设备上发送邮件，邮件总是丢失……当安全管理人员还不知道数据在哪里丢失时，也就无从保证数据的安全。

　　今年比往年出现问题多的原因在于数据常常出现在以前不支持的地方。

　　即使在政策中规定终端用户不允许在某些应用或者设备上传输业务敏感数据，也仍然无法阻止这种行为的发生。仅仅有政策还是不够的。我们必须在指南、程序、标准，有时甚至是技术上对它们进行保护。

　　如果有人不遵守政策，那么就必须有结果管理来跟进它……这可能就意味着你必须支付费用，否则你就得直到你遵守了政策才可以执行某些任务……扪心自问：我是如何协助我的用户的呢？这可能意味着要培训你的用户来遵守政策了。

　　问：大多数用户都倾向于在事后对网络安全威胁作出反应而不是在第一时间就做好正确的防范措施来避免这些事情的发生。如果企业也不做预测或者计划，会是怎样的呢？

　　我们考虑了最糟糕的情况，但是我们并没有考虑到高发性和高危害性的情况。

　　比如，密码。我们要求我们的用户使用10到15个字节的密码并且每30到60天进行修改；而且里面必须有数字、字母和符号；同时密码不能是字典里的词；也不可以是我们已经使用的最后三个密码，结果是，我们会说[我们的终端用户]想不出合适的密码。真是够荒唐可笑的！

　　而实际的情况是，大多数人都会把密码写在一张记事贴上，然后把它贴在我们的显示器上。

　　有些人利用了这样的“天上掉馅饼”的情景……而在现实中，我所需要做的就是打扮成清洁工的模样，然后走到办公大楼某个显示器上面贴有便条的工位[去获取到某人的密码和数据]。关于安全的怪事就是他们已经在技术方面解决了问题，而不是在终端用户方面。