平息风暴

    加强服务器和工作站的安全势必会限制用户的自由，这是一个不可回避的事实。诀窍在于如何在所需的业务功能与非常好的的安全设置之间取得平衡。

    如果你的新配置会显著加大对工作站的限制，就要确认已得到管理班子的认可，并且根据策略要求来制订技术控制措施，从而对不可避免的强烈反对作好防备。

    这时候，风险管理原则可以助一臂之力，因为它们可以提供一种定量的方式来确定哪些控制措施是合理的。

    至于获得购买这些工具所需的资金，如果你遵守上司的规定，这可能不成问题。但为了充分利用合规资金，还是需要事先开展调查工作。

    不要忽视了大局：全面了解自己的系统在合规方面存在哪些漏洞，从而确定工具适合整体风险管理战略当中的哪些方面。合规方面没有巨大压力的IT部门要获得批准可能比较难——尽管IT部门不断预测可能出现可怕的安全事件，首席财务官们不把这当回事，这是有道理的；所以要采用有条理的方法，证明你选择的产品能够如何应对量化风险。

    避免基于假设性的最坏情况场景来计算不明确的投资回报：如果管理班子觉得你的理由有点牵强，你就得不到对方的信任。

    单单工具解决不了你在组策略合规方面的难题。但要是打下了稳固的基础，合适的产品就能在满足审计人员的要求、改善端点安全方面起到重要作用。虽然满足合规义务是值得为之努力的目标，但更重要的是获得这样的信心：策略在有效地保护资产。