你需要政策、需要培训员工，好让他们知道什么是可以接受的、什么不可以接受。Gartner公司的Hils说，但“试图改变人们的行为方式不是确保安全的方法。这只是理想环境，而我们身在实际环境。”这意味着：不管你有多想，也无法把所有高风险的技术和平台从大多数环境赶出去。Rapid7的Thomas说：“你没法禁止IM和Facebook这些技术。你的用户肯定找到变通办法，绕开你的层层限制，而你一无所知。”

    相反，你要帮助人们想方设法积极有效地使用风险较高的工作方式，比如网上文档共享应用程序、外部协作平台和社交网络。Thomas说：“员工们只想完成自己的工作。有许多在线工具可帮助他们完成工作。但他们需要接受流程和规程方面的培训，以便安全地管理这类工具。”

    好点子：不要对什么事件都看不顺眼。自上而下的管理方式行不通，除非在有限的场合下。Thomas说，这个过程与养孩子没什么两样。他说：“你要进行平等的对话，那样他们遇到实际问题时，就知道如何做出正确的选择。尽量一点点进步，而不是急于求成。”

    如果你在中小企业负责安全，我们认同并理解你的处境。Foley说：“眼下，中小企业确实过得紧巴巴。它们没有大笔资金，又没有大批人员；但如果它们想保持竞争力，最好提供质量与大企业同样的产品。”而这意味着，安全方面要做得与大公司在一个水平。

    另一方面，你要庆幸自己不必处理大公司面临的棘手问题。盛龙翔律师事务所的Hansen说：“我的一些朋友在大公司负责安全，他们面临不同难题。公司规模大，这可能是个问题。规模一大，你就快不起来。而我要灵活得多，可以更迅速地做出安全决策。”