大方向：技术至上

　　有钱就有力量?在被要求指出信息安全经费的来源时，57%受访者说是IT部门，60%表示，像是营销、人力资源和法务部门等功能部门是他们的大金主。只有24%的人说公司有专属的安全部门预算。

　　有了强大的IT部门，技术乃成为解决安全问题的主要方案。然而俗话说得好，“对一个拿槌子的人来说，什么东西都长得像钉子。”于是他们想用垃圾邮件过滤器来防堵网站钓鱼攻击，藉由加密公司资料阻绝笔记本电脑偷窃的发生。

　　如果真的有安全工具，我们的调查对象早就用上了。

　　例如，企业已经了解到，他们淘汰计算机硬件的过程必须更完善，像是清除掉硬盘里的数据和应用。目前已经用工具这么做的受访者有65%。为数据库(55%)、笔电(50%)和备份磁带(47%)及其它媒体进行加密的企业也比以前都多。使用入侵检测软件的比例也攀高：相较去年的59%，今年来到63%。安装防火墙防护个别应用，而不只是服务器或整个网络的比例，则从去年的62%增加到67%。

　　虽然在技术层面有所进展，但在安全流程与人员方面仍然存在隐忧—-某些购买安全防护的IT预算案仍然遭到否决。例如，加密机密数据似乎很有效，但此类技术却无法防止员工藐视数据处理的公司政策。

　　犯罪活动已成为如何部署信息安全的重心了。为Wi-Fi上锁以免让坏蛋侵入，但好人做出坏决策，更会为我们带来无数安全灾难。

　　例如，员工有时着了网钓邮件的道，开启了附件，那将会把纪录密码的键盘侧录程序，以及会取得操作系统控管权的rookit等恶意软件散布出来。安全经理的工作是教导使用者自我防卫。不是要员工注意带有特定主旨的最新邮件，而是更广泛的事物，教导使用者认识点下一个不熟悉的URL、开启附件，或者将社会安全号码告诉网络上任何一人时所蕴含的风险。

　　“想用技术来保护任何人不受到任何安全风险威胁是不可能的。我们的工作，是把我们的思维传达给使用者。”如同Brandeis，似乎有越来越多企业正在努力这么做。今年调查中有54%的受访者指出有提供员工信息安全课程，比去年42%增加不少。