3、不重视文化差异 

Roger Dixon是全球投资管理公司Invesco信息安全负责人，管理公司设在全球的安全部门。 

他说："我的团队分散在全球各地，沟通时总会遇到语言挑战，并且每个地区的文化也不同，我所说的每一句话，发出去的每一封邮件都要经过特殊处理，避免引起反感或误解，在北美人眼中太正常不过的一句话，到了其它地方意思可能发生翻天覆地的变化，没有通用的方法，否则会引起问题。我会在每个地区挑选出合适的沟通代表，消除文化鸿沟"。 

4、不能让公司其它人员也考虑安全 

过去10年，安全在企业中的地位得到了显着提升，因此才有了cso/CISO的称呼，但Dixon说尽管不断强调安全的重要性，管理层和员工却很难真正重视它，非安全部门的人一般都是嘴上说说，不见行动。 

Dixon说："他们认为所有与安全相关的问题都应该由安全部门来解决，这给IT部门留下了一个巨大的挑战，每当我向他们解释他们所面临的风险，以及可能发生的后果时，他们总是能配合"。 

Koppel非常赞同Dixon的做法，她总是喜欢把安全问题放大讲给大家听，效果还不错，她说："我们不想简单地部署一台防火墙，阻止他们做出一些破坏行为，相反，我们希望所有人员都参与到安全保卫战中来，早些结束一个团队的战斗，齐心协力才能杜绝安全隐患"。 

5、找不准时机 

荷兰超市行业巨头Royal Ahold的全球CISO John Kirkwood说："我学到的最大教训是掌握好时机"。 

在此之前，Kirkwood是美国运通和瑞士信贷的CISO，他记得有一次他的安全报告被大多数人忽略，紧接着就发生了9/11事件，后果可想而知。 

他说："如果你在正确的时间，向正确的人说了正确的事情，你会获得许多快乐，如果你时机掌握得不好，你的消息会被忽略"。 

Kirkwood以PCI相关的技术举了一个例子，他说："放在几年前，如果我说我们需要几百万来做这件事，我可能会被万人唾弃，但现在许多组织都想引入这些技术来保护自己，所以说时机很重要"。

(责任编辑：安博涛)