无论一个公司的风险理念和它的外部需求，选择和专注于最高的风险是实用的方法。

但如何把重点放在那些风险?大部分公司和安全厂商业都把安全当做一项技术挑战。他们想要让软件、硬件和服务识别和降低风险。很少涉及他们的人——创建和使用被保护信息的那些人。许多组织积极从自己的安全方法排除人，因为他们不信任的人。

没有安全的技术银弹，并且自动化排除人的安全方程式，会导致人们懒惰，或对安全漠不关心的不利结果。毕竟，IT人员会照顾它，并在有泄漏或破坏时承担责任。

这就是为什么今天的安全策略必须改变主要防御重点从设备到人。今天成功的关键攻击涉及到人，他们可能使用社会工程学的方法，如网络钓鱼，拦截自动销售终端上的硬件。

安全是风险相对论的动态博弈，也就是说，你的防御比目前的威胁等级更高?“动态”和“游戏”两个词都是相关的。安全遵循熵定律：如果不持续更新，能量等级会下降。时刻保持警惕是必要的。对于保持主动警觉和自适应，一个游戏的心态是至关重要的。毕竟，每一个新的防御是一个新把戏的挑战。人们天然精于此道，你应该为防御系统注入人的能力，而不是自动化将他们赶跑。

你需要进入创造威胁的人的观念。是他们在和你的员工博弈，你需要和他们玩，而你的员工需要积极参与，成为你的眼睛和耳朵，而不是蒙蔽者。

换句话说，不要再把你的人当做一个需要解决的问题，而是使他们成为解决方案的一部分。

新的安全模型的五个维度

经过几年的时间完善，足够合理的模式已经清晰，让企业可以开始进行必要的调整。新的模式是添加剂。你必须于风险最高的领域继续最佳的实践，同时结合风险，以人为本，改进防御。

新的模型包括如下五个方面：

缩小信息安全焦点到核心、关键资产。

以多层防御系统保护关键资产。

雇佣使用信息来保护他们从事的资产的人。

与业务伙伴结盟，以提高他们(和你的)的免疫系统。

把安全看成业务问题，而不只是IT的问题。

(责任编辑：)