由于信息安全破坏的频率不断增加，人们要求CISO评估其运行环境中的安全破坏风险，并在适当的地方采取合适的措施来保护它们。结果，在最近Forrester Research公司的一项调查中，安全和风险管理专业人士把“保护客户数据”和“保护公司的敏感数据”作为他们未来12个月的首要任务。

　　在制定计划以防信息安全遭到破坏时，这里有一些企业应该紧记的经验教训。

　　认真设计一个纵深防御的方法

　　攻击者有许多潜在的途径来发起攻击，并且这也许是最大的破坏保护问题；如果安全人员刚刚疏忽了这样一个途径，这可能足以引起安全破坏。对安全破坏规划采取分层的方法，可以消除一些这方面的风险。纵深防御的方法就是确保当公司仅用一层防御不能提供绝对安全时，其它防御层能够进行补充。

　　许多安全专业人士理解这个概念，但是很可惜，他们仅仅通过技术来应用它。例如，他们会说：“我的台式机上有多个用于禁止电子邮件和垃圾邮件进站网关，有反病毒和反垃圾邮件技术。”他们常常忽略的是，对于这个分层方法，还有另外一个层面，即人们和进程层。企业需要培训员工提防社会工程攻击，并建立处理安全破坏行为的流程。

　　建立和测试流程

　　许多公司没有一个对信息安全破坏作出反应的计划或者流程，这是令人惊骇的。许多公司有事件响应计划，但是这样的计划常常侧重于操作和使系统启动和运行，与之并列的是将信息资产的风险减到最小。而且，事件响应计划是很少的活的呼吸文件；它通常是被搁置在落满灰尘的架子上。

　　CISO应该确保安全破坏规划是事件管理计划的一个核心部分。同样重要的是，定期测试这个计划。让响应小组练习对各种情况作出回应，并在受激压力条件下进行工作。进行模拟测试，训练企业在压力条件下，作为一个团体有效地开展工作。这些测试也可以突出不足之处，将有助于保持计划是通用的、准确的、同时与现实相符。

　　建立外部关系

　　安全破坏往往需要外部实体的参与，比如当地警察，联邦调查局，监察当局和法学专家。预先建立这些关系很重要。如果一个企业在安全遭到破坏后，不得不花费时间立即寻找正确的执法接触，这不仅浪费了宝贵的时间，而且在评估和选择满足其需要的合作伙伴时，会非常匆忙。
一旦事实得到核实，立即公开承认破坏

　　许多公司由于没有及时就破坏进行交流，而受到管理者的惩罚。许多其它公司及时地公开了破坏，但当后序的调查发现那些破坏的大小和规模远比最初报告的大时，他们会很尴尬。客户和管理者趋向于更体谅那些立即报告破坏的公司。但是，企业仍然应该确保在公开之前他们已经核实了所有的事实。

　　首先了解法律和司法方面的要求

　　对一个企业而言，首先拥有一个法律专家以及在作出反应之前理解要求约束是必不可少的。比如，美国的数据破坏法中规定了企业应该如何承认、报告并对安全破坏做出反应，这些规定因州而异。在世界上其它地区，企业可能无需公开承认破坏，但仍然需要收集证据，并考虑取证要求。

　　授权小组作出决定

　　由于这些问题的敏感性，安全破坏反应小组一般由企业内部的高级人员组成。尽管重要的是他们要跟得上形势，但一般情况下，他们又不是那些处理基本操作的员工。因此，破坏小组应当是决策者和技术专家的一个完美结合体。

　　对破坏作出回应通常浪费掉宝贵的时间，由于并不一定授权一个适当水平的适当人员来采取行动。企业应该授权破坏小组成员作出重要的决策，比如中止一个服务器或者阻止企业进入因特网，如果情况需要他们这么做的话，他们无需担心受到惩罚。

　　不仅要吸取教训，同时分析根本原因

　　破坏调查应该超越权宜的补救措施，同时应该寻找控件失败的真正原因。通常在受到破坏之后，管理者更愿意花钱来恢复原来的状态，因此调查应该确定真正原因，并提出一个分阶段的方法来解决这些根本原因。一旦有了缓解计划，有必要用文件证明、跟踪，同时确保及时落实这些变化。

　　权衡安全策略规则

　　大多数企业会坦诚地说，他们拥有一套相当不错的安全策略。公司失败就是败在实施这些策略的过程中。这就成为数据破坏的一个重要因素。当某个企业的数据遭到破坏，任何一个外部审核员、管理者或者法官都会问是否是按照合适的策略执行的。如果得知没有按照策略执行，他们会认为企业玩忽职守。企业有必要始终如一地权衡其策略规则。执行策略要求需要构建在公司内部的进程、程序和标准，包括安全破坏的那些程序。