有一个很不幸事实，那就是对任何信息安全计划来说，最不称职的或是心怀不轨的那位员工总会像木桶原理中的那根短板决定着整个计划的安全程度。这样的例子数不胜数，无数的企业花费数百万资金，运用上最先进的技术、策略、流程，监督机制以及全面的培训，最终结果就是仅仅因为某一个位员工的所作所为就危及整个系统，数据或业务流程。为了确保信息安全，技术和管理肯定是不可缺少的，另外还有一个条件就是必须让公司上下一齐参与进来。

　　这不光是意味着设定正确的基调，还可以保证每个人都知道他们自己的角色以及违反规则的后果。这篇文章的目的也就在于为金融组织提供一个能一步一步营造良好文化的方案，让每个人都不光是参与进来，而且还能不断地帮助加固整个安全计划。

　　明确规则这似乎显而易见毋庸置疑，但令人惊讶的是许多公司都频繁修改他们的培训课程。好的信息安全培训有三个目的：一是告诉人们这些规则，二是使人认识到有人在监管他，最后也最重要的是，让人们知道，一旦违反了规则，不仅是饭碗不保，还要被起诉。因此，在设计培训材料时，要从两个角度来审视：一是“好兵”，也就是你想从中获取帮助的人；二是“坏人”，也就是那些你得提防他们偷偷危害数据的人。你得告诉大家到底什么可以做，什么不能做。没有说出明确结果的培训材料是没有什么用的。

　　让它成为每个人的责任不要让培训变成哪些可以做和哪些不可以做的说教。为大家提供一些有创意的点子可以让大家思考他能为信息安全做些什么 。要让大家知道有时候一些很不经意的东西都可以为整个计划带来很大的帮助 。员工们越是觉得自己”拥有“这个计划的一部分，他们就越是会更多地关心和参与进来。

　　营造一种团结协作的文化把信息安全的考虑纳入到关键事项中去，特别是在战略规划和变更管理时。让大家觉得找出一个潜在的弱点是一件好事，因为一旦明确了漏洞所在，就可以想办法缓解 。千万别忘了，潜在的风险就隐藏在某个策略之中，潜在的漏洞发现得越早，它所带来的危机也就越易于缓解。

　　保证披露过程的安全。员工在执行可能或已经泄露数据的操作时，必须作出自我解释。对于没有立即这样做的有关责任人应该加重处罚。不过，任何自我披露后都应产生一个响应方案以确保同样的业务失败不会再次发生。这样，这一组织就不仅能迅速作出反应，而且还能不断自我修复。

　　绝不姑息数据泄露这得从上层管理人员的基调开始。高级管理人员必须明确表示，不会容忍粗心大意的数据处理控制，想在数据上动手脚将将要受到起诉。不管多么小数据事故发生，都必须快速果断地处理。哪怕是在数据安全问题上表现出一丁点的怠慢，这个项目都注定要失败。这似乎与之前说的安全的披露自相矛盾，但犯下一个诚实的错误与图谋不轨和视而不见之间是有区别。

　　奖励创造性。如果有人提出了更好的业余流程，要以他们容易接受的方式予以肯定。（并不是所有人都喜欢在全体会议上被拿上台面给大家审阅）如果有人提出了更好的控制方案，也要予以肯定。如果有人提出的方案在业务流程和控制上都更好，那就该 奖励他们。有些人非常希望能向你展示他们的聪明才智。

　　不要低估人们的胆量.就算已经用上了所有的新奇技术，监测工具和控制认证，在一天结束时，也仍然不要低估了人们的机智。要让大家都清楚，如果感觉有什么东西看起来或是感觉不对劲，那就应该大胆地告诉别人。这样的情况已经出现过不知道多少次，有人发现了某件可疑的事情，但是却认为负责这事的人应该会解决这个问题，结果很可惜猜错了。

　　要想知道企业的安全队伍有多大，可以随便抽取一位普通员工，而非高管，询问他对信息安全的了解情况以及他们的角色。很多时候我们都认为，人们所知道的或所拥有的比所做的要多。但是，通过定下强有力的基调，阐明对相互沟通的期望并鼓励开放协作的文化，企业是可以在信息安全上做得很好的