“加密的可攻击弱点在于其执行，而不是背后的数字逻辑。”这是刚刚结束的AusCERT会议得出的一个观点，相比于直接破译保护数据的加密协议，对已经解密的信息进行获取就要容易的多了，在这个层面，企业的许多粗心的行为使之成为可能。这也是一个困扰了众多安全管理团队的问题：为什么在采取了相关方案后没有取得预期的安全成效？

没有充分了解解决方案是否适应自身

在两个方面要做好努力：一是认清自身。对自己所处的行业特征、企业内部的系统架构、人员行为特点、高级管理者的要求、政策法规文件等都要了若指掌，将安全需求列成可视清单，才好对安全产品及解决方案的选择有据可循；二是甄选合作伙伴，方案提供商们的经验、资质、产品、服务能否为企业带来长期而稳定的解决方案，以及在所处行业内的成功案例集，都可作为考核重点来帮助方案的选择。

没有让安全工具操作物尽其用

再好的兵器也要用了才能彰其锐利。企业使用安全工具来保护数据安全，一定要对操作及管理人员进行详尽的培训，使其拥有熟练操作、物尽其用的能力。这种能力通常可以来自方案提供商的培训、人员自身学习能力及企业的规章制度等。同时，企业要清晰了解到安全人员是安全工作的保障者而不是业务流程的阻碍者，这种错误观念，需要企业立足全局来扭转，确保安全工作在内部执行时的效率。

安全意识上的狭隘

最重要的一点，企业必须在意识上建立“信息安全工作属于全员”的意识。必须明白，安全不是IT部门的一个分支领域。在其他的步骤，企业需要投资全体员工了解安全的重视性，建立起不断完善、实时更新的安全培训体系来培训他们在日常工作中可能面临的各种风险威胁。