谈到企业信息安全，大多数管理者都认为一定越大越好——预算更多、范围更广、回报更大。然而，Facebook首席执行官马克·扎克伯格在最近召开的F8会议上提及Facebook网站在规避更大问题时采取了“小型”的安全策略。企业能够从这种比例缩小的安全思考中获益吗？

Facebook内部经常组织“钓鱼”

《财富》杂志指出，扎克伯格已经采取了硅谷咒语“快速前进，打破陈规”的微调模式，而Facebook的版本是：“快速前进，稳固根基”。那么，Facebook是如何做到想小赢大的？

首先，它发起了诸如Hacktober的活动：公司内部的安全专家绞尽脑汁地让员工陷入诸如钓鱼攻击及其他社会工程学威胁的安全欺诈陷阱。此外，公司会在总部及卫星办公室散发一些USB及其他标有“机密”字样的设备，随后追踪这些设备的用途来看看员工是否会上钩。

从表面上看，这似乎都是一些小把戏，这些伎俩几乎称不上是企业级别的安全措施。然而，Facebook安全工程师指出，这样做是为了创造一种自然抵制安全威胁的公司文化，以减少大规模安全事件的发生几率。

安全策略先小范围测试

与此同时，社交分享网站Twitter刚刚启动一个新功能以过滤出冒犯性的推文及通知。据Naked Security报道称，这种“高质过滤”将会删除所有包含“威胁、冒犯性或辱骂性语言、复制内容”或者所有可疑账户发出的内容。这一新功能目前只向已验证的Twitter用户以及运行iOS的人群开放，但如果该服务被证实受欢迎并有效果，这个功能将向其他设备甚至是未经验证用户开放。ITSS

从这里能得到那些小经验？首先是从小处着手，并且只在必要时才扩展安全服务。如果安全措施跟不上或者达不到预期效果，那么在整个公司大手笔推行没有什么好处。Twitter的做法同时说明了安全两面性中的另一面：Facebook旨在向员工创建一种安全文化，而Twitter也尝试在用户中推行这一做法。这不但让他们感觉到安全并增加Twitter的使用人数，而且他们更有可能汇报涌现出的安全问题。

面向用户发布安全知识

著名职业分享站点LinkedIn也在小步加强其安全策略。LinkedIn在其官方博客中表示，公司已推出一个新的安全站点“帮助使用LinkedIn的会员及企业更好地理解我们的安全实践。”这个站点设有一个安全中心列出了保护用户信息的小窍门、LinkedIn安全实践清单以及一个安全博客来为公司保护用户安全提出更直接的见解。

那么，企业从中可以学到的东西是什么？那就是信息至关重要。易发现的最佳实践以及使用期望，加上关于现有安全措施的透明度在大规模改善安全工作大有裨益。当员工及用户置身其中时，安全就不仅仅是一个时髦词了。

对于像Facebook、Twitter以及LinkedIn这样的社交网站来说，指令很明确：更小的安全策略会带来翻天覆地的变化。对于企业而言也是如此。让员工参与进来、针对用户内容并提供访问相关安全数据的简单方法，就有可能做到：想得小、花的少、赢得大。

超赞的资料，学习中