根據《網絡世界》報道 9個月前，當Nikk Gilbert進入Alstom Transport公司擔任IT安全與電信主管時，他知道自己面臨真正的挑戰，他必須立即著手開展工作。以下是他在爭取成功時關注的關鍵事情。

1、得到經理們的支持。Gilbert說：“當與CFO見面時，我直截了當地問他，他們對安全重視到什么程度，我可以得到怎樣的預算和支持。離開時，我了解到高級經理們知道他們需要安全性，我可以得到完成工作所需要的支持。如果沒有這些，你會缺少資金，缺乏支持，并且可能離卷鋪蓋走人也不遠了。”

2、與人力資源部門和法律部門合作。與這兩個部門的保持良好關系是安全工作取得成功不可缺少的要素，尤其在Alstom這樣的跨國公司中。僅僅記住全球60多個國家的隱私和數據安全法規就是個挑戰。Gilbert依靠人力資源部門和法律部門，為他在工作中必須遵守的各種法律規定提供建議。

3、發展與用戶的良好關系。當最終用戶拒絕遵守IT網絡安全計劃時，計劃將變成一紙空文。Gilbert說：“安全意味著給努力完成自己工作的用戶帶來不便。重要的是提醒他們注意安全的重要性和最大限度地減少不便。”目前他正處于在全公司部署智能卡/SSO/PKI系統的試驗階段，之所以這樣做是因為智能卡只需要輸入一個PIN，而不是原先用戶在訪問不同系統時要求輸入的七八種口令。他說：“我們向用戶證明我們關心他們的問題，努力為他們盡可能地提供方便。我們認為這將在不給人們帶來太多麻煩的情況下，為企業提供良好的安全性。”

4、了解自己擁有什么。資產目錄是絕對需要的，它應當包括一張顯示PC、服務器、交換機和路由器位置的網絡圖以及硬件清單。Gilbert說：“你可能掌握著預算并知道規則，但是如果你不知道自己擁有什么，也無法施展拳腳。當網絡遍布60多個國家時，這點變得更加重要。”

5、擁有合適的工具。小型辦公室的安全官可以手工完成任務。而跨國公司的安全官則完全依賴于工具進行安全漏洞掃描等基本活動。Gilbert說：“我們選擇了Core Impact。現在市場上的很多工具可以測試問題和發現需要修補的系統。利用Core，可以發現安全漏洞并進行修補，因此你掌握著系統。”Core的工具對于讓同事們相信他們遇到了安全問題尤其有用。“我不用去告訴電子郵件管理員哪里出現了安全漏洞，只需向他展示最后三天的電子郵件傳輸流。這避免了系統管理員將警告當成誤報放過去的可能。”

6、審查和更新企業安全政策。安全官必須了解企業有關安全性和補救程序等關鍵問題的政策。變更管理和跟蹤日志必不可少。Gilbert認為安全官首先應當做的事情之一，是開發捕獲和顯示安全信息的安全儀表板，安全儀表板提供的信息包括出現了多少病毒攻擊、防火墻受到了多少外部探測等等。將這些統計數據保存在一個地方非常有用，這有助于和高級管理層的交流。安全工作面臨的長期問題是經理們最好從來看不到它。良好的安全性意味著什么都不發生。因此，經理們常常忘記繼續為可靠的安全性投資的需要。顯示未得逞的各種攻擊的統計數據是提醒經理們知道企業正在從安全投資中獲益的有效辦法。

7、采用強認證。最后，他說強認證是“解決問題的良好開始。”當系統以高度的確定性掌握網絡上每個人的身份時，就可以管理他們的訪問，阻擋不認識的個人，甚至阻擋那些從公司內部登錄到網絡上的人。如果企業還沒有安裝強認證系統，建設這樣的系統是頭9個月中的工作重點。

Gilbert說：“實際上，當你來到一個新環境時，你必須清楚地知道首先要做的工作，并立即著手開展工作。這張清單在我任職的頭9個月中成為我工作的指導，我們按照它的指導，在很短的時間里完成了很多工作。”