IT安全威胁，包括各种类型的网络攻击，入侵，恶意代码，CIO们必须带头，带领人们建立强大的安全环境，以减少罪犯对成功的可能性，减少损失率。在提到企业安全，我们首先想到的防火墙和防病毒，入侵检测，数据加密等独立的安全产品。但它安全不止这些，授权，验证和管理比单一的安全软件产品，更重要的是，它的安全性要有完整的策略。

因此，CIO应该应把安全作为一种公司运营水平上的挑战，而不是技术上的挑战。它类似于传统的质量保证计划，主要是防患于未然代替，而不是等问题出现后才去解决，并要求所有员工参与并不仅仅局限于IT员工。最终目标是不让它成为无懈可击的系统，因为它是不可能做到的，而是把带来的经营风险降低到可接受的水平。

企业IT安全问题自始至终都是一个比较棘手的事情，它既有硬件的问题，也有软件的问题，但最终还是人的问题。在对企业IT安全策略的规划、设计、实施与维护过程中，必须对保护数据信息所需的安全级别有一个较透彻的理解。策略要能对某个安全主题进行描绘，探讨其必要性和重要性，解释清楚什么该做什么不该做。安全策略应该简明，在生产效率和安全之间有一个好的平衡点，易于实现、易于理解。安全策略必须遵循三个基本概念：确定性、完整性和有效性。另外，安全策略不能忽略小的方面而影响整体的安全。这包括对设备、数据、e-mail、Internet等的可接受的使用策略。

这是一个经常被忽略的工作步骤，而且也安全策略在工作的一个重要步骤。公司的安全分析检查的重点应是看是否容易入侵，系统或程序的弱势，通过制定和完善的作业计划，让骇客怨恨了。公司有时需要积极监测一些作用，特别的作用，企业可能会导致高风险企业监控，以便找到潜在的"不可接受"的行为。岗位职责，旋转和设置指定的时间处理高风险是一个重要的计划。此外，注重的是安全专家通常也属于该范围的高风险的作用。

用户而言，比如网页钓鱼和捕鲸（把公司高官选作下手目标的电子邮件欺骗手法）这些有针对性的攻击让人担心，因为这些攻击将使用用户不接受教育的漏洞。网络访问控制和安全管理信息技术帮助保护它的安全，但帮助是非常有限的。随着攻击变得更加复杂，用户教育成为唯一的选择。普遍认为它是安全部门的事情，其实这是不符合实际情况。用户是最大的威胁，它的安全性，因为大多数用户对其行为风险不同意。让人遗憾的是，许多情况下，当有安全问题，它主管总是被动应付，只能采取补救措施。事实上，它的安全责任存在于公司的各个部门，应做一针及时省九，以小见大。

墨菲定理说，会出错的事总会出错，如果你担心某种情况发生,那么它就更有可能发生。这个定理用到IT安全上，就是"再稳健的IT安全也会出问题。"这时候，我们老祖宗的那句话就派上了用场：凡事予则立，不予则废。CIO应趁着系统还在运行的时候，制定一个灾难恢复计划，将灾害损失降到最低，这也许是安全的最后一个策略。最后，当安全系统被攻破，和关键时刻的快速决定是错误的。因此，通常设立应急计划，并行演习危机处理流程是非常必需的。