Gartner研究公司副总裁Peter Firstbrook指出，一套经过针对性调整的治理主体有助于解决棘手的安全状况——例如企业高管不慎使用了流氓资源。而跨职能实体(由诸如法务、IT以及人力资源等部门的员工共同构建)则能够更好地解释使用有违合规性要求的资源究竟带来怎样的安全风险，从而确保高管团队远离这些违规作法、同时激励IT部门找到理想的安全解决方案。

Pescatore指出，专项治理部门的出现还有助于帮助企业在向云电子邮件系统迁移时继续拥有安全保障，同时得以定期测试其紧急事件响应流程。这样如果某台服务器处于内部环境当中且遭遇恶意攻击，IT部门将能够快速将其关闭。而着眼于云环境，企业必须了解并测试其中的业务流程，从而确保自身始终拥有主动权，他总结称。

3、制定可接受且具备可行性的使用政策。

治理部门还需要确保所制定的管理政策拥有可接受性以及可行性，且针对移动、云计算、社交网络以及其它重要议题作出适应与更新。

“我们发现企业在制定使用政策时往往不太考虑内容的可接受程度，而且也忽略了培训用户遵循这些政策或者提醒他们根据政策要求行事这一重要工作，”Osterman研究公司总裁Michael Osterman表示。

Gormé认为，具备可接受性的使用政策应当每年进行更新并始终坚持用户友好这一核心特性。“客户需要明确了解哪些行为符合要求而哪些需要被坚决杜绝，更重要的帮助他们了解其中的理由所在，”他表示。

举例来说，很多可接受性良好的使用政策往往只体现在网站上或者纸面材料上。在未来，他希望能看到这类内容更多被通过用户社区以文本等方式进行分享。

此外，他认为用户应当接受问卷调查，帮助企业弄清员工到底有多了解现行的管理政策。在他看来，这能够切实帮助IT部门弥合用户在专业知识方面的空白。

对于Prestridge而言，很重要的一点是确保用户深入理解可接受使用政策的各项要求。“我们需要从业务及风险两个角度解释采取相关政策的原因，告诉用户他们为什么不能利用电子邮件进行原本自己所熟悉的某些特定操作，”他指出。

举例来说，用户可能并没有完全理解他们应该如何处理电子邮件内容，也许他们会因为一时不慎而在其中包含敏感或者机密信息、并由此导致安全威胁。大家应该在可接受使用政策当中将其作为常见案例进行强调，而用户则可以借此理解风险的存在并加以规避。

4、将培训用户作为对抗钓鱼攻击的最佳武器。

根据Osterman的观点，与可接受使用政策并行实施的还应当包括对用户进行钓鱼攻击的相关培训。“人们还是很容易被此类招数所蒙骗，而且对于自己接收到的内容缺乏应有的戒心，”他指出。

尽管像数据丢失防护(简称DLP)这类技术方案能够切实帮助我们检测到钓鱼活动，但用户仍然需要扮演安全防御体系中的第一道防线，Osterman强调称。“电子邮件与社交文件共享机制的结合无疑为恶意活动的肆虐敞开了大门，”他表示。

用户培训机制还能帮助我们以更低预算堵住更多安全漏洞。“企业有时候会误以为安全培训需要花费大量成本，但根据平均水平计算、一家企业每五年就会遭遇一次成功的钓鱼攻击侵袭，相比之下以积极态度抢先解决问题无疑更为明智，”Pescatore指出。

5、个人邮件与企业邮件能够共存于同一设备当中。

与希拉里和美国国务院一样，Prestridge和他所效力的银行也面临着多设备难题。用户当然不希望被迫使用两台智能手机或者平板设备，但Prestridge也不希望员工将个人邮件以非安全方式引入到企业环境当中。

相较于直接放弃双设备机制而对数据泄露事故抱有侥幸心理，Prestridge决定在用户的个人设备当中部署Good Technology的容器服务。他没有选择黑莓设备与Blackberry Enterprise Server，而是将这笔资金用于帮助用户补贴购置iPhone及Android设备并提供来自Good Technology的安全保护应用。

为了访问企业数据，用户必须将Good应用程序下载到自己的移动设备当中。Good Technologies公司保证个人邮箱账户会被隔离于企业账户之外，而且用户无法在二者之间进行企业数据的复制与发送。Good方面还会对用户的操作活动进行记录，这样一旦数据发生泄露或者被盗，IT部门能够快速回溯并发现相关负责人。

此外，一旦设备丢失或者被盗，IT部门也能够快速定位并/或进行远程数据清除。

“用户仍然能够享受到设备提供的全部功能，但又不至于影响到企业数据安全性，”Prestridge表示。

尽管Prestridge目前已经解决了电子邮件安全性与合规性难题，但他知道邮件最佳实践在不久的将来会继续随着技术方案的演变而有所变化。

采取统一通信机制是解决问题的良方。他希望了解监管机构对于语音邮件在电子邮件系统中的出现会作出怎样的针对性要求。金融机构是否需要将其作为传统邮件进行保存?如果答案是肯定的，那么最佳实践自然需要根据这一状况作出调整。

Gormé对于双因素验证机制同样非常看好，例如将验证码发送到用户手机当中，而这种方式也可以在未来成为电子邮件系统中的最佳实践，特别是在医疗健康领域。“我认为我们正逐步脱离密码验证机制，而更多采用令牌及其它安全选项，”他指出。

Firstbrook表示，在很多情况下我们无法直接将最佳实践方案引入到电子邮件系统当中。举例来讲，如果企业董事会希望探讨最新财务业绩或者高管团队及CFO需要处理与竞争对手之间的采购协议，那么电子邮件绝对不是一套值得信赖的安全选项。相反，用户应当选择一套个人门户或者保密平台来使用数据并随后将其彻底清理掉，这样才能彻底杜绝复制或者转发状况的出现。

(责任编辑：安博涛)