高管们真的那么不善于遵守安全政策吗?或者这是不实之说,存在着一些误解?
全球化服务供应商 Lionbridge 的首席安全官 Douglas Graham 表示,现在是时候平息谣言:高层管理人员因为拒绝遵守安全政策而受到指责。根据他的经验,人们所谓的不遵守规矩往往是一个简单的误解。
在以前工作的地方,我曾经问过我的 CEO 为什么他拒绝接受安全意识培训。他告诉我他从来没有这么说过,他觉得人人都应该接受培训。结果是别人帮他做了决定。在我的职业生涯中,我发现很多高管没有完全意识到自己没有遵守规定;相反,其他人经常会根据他们认为高管可能会接受或者不能接受,为他们做决定。
一项针对高层管理人员是否愿意遵守安全供应商 Bitdefender 提供的安全协议的新研究结果并不乐观。这份名为 “Hacked Off!” 的报告调查了全球 6000 多名信息安全专业人士,其中 57% 的人表示,核心管理人员是最不可能遵守公司网络安全政策的人。
但是为什么呢?其他研究发现,在大多数组织机构中,安全性的优先级持续提高。例如,Radware 今年早些时候的一项研究发现,网络安全被高层管理人员视为是一个关键的业务驱动因素,98% 的高管指出他们对安全负有一定的管理责任。
众所周知,CEO 和其他高层管理人员,因为他们的影响力和能接触关键数据而被黑客们视为目标。根据 Verizon 的《2019年数据泄露调查报告》(2019 Data Breach Investigations Report),为了获取经济利益,越来越多的高层管理人员正在成为社会工程的目标。高级管理人员成为社会工程攻击目标的可能性要高出 12 倍。
显然,高管们都明白有必要谨慎行事、规避风险。那么,为什么他们会因为在合规方面做得很差而声名远扬呢?
是时候回顾一下控制措施或企业文化了。CISO 们需要与企业高管和其他关键干系人合作,解释控制背后的原因,即使这需要更多时间。而不是为了合规而要求合规。
高管们需要不同程度的控制
资深分析师、安全行业的专业人士 John Pescatore 多年来目睹了这个问题的演变。SANS 目前负责新兴安全趋势的主管表示,高管不遵守安全政策的最常见原因之一是,他们需要专门适合自己的安全控制措施。
安全政策往往是一刀切,对首席执行官和她的秘书的要求都一样。这毫无道理。从来没有。在其他公司政策上,与普通员工相比,高管们享有更多的特权和待遇,而安全政策也需要做到这一点。
Pescatore 举了一个安全政策的例子,几年前,该政策禁止使用黑莓手机,最近几年又禁止使用 iPhone。在这种情况下,我们可以很容易地为高管层提供安全的移动设备,并且为他们准备安全配置的移动设备。但是在很多地方,这并没有发生。因此,高管们对不让他们在工作时使用自己的设备这一指令有些意识——但他们还是会使用自己的设备。
Pescatore 表示:太多的安全团队依靠 “好吧,我们告诉他们不要这样做”,而不是专注于开发安全架构和控制,能够保证安全的同时满足这些高管的工作需求。
用钱来说明风险
想要让高管们意识到,他们的不合规行为可能会带来多大的代价?德勤网络风险服务 (Deloitte Cyber Risk Services) 顾问,总经理 John Gelinne 表示,给他们详细说明一次违规的成本。
CISO 们需要直击其他高管的钱包。更进一步,通过不断发展的网络风险量化建模技术,可以计算出对手利用高管带来的财务影响。网络风险建模可以从财务角度说明明,网络攻击可能产生的广泛业务影响——从事件被发现到长期的恢复过程——其结果都是基于一位高管被一个对手在某一个时间点利用计算得出。通过切实考虑潜在成本,企业领导者可以看到他们的行动对他们和股东的直接影响。
Gelinne 还建议对高管进行专门的培训。这可以帮助他们了解如何——以及为什么——他们会成为通过电子邮件进行的鱼叉式网络钓鱼和捕鲸攻击的目标。当涉及到高管时,犯罪分子们通常愿意耐心等待放长线钓大鱼,以期获得丰厚的报酬。
这只是一个大误会吗?
Pescatore 还指出,有很多有关首席执行官们在合规方面态度恶劣的不实传言。
当我向董事会做简报时,我总会问,‘你们当中有多少人在工作中使用 iPhone 或 Android 手机?’而如今,100% 都是这样。然后我问,‘你们中有多少人用指纹或面部识别来解锁手机?’通常情况下,80% 到 90% 的人会这么做,但大多数安全团队会说,‘我们无法让高管使用强身份认证。’
因此,也许是时候让安全团队改变对高管的看法了。很多证据表明,高管层确实关心安全问题。Pescatore 表示,归根结底需要以一种积极的方式营销安全,获得高级管理人员的支持。他说,很多 CISO 们已经在这么做了。
我有很多表明 CISO 们擅长沟通、销售和促进业务的优秀范例。在 Bitdefender 的调查中,他们可能属于那 41% 没有(因为不合规)受到指责的人。
相关阅读