关于ZAKER 融媒体解决方案 合作 加入

高管人员最不遵守安全规定?

51CTO 11-12

高管们真的那么不善于遵守安全政策吗 ? 或者这是不实之说,存在着一些误解 ?

全球化服务供应商 Lionbridge 的首席安全官 Douglas Graham 表示,现在是时候平息谣言:高层管理人员因为拒绝遵守安全政策而受到指责。根据他的经验,人们所谓的不遵守规矩往往是一个简单的误解。

在以前工作的地方,我曾经问过我的 CEO 为什么他拒绝接受安全意识培训。他告诉我他从来没有这么说过,他觉得人人都应该接受培训。结果是别人帮他做了决定。在我的职业生涯中,我发现很多高管没有完全意识到自己没有遵守规定 ; 相反,其他人经常会根据他们认为高管可能会接受或者不能接受,为他们做决定。

一项针对高层管理人员是否愿意遵守安全供应商 Bitdefender 提供的安全协议的新研究结果并不乐观。这份名为 "Hacked Off!" 的报告调查了全球 6000 多名信息安全专业人士,其中 57% 的人表示,核心管理人员是最不可能遵守公司网络安全政策的人。

但是为什么呢 ? 其他研究发现,在大多数组织机构中,安全性的优先级持续提高。例如,Radware 今年早些时候的一项研究发现,网络安全被高层管理人员视为是一个关键的业务驱动因素,98% 的高管指出他们对安全负有一定的管理责任。

众所周知,CEO 和其他高层管理人员,因为他们的影响力和能接触关键数据而被黑客们视为目标。根据 Verizon 的《2019 年数据泄露调查报告》 ( 2019 Data Breach Investigations Report ) ,为了获取经济利益,越来越多的高层管理人员正在成为社会工程的目标。高级管理人员成为社会工程攻击目标的可能性要高出 12 倍。

显然,高管们都明白有必要谨慎行事、规避风险。那么,为什么他们会因为在合规方面做得很差而声名远扬呢 ?

是时候回顾一下控制措施或企业文化了。CISO 们需要与企业高管和其他关键干系人合作,解释控制背后的原因,即使这需要更多时间。而不是为了合规而要求合规。

高管们需要不同程度的控制

资深分析师、安全行业的专业人士 John Pescatore 多年来目睹了这个问题的演变。SANS 目前负责新兴安全趋势的主管表示,高管不遵守安全政策的最常见原因之一是,他们需要专门适合自己的安全控制措施。

安全政策往往是一刀切,对首席执行官和她的秘书的要求都一样。这毫无道理。从来没有。在其他公司政策上,与普通员工相比,高管们享有更多的特权和待遇,而安全政策也需要做到这一点。

Pescatore 举了一个安全政策的例子,几年前,该政策禁止使用黑莓手机,最近几年又禁止使用 iPhone。在这种情况下,我们可以很容易地为高管层提供安全的移动设备,并且为他们准备安全配置的移动设备。但是在很多地方,这并没有发生。因此,高管们对不让他们在工作时使用自己的设备这一指令有些意识——但他们还是会使用自己的设备。

Pescatore 表示:太多的安全团队依靠 " 好吧,我们告诉他们不要这样做 ",而不是专注于开发安全架构和控制,能够保证安全的同时满足这些高管的工作需求。

用钱来说明风险

想要让高管们意识到,他们的不合规行为可能会带来多大的代价 ? 德勤网络风险服务 ( Deloitte Cyber Risk Services ) 顾问,总经理 John Gelinne 表示,给他们详细说明一次违规的成本。

CISO 们需要直击其他高管的钱包。更进一步,通过不断发展的网络风险量化建模技术,可以计算出对手利用高管带来的财务影响。网络风险建模可以从财务角度说明明,网络攻击可能产生的广泛业务影响——从事件被发现到长期的恢复过程——其结果都是基于一位高管被一个对手在某一个时间点利用计算得出。通过切实考虑潜在成本,企业领导者可以看到他们的行动对他们和股东的直接影响。

Gelinne 还建议对高管进行专门的培训。这可以帮助他们了解如何——以及为什么——他们会成为通过电子邮件进行的鱼叉式网络钓鱼和捕鲸攻击的目标。当涉及到高管时,犯罪分子们通常愿意耐心等待放长线钓大鱼,以期获得丰厚的报酬。

这只是一个大误会吗 ?

Pescatore 还指出,有很多有关首席执行官们在合规方面态度恶劣的不实传言。

当我向董事会做简报时,我总会问,‘你们当中有多少人在工作中使用 iPhone 或 Android 手机 ? ’而如今,100% 都是这样。然后我问,‘你们中有多少人用指纹或面部识别来解锁手机 ? ’通常情况下,80% 到 90% 的人会这么做,但大多数安全团队会说,‘我们无法让高管使用强身份认证。’

因此,也许是时候让安全团队改变对高管的看法了。很多证据表明,高管层确实关心安全问题。Pescatore 表示,归根结底需要以一种积极的方式营销安全,获得高级管理人员的支持。他说,很多 CISO 们已经在这么做了。

我有很多表明 CISO 们擅长沟通、销售和促进业务的优秀范例。在 Bitdefender 的调查中,他们可能属于那 41% 没有 ( 因为不合规 ) 受到指责的人。

【本文是 51CTO 专栏作者 " 李少鹏 " 的原创文章,转载请通过安全牛(微信公众号 id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

【编辑推荐】

网络安全领域 20 种特别差劲指标

软件定义边界 ( SDP ) 如何缓解常见安全威胁

合规指令:主导 2019 安全重点的网络安全较佳实践

十个很少有人谈到的网络安全风险因素

2020 年网络安全的四大变化

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0

以上内容由"51CTO"上传发布 查看原文

最新评论

没有更多评论了

觉得文章不错,微信扫描分享好友

扫码分享