高管人員最不遵守安全規定?
責編:gltian |2019-11-11 13:33:10高管們真的那么不善于遵守安全政策嗎?或者這是不實之說,存在著一些誤解?
全球化服務供應商 Lionbridge 的首席安全官 Douglas Graham 表示,現在是時候平息謠言:高層管理人員因為拒絕遵守安全政策而受到指責。根據他的經驗,人們所謂的不遵守規矩往往是一個簡單的誤解。
在以前工作的地方,我曾經問過我的 CEO 為什么他拒絕接受安全意識培訓。他告訴我他從來沒有這么說過,他覺得人人都應該接受培訓。結果是別人幫他做了決定。在我的職業生涯中,我發現很多高管沒有完全意識到自己沒有遵守規定;相反,其他人經常會根據他們認為高管可能會接受或者不能接受,為他們做決定。
一項針對高層管理人員是否愿意遵守安全供應商 Bitdefender 提供的安全協議的新研究結果并不樂觀。這份名為 “Hacked Off!” 的報告調查了全球 6000 多名信息安全專業人士,其中 57% 的人表示,核心管理人員是最不可能遵守公司網絡安全政策的人。
但是為什么呢?其他研究發現,在大多數組織機構中,安全性的優先級持續提高。例如,Radware 今年早些時候的一項研究發現,網絡安全被高層管理人員視為是一個關鍵的業務驅動因素,98% 的高管指出他們對安全負有一定的管理責任。
眾所周知,CEO 和其他高層管理人員,因為他們的影響力和能接觸關鍵數據而被黑客們視為目標。根據 Verizon 的《2019年數據泄露調查報告》(2019 Data Breach Investigations Report),為了獲取經濟利益,越來越多的高層管理人員正在成為社會工程的目標。高級管理人員成為社會工程攻擊目標的可能性要高出 12 倍。
顯然,高管們都明白有必要謹慎行事、規避風險。那么,為什么他們會因為在合規方面做得很差而聲名遠揚呢?
是時候回顧一下控制措施或企業文化了。CISO 們需要與企業高管和其他關鍵干系人合作,解釋控制背后的原因,即使這需要更多時間。而不是為了合規而要求合規。
高管們需要不同程度的控制
資深分析師、安全行業的專業人士 John Pescatore 多年來目睹了這個問題的演變。SANS 目前負責新興安全趨勢的主管表示,高管不遵守安全政策的最常見原因之一是,他們需要專門適合自己的安全控制措施。
安全政策往往是一刀切,對首席執行官和她的秘書的要求都一樣。這毫無道理。從來沒有。在其他公司政策上,與普通員工相比,高管們享有更多的特權和待遇,而安全政策也需要做到這一點。
Pescatore 舉了一個安全政策的例子,幾年前,該政策禁止使用黑莓手機,最近幾年又禁止使用 iPhone。在這種情況下,我們可以很容易地為高管層提供安全的移動設備,并且為他們準備安全配置的移動設備。但是在很多地方,這并沒有發生。因此,高管們對不讓他們在工作時使用自己的設備這一指令有些意識——但他們還是會使用自己的設備。
Pescatore 表示:太多的安全團隊依靠 “好吧,我們告訴他們不要這樣做”,而不是專注于開發安全架構和控制,能夠保證安全的同時滿足這些高管的工作需求。
用錢來說明風險
想要讓高管們意識到,他們的不合規行為可能會帶來多大的代價?德勤網絡風險服務 (Deloitte Cyber Risk Services) 顧問,總經理 John Gelinne 表示,給他們詳細說明一次違規的成本。
CISO 們需要直擊其他高管的錢包。更進一步,通過不斷發展的網絡風險量化建模技術,可以計算出對手利用高管帶來的財務影響。網絡風險建模可以從財務角度說明明,網絡攻擊可能產生的廣泛業務影響——從事件被發現到長期的恢復過程——其結果都是基于一位高管被一個對手在某一個時間點利用計算得出。通過切實考慮潛在成本,企業領導者可以看到他們的行動對他們和股東的直接影響。
Gelinne 還建議對高管進行專門的培訓。這可以幫助他們了解如何——以及為什么——他們會成為通過電子郵件進行的魚叉式網絡釣魚和捕鯨攻擊的目標。當涉及到高管時,犯罪分子們通常愿意耐心等待放長線釣大魚,以期獲得豐厚的報酬。
這只是一個大誤會嗎?
Pescatore 還指出,有很多有關首席執行官們在合規方面態度惡劣的不實傳言。
當我向董事會做簡報時,我總會問,‘你們當中有多少人在工作中使用 iPhone 或 Android 手機?’而如今,100% 都是這樣。然后我問,‘你們中有多少人用指紋或面部識別來解鎖手機?’通常情況下,80% 到 90% 的人會這么做,但大多數安全團隊會說,‘我們無法讓高管使用強身份認證。’
因此,也許是時候讓安全團隊改變對高管的看法了。很多證據表明,高管層確實關心安全問題。Pescatore 表示,歸根結底需要以一種積極的方式營銷安全,獲得高級管理人員的支持。他說,很多 CISO 們已經在這么做了。
我有很多表明 CISO 們擅長溝通、銷售和促進業務的優秀范例。在 Bitdefender 的調查中,他們可能屬于那 41% 沒有(因為不合規)受到指責的人。