首席信息安全官如何保证高管信息的安全为他们提供信息安全保护需要一种全面的方法。包括董事会成员和企业高管在内的高层管理人员通常可以访问敏感信息,这使他们成为寻求破坏企业安全防御的网络犯罪分子的主要目标。高层管理人员的个人设备以及其他入口点是网络犯罪分子试图闯入的攻击媒介。正如CISO所知,网络事件通常包含人为因素。根据Verizon发布的2022年数据泄露调查报告,82%的数据泄露涉及人为因素,其中大部分涉及网络钓鱼、企业电子邮件泄露和证书被盗。家庭是新的网络攻击面在多种因素的驱动下,一种新型风险正在出现,这种风险以企业高管为目标,采用高度个人化的网络攻击方法。这种情况向CISO传达的信息是,企业高管的数字生活可能是企业中最薄弱的环节,而不仅仅是他们在家中采用公司设备和帐户、家中的计算机、IT设备和智能电器设备,而且甚至社交媒体互动也可能很脆弱,并在工作场所构成安全风险。“这意味着家庭将成为新的攻击面,”BlackCloak的首席执行官克里斯皮尔森说。CISO很容易确保内部系统和人员到位以确保公司信息安全,但管理来自外部。风险要困难得多,因为它们不容易控制。皮尔森说,企业高管的数字生活可能是一颗定时炸弹。根据皮尔森给企业高管的建议,39%的企业高管的个人数字生活在某种程度上受到了影响。当个人生活和公司工作联系在一起时,这会给CISO带来麻烦,他们会发现自己在无法控制的环境中难以有效应对网络攻击。随着COVID-19大流行推动混合工作的兴起,企业高管面临的风险迅速增加,这在员工的工作和个人数字生活之间造成了模糊。复杂的地缘政治紧张局势、针对企业的数字激进主义机会,尤其是在风险较高的行业,以及针对高管经济利益的网络攻击,都增加了高管个人数字生活的风险。毕马威澳大利亚网络服务合伙人GerganaWinzer表示,大公司的高管以及那些在媒体和社交媒体上具有影响力的人可能成为网络犯罪分子的目标。“网络犯罪分子已经意识到,他们可以利用现成的在线恶意软件或勒索软件将高净值企业高管作为目标,从中获利,”Winzer说。个人风险可以有多种不同的形式,其中最大的风险之一是知识产权,例如公司高管的个人设备或个人账户中的公司文件丢失,他们几乎无法或无法控制。“企业高管通常拥有复杂的智能家居系统,配备安全摄像头和托管大量设备和服务的服务器,这些都是潜在的切入点,”他说。与金融机构相比,企业高管更容易成为网络犯罪分子的目标,因为他们的净资产也很高。我们看到他们的个人电子邮件遭到破坏,个人设备受到恶意软件和其他社会工程诈骗的破坏。因此,经济利益是许多此类攻击的重要动机。”她说,网络罪犯还会对企业高管进行恶意的、深度人身攻击。企业高管的个人信息(姓名、地址、电话号码,甚至个人照片和视频等)泄露,很容易上当受骗、被利用。皮尔森补充说:“这些信息经常被用作敲诈勒索的手段,但它也会造成非常严重的名誉损害甚至恐吓。”在人际互动之间制造更多摩擦。皮尔森表示,有必要缩小这些类型的账户、服务和设备的网络攻击面,并确保可以降低风险。CISO如何降低高管的风险当CISO无法直接干预高管的个人数字生活时,确保他们在办公环境和硬件之外受到保护可能很困难。皮尔森说:“他们希望有隐私漏洞,但他们只是想掩盖风险并了解可以做些什么。”Pierson说,CISO需要准确了解公司和个人这两种风险环境如何交叉以及在何处交叉。“你可以从公司网站上的‘关于我们’高管页面开始,然后弄清楚这些高管在个人生活中可能面临的最大风险是什么,以及CIO可以采取哪些措施来应用或减轻这些风险,”他说.这些风险。”Winzer表示,一场复杂、协调良好的网络攻击可能不会从公司的信息系统开始,而是从对公司高管的攻击开始。作为一项预防措施,CISO需要对企业领导层和执行团队风险状况的变化保持警惕,这意味着要保持好奇心并不断发现盲点。这些盲点可能很大——比如一位经常出现在媒体上的CEO,其股票市场交易公开接受公众监督,或者知名度足以被纳入社交媒体对话,这表明可能存在黑客攻击。“作为一名首席信息安全官,你需要意识到可能损害高管及其在企业内所做工作的威胁,”她说。保护企业的“皇冠上的宝石”为了关闭可能从个人渗透到企业的潜在漏洞,Winzer建议CISO进行风险评估,包括识别需要保护的企业“皇冠上的宝石”。这需要包括评估潜在风险,包括人身攻击,并制定减轻这些风险的策略。Winzer说,这意味着要确保记录和考虑尽可能多的威胁或漏洞,这有助于评估任何个人违规行为的可能性和影响。“需要评估这种威胁对高管和董事会成员意味着什么,然后根据风险偏好和企业认为需要保护的重要内容采取行动,”她说。风险缓解策略可能包括以下信息:这些是关于公司高管可以公开披露自己的内容和程度的政策。“拥有尽可能多的信息来评估威胁,将其纳入风险登记册,然后采取行动而不是忽视它,这一点非常重要,”她说。“因为这就是网络世界的全部意义所在——每次你忽视某些东西,这就是网络犯罪分子攻击的地方。”确保高管接受网络安全培训除了风险评估和缓解策略外,网络安全培训还有助于确保高管的数字足迹安全。国际信息系统审计协会(ISACA)新兴趋势工作组成员StevenSim表示,与所有员工一样,高管们应该参加专门的准备培训,包括网络钓鱼模拟练习和桌面练习。“这些演习还应该让企业高管(如果可能的话)在网络攻击引发的模拟企业危机期间参与决策,”西姆说。像往常一样实施,它应该跨越人员、流程和技术。面对监管罚款和声誉受损的威胁,它需要扩展到数字和业务供应链以及安全社区的智能生态系统。”Sim建议,随着网络威胁领域新技术和工具的快速发展,高管及其风险登记册都应不断更新。CISO必须持续衡量网络安全计划和项目的安全指标、关键风险指标和关键绩效指标,以确保成功交付网络安全改进计划。“这有助于公司满足他们当前的风险偏好,并为未来保护高管和企业免受潜在威胁铺平道路,”他说。考虑企业文化Winzer认为,企业文化是管理高管风险时另一个不可忽视的重要因素,它应该确保每个人都对网络安全承担共同责任。实际上,这意味着首席信息安全官必须采取整体方法,而不是依赖补丁或培训计划。虽然许多CISO多年来一直这样做,但她建议,需要在企业高层采取强有力的协作方法,才能真正改善网络安全文化。“首席信息官、首席财务官和首席执行官都需要共同努力,以确保在企业内实施共同责任文化,”她说。“最重要的是,共同责任是为了更好地理解存在共同风险。如果一家企业的首席执行官受到网络攻击,个人数据和文件遭到泄露,包括有关他们身份的敏感信息或他们对企业的了解、商业秘密等,那就变成了首席信息安全官的事情,不再只是CEO的私事。“
