高管们真的不善于遵守安全政策吗?或者这只是一个神话,一些误解?全球化服务提供商Lionbridge的首席安全官DouglasGraham说,现在是平息谣言的时候了:经理们因拒绝遵守安全政策而受到指责。在他的经验中,人们所说的不守规矩往往是一个简单的误解。在之前的工作中,我曾经问过我的CEO为什么他拒绝安全意识培训。他告诉我他从来没有这么说过,他觉得每个人都应该接受培训。原来是别人替他做了决定。在我的职业生涯中,我发现许多高管并没有完全意识到他们没有遵守规则;相反,其他人通常会根据他们认为高管可能会或可能不会接受的内容来为他们做出决定。一项关于高层管理人员遵守安全供应商Bitdefender提供的安全协议的意愿的新研究结果并不乐观。这份名为“HackedOff!”的报告调查了全球6,000多名信息安全专业人士,57%的受访者表示,主要高管最不可能遵守公司的网络安全政策。但为什么?其他研究发现,在大多数组织中,安全性仍然是一个日益重要的优先事项。例如,今年早些时候Radware的一项研究发现,网络安全被高管视为关键的业务驱动力,98%的高管表示他们对安全负有一定的管理责任。众所周知,首席执行官和其他高级管理人员因其影响力和对关键数据的访问权限而成为黑客的目标。根据Verizon的《2019年数据泄露调查报告》(2019年数据泄露调查报告),越来越多的高管成为社会工程学的目标,以获取经济利益。高级管理人员成为社会工程学攻击目标的可能性是其他人的12倍。显然,高管们明白谨慎和规避风险的必要性。那么,为什么他们因合规工作不力而声名狼藉呢?是时候审查控制或企业文化了。CISO需要与业务主管和其他主要利益相关者合作来解释控制背后的基本原理,即使这需要更多时间。而不是为了合规而要求合规。高管需要不同程度的控制经验丰富的分析师和安全行业专业人士JohnPescatore已经看到了这个问题多年来的演变。SANS现任新兴安全趋势主管表示,高管未能遵守安全政策的最常见原因之一是他们需要为他们量身定制的安全控制。安全政策通常是一刀切的,对CEO和她的秘书也有同样的要求。这个不成立。从来没有过。在其他公司政策中,高管享有比普通员工更多的特权和待遇,安全政策也需要做到这一点。Pescatore举了一个安全政策的例子,该政策在几年前禁止使用黑莓,在最近几年禁止使用iPhone。在这种情况下,我们可以轻松地为高管提供安全的移动设备,并为他们准备安全配置的移动设备。但在许多地方,这不会发生。因此,高管们多少知道不允许他们在工作中使用自己的设备的指令——但他们还是会使用自己的设备。Pescatore说:太多的安全团队依赖于“好吧,我们告诉他们不要这样做”,而不是专注于开发安全架构和控制,这些安全架构和控制可以在满足这些高管工作需求的同时保证他们的安全。将资金投入风险想让高管们意识到他们的违规行为可能会付出多大的代价?DeloitteCyber??RiskServices董事总经理兼顾问JohnGelinne表示,请向他们提供详细信息。违规的代价。CISO需要打击其他高管的钱包。更进一步,可以通过不断发展的网络风险定量建模技术来计算对手利用高管的财务影响。网络风险建模可以从财务角度说明网络攻击可能产生的广泛业务影响——从事件的发现到长期的恢复过程——作为高管在某一时刻被对手利用的结果时间计算。通过现实地考虑潜在成本,企业领导者可以看到他们的行为对他们和股东的直接影响。Gelinne还建议对高管进行专门培训。这可以帮助他们了解他们如何以及为何成为通过电子邮件进行的鱼叉式网络钓鱼和捕鲸攻击的目标。对于高管,犯罪分子通常愿意耐心等待并打持久战,以期获得丰厚的报酬。这只是一个天大的误会吗?Pescatore还指出,关于CEO不合规的谣言很多。当我向董事会做简报时,我总是问,'你们中有多少人在工作时使用iPhone或Android手机?而今天,100%。然后我问,“你们中有多少人使用指纹或面部识别来解锁手机?”通常,80%到90%会,但大多数安全团队会说,‘我们无法让高管使用强身份验证。’所以也许是时候让安全团队改变他们对高管的看法了。有大量证据表明,高管们确实关心安全问题。Pescatore说,归根结底,安全需要以积极的方式进行营销,以获得高级管理人员的支持。许多CISO已经在这样做,他说。我有很多CISO的好例子,他们擅长沟通、销售和促进业务。在Bitdefender调查中,他们可能是41%没有受到指责(不合规)的人之一。【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
