現(xiàn)在，我必須承認(rèn)，當(dāng)談到高管豁免時，我有一種堅守的觀念，因為我來自以身作則的領(lǐng)導(dǎo)學(xué)校。好像CISO和他們的團隊發(fā)現(xiàn)他們的盤子還不夠滿，而不必與輕視規(guī)則的高管打交道，并樹立了一個非常糟糕的榜樣。

 

我采訪了Versa Networks的安全總監(jiān)喬恩·泰勒，他用非常簡單的方式概括了這個問題——對于由董事會(公共或私人)管理的公司來說，使用可用的工具，合規(guī)的需要不允許有例外的空間。

 

泰勒說：“這類法規(guī)和指導(dǎo)方針將風(fēng)險評級應(yīng)用于CEO，因為他們是公司名稱和形象的化身。”重要的是向CxO表明，如果他們成為事件的中心，哪些數(shù)據(jù)將處于危險之中，公司將如何受到影響，以及他們本人可能會受到怎樣的影響。

 

 

泰勒說，對于私人持股公司來說，這“更像是對高管的一種教育”。“他們需要了解，將他們作為個人目標(biāo)是多么容易，以及當(dāng)他們受到威脅時，可能給他們的企業(yè)帶來的成本。”

 

WatchGuard的CSO科里·納克雷納也表達了類似的觀點，他也倡導(dǎo)以身作則和站在前面的重要性。他指出，這是因為他“教育CEO們，一個好的網(wǎng)絡(luò)安全項目和文化只有在來自最高領(lǐng)導(dǎo)層并得到他們的全力支持時才會成功。CSO/CISO不應(yīng)該接受安全主管的職位，除非他們知道自己得到了董事會和高管同行的全力支持。”

 

Nachreiner說，如果沒有受過教育的領(lǐng)導(dǎo)層支持，安全文化永遠(yuǎn)不會成功。“如果你的領(lǐng)導(dǎo)沒有采取正確的行動，它會告訴員工，他們也沒有必要這樣做。高管們應(yīng)該已經(jīng)明白，他們是網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚攻擊的目標(biāo)群體之一，所以他們應(yīng)該想要遵循良好的安全做法，坦率地說，他們需要保持比普通員工更高的警惕。”

 

網(wǎng)絡(luò)安全政策是為了幫助企業(yè)，而不是阻礙企業(yè)。“如果一項安全政策真的阻礙了業(yè)務(wù)，以至于高管想繞過它，你就應(yīng)該考慮這項政策是否有必要。”納赫雷納說。

 

“網(wǎng)絡(luò)安全不是一個完美安全實踐的象牙塔，而是一個風(fēng)險管理方程式，讓你的公司以最小的風(fēng)險開展業(yè)務(wù)。如果一項安全政策真的阻止或減緩了業(yè)務(wù)，而且與之相關(guān)的風(fēng)險低于它為業(yè)務(wù)提供的價值，那么你也可以將其作為可接受的風(fēng)險。”

 

 

有些人可能會說，CEO需要接受白手套待遇。我自己也是一些人中的一員，他們認(rèn)為CEO可能需要專門的或更快的支持。我用了可能這個詞，因為它并不總是如此，但一項有說服力的討論認(rèn)為，應(yīng)該有一支專門的團隊，以確保他們的運作能力始終處于運行狀態(tài)，即使可能會不時因網(wǎng)絡(luò)事件或環(huán)境而降級。

 

這就引出了一個問題，CEO們是應(yīng)該用棉布包裹，還是只是提供一種更個性化的支持?泰勒認(rèn)為100%的保護是不可能的，并建議采取統(tǒng)一的方法來保護CEO。他贊成“更深入地監(jiān)測這些用戶的活動，以便確定針對高管團隊及其大家庭的妥協(xié)指標(biāo)(IoC)”的戰(zhàn)略。

 

Nachreiner毫不含糊地說：“不要像對待任何其他高級或特權(quán)員工一樣這么做。高管應(yīng)該像對待所有員工一樣擁有相同的安全控制、政策和可接受的使用指南，唯一的額外措施是你將他們視為特權(quán)用戶或高價值目標(biāo)。”

 

泰勒還主張對高管用戶實施更嚴(yán)格的控制和訪問限制。CFO可能有權(quán)訪問公司的所有財務(wù)數(shù)據(jù)，但CPO可能擁有任何與人力資源相關(guān)的材料。CIO將有權(quán)訪問可以通過工具生成的報告，但沒有對個別系統(tǒng)的讀或?qū)憴?quán)限。當(dāng)然，CEO有權(quán)訪問報告系統(tǒng)，但對特定部門的個別系統(tǒng)沒有讀或?qū)憴?quán)限。這有助于創(chuàng)建一個緩沖區(qū)，以便在CEO中的某人因任何原因受到威脅時，可以將造成的損害的爆炸半徑降至最小。

 

 

信息安全團隊絕不能也不能因為領(lǐng)導(dǎo)是一頭驢就袖手旁觀，等待災(zāi)難的到來。他們必須采取措施，加強圍繞錯誤決策的安全性，降低企業(yè)面臨的風(fēng)險。

 

我建議那些信奉“等級有其特權(quán)”哲學(xué)的人，當(dāng)你清楚地發(fā)現(xiàn)自己選擇了退出，并對CISO和他們的團隊正在清理的混亂負(fù)責(zé)時，你可能會發(fā)現(xiàn)自己是局外人。

 

盡管如此，Nachreiner為CISO提供了有價值的、具有先見之明的建議，告訴他們?nèi)绾螢楦吖芴峁├猓?ldquo;允許他們例外，或者嘗試做一些完全不同的事情，這是一種滑坡。”他接著說，“如果你發(fā)現(xiàn)他們拒絕做任何其他員工被要求做的事情，而且他們對安全問題如此漠不關(guān)心，以至于繞過了政策，這是一個跡象，表明你的安全計劃沒有得到最高管理層的全面支持。”

 

如果你，作為CISO，沒有CEO的支持，那么道路上的一個岔路口就會出現(xiàn)。正如我在之前的一篇評論文章中所討論的那樣，CISO需要知道何時放棄他們的牌。

 

 

國內(nèi)主流的to B IT門戶，同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。