當(dāng)我看到企業(yè)對(duì)所有員工執(zhí)行可靠的網(wǎng)絡(luò)安全政策，然后轉(zhuǎn)過身來，為他們的精英——高管——破例時(shí)，我感到撓頭。在我十幾歲的時(shí)候，我媽媽經(jīng)常用“照我說的做，不按我做的做”的策略來對(duì)付我。它在當(dāng)時(shí)是站不住腳的，50多年后仍然站不住腳。

現(xiàn)在，我必須承認(rèn)，當(dāng)談到高管豁免時(shí)，我有一種堅(jiān)守的觀念，因?yàn)槲襾碜砸陨碜鲃t的領(lǐng)導(dǎo)學(xué)校。好像CISO和他們的團(tuán)隊(duì)發(fā)現(xiàn)他們的盤子還不夠滿，而不必與輕視規(guī)則的高管打交道，并樹立了一個(gè)非常糟糕的榜樣。

我采訪了Versa Networks的安全總監(jiān)喬恩·泰勒，他用非常簡(jiǎn)單的方式概括了這個(gè)問題——對(duì)于由董事會(huì)(公共或私人)管理的公司來說，使用可用的工具，合規(guī)的需要不允許有例外的空間。

泰勒說：“這類法規(guī)和指導(dǎo)方針將風(fēng)險(xiǎn)評(píng)級(jí)應(yīng)用于CEO，因?yàn)樗麄兪枪久Q和形象的化身?！敝匾氖窍駽xO表明，如果他們成為事件的中心，哪些數(shù)據(jù)將處于危險(xiǎn)之中，公司將如何受到影響，以及他們本人可能會(huì)受到怎樣的影響。

讓CEO相信他們不需要豁免

泰勒說，對(duì)于私人持股公司來說，這“更像是對(duì)高管的一種教育”?！八麄冃枰私?，將他們作為個(gè)人目標(biāo)是多么容易，以及當(dāng)他們受到威脅時(shí)，可能給他們的企業(yè)帶來的成本。”

WatchGuard的CSO科里·納克雷納也表達(dá)了類似的觀點(diǎn)，他也倡導(dǎo)以身作則和站在前面的重要性。他指出，這是因?yàn)樗敖逃鼵EO們，一個(gè)好的網(wǎng)絡(luò)安全項(xiàng)目和文化只有在來自最高領(lǐng)導(dǎo)層并得到他們的全力支持時(shí)才會(huì)成功。CSO/CISO不應(yīng)該接受安全主管的職位，除非他們知道自己得到了董事會(huì)和高管同行的全力支持?！?/p>

Nachreiner說，如果沒有受過教育的領(lǐng)導(dǎo)層支持，安全文化永遠(yuǎn)不會(huì)成功?！叭绻愕念I(lǐng)導(dǎo)沒有采取正確的行動(dòng)，它會(huì)告訴員工，他們也沒有必要這樣做。高管們應(yīng)該已經(jīng)明白，他們是網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚攻擊的目標(biāo)群體之一，所以他們應(yīng)該想要遵循良好的安全做法，坦率地說，他們需要保持比普通員工更高的警惕。”

網(wǎng)絡(luò)安全政策是為了幫助企業(yè)，而不是阻礙企業(yè)。“如果一項(xiàng)安全政策真的阻礙了業(yè)務(wù)，以至于高管想繞過它，你就應(yīng)該考慮這項(xiàng)政策是否有必要。”納赫雷納說。

“網(wǎng)絡(luò)安全不是一個(gè)完美安全實(shí)踐的象牙塔，而是一個(gè)風(fēng)險(xiǎn)管理方程式，讓你的公司以最小的風(fēng)險(xiǎn)開展業(yè)務(wù)。如果一項(xiàng)安全政策真的阻止或減緩了業(yè)務(wù)，而且與之相關(guān)的風(fēng)險(xiǎn)低于它為業(yè)務(wù)提供的價(jià)值，那么你也可以將其作為可接受的風(fēng)險(xiǎn)?！?/p>

CEO可能需要更個(gè)性化的安全級(jí)別

有些人可能會(huì)說，CEO需要接受白手套待遇。我自己也是一些人中的一員，他們認(rèn)為CEO可能需要專門的或更快的支持。我用了可能這個(gè)詞，因?yàn)樗⒉豢偸侨绱?，但一?xiàng)有說服力的討論認(rèn)為，應(yīng)該有一支專門的團(tuán)隊(duì)，以確保他們的運(yùn)作能力始終處于運(yùn)行狀態(tài)，即使可能會(huì)不時(shí)因網(wǎng)絡(luò)事件或環(huán)境而降級(jí)。

這就引出了一個(gè)問題，CEO們是應(yīng)該用棉布包裹，還是只是提供一種更個(gè)性化的支持?泰勒認(rèn)為100%的保護(hù)是不可能的，并建議采取統(tǒng)一的方法來保護(hù)CEO。他贊成“更深入地監(jiān)測(cè)這些用戶的活動(dòng)，以便確定針對(duì)高管團(tuán)隊(duì)及其大家庭的妥協(xié)指標(biāo)(IoC)”的戰(zhàn)略。

Nachreiner毫不含糊地說：“不要像對(duì)待任何其他高級(jí)或特權(quán)員工一樣這么做。高管應(yīng)該像對(duì)待所有員工一樣擁有相同的安全控制、政策和可接受的使用指南，唯一的額外措施是你將他們視為特權(quán)用戶或高價(jià)值目標(biāo)。”

泰勒還主張對(duì)高管用戶實(shí)施更嚴(yán)格的控制和訪問限制。CFO可能有權(quán)訪問公司的所有財(cái)務(wù)數(shù)據(jù)，但CPO可能擁有任何與人力資源相關(guān)的材料。CIO將有權(quán)訪問可以通過工具生成的報(bào)告，但沒有對(duì)個(gè)別系統(tǒng)的讀或?qū)憴?quán)限。當(dāng)然，CEO有權(quán)訪問報(bào)告系統(tǒng)，但對(duì)特定部門的個(gè)別系統(tǒng)沒有讀或?qū)憴?quán)限。這有助于創(chuàng)建一個(gè)緩沖區(qū)，以便在CEO中的某人因任何原因受到威脅時(shí)，可以將造成的損害的爆炸半徑降至最小。

信息安全團(tuán)隊(duì)必須首先降低企業(yè)的風(fēng)險(xiǎn)

信息安全團(tuán)隊(duì)絕不能也不能因?yàn)轭I(lǐng)導(dǎo)是一頭驢就袖手旁觀，等待災(zāi)難的到來。他們必須采取措施，加強(qiáng)圍繞錯(cuò)誤決策的安全性，降低企業(yè)面臨的風(fēng)險(xiǎn)。

我建議那些信奉“等級(jí)有其特權(quán)”哲學(xué)的人，當(dāng)你清楚地發(fā)現(xiàn)自己選擇了退出，并對(duì)CISO和他們的團(tuán)隊(duì)正在清理的混亂負(fù)責(zé)時(shí)，你可能會(huì)發(fā)現(xiàn)自己是局外人。

盡管如此，Nachreiner為CISO提供了有價(jià)值的、具有先見之明的建議，告訴他們?nèi)绾螢楦吖芴峁├猓霸试S他們例外，或者嘗試做一些完全不同的事情，這是一種滑坡。”他接著說，“如果你發(fā)現(xiàn)他們拒絕做任何其他員工被要求做的事情，而且他們對(duì)安全問題如此漠不關(guān)心，以至于繞過了政策，這是一個(gè)跡象，表明你的安全計(jì)劃沒有得到最高管理層的全面支持?！?/p>

如果你，作為CISO，沒有CEO的支持，那么道路上的一個(gè)岔路口就會(huì)出現(xiàn)。正如我在之前的一篇評(píng)論文章中所討論的那樣，CISO需要知道何時(shí)放棄他們的牌。