当我看到企业对所有员工执行可靠的网络安全政策,然后转过身来,为他们的精英——高管——破例时,我感到挠头。在我十几岁的时候,我妈妈经常用“照我说的做,不按我做的做”的策略来对付我。它在当时是站不住脚的,50多年后仍然站不住脚。
现在,我必须承认,当谈到高管豁免时,我有一种坚守的观念,因为我来自以身作则的领导学校。好像CISO和他们的团队发现他们的盘子还不够满,而不必与轻视规则的高管打交道,并树立了一个非常糟糕的榜样。
我采访了Versa Networks的安全总监乔恩·泰勒,他用非常简单的方式概括了这个问题——对于由董事会(公共或私人)管理的公司来说,使用可用的工具,合规的需要不允许有例外的空间。
泰勒说:“这类法规和指导方针将风险评级应用于CEO,因为他们是公司名称和形象的化身。”重要的是向CxO表明,如果他们成为事件的中心,哪些数据将处于危险之中,公司将如何受到影响,以及他们本人可能会受到怎样的影响。
让CEO相信他们不需要豁免
泰勒说,对于私人持股公司来说,这“更像是对高管的一种教育”。“他们需要了解,将他们作为个人目标是多么容易,以及当他们受到威胁时,可能给他们的企业带来的成本。”
WatchGuard的CSO科里·纳克雷纳也表达了类似的观点,他也倡导以身作则和站在前面的重要性。他指出,这是因为他“教育CEO们,一个好的网络安全项目和文化只有在来自最高领导层并得到他们的全力支持时才会成功。CSO/CISO不应该接受安全主管的职位,除非他们知道自己得到了董事会和高管同行的全力支持。”
Nachreiner说,如果没有受过教育的领导层支持,安全文化永远不会成功。“如果你的领导没有采取正确的行动,它会告诉员工,他们也没有必要这样做。高管们应该已经明白,他们是网络钓鱼和鱼叉式网络钓鱼攻击的目标群体之一,所以他们应该想要遵循良好的安全做法,坦率地说,他们需要保持比普通员工更高的警惕。”
网络安全政策是为了帮助企业,而不是阻碍企业。“如果一项安全政策真的阻碍了业务,以至于高管想绕过它,你就应该考虑这项政策是否有必要。”纳赫雷纳说。
“网络安全不是一个完美安全实践的象牙塔,而是一个风险管理方程式,让你的公司以最小的风险开展业务。如果一项安全政策真的阻止或减缓了业务,而且与之相关的风险低于它为业务提供的价值,那么你也可以将其作为可接受的风险。”
CEO可能需要更个性化的安全级别
有些人可能会说,CEO需要接受白手套待遇。我自己也是一些人中的一员,他们认为CEO可能需要专门的或更快的支持。我用了可能这个词,因为它并不总是如此,但一项有说服力的讨论认为,应该有一支专门的团队,以确保他们的运作能力始终处于运行状态,即使可能会不时因网络事件或环境而降级。
这就引出了一个问题,CEO们是应该用棉布包裹,还是只是提供一种更个性化的支持?泰勒认为100%的保护是不可能的,并建议采取统一的方法来保护CEO。他赞成“更深入地监测这些用户的活动,以便确定针对高管团队及其大家庭的妥协指标(IoC)”的战略。
Nachreiner毫不含糊地说:“不要像对待任何其他高级或特权员工一样这么做。高管应该像对待所有员工一样拥有相同的安全控制、政策和可接受的使用指南,唯一的额外措施是你将他们视为特权用户或高价值目标。”
泰勒还主张对高管用户实施更严格的控制和访问限制。CFO可能有权访问公司的所有财务数据,但CPO可能拥有任何与人力资源相关的材料。CIO将有权访问可以通过工具生成的报告,但没有对个别系统的读或写权限。当然,CEO有权访问报告系统,但对特定部门的个别系统没有读或写权限。这有助于创建一个缓冲区,以便在CEO中的某人因任何原因受到威胁时,可以将造成的损害的爆炸半径降至最小。
信息安全团队必须首先降低企业的风险
信息安全团队绝不能也不能因为领导是一头驴就袖手旁观,等待灾难的到来。他们必须采取措施,加强围绕错误决策的安全性,降低企业面临的风险。
我建议那些信奉“等级有其特权”哲学的人,当你清楚地发现自己选择了退出,并对CISO和他们的团队正在清理的混乱负责时,你可能会发现自己是局外人。
尽管如此,Nachreiner为CISO提供了有价值的、具有先见之明的建议,告诉他们如何为高管提供例外,“允许他们例外,或者尝试做一些完全不同的事情,这是一种滑坡。”他接着说,“如果你发现他们拒绝做任何其他员工被要求做的事情,而且他们对安全问题如此漠不关心,以至于绕过了政策,这是一个迹象,表明你的安全计划没有得到最高管理层的全面支持。”
如果你,作为CISO,没有CEO的支持,那么道路上的一个岔路口就会出现。正如我在之前的一篇评论文章中所讨论的那样,CISO需要知道何时放弃他们的牌。
