高管们真的那么不善于遵守安全政策吗?或者这是不实之说,存在着一些误解?
全球化服务供应商 Lionbridge 的首席安全官 Douglas Graham 表示,现在是时候平息谣言:高层管理人员因为拒绝遵守安全政策而受到指责。根据他的经验,人们所谓的不遵守规矩往往是一个简单的误解。
一项针对高层管理人员是否愿意遵守安全供应商 Bitdefender 提供的安全协议的新研究结果并不乐观。这份名为 “Hacked Off!” 的报告调查了全球 6000 多名信息安全专业人士,其中 57% 的人表示,核心管理人员是最不可能遵守公司网络安全政策的人。
但是为什么呢?其他研究发现,在大多数组织机构中,安全性的优先级持续提高。例如,Radware 今年早些时候的一项研究发现,网络安全被高层管理人员视为是一个关键的业务驱动因素,98% 的高管指出他们对安全负有一定的管理责任。
众所周知,CEO 和其他高层管理人员,因为他们的影响力和能接触关键数据而被黑客们视为目标。根据 Verizon 的《2019年数据泄露调查报告》(2019 Data Breach Investigations Report),为了获取经济利益,越来越多的高层管理人员正在成为社会工程的目标。高级管理人员成为社会工程攻击目标的可能性要高出 12 倍。
显然,高管们都明白有必要谨慎行事、规避风险。那么,为什么他们会因为在合规方面做得很差而声名远扬呢?
高管们需要不同程度的控制
资深分析师、安全行业的专业人士 John Pescatore 多年来目睹了这个问题的演变。SANS 目前负责新兴安全趋势的主管表示,高管不遵守安全政策的最常见原因之一是,他们需要专门适合自己的安全控制措施。
Pescatore 举了一个安全政策的例子,几年前,该政策禁止使用黑莓手机,最近几年又禁止使用 iPhone。在这种情况下,我们可以很容易地为高管层提供安全的移动设备,并且为他们准备安全配置的移动设备。但是在很多地方,这并没有发生。因此,高管们对不让他们在工作时使用自己的设备这一指令有些意识——但他们还是会使用自己的设备。
Pescatore 表示:太多的安全团队依靠 “好吧,我们告诉他们不要这样做”,而不是专注于开发安全架构和控制,能够保证安全的同时满足这些高管的工作需求。
用钱来说明风险
想要让高管们意识到,他们的不合规行为可能会带来多大的代价?德勤网络风险服务 (Deloitte Cyber Risk Services) 顾问,总经理 John Gelinne 表示,给他们详细说明一次违规的成本。
Gelinne 还建议对高管进行专门的培训。这可以帮助他们了解如何——以及为什么——他们会成为通过电子邮件进行的鱼叉式网络钓鱼和捕鲸攻击的目标。当涉及到高管时,犯罪分子们通常愿意耐心等待放长线钓大鱼,以期获得丰厚的报酬。
这只是一个大误会吗?
Pescatore 还指出,有很多有关首席执行官们在合规方面态度恶劣的不实传言。
因此,也许是时候让安全团队改变对高管的看法了。很多证据表明,高管层确实关心安全问题。Pescatore 表示,归根结底需要以一种积极的方式营销安全,获得高级管理人员的支持。他说,很多 CISO 们已经在这么做了。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文