高管人员最不遵守安全规定？

高管们真的那么不善于遵守安全政策吗?或者这是不实之说，存在着一些误解?

[[281970]]

全球化服务供应商 Lionbridge 的首席安全官 Douglas Graham 表示，现在是时候平息谣言：高层管理人员因为拒绝遵守安全政策而受到指责。根据他的经验，人们所谓的不遵守规矩往往是一个简单的误解。

一项针对高层管理人员是否愿意遵守安全供应商 Bitdefender 提供的安全协议的新研究结果并不乐观。这份名为 “Hacked Off!” 的报告调查了全球 6000 多名信息安全专业人士，其中 57% 的人表示，核心管理人员是最不可能遵守公司网络安全政策的人。

但是为什么呢?其他研究发现，在大多数组织机构中，安全性的优先级持续提高。例如，Radware 今年早些时候的一项研究发现，网络安全被高层管理人员视为是一个关键的业务驱动因素，98% 的高管指出他们对安全负有一定的管理责任。

众所周知，CEO 和其他高层管理人员，因为他们的影响力和能接触关键数据而被黑客们视为目标。根据 Verizon 的《2019年数据泄露调查报告》(2019 Data Breach Investigations Report)，为了获取经济利益，越来越多的高层管理人员正在成为社会工程的目标。高级管理人员成为社会工程攻击目标的可能性要高出 12 倍。

显然，高管们都明白有必要谨慎行事、规避风险。那么，为什么他们会因为在合规方面做得很差而声名远扬呢?

高管们需要不同程度的控制

资深分析师、安全行业的专业人士 John Pescatore 多年来目睹了这个问题的演变。SANS 目前负责新兴安全趋势的主管表示，高管不遵守安全政策的最常见原因之一是，他们需要专门适合自己的安全控制措施。

Pescatore 举了一个安全政策的例子，几年前，该政策禁止使用黑莓手机，最近几年又禁止使用 iPhone。在这种情况下，我们可以很容易地为高管层提供安全的移动设备，并且为他们准备安全配置的移动设备。但是在很多地方，这并没有发生。因此，高管们对不让他们在工作时使用自己的设备这一指令有些意识——但他们还是会使用自己的设备。

Pescatore 表示：太多的安全团队依靠 “好吧，我们告诉他们不要这样做”，而不是专注于开发安全架构和控制，能够保证安全的同时满足这些高管的工作需求。

用钱来说明风险

想要让高管们意识到，他们的不合规行为可能会带来多大的代价?德勤网络风险服务 (Deloitte Cyber Risk Services) 顾问，总经理 John Gelinne 表示，给他们详细说明一次违规的成本。

Gelinne 还建议对高管进行专门的培训。这可以帮助他们了解如何——以及为什么——他们会成为通过电子邮件进行的鱼叉式网络钓鱼和捕鲸攻击的目标。当涉及到高管时，犯罪分子们通常愿意耐心等待放长线钓大鱼，以期获得丰厚的报酬。

这只是一个大误会吗?

Pescatore 还指出，有很多有关首席执行官们在合规方面态度恶劣的不实传言。

因此，也许是时候让安全团队改变对高管的看法了。很多证据表明，高管层确实关心安全问题。Pescatore 表示，归根结底需要以一种积极的方式营销安全，获得高级管理人员的支持。他说，很多 CISO 们已经在这么做了。

【本文是IDC.NET专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文