有些人認為高階主管為了方便而不遵守網路安全措施是沒關係的。這是個壞主意。
文/Christopher Burgess‧譯/陳薇真
當我看到企業為所有員工制定可靠的網路安全政策,然而對他們的高階主管破例時,我覺得很糟糕,而且不理解他們為何做如此的決定。在我十幾歲的時候,我母親常常對我說:「照我說的做,不要管我做什麼。」當時它不成立,50 年後的現在也是不成立。
現在,我必須承認,在高階主管豁免權方面,我確實帶有一點先入為主的偏見,因為我屬於「以身作則」的領導風格。資安長和他們的團隊已經夠忙的,還是得處理那些漫不經心地違反規定的高層主管,這實在是為公司樹立了一個非常不好的榜樣。
[ 推薦閱讀:開源生成式 AI 必須注意的 10 大重點 ]
我採訪了 Versa Networks 安全總監 Jon Taylor,他以極其簡單的方式回答了這個問題:對於由董事會(公共或私人)管理的公司,運用可用的工具,安全政策不允許有任何例外。
Taylor 說:「此類法規和指導方針的風險評估涵蓋了代表企業名聲和門面的高階主管。重點是要讓高階主管了解,如果他們成為安全的破口,哪些資料將處於危險之中,公司將受到怎樣的影響,以及他們個人將受到怎樣的影響。」
說服高階主管,他們不需要豁免權
Taylor 表示,對於私人公司來說,它「更像是對高階主管的教育」。他說:「他們需要了解他們很容易成為覬覦的目標,以及當他們受到威脅時可能給他們的企業帶來的損失。」
Watchguard 安全長 Corey Nachreiner 也提出了類似的觀點,他也主張以身作則和前線領導的重要性。他指出:「需要教育高階主管,良好的網路安全計畫和文化只有在高階主管認同並全力支持下才能成功。在 CSO/CISO 接受安全主管職位之前,他們必須確定自己可以得到董事會和高階主管同事的全力支持。」
若領導階層沒有受過安全政策教育,或也不支持安全政策,Nachreiner 指出,安全文化永遠不會成功。
Nachreiner 說:「 如果你的領導者沒有遵守正確的規則,他就會告訴員工他們也不必遵守。高階主管應該已經明白,他們是網路釣魚和魚叉式網路釣魚攻擊最想針對的群體之一,因此他們應該遵循良好的安全規則,而且坦白說,他們需要比普通員工保持更高的警覺性。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
網路安全政策的目的是促進公司成長,而非阻礙。Nachreiner 表示:「如果安全策略確實對業務造成了阻礙,導致高階主管想要繞路而行,那麼你應該考慮該策略是否有必要。」
他說:「 網路安全並不是完美安全實踐的象牙塔,而是一個風險管理方案,使你的公司能夠以最小的風險做生意。如果安全策略確實阻礙或減緩業務發展,並且它的風險低於它為企業提供的價值,那麼你也可以將其視為可接受的風險。」
高階主管可能需要客製化的安全級別
有人可能會說,最高管理階層需要有量身訂做的客製化服務。我同意,高階主管可能需要特殊或比較快速的支援。我雖同意,但不代表情況並總是如此,但以下有一個令人信服的提醒指出,應該有一個專門團隊來確保高階主管的運作方式始終符合安全性,即使有時可能因為網路事件或環境而造成安全性降低。
這就引出了一個問題,高階主管是否應該被過分保護,還是只是提供更客製化的支援?Taylor 認為 100% 的保護是不可能的,並建議採用統一的方法來保護高階主管。他支持的策略是「更深入地監控這些使用者的活動,以確定執行團隊及其家人的入侵指標(IoC)」。
Nachreiner 的答案一針見血:「對待高階主管應該就像對待任何其他資深員工一樣。管理階級應該與所有員工一樣擁有相同的安全控制、策略和準則,唯一增加的措施是要將他們視為特殊權限使用者或高價值目標。」
[ 推薦閱讀:如何贏得 CIO plus 的角色? ]
Taylor 也主張對高階主管用戶進行更嚴格的控制和存取限制。 他說:「CFO 可能有權存取公司的所有財務資料,但無法存取 CPO 所擁有的任何與人力資源相關的資料。CIO 將有權存取由工具產生的報告,但無權讀寫各別的系統。執行長當然可以存取報告系統,但對特定部門內的各個系統沒有讀寫權限。這有助於建立一個緩衝區,如果高階主管中的某人因任何原因受到入侵,所造成損害的程度可以最小化。」
資安團隊必須先降低企業的風險
資安團隊絕不能因為領導階層不守規則就袖手旁觀,等待災難降臨。他們必須採取措施補強錯誤決策的安全性,並降低企業面臨的風險。
給那些遵從「高階有特權」這一理念的人之提醒,你可能有一天會發現自己得為 CISO 及其團隊正在處理的混亂負責,而且幫不上忙。
也就是說,如果 CISO 為高階主管開後門,Nachreiner 提供了相當有價值和預言性的建議:「允許他們破例,或者嘗試做一些不合政策的事情,則會造成每下愈況。如果你發現他們拒絕服從公司安全政策,而且對安全性漠不關心且繞道而行,這代表你的安全計劃沒有得到高階主管的全面支持。」
如果身為 CISO 沒有獲得高階主管的支持,那麼你就面臨了決定性時刻,CISO 需要知道何時棄牌。
(本文授權非營利轉載,請註明出處:CIO Taiwan)