首席信息安全官如何確保企業高管的信息安全
當網絡犯罪分子試圖侵入企業的信息系統并獲取敏感和專有信息時,企業高管和董事會成員可能成為網絡攻擊的目標,首席信息安全官為他們提供信息安全防護需要全面的方法。
包括董事會成員和企業高管在內的高層管理人員通常可以接觸到敏感信息,這使他們成為想要突破企業安全防御系統的網絡犯罪分子的主要目標。高層管理人員的個人設備以及其他進入點,都是網絡犯罪分子試圖侵入的攻擊載體。
正如首席信息安全官所知,網絡事件往往包括人為因素。根據Verizon 公司發布的2022年數據泄露調查報告,82%的數據泄露涉及人為因素,其中大部分涉及網絡釣魚、商業電子郵件泄露和證書被盜。
家庭是新的網絡攻擊面
在眾多因素的推動下,一種新的風險類型正在出現,它通過高度個人化的途徑針對企業高管進行網絡攻擊。這種情況向首席信息安全官傳達的信息是,企業高管的數字生活可能是企業最薄弱的環節,而不僅僅是他們在家采用公司設備和賬戶,他們家中的電腦、IT設備以及智能電氣設備,甚至社交媒體互動都可能存在漏洞,并形成工作場所的安全風險。BlackCloak公司的首席執行官Chris Pierson說:“這意味著家庭將成為新的網絡攻擊面。”
首席信息安全官確保內部系統和人員到位以保護企業信息安全是一件容易的事情,但管理來自外部的風險要難得多,因為這些風險不容易控制。Pierson表示,企業高管的數字生活可能是一顆定時炸彈。
根據Pierson對企業高管的建議,39%的企業高管的個人數字生活在某個方面受到了影響。當個人生活和企業工作聯系在一起時,這可能會給首席信息安全官帶來麻煩,他們會發現自己在無法控制的環境中難以有效應對網絡攻擊。
企業高管面臨的風險迅速增加,因為新冠疫情驅動的混合工作的興起,導致員工在工作和個人數字生活之間的模糊。復雜的地緣政治緊張局勢、針對企業的數字激進主義的機會(尤其是在風險較高的行業),以及針對企業高管的經濟利益進行網絡攻擊,都增加了企業高管個人數字生活的風險。
畢馬威公司澳大利亞分公司網絡服務合伙人Gergana Winzer表示,大型企業的高管以及在媒體和社交媒體上有影響力的企業高管,可能會成為網絡犯罪分子攻擊的對象。Winzer說:“網絡犯罪分子已經意識到,他們可以利用易于購買的在線惡意軟件或勒索軟件攻擊那些高凈值的企業高管以獲利。”
個人數據違規導致企業遭到網絡攻擊
Pierson表示,這類個人風險可以有多種不同的形式,其中最大的風險之一是知識產權,例如企業高管的個人設備或個人賬戶中的公司文件丟失,這些設備或賬戶的控制較少或沒有控制。他說:“企業高管往往擁有復雜的智能家居系統,其中有安全攝像頭和服務器,承載著大量設備和服務,這些都是潛在的切入點。”
Pierson說:“與安全控制力度更強的銀行和金融機構相比,企業高管因為同樣擁有高凈值而更容易成為網絡犯罪分子的目標。我們看到他們的個人電子郵件被入侵,個人設備被惡意軟件入侵,以及遭遇其他的社交工程騙局。因此,經濟利益是很多此類攻擊的一個重要動機。”
她表示,網絡犯罪分子還將對企業高管進行惡意的深度人身攻擊。企業高管的個人信息泄露(姓名、地址、電話號碼,甚至個人照片和視頻等)讓他們容易被欺騙和利用。Pierson補充說:“這些信息通常被用作勒索的手段,也可能造成非常嚴重的聲譽損害,甚至是恐嚇。”
專家表示,解決這些復雜的安全問題不能在企業高管、他們的家人以及與技術人員的互動之間制造更多摩擦。Pierson表示,需要縮小這些類型的賬戶、服務和設備的網絡攻擊面,并確保可以降低風險。
首席信息安全官如何為企業高管降低風險
當首席信息安全官不能直接干預企業高管的個人數字生活時,確保他們在辦公環境和硬件之外得到保護是很困難的。Pierson說,“他們希望擁有隱私鴻溝,但只是希望覆蓋風險,并了解可以做些什么。”
Pierson表示,首席信息安全官需要準確地了解企業和個人這兩種風險環境是如何以及在哪里交叉匯合的。他說,“可以從企業網站的‘關于我們’的企業高管頁面開始了解,然后弄清楚這些高管在個人生活中可能面臨的最大風險,以及首席信息官可以做些什么來應用對或減輕這些風險。”
Winzer表示,復雜的、協調良好的網絡攻擊可能不會從企業的信息系統開始,而是從攻擊企業高管開始。作為一項預防措施,首席信息安全官需要對企業領導層和執行團隊風險狀況的變化保持警惕,這意味著要保持好奇心,并不斷發現盲點。而且這些盲點可能很大——例如經常在媒體上露面、股票市場交易公開接受公眾審查,或者只是知名度足以被納入社交媒體對話的首席執行官正在為潛在的黑客攻擊發出信號。她說:“作為首席信息安全官,需要意識到可能會損害企業高管以及他們在企業內工作的威脅。”
保護企業的“皇冠上的寶石”
為了彌補可能從個人滲透到企業的潛在漏洞,Winzer建議首席信息安全官進行風險評估,包括確定需要保護的企業“皇冠上的寶石”。這需要包括評估潛在風險,包括人身攻擊,并制定減輕風險的戰略。
Winzer表示,這意味著要確保盡可能多的威脅或漏洞被記錄下來并加以考慮,這有助于評估任何個人違規行為的可能性和影響。她說:“需要評估這種威脅對企業高管和董事會成員意味著什么,然后從哪里采取行動,這需要基于風險偏好以及企業認為需要保護的重要內容。”
她表示,風險緩解策略可能包括有關這些企業高管可以公開披露自己的哪些信息以及披露多少信息的政策。她說,“獲得盡可能多的信息來評估威脅,將其納入風險登記冊,然后采取行動,而不是忽視它,這非常重要。因為這就是網絡世界的一切——每次忽視了哪個環節,網絡犯罪分子就會對這個環節進行攻擊。”
確保企業高管接受網絡安全培訓
除了風險評估和緩解策略,網絡安全培訓有助于確保企業高管的數字足跡安全。國際信息系統審計協會(ISACA)新興趨勢工作組的成員Steven Sim表示,企業高管和所有員工一樣,應該參加專門的防范培訓,包括網絡釣魚模擬練習和桌面練習。他說:“在模擬網絡攻擊事件引發的企業危機期間,這些演習還應讓企業高管(如果可能的話)參與決策。”
Sim說:“這些應該是多年安全改進計劃的一部分,如果企業還沒有像往常一樣實施的話,應該跨越人員、流程和技術。面對監管罰款和聲譽損害的威脅,它需要擴展到數字和商業供應鏈以及安全社區的智能生態系統。”
Sim建議,隨著網絡威脅形勢隨著新技術和工具的快速發展,企業高管及其風險登記冊都應不斷更新。首席信息安全官必須持續衡量網絡安全計劃和項目的安全指標、關鍵風險指標和關鍵績效指標,以確保交付成功的網絡安全改進計劃。他說,“這有助于企業滿足當前的風險偏好,并為未來防范企業高管和企業面臨的潛在威脅鋪平道路。”
考慮企業文化
Winzer認為,在管理高管風險時,企業文化是另一個不可忽視的重要因素,這應該確保每個人都在網絡安全方面承擔共同的責任。在實踐中,這意味著首席信息安全官必須采取全面的方法,而不是依賴補丁或培訓計劃。雖然許多首席信息安全官多年來一直在這樣做,但她建議,要真正提升網絡安全文化,需要企業高管層采取強有力的合作方式。她說:“首席信息官、首席財務官和首席執行官都需要共同努力,確保分擔責任的企業文化在企業內部中實施。”
最重要的是,分擔責任是為了更好地理解有共同的風險。她說,“如果企業的首席執行官受到網絡攻擊,個人數據和文件被泄露,包括有關他們身份的敏感信息或他們對企業的了解、商業秘密等,那么這就成了首席信息安全官的問題,并且不再只是首席執行官的私人問題了。
如果每個人都意識到他們對自己的角色和網絡安全負有責任,那么就能更好地確保網絡安全。”
