CISO怎么管高管？

在众多因素的推动下，一种新的风险类别正渐渐映入人们的眼帘，这种风险起源于组织内部的最高层，是通过攻陷最高层每位领导的个人网络，以此作为渗透企业的踏板和路径。每位CISO都得知道的是，高管们的“私生活”可能是企业里最薄弱的环节，不仅仅是他们在公司里的设备和账户，更重要的是他们在家里的网络环境，比如家庭服务器、家庭安全设备、家庭网络设备等，甚至他们的社交媒体软件都可能存在漏洞，并因此会造成工作方面的安全问题。BlackCloak首席执行官克里斯·皮尔森（Chris Pierson）表示：“这意味着家庭环境将是新的攻击面。”

皮尔森表示，若是在企业的办公场所内，确保这些内部系统和人员方面的安全问题并不会太困难，因为一直以来企业都是这么经营的，但若要从外部环境管理那些不易控制的风险，比如员工、高管们在家的办公网络，这就麻烦多了，因为每个人的家用网络环境都是不同的，而且还会牵扯到隐私问题。所以不得不说，领导们的“数字生活”或许是一枚定时炸弹，随时随地都会给企业带来万劫不复的后果。

皮尔森以自身为例，在他成为高管后，很多时候他自己的个人生活都受到了影响，因为和企业挂钩越深，就越难在日常生活中将所有工作内容都抽离，它们之间总是千丝万缕的，因此这也给CISO们带来了麻烦，CISO和安全部门会发现自己是在无法控制的环境中救火。

疫情肆虐的这三年里，混合办公已成为了趋势，工作和个人生活之间的边界越发模糊，所以也就不难理解，为什么高管们面临的风险正在迅速增加。另一方面，复杂的地缘政治、国际形势，都会促使不法者对各行各业的网络进行攻击，特别是在那些风险较高的行业里，因此企业经营者、企业领导人会首当其冲，他们个人的私生活也就成为了主要的攻击目标。

毕马威（KPMG）澳大利亚公司网络服务合伙人格甘娜·温泽（Gergana Winzer）表示，一家大型组织，尤其是那些上市公司，他们的高管团队或许在媒体和社交平台上有着一定的影响力，那对不法者来说，这些人自然而然也就成为了他们的“任务和工作”。温泽认为：“一些规模较小的犯罪分子已经意识到，可将那些易于购买的在线恶意软件或勒索软件部署到这些高管成员的身上，这样就能获得足额的金钱回报。”

皮尔森表示，这类个人风险具备多种不同的形式，其中最大的风险之一就是知识产权，即高管弄丢了在其个人设备或个人账户里重要的公司文件，而往往这些设备或账户缺少足够的安全防护和恢复措施，这就会给企业带来十分严重的影响。皮尔森说：“企业高管通常拥有复杂的智能家居系统，包括安全摄像头和服务器等，而这些系统又承载着大量的设备和服务，这些都是潜在的攻击点。”

皮尔森补充道：“倒不是说要让高管们减少智能系统的使用，毕竟他们也是高净值人士，走在潮流的最前端，用些常人用不到的配备完全正常，但这些高科技的装置可能会成为犯罪分子的攻击目标，不同于拥有更多控制权的银行和金融机构，高管们离开企业就只是个人而已，比起银行所拥有的安全措施，高管就好像赤手空拳在应对不法者，所以他们的个人电子邮件常常会被攻击，他们的个人设备也一直被恶意软件或其他攻击手段所破坏。只能说，这一切的背后，金钱是唯一控制人心的动力。”

除此之外，还有围绕个人信息的侵犯，比如个人信息泄露，姓名、地址、电话号码，甚至个人照片和视频的泄露，这些隐私的侵犯会让高管们束手无策，最终成为他人的利用目标。皮尔森表示：“这些信息通常会被用来敲诈勒索，对声誉也会造成非常严重的损害。”

皮尔森说，根据国外安全专家的说法，要想解决这些复杂的安全问题，决不能在高管和高管的家人以及他们与技术的互动之间再增加难题，相反是要去缩小高管私人账户、私人服务和私人设备的攻击面，这样才能确保风险可以减轻。

正因为CISO们不能直接干预高管的个人生活，所以要在办公环境之外确保高管的私人网络受到保护会无比困难。皮尔森说：“这就好像我们希望教会和国家之间能保持距离。CISO们希望存在这样的隐私鸿沟，但很明显不可能，对高管来说，一天的工作时间根本不固定，随时随地都有可能要接触业务和客户，所以CISO们不得不降低要求，只希望这些风险能得到覆盖，并在一定程度上至少知道高管们正在做些什么。”

皮尔森表示，CISO最好能准确了解企业和个人两种风险环境的交叉点和重叠区域，比如将高管们常用的社交软件统计起来，其中包括私人邮箱、私人社交平台等，然后和高管们的这些账号保持同步，以作监督；再比如，找出这些人在个人生活中可能面临的最大风险是什么，这就需要了解和这些高管相关联的业务是什么，并在此基础上部署安全措施，以减少风险。

温泽表示，复杂的网络攻击不会直接对公司的系统下手，而是会从攻击高管开始，然后再一点点往下深入。作为预防措施，CISO需要对领导层和执行团队的风险状况保持警惕，这意味着CISO需要保持好奇心，可以不断去发现盲点，因为所谓盲点往往会带来巨大的影响。比如对温泽来说，一个经常在媒体上露面，在股票市场公开接受公众审查的高管，或者那些因知名度而被邀请在社交媒体对话的CEO，他们都是黑客会攻击的潜在目标，所以温泽建议要多留意企业内部高管们的社交状态和行踪，他们在公司内部的地位越是重要，就越有可能成为黑客的突破口。

为了解决这些“从个人入手逐步渗透到企业”的潜在漏洞，温泽建议CISO对企业和企业高管进行风险评估，包括识别需要保护的企业重要资产。所谓对潜在风险的评估，还要涉及到为“特定的人身攻击”制定缓解策略。

温泽表示，这意味着要确保尽可能多的威胁或漏洞已被记录在案，并同时要对这些风险进行深度思考，这有助于评估任何个人违规行为所带来的影响和概率。温泽说：“作为CISO，你要明白的是‘计算威胁对C级高管和董事会成员意味着什么’，然后从这个点上采取行动，同时还需要基于风险偏好。”

根据温泽的说法，缓解策略中比较重要的因素来自于这些高管肯公开披露自己多少信息，其中又有哪些信息是非常必要的。“CISO需要获取尽可能多的信息来评估威胁，并将其放入风险登记册，然后采取措施。千万不能忽视这点，因为这就是网络中的一部分、一个环节，如果我们忽视了个人所带来的信息，黑客就能因此痛击我们。”

除了风险评估和缓解策略外，内部培训也有助于提高高管的安全意识。ISACA新兴趋势工作组成员史蒂文·西姆（Steven Sim）表示，高管和所有其他员工一样，应该多参加安全意识培训，包括网络钓鱼模拟练习和系统使用练习。西姆表示：“在演习的过程中，还应让高管和董事会在模拟网络事件引发的危机时参与决策。”

西姆认为，这些培训内容应该成为企业安全改进计划的一部分，如果经过了这些培训，企业还不能在日常办公时有效实施，那培训就应该跨越人员、流程和技术，以提高培训的影响力和涉及人群。西姆指出，随着监管罚款不断提升，随着声誉损害的后果越发严重，相关培训需要扩展至供应链以及安全社区的智能生态系统。

西姆建议，随着网络威胁形势的不断发展，CISO需要更新高管及企业的风险登记册，他认为企业必须要不断衡量自身的网络安全措施、项目安全指标、关键风险指标和关键绩效指标，以确保网络安全改进计划得以有效实施。西姆表示：“这有助于企业完善当前的风险偏好，并同时能够未雨绸缪，为将来高管和企业可能面临的潜在威胁铺平应对道路。”

温泽认为，在管理高管的风险时，文化是另一个不容忽视的重要因素，企业文化可以确保每位员工在网络安全方面承担共同的责任。实践中，这意味着CISO需要采取更为全面的方法，而不仅仅是依靠培训计划。尽管多年来，许多CISO一直在为此努力，但她建议，要真正提升安全文化，需要在高管层中采取强有力的灌输方式。温泽说：“CTO、CFO、CEO都需要共同参与，以确保企业的安全文化在整个组织中得到全面的传播。”

而其中最重要的一点是，共同的责任要被众人理解为共同的风险，比如CEO受到了攻击，其个人数据和文件被泄露了，包括身份、对公司的了解、商业机密等诸多敏感信息都泄露了，那么这同时也就成为了CISO的问题，而不再仅仅是CEO的私人问题。

温泽认为：“如果每个人都能意识到自己的角色对企业而言有多么重要，他们就能对网络安全负有责任感，那在这样的情况下，CISO也就更容易完成他们的工作了。”

对于该如何在当下这个网络极其复杂的时代里，管理好企业高层们的安全，国内安全专家如此建议。

中广有线安全专家徐彬认为，在家庭环境和工作分割不开的情况下，一般容易出现工作资料泄密，首先是一把手对安全的重视极其重要，因为安全管理一定是自上而下的；其次，还是应该对管理层开展潜移默化的安全意识培训，如介绍相关案例等；最后建议采用一些技术手段做辅助管理。

徐彬结合自己公司的经验提出建议，他认为对于重要的工作文件资料，一般可以放置于内部云上，管理层对此具备可读、可编辑权限，这样可以减少本地存储需求。而对于下至本地的文件，可采用添加水印的方式，一旦出现文件泄露，可追溯问责。

猪八戒网的齐迹表示，最近chatGPT很火，可以先看看它怎么说。对此，chatGPT反馈道：“作为CISO，首先要处理的是高层制定清晰、合理的信息安全政策和制度，以确保高层安全。其次要引入所需的安全技术，并定期审查安全技术，确保它们得到妥善维护，保护高层的安全。再次，CISO要为高层建立安全培训程序，让高层能够掌握基本的安全原理，在家庭和工作环境中做出正确的安全行为，从而最大限度地减少在使用信息安全技术上可能存在的风险。最后，CISO还需要通过事前风险识别、风险管理和风险监测等手段，实时发现并处理高层可能在家庭和工作环境受到的安全威胁。”

齐迹表示，chatGPT的回答还是很靠谱的，高管本身和公司是利益共同体，安全造成的影响对他们来说更大，所以他们肯定是重视的，只是在实际中可能由于缺乏意识导致了问题。建议的话就是chatGPT回答的那样，通过培训加强安全意识，同时建立风险监测手段及时发现和处理安全威胁。

而某科技公司实验室负责人王延辉则简单介绍了向上管理的要点，他认为，向上管理是指为了给公司、给上级及自己取得最好的结果而有意识地配合上级一起工作的过程。因此，要做好向上管理，首先要做到与领导“目标一致”。

“好的目标是服务于整体利益的。公司的战略目标设定后会层层分解任务和设定子目标。我们需要确定自己的目标是服务于战略目标的，从结果来看，我们的工作目标对于公司来讲是重要且有益的；好的目标也要服务于你的个人利益。你需要先确定本年度自己的目标是什么：有人想要获得优秀的绩效，从而获得不错的奖金，为之后的发展打下良好的基础；有人想要做有趣的项目，做到个人爱好和工作的双重结合；有人想要获得更多的资源，如职权的扩大或者可支配预算的增长等。”

王延辉认为，要做到目标与领导一致，需要与领导沟通讨论，所以这里的向上管理，他更愿意称之为向上沟通。根据个人目标的不同，来调节沟通的侧重点。过程中要真诚，透明，不弄虚作假，不恶意引导。了解领导需求，表明个人意愿，分析工作现状，梳理可用资源，沟通可行性。最后与领导做到目标一致，一旦目标达成，整体利益和个人利益都会得到满足。

最后王延辉提出，最重要的是确保目标的高质量完成，这个是基石，不然一起都失其意义，好似空中楼阁。

而某金融机构辛琰指出，高管的网络安全管理问题一直以来都是网络安全管理的痛点和薄弱点。在实际工作中我们也曾多次遇到因高管的安全意识不强，忽视或绕过安全策略而引来安全风险的情况。特别是当这些安全策略对高管的工作习惯或便利性形成挑战，潜在风险还未形成信息安全事件的时候，是很难说服领导接受管控的。作为网络安全的管理者，辛琰表示可以从以下几点措施提升高管层的意识，获得理解和工作支持：