在遵守安全政策的问题上，高管绝不能被特殊对待

BlackCloak首席执行官Chris Pierson表示，高管的个人风险具备多种不同的形式，其中最大的风险之一就是知识产权。即高管弄丢了在其个人设备或个人账户里重要的公司文件，而往往这些设备或账户缺少足够的安全防护和恢复措施，这就会给企业带来十分严重的影响。Pierson说：“企业高管通常拥有复杂的智能家居系统，包括安全摄像头和服务器等，而这些系统又承载着大量的设备和服务，这些都是潜在的攻击点。”

Taylor对此补充道：“倒不是说要让高管们减少智能系统的使用，毕竟他们也是高净值人士，走在潮流的最前端，用些常人用不到的配备完全正常，但这些高科技的装置可能会成为犯罪分子的攻击目标。不同于拥有更多控制权的银行和金融机构，高管们离开企业就只是个人而已，比起银行所拥有的安全措施，高管就好像赤手空拳在应对不法者。所以他们的个人电子邮件常常会被攻击，他们的个人设备也一直被恶意软件或其他攻击手段所破坏。只能说，这一切的背后，金钱是唯一控制人心的动力。”

除此之外，还有围绕个人信息的侵犯，比如个人信息泄露，姓名、地址、电话号码，甚至个人照片和视频的泄露，这些隐私的侵犯会让高管们束手无策，最终成为他人的利用目标。Pierson表示：“这些信息通常会被用来敲诈勒索，对声誉也会造成非常严重的损害。”

Pierson说，要想解决这些复杂的安全问题，绝不能在高管和其家人以及他们与技术的互动之间再增加难题；相反，要缩小高管私人账户、私人服务和私人设备的攻击面，这样才能确保风险可以减轻。

Taylor说，对于私营公司而言，这更像是对高管的教育。“高管需要了解，黑客将他们当作个人目标是多么容易，以及当他们受到威胁时，会给组织带来多大的负担和成本。”

Watchguard的CSO Corey Nachreiner也提出了类似的观点，他也主张以身作则，并强调了前线领导们的重要性。他指出：“一个好的网络安全计划，一个良心的企业文化，只有在得到最高领导层的全力支持时才会成功。安全人员不应该轻易接受安全主管、CISO、CSO的职位，除非明确自己能得到董事会和高管们的全力支持。”

Nachreiner表示，如果没有领导层的支持，安全文化就永远不会成功。“很基本的道理，若企业领导没有在安全政策上做出响应，就会让员工们觉得他们也一样可以任意妄为。高管们其实应该清楚，当下自己才是网络钓鱼和鱼叉式钓鱼攻击的目标群体，所以他们应该遵循良好的安全政策，甚至从某种程度来讲，应该比普通员工保持更高的警惕。”

国内安全专家ziven就曾提出，随着监管的力度越来越大，安全业务范围也水涨船高，企业高层作为首当其冲的监管对象，同时外部环境又充斥着大量钓鱼、水坑、社工等风险，自然会成为重点目标。高层掌握了越来越多的企业运营信息、决策信息以及业务核心数据信息，相应地，对于高层人员以及设备、环境等都更需要专项防护。

对于向上管理，对于高层的安全防护，ziven建议主要从以下几个方面进行。

设备安全。高层设备通常具有较高的数据，业务访问权限。对于设备的防护，一般建议使用由安全团队定制并监控的设备，定制的内容包括但不限于系统定制、系统加固、mdm防护、设备级可信认证、多因素设备认证、电子围栏、数据和磁盘加固、ueba、dlp等等。

应用和访问安全。高层敏感设备使用的应用均需通过安全审计后才能安装，持续监控应用行为，已经特定应用建立应用沙盒，尽量做到数据不落地。另外对于应用安装，需要安全团队协助进行操作，确保应用权限的合理性，并充分使用系统新特性，比如特权限制等。对于访问来说，zta、账号异常监控、生物特性识别均具有较高的roi。

环境安全。高层使用设备的网络环境、物理环境均需进行安全评估，防止网络设备漏洞、dns欺骗，并部署和进行定期安全检测、可信dns等。对于特别敏感的高层，需要注意环境电磁防护、玻璃防窥、设备防窥，并持续进行安全意识教育。

而另一方面，Nachreiner认为，网络安全政策的存在是为了促进业务的发展，而不是将自己发展为业务。“因此，如果某项安全政策阻碍了业务进度，以至于高管们都想绕过它，安全人员就应该考虑该政策是否有必要存在了。”

“网络安全不是完美安全实践的象牙塔，而是一个风险管理等式，让公司能以最小的风险开展业务。如果某项安全政策真的在阻止或减缓业务进度，并且与之相关的风险低于它能为业务带来的价值，那么安全人员也可将其视为一种安全风险。换句话说，不合适的安全防护等同于风险。”

有人会说，高管层需要接受更高级别的安全防护，而Pierson对此表示，高管团队可能需要专门的安全定制。注意，他使用了“可能”这个词，因为现实并非一成不变，而且每个企业的现状各有不同。但他也指出，一个有说服力的讨论认为，应该设置专门的团队来确保高管们的工作能力始终处于“正常”状态，尽量避免“高管能力”因网络事件或环境而降级。

这就引出了一个问题，高管们是应该被“围墙”包裹起来，还是去向他们提供更加高级的安全定制？Taylor认为，企业不可能做到100%的安全保护，因此可以采取统一的方法来保护高管。他也支持安全部门可以更深入地监测高管们的活动，以确定针对执行团队，针对整体公司的妥协指标（IoC）策略。

而Nahreiner的态度更明确：“不要区别对待高管们，应该像对待任何其他高级或特权员工一样。高管应该拥有相同的安全控制、政策和可使用指南，其中唯一可以增加的措施，是把他们当作特权用户或高价值目标对待。”

Taylor还主张对高管用户进行更严格的控制和访问限制。“CFO可以访问公司的所有财务数据，但不能访问财务系统里所牵扯到的人力资源信息；CIO可以访问各种IT工具所生成的报告，但不能对单个系统进行读写访问；CEO可以访问报告系统，但不能读写特定部门内的单个系统缓冲区。这样一来，如果高管中的某个人因任何原因受到损害，则可以将造成损害的爆炸半径降至最低。”

对此，国内安全专家辛琰就曾对安全人员如何向上管理做出过建议，她表示，高管的网络安全管理问题一直以来都是网络安全管理的痛点和薄弱点。在实际工作中我们也曾多次遇到因高管的安全意识不强，忽视或绕过安全策略而引发的安全风险。特别是当这些安全策略对高管的工作习惯或便利性带来挑战，但潜在风险还未形成信息安全事件的时候，很难说服领导接受管控。作为网络安全的管理者，辛琰表示可以从以下几点措施提升高管层的意识，获得理解和工作支持。

Pierson表示，安全团队绝不能因为领导层是个混蛋就坐视灾难发生。“我们必须采取措施，加强围绕企业决策的安全性，以降低业务风险。而我更建议那些信奉‘等级即特权’的人回头是岸，认清现实，一旦企业因高管没有遵守安全政策而引发安全事件，你会发现当初自己的想法有多么愚蠢。”

也就是说，Pierson为CISO提供了有价值的建议。“允许高管例外，或允许高管做一些不符合安全政策的事，这其实是一个滑坡。如果高管拒绝做任何其他员工需要做的事，而且对安全漠不关心，以至于能随意绕过政策，这表明安全人员的安全计划没有得到高管的全力支持。”

对于董事会或高管们为什么一定要遵守安全政策，对高管而言，最好的安全政策又是什么，国内安全专家如此建议。

知乎相关专家表示，董事会或高管们需要遵守网络安全政策的原因有很多，以下是几个主要原因：

1、保护公司机密信息。公司拥有大量的营运数据、客户信息以及研发成果等敏感信息，这些信息一旦泄露可能对企业造成重大损失。遵守网络安全政策能够确保这些机密信息不会被未经授权的人员访问或盗取；

2、防止网络攻击和数据泄露。网络攻击和数据泄露是企业网络安全的两大主要威胁。不遵守网络安全政策可能导致公司服务器受到黑客攻击，进而导致数据泄露、信息篡改、系统崩溃等严重后果。遵守网络安全政策可以有效地保护公司网络免受这些威胁，确保数据的完整性和可靠性；

3、履行法律义务。遵守网络安全政策是企业的法律义务，也是企业获得客户信任的基础。企业高管作为企业的负责人，更应该遵守法律法规，维护企业形象；

4、提升企业竞争力。企业的竞争力不仅体现在产品和服务上，还体现在企业的安全管理和风险控制上。遵守网络安全政策可以帮助企业提升信誉度和客户满意度，进而提高竞争力；

5、规避法律风险。如果企业发生网络安全事件，不仅会面临监管机构的罚款等处罚，还可能面临集体诉讼等法律风险。遵守网络安全政策可以帮助企业降低法律风险，减少经济损失。

而对高管而言，最好的网络安全政策应该具备以下几个特点：

1、全面性和可执行性。政策应该全面，覆盖所有可能的安全威胁，并且能够被所有员工理解和执行；

2、明确性和透明性。政策应该明确，让所有员工都清楚违反政策的后果。同时，政策应该在各个层面都保持透明，让所有员工都能了解并遵守；

3、持续的培训和教育。高管应该定期为员工提供网络安全培训，以确保员工了解最新的安全威胁和应对措施；

4、定期的审查和更新。政策应该定期审查和更新，以应对新的安全威胁和技术变化；

5、严格的惩罚措施。对于违反网络安全政策的员工，应该采取严格的惩罚措施，以示警告。

某科技公司安全负责人朱士贺表示，高管们遵守安全政策首先体现出了公司的公正严明，这是在告诉众人，董事会或高管们也都在遵守和执行，没人可以例外；第二，有助于标准化的实施和执行，公司的制度政策能够约束董事会或高管们，也就标志着标准化和制度化的落实情况；第三，起到了以身作则的效果，领导层能够起到最佳的示范作用，会成为关注度高的典型案例，使更多员工明白，公司不希望存在特例，所有人都应该遵守规章制度。

中通信息安全专家陈圣认为，熟悉网络安全的标准和法律条款的人都知道，所有制定好的或还在制定中的法律法规，以及现行标准都会有违规成本，董事会及高管们作为企业的决策者，有义务也有要求保证企业组织符合这些法律和合规要求。

若高管们不遵守安全政策，可能会直接导致企业面临法律责任、行政处罚或信任危机，其会直接造成企业声誉损失。由此而引发的一系列连锁反应可能是企业无法想象的，比如股价下跌、客户或合作伙伴终止合作、利益相关者对组织的信任缺失等等，都可能给企业带来生死存亡的影响。

安全政策的制定和遵守，其最终目的是保护企业组织的资产，包括商业机密、客户隐私、重要数据、知识产权等。通过遵守安全政策，可以确保企业的敏感信息和数据资产不会被未经授权访问、窃取和滥用。董事会或高管若能参与、支持安全政策，这种自上而下的重视程度，足以推动企业整体的安全意识，即从高管到普通员工都能意识到企业安全是不可忽视的。这样足够高的重视程度同样还会带来足够大的投入力度，如此就能形成整体的企业文化。

在高管安全政策方面，陈圣提出，高管最为关心的是什么？有些高管重视风险的应对，想要把控对可能存在风险的认知，那就要识别出可能存在的威胁和漏洞，并制定好有效的策略和措施来管理、减轻，甚至杜绝风险的发生。

某企业安全负责人肖文棣表示，安全政策要做到一视同仁，安全要得到最高层支持，比如CEO，所以所有人都要遵守安全政策，但是违反了怎么处理就另说了。因此，董事会或高管们作为公司的重要决策者和领导者，需要遵守安全政策。安全政策是公司为了遵守国家或者地方的法律法规而制定的，如果不遵守安全政策，可能会损害公司的利益。安全政策可以帮助保护公司的资产，包括商业机密、知识产权等，高管作为公司的管理者，更加要遵守安全政策。安全政策是建立企业文化的关键之一，一个高管遵守安全政策的公司可以增强员工的归属感和参与感，员工也会遵守安全政策，从而做到安全人人负责。

肖文棣表示，对于高管来说，好的安全政策应该全面，包括物理安全、网络安全、数据安全和人员安全各个方面，安全政策需要给予公司的业务需求和风险承担能力进行制定，并且需要根据公司的发展而有所调整。同时，安全政策还要满足合规性和审计的要求。公司的安全政策应该满足国家和地方的法律法规，需要定期进行审计，确保公司在安全方面是合规的。此外，安全政策需要定期给员工培训，提升员工的安全意识，让员工理解日常的安全威胁和处置措施，让员工培养安全人人负责的态度和意识。