當我看到企業對所有員工執行可靠的網絡安全政策，然后轉過身來，為他們的精英——高管——破例時，我感到撓頭。在我十幾歲的時候，我媽媽經常用“照我說的做，不按我做的做”的策略來對付我。它在當時是站不住腳的，50多年后仍然站不住腳。

現在，我必須承認，當談到高管豁免時，我有一種堅守的觀念，因為我來自以身作則的領導學校。好像CISO和他們的團隊發現他們的盤子還不夠滿，而不必與輕視規則的高管打交道，并樹立了一個非常糟糕的榜樣。

我采訪了Versa Networks的安全總監喬恩·泰勒，他用非常簡單的方式概括了這個問題——對于由董事會(公共或私人)管理的公司來說，使用可用的工具，合規的需要不允許有例外的空間。

泰勒說：“這類法規和指導方針將風險評級應用于CEO，因為他們是公司名稱和形象的化身。”重要的是向CxO表明，如果他們成為事件的中心，哪些數據將處于危險之中，公司將如何受到影響，以及他們本人可能會受到怎樣的影響。

讓CEO相信他們不需要豁免

泰勒說，對于私人持股公司來說，這“更像是對高管的一種教育”。“他們需要了解，將他們作為個人目標是多么容易，以及當他們受到威脅時，可能給他們的企業帶來的成本。”

WatchGuard的CSO科里·納克雷納也表達了類似的觀點，他也倡導以身作則和站在前面的重要性。他指出，這是因為他“教育CEO們，一個好的網絡安全項目和文化只有在來自最高領導層并得到他們的全力支持時才會成功。CSO/CISO不應該接受安全主管的職位，除非他們知道自己得到了董事會和高管同行的全力支持。”

Nachreiner說，如果沒有受過教育的領導層支持，安全文化永遠不會成功。“如果你的領導沒有采取正確的行動，它會告訴員工，他們也沒有必要這樣做。高管們應該已經明白，他們是網絡釣魚和魚叉式網絡釣魚攻擊的目標群體之一，所以他們應該想要遵循良好的安全做法，坦率地說，他們需要保持比普通員工更高的警惕。”

網絡安全政策是為了幫助企業，而不是阻礙企業。“如果一項安全政策真的阻礙了業務，以至于高管想繞過它，你就應該考慮這項政策是否有必要。”納赫雷納說。

“網絡安全不是一個完美安全實踐的象牙塔，而是一個風險管理方程式，讓你的公司以最小的風險開展業務。如果一項安全政策真的阻止或減緩了業務，而且與之相關的風險低于它為業務提供的價值，那么你也可以將其作為可接受的風險。”

CEO可能需要更個性化的安全級別

有些人可能會說，CEO需要接受白手套待遇。我自己也是一些人中的一員，他們認為CEO可能需要專門的或更快的支持。我用了可能這個詞，因為它并不總是如此，但一項有說服力的討論認為，應該有一支專門的團隊，以確保他們的運作能力始終處于運行狀態，即使可能會不時因網絡事件或環境而降級。

這就引出了一個問題，CEO們是應該用棉布包裹，還是只是提供一種更個性化的支持?泰勒認為100%的保護是不可能的，并建議采取統一的方法來保護CEO。他贊成“更深入地監測這些用戶的活動，以便確定針對高管團隊及其大家庭的妥協指標(IoC)”的戰略。

Nachreiner毫不含糊地說：“不要像對待任何其他高級或特權員工一樣這么做。高管應該像對待所有員工一樣擁有相同的安全控制、政策和可接受的使用指南，唯一的額外措施是你將他們視為特權用戶或高價值目標。”

泰勒還主張對高管用戶實施更嚴格的控制和訪問限制。CFO可能有權訪問公司的所有財務數據，但CPO可能擁有任何與人力資源相關的材料。CIO將有權訪問可以通過工具生成的報告，但沒有對個別系統的讀或寫權限。當然，CEO有權訪問報告系統，但對特定部門的個別系統沒有讀或寫權限。這有助于創建一個緩沖區，以便在CEO中的某人因任何原因受到威脅時，可以將造成的損害的爆炸半徑降至最小。

信息安全團隊必須首先降低企業的風險

信息安全團隊絕不能也不能因為領導是一頭驢就袖手旁觀，等待災難的到來。他們必須采取措施，加強圍繞錯誤決策的安全性，降低企業面臨的風險。

我建議那些信奉“等級有其特權”哲學的人，當你清楚地發現自己選擇了退出，并對CISO和他們的團隊正在清理的混亂負責時，你可能會發現自己是局外人。

盡管如此，Nachreiner為CISO提供了有價值的、具有先見之明的建議，告訴他們如何為高管提供例外，“允許他們例外，或者嘗試做一些完全不同的事情，這是一種滑坡。”他接著說，“如果你發現他們拒絕做任何其他員工被要求做的事情，而且他們對安全問題如此漠不關心，以至于繞過了政策，這是一個跡象，表明你的安全計劃沒有得到最高管理層的全面支持。”

如果你，作為CISO，沒有CEO的支持，那么道路上的一個岔路口就會出現。正如我在之前的一篇評論文章中所討論的那樣，CISO需要知道何時放棄他們的牌。