远程办公，企业如何打赢网络风险防控阻击战？

概览

目前，新冠肺炎疫情处于防控关键阶段，全社会高度关注。疫情凶猛，网络黑客也闻风而动。网络黑客借机通过社交网络或邮件，传播以“冠状病毒”“疫情”“武汉”等疫情相关词汇或信息为名的计算机病毒。公安部刑侦局的通报显示，截止2月21日，全国公安机关共侦破利用疫情实施电信网络诈骗案件6751起，抓获嫌疑人2778人。

在远程办公成为风口的当下，企业必须高度注意防范网络风险，而企业高管由于拥有组织系统的最高访问权限，比普通员工更容易成为网络攻击的目标。

为何网络黑客对高管虎视眈眈？由于高管往往拥有组织系统的最高访问权限，因此针对高管的攻击能为网络黑客带来丰厚的回报。并非企业高管不了解网络风险的严重性。相反，大多数高管都意识到网络安全是业务发展的驱动力，而且许多高管也对网络安全负有一定的管理责任。但是，由于网络犯罪手段的升级、网络攻击数量的剧增、加之商业领袖能够获取越来越多的企业敏感信息等原因，都导致高管成为网络攻击的脆弱环节。
 

深入分析

由Verizon发布的《2019年数据泄露调查报告》显示：高管遭受网络攻击的风险是组织中其他雇员的12倍。

针对企业高管的网络罪犯通常以获取金钱报酬为目的：在针对高管的网络攻击中，有71％的事件是以获取经济利益为动机。网络黑客希望从企业或员工数据、知识产权或勒索软件中获取非法利益。

比起普通雇员，高管通常具有更大访问保密信息的权限，而且享有更少的安全限制。由于频繁出差的缘故，他们需经常使用移动设备与公共无线网络。因此，与普通员工相比，高管为网络罪犯提供了更多入侵其个人或所在组织信息的载体。

正因如此，有40％的企业表示，它们最大的网络安全风险来自高管。

转变行为以降低高管风险

由于针对高管的网络攻击愈发猖獗，因此，完全依靠IT安全团队已经不再适用。组织采取更全面的手段以管理网络安全风险势在必行。其中，人力资源领袖是网络弹性发展的重要参与者。因为他们在促进学习、发展与变革管理中扮演着关键的角色。

网络安全培训必须针对组织中的各种不同角色进行定制，对高管尤其如此。高管必须接受培训，从而了解他们所面临的网络威胁的性质与严重性，以及他们自身在保护网络安全中扮演的重要角色。

由于职位要求苛刻且需要频繁出差，高管可能需要申请获得企业安全政策的特权。虽然这无法避免，但是企业必须确保这些特权不会成为组织基础架构的脆弱环节。

使网络安全向好发展在很大程度上只是一个行为问题。然而，改变雇员访问与保护信息的方式具有很大的难度，特别是需要他们采取额外的保护措施。使用虚拟专用网络对通信进行加密、密码管理器、与身份监控等网络安全措施，都要求员工付出更多的精力与时间，使这些措施成为他们日常工作的一部分，这绝非易事。

雇员需要改变固有的做法，并采取他们不习惯的措施。而且有些措施实施起来还可能很不便利。这是实施网络安全保护解决方案最直接的挑战。同时，高管还必须意识到，他们面临的网络风险并不仅仅局限在组织中。

在数字信息时代，我们不再是一个完全独立的个体，我们是整个网络中的其中一个环节。网络罪犯甚至可以通过高管的家人、办公室主任或行政助理来突破高管的安全防御。因此，这对组织高管以及他们所接触的人群的网络安全都提出严格的要求。
 

如何实现高管网络安全

怡安的《2020年网络安全风险报告》提出了以下可用于控制高管网络安全暴露的措施：
 

高管网络脆弱性评估

量化高管及包括其家庭成员在内的整个关系网络的网络风险脆弱性，这点至关重要。评估应从企业、个人、与家庭信息泄露三方面着手，可通过一对一讨论与数据收集的方式进行，对开放式与暗网等进行深入检查，以评估高管的网络安全风险。高管作为网络攻击的脆弱环节，企业可通过个性化的网络安全解决方案来确保高管及其家人的网络安全，以增强他们的网络安全弹性。

加强认识

企业可通过信息治理、对高管进行网络钓鱼与社会工程攻击培训、指导高管减少暴露风险、以及宣传新型欺诈手段知识等方式减轻高管的网络风险。建立组织网络弹性的第一步是培养高管对网络风险的认识，并指导高管应对自身面临的网络风险。

身份监控与密码管理工具等安全技术也可用于减轻高管的网络安全风险，但前提是高管必须使用这些工具。真正重要的是，包括企业高管在内的整个企业的员工是否正确并充分地使用了这些工具？定期审核有助于确保组织成员正确遵循计划，并按要求使用网络安全工具。

所有的文化变革都是由上至下的，建立网络弹性亦是如此。只有高管以身作则，组织才能高效地形成网络弹性，从而建立网络安全文化，让员工坚信建立并保持高水平的网络警惕是他们切实的责任。与人力资源学习与发展专家合作，实施跨职能的治理计划以及全面的网络意识培训计划，可加快形成成熟的网络风险防范机制。设定网络成熟度目标，并使建立网络弹性的责任从首席信息安全官辐射到其他商业领袖，这两点至关重要。

风险转移

网络保险等风险转移机制可帮助高管减轻身份盗用、企业电子邮件泄露损失、以及勒索软件攻击的影响。除了投保网络攻击险外，组织还应考虑为高管购买个人身份盗窃保险。许多企业都为员工提供身份盗窃险作为员工福利。而随着个人网络保险市场的不断发展，企业也应考虑为董事会成员、高管与雇员购买此类保险。

当高管成为网络犯罪分子的目标时，组织必须实施个性化保护

随着网络威胁的不断升级，高管逐渐成为网络罪犯的首要目标。为了保护高管与自身，企业必须开始将高管视为企业的重要资产，正视高管独特的网络脆弱性，并采取相应措施应对高管在公司内外所面临的网络风险。

高管的网络暴露必须被视为企业的关键安全问题。“关键安全问题’是组织必须解决，且需要不断关注的重大问题。因此，重视并解决高管所面临的网络风险刻不容缓。”

随着威胁以及商业领袖面临的风险不断发生变化，安全模型也必须不断发展并适应。

随着社会的个性化发展，网络弹性培训也应顺势而变。与普通员工相比，高管的网络脆弱性与对信息的访问权限有其特殊性。因此，针对高管的培训与准备工作也应反应这一特殊性。