有些人認(rèn)為曼寧是賣國賊，還有一些人認(rèn)為他是無辜的，視他為英雄。且不論曼寧在你眼里是個什么樣的人，他的個案倒是反映出信息安全策略，程序和風(fēng)險管理存在大量嚴(yán)重漏洞。

　　有了這個前車之鑒，CISO們應(yīng)該學(xué)習(xí)利用“曼寧事件”教育員工如何在內(nèi)部威脅和訪問組織威脅中做好管理。有安全意識的組織應(yīng)該詢問以下幾個問題：

　　1. 用戶訪問極度敏感的數(shù)據(jù)時，應(yīng)該對用戶采取什么類型的訪問控制和監(jiān)控?曼寧可以訪問機(jī)密數(shù)據(jù)，似乎這種權(quán)利缺乏限制和監(jiān)管。這種放任的自由便帶來了災(zāi)難性的影響——維基泄密。CISO們應(yīng)該確保自己的組織清楚了解誰有權(quán)訪問最敏感的數(shù)據(jù)，并且要部署合適的控件來檢測是否有異?；顒映霈F(xiàn)，如突然出現(xiàn)大量文檔的下載。要考慮存在威脅的驗(yàn)證，和觸發(fā)警告，并通過受過訓(xùn)練的安全分析師做好監(jiān)控。

　　2. 應(yīng)該部署哪一類物理安全和數(shù)字權(quán)限策略呢?曼寧帶著一張標(biāo)有“Lady Gaga”的CD就進(jìn)到了高度機(jī)密的地方。這個CD其實(shí)是一個空白盤，是他用來保存機(jī)密文檔的。從物理安全的角度而言，CISO們必須要決定是否讓用戶帶著CD，DVD，iPod等訪問敏感數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)有可能就是便攜式存儲媒介。更進(jìn)一步考慮，分析師能否保存這類極度機(jī)密的數(shù)據(jù)呢?當(dāng)然不行。CISO們需要阻止別人用DRM保存數(shù)據(jù)或是禁用CD/DVD刻錄機(jī)以及USB端口。

　　3. 對于存在問題的員工，是否有正式的風(fēng)險管理進(jìn)程?曼寧被捕前在美軍服役期間就出現(xiàn)過情緒障礙，咨詢過軍隊精神健康專家，曾被兩名長官描述為“是自己和他人的一個威脅，”。那時，軍隊因?yàn)槿狈Π踩治鰩煻雎粤诉@個問題。

　　軍隊的人不會和安全團(tuán)隊討論這些問題，而軍隊本身也沒有正式的風(fēng)險管理分析對高危人群實(shí)施補(bǔ)償控制。在商業(yè)環(huán)境中，CISO和HR都應(yīng)該有標(biāo)準(zhǔn)的進(jìn)程將HR和網(wǎng)絡(luò)安全行為統(tǒng)一起來。例如，安全分析師可以做一個調(diào)查追蹤歷史在線操作或是對某個特定對象進(jìn)行監(jiān)控。但采取這種策略是有條件的，它要求組織認(rèn)真考慮過這些風(fēng)險，用正式策略解決這些問題，并與各部門保持對話。

　　你可能認(rèn)為美國軍隊已經(jīng)評估并解決了這些安全風(fēng)險，但顯然不是。除了曼寧之外，還存在其他責(zé)任人。美國國防部對于此事也沒向公眾披露太多。

　　對于商業(yè)環(huán)境中的我們，在遭遇復(fù)雜攻擊和高級惡意軟件時，我們不能忽略內(nèi)部威脅。美國軍方忽視了基本的安全信號。企業(yè)CISO們應(yīng)該確保自己的公司策略部署得當(dāng)，具備恰當(dāng)?shù)倪M(jìn)程和溝通渠道，則會有他們才能解決意外風(fēng)險，避免以后登上頭條。