有些人認為曼寧是賣國賊，還有一些人認為他是無辜的，視他為英雄。且不論曼寧在你眼里是個什么樣的人，他的個案倒是反映出信息安全策略，程序和風險管理存在大量嚴重漏洞。

　　有了這個前車之鑒，CISO們應該學習利用“曼寧事件”教育員工如何在內部威脅和訪問組織威脅中做好管理。有安全意識的組織應該詢問以下幾個問題：

　　1. 用戶訪問極度敏感的數(shù)據(jù)時，應該對用戶采取什么類型的訪問控制和監(jiān)控?曼寧可以訪問機密數(shù)據(jù)，似乎這種權利缺乏限制和監(jiān)管。這種放任的自由便帶來了災難性的影響——維基泄密。CISO們應該確保自己的組織清楚了解誰有權訪問最敏感的數(shù)據(jù)，并且要部署合適的控件來檢測是否有異常活動出現(xiàn)，如突然出現(xiàn)大量文檔的下載。要考慮存在威脅的驗證，和觸發(fā)警告，并通過受過訓練的安全分析師做好監(jiān)控。

　　2. 應該部署哪一類物理安全和數(shù)字權限策略呢?曼寧帶著一張標有“Lady Gaga”的CD就進到了高度機密的地方。這個CD其實是一個空白盤，是他用來保存機密文檔的。從物理安全的角度而言，CISO們必須要決定是否讓用戶帶著CD，DVD，iPod等訪問敏感數(shù)據(jù)。因為這些數(shù)據(jù)有可能就是便攜式存儲媒介。更進一步考慮，分析師能否保存這類極度機密的數(shù)據(jù)呢?當然不行。CISO們需要阻止別人用DRM保存數(shù)據(jù)或是禁用CD/DVD刻錄機以及USB端口。

　　3. 對于存在問題的員工，是否有正式的風險管理進程?曼寧被捕前在美軍服役期間就出現(xiàn)過情緒障礙，咨詢過軍隊精神健康專家，曾被兩名長官描述為“是自己和他人的一個威脅，”。那時，軍隊因為缺乏安全分析師而忽略了這個問題。

　　軍隊的人不會和安全團隊討論這些問題，而軍隊本身也沒有正式的風險管理分析對高危人群實施補償控制。在商業(yè)環(huán)境中，CISO和HR都應該有標準的進程將HR和網(wǎng)絡安全行為統(tǒng)一起來。例如，安全分析師可以做一個調查追蹤歷史在線操作或是對某個特定對象進行監(jiān)控。但采取這種策略是有條件的，它要求組織認真考慮過這些風險，用正式策略解決這些問題，并與各部門保持對話。

　　你可能認為美國軍隊已經(jīng)評估并解決了這些安全風險，但顯然不是。除了曼寧之外，還存在其他責任人。美國國防部對于此事也沒向公眾披露太多。

　　對于商業(yè)環(huán)境中的我們，在遭遇復雜攻擊和高級惡意軟件時，我們不能忽略內部威脅。美國軍方忽視了基本的安全信號。企業(yè)CISO們應該確保自己的公司策略部署得當，具備恰當?shù)倪M程和溝通渠道，則會有他們才能解決意外風險，避免以后登上頭條。