犯罪黑客的目标范围很广，从行政助理到他们所服务的高管们等等。正如网络安全公司Proofpoint所说，黑客的目标是“欺骗员工打开不安全的附件，或者点击可疑的网络链接。他们冒充你的首席执行官，命令你的财务部门汇款。他们欺骗你的客户，使其与误认为是你的网站分享登录凭证。”
　　大多数企业IT系统都能很好地抵御网络攻击，尽管并非无懈可击。但员工下班后使用的个人设备和网络工具可能不那么安全，有可能会绕过企业的安全防护措施。
　　IBM的X-Force Red资深白帽黑客部门的首席黑客专家Stephanie Carruthers介绍说，与此同时，越来越多的骗子瞄准特定的个人，比如首席财务官，因为这些高管们拥有访问敏感企业数据的高级权限。其他潜在目标通常是能够访问敏感信息的员工，例如，IT和网络安全、人力资源和法律部门的员工。
　　Carruthers说：“谁会成为目标，关键在于他们能接触到什么。”她补充说，这种目标定位越来越明显，因为简单地说，这样可以更有效。“以高风险员工为目标有助于犯罪分子直接瞄准他们想要得到的东西，而不必漫无目的的寻找。”
　　Sophos公司的首席研究科学家Chester Wisniewski指出，犯罪黑客可以从公共社交媒体账户或者其他网上资源收集有关某人及其单位的信息，这些信息提供了出于犯罪目的而冒充他人所需的开源情报（OSINT）。
　　同时，由于如此多的交流都是数字化的，因此很难发现冒名顶替者。Wisniewski补充道：“如果你认识的人打电话给你，你可以通过他们的声音对他们进行身份验证。但在网上要做到这一点并不总是那么容易。”
　　为了阻止针对员工的攻击，一些企业开始为高风险个人制订个人OPSEC计划，以更好地保护他们的工作和个人生活。这些计划超越了标准的企业安全协议、实践和工具，目的是提供个性化的网络安全培训和保护措施。
　　Carruthers说：“对企业来说，安全实在太难了，太多的企业只是为所有员工提供安全意识培训。下一步是为高风险员工制订OPSEC计划，我认为应该有更多的企业这样做。”
　　以下介绍为各级高风险工作人员制订最有效的个人OPSEC计划的10个技巧和最佳实践。

包括企业以及个人账户和设备

　　信息安全咨询公司TrustedSec治理、风险管理和合规部门的业务主管Alex Hamerstone指出：“通常情况下，OPSEC计划只关注工作账户，而不是高管或者员工经常使用的个人账户。有多种方法能够借助于个人账户而进入工作账户——无论是通过重复使用密码还是通过个人设备登录企业服务。”
　　Hamerstone补充道，现在，高管更容易成为目标，因为他们使用的设备比过去多得多，包括笔记本电脑、智能手机、平板电脑、智能手表和其他物联网（IoT）设备。他补充道：“联网汽车也是一个新兴领域，在未来几年会变得越来越重要。OPSEC计划必须考虑到这些方面，即加强实际使用的设备，限制设备可以存储或者访问的企业数据，想到哪些账户可能会被攻破，可能会被这些设备利用。”
　　此外，企业安全计划保障范围通常不会超出实际的办公楼范围。Hamerstone说：“但这是极大的疏忽，必须通过层层设防来加强高管的家庭网络。高管还应该在家中使用专用IP，该IP与家庭网络的其他部分相隔离。他们在家中存储或者访问的数据类型应受到限制、阻断或者使用强加密进行加固。”

让高风险员工参与计划

　　Hamerstone说，OPSEC计划成功的最大障碍往往在于要保护的人。他说：“对于这些高管们来说，在涉及到自己的个人行为时，他们通常会推翻OPSEC计划的建议，或者完全无视这些建议。”例如，Hamerstone回忆起一位首席执行官，给他的建议是，去国外出差时不要带上他的个人笔记本电脑——但他还是这么做了，而这可能会危及企业数据的安全。
　　Hamerstone建议给高管们提供具体的例子，或者公开的新闻故事，从而说明他们是怎样成为攻击目标的。此外，OPSEC计劃应尽可能简单，方便高管们去遵循。他解释说：“这就像车上的安全气囊。设计和安装安全气囊涉及到工程师和制造商在幕后进行的大量工作。而用户甚至没有注意到这些。”

设立具体的社交媒体政策和程序

　　Hamerstone说，从LinkedIn、Twitter、Facebook和Instagram等社交媒体网站上可以得到高风险员工的信息，这些员工信息会被凑在一起，被用于各种社会工程攻击目的，成为外围攻击目标，还被用于跟踪物理位置，发现企业IT系统的弱点。
　　你可以采取以下几个步骤来更好地保护社交媒体上的高风险个人：
　　·制订明确的、易于遵循的指南。说明哪些内容可以共享，哪些内容会把企业置于风险之中。例如，会计公司Wolf