法律顧問兼首席安全官Chris Pierson認為，事件應急響應預案可在安全事件發生后最大程度地幫助CISO挽救其公司。

作為Lewis Roca Rothgerber律師事務所的公司法律顧問，Chris Pierson建立了該公司的網絡安全實踐，并就事件應急響應和高危事件恢復對公司進行建議。他認為，隨著事件危害的逐漸上升，CISO們必須負責事件應急響應預案，并雇用第三方對管理層“場景展示而非講述”那些通過盡職調查可被避免的業務問題。

Pierson目前是Viewpost知識產權控股公司首席安全官、執行副總裁兼公司法律總顧問，負責領導該公司的網絡安全以及法規遵從性項目。Pierson是美國國土安全部(DHS)數據隱私與完整性咨詢委員會以及網絡安全小組委員會委任成員，也是Ponemon研究機構一位杰出的研究員。他之前還擔任過蘇格蘭皇家銀行美國銀行業務的高級副總裁兼首席隱私官，負責公司的隱私與數據保護項目。近日，他與我們探討了如何找出并填補事件應急響應項目的缺口。

近期有大量討論，認為應評判CISO們的事件應急響應管理能力而不是他們的事件防御能力，因為后者不再是一個現實的目標。您同意這個前提嗎?

Chris Pierson：我認為它甚至比這還要廣泛。我們需要評判的是公司針對事件以及企業內部產生問題的響應能力。事件不代表現實生活，尤其在某個點上的事件并不會正好影響到每一家公司—這些日子已一去不復返。

每家公司都存在問題，都可能有事件發生，也都會面臨這些挑戰并進行相應的斗爭。的確，你在市場所見已轉向于更多關注事件應急響應、提供調查能力的調查技術與方案，也更多關注預案，這樣可以提前通過桌面或實彈演習確定事件范圍。因此我認為應評判整個公司以及CISO、CIO—當然他們將發揮更大作用—但即使法律和法規遵從在這里有許多事需要提供，相關部門作為合作伙伴參與進來也極為重要。

在事件響應中CISO角色是什么，且在您看來這一角色正發生變化嗎?

Chris Pierson：這是個好問題。我認為他們是應急響應的責任人。他們也許正與CIO進行合作，但在事件當天結束時，所有人都將關注在CISO身上。我們正在做的是什么?現在我們知道了什么?我們還需要其它什么信息?以及針對我們當前面臨且正挑戰我們業務的事項，有什么資源正被用于分析、訪問與決策?我認為從技術角度，CISO在應急響應中扮演四分衛角色。

他們的角色還會是在為公司取得成功方面、更廣義的團隊一份子。CISO們不是那些書寫事件應急響應信件的個人，也不必是身處公關溝通前線的個人。然而在事件發生時，他們將是強有力的公司代理人以及與其他角色強協同的合作伙伴。

我還想強調—這是非常重要的—在內、外部什么人需要參與事件應急方面，包括最高級別的所有人目光都會投向CISO。CISO必須提前確定好范圍。

CISO們領導負責桌面演習，他們在任何事件發生之前必須清楚應急響應所有的組成與人員。這包括那些參與外部顧問以及市場營銷與溝通的人員。CISO們的確需要成為組織多方共同進行事前準備的粘合劑。

CISO的角色在事件應急響應中正發生變化嗎?

Chris Pierson：CISO正是那位與法規遵從合作的責任人，且以合法方式提前了解涉及什么角色，并在團隊中發揮更大作用。它不再只是公司的1和0。

我認為答案是CISO角色已經發生變化。之前，CISO將負責對已發生事件提供技術建議和指導：我們如何修復?他們過去曾負責合理化這些方面的事情。

CISO角色在兩個核心領域已經發生變化。首先，在預案方面他們正被關注，了解需要在桌旁的玩家，并確保通過桌面演習提前做好準備。第二，我認為在事件當天結束時，CISO正是那位與法規遵從合作、且以合法方式提前了解涉及什么角色、并在團隊中發揮更大作用的責任人。合規不再僅僅是公司的1和0;這些個人必須知情并確切了解那些對他們產生影響的條例和法規。

你怎么看待CISO在定義一起安全事件范圍時所起的作用，尤其在理解該事件范圍或在管理層面前低估事件影響方面?

Chris Pierson：首先，CISO負責確保全公司每個人都知道什么類型事件可能發生、這些事件可能會如何上演，而又有什么前置條件導致出現這些挑戰。以及最后，所有其他參與者的角色及職責需要明確——這一點非常關鍵。

另一方面是確定某種公司治理流程就緒。這可能在CISO職責之外，甚至更佳方式，廣義上由合規、風險或法律部門負責。讓所有干系人坐到一起，這一點也極為重要，以便確保公司高管和中層人員對事件以及可能產生影響都有認識。CISO還要確定每個人都感到滿意，且采納潛在的事件應急響應方案，這樣當事件發生時，不會存在由于沒有組織而導致大量混亂、時間浪費以及良好意愿的消費。我認為這是一位CISO需要關注的關鍵領域。

您如何看待事件應急響應的準備時間是否合理?誰應該參與預案工作，尤其當首席執行官說：“我們不想發生任何事件”?

Chris Pierson：這是一個驚人的問題——讓該組織加入。而且，這也的確無關組織規模。CISO應當擔心的關鍵在于讓所有人理解他們自身的角色以及這將如何影響到公司，并將此織入業務目標。對于應急預案以及最終的應急響應舉措中所涉及到的時間、資源以及金錢，必須有一些更為廣泛的業務理由進行支撐。

我會告訴你這一點，從業務角度進行準備，通過事件預案可以更容易實現保護良好意愿、保護品牌與客戶信賴方面的目標。這意味著事前有針對性預案，并裝配合適的團隊—一個知道如何合作、清楚規則和職責的團隊—以及一位理解這將很大程度保護公司運營的執政官。該[方法]將讓公司走向成功。那正是長遠來看節省財力的舉措，不具有大量失誤以及對公司品牌或市場地位的負面影響。

在2014年早些的RSA大會主題演講中，您提及了國土安全部的網絡空間安全評估項目，并討論了對管理層“場景展示而非講述”業務問題的一些方法。您能對此再做詳細介紹嗎?

Chris Pierson：CISO關鍵領導力之一是確保你正面向高管甚至公司董事會“場景展示而非講述”當前風險、你針對這些風險所采取的應對措施、乃至這些風險的生命周期以及它們如何影響公司。一個好的方式是通過第三方參與，無論他們是外部審計人員或外部安全專業人士，都沒關系。

一個好用的工具是DHS C3(關鍵基礎設施網絡社區C3自愿項目)計劃，這是一種國土安全部以伙伴關系參與、幫助你的組織評估跨信息安全基礎設施和其他技術的風險范圍，告知參考美國國家標準與技術研究院(NIST)網絡安全框架和其他標準如何對風險排名，并提供相關信息。如果您的組織存在差距，他們還會提供大量文檔，關于你如何想縮小差距或對現存任何項獲得清楚認識。

或者你也可以自己來做。大約一年前，2014年2月，該項目面向個人使用開放了。所以它可以帶入任何規模的組織而不論成本或專業知識要求，用于一種真正的風險評估并映射于組織。這是一個了不起的工具，我希望人人都知道、或正在考慮使用它。

公司應多頻繁審查他們的事件應急響應預案?一般原則過去是每年審查。這已經發生變化了嗎?

Chris Pierson：我認為這的確已發生變化。事件應急響應預案應加以審查，絕對是最新的為一年一次。涉及到會影響公司的新型風險或新型威脅向量，事件應急響應項目也應對此進行補充和審查。

那么，如果你在一家依賴于銷售點終端設備的零售公司，并已經訪問到大約一年前的入侵信息，那么你的組織原本不應該等到年度審查;而你原本應該已經審查過事件應急響應預案，判斷它將如何有效應對，這樣，面對任何未來的信息安全挑戰時你都將處于有利地位。