雖然有些CISO可能會考慮離職,另尋發展機會,但其他人仍然選擇留下并繼續他們擅長的工作:管理風險,只是這一次的風險管理是從個人層面出發的。
以下是CISO們在不可避免地面臨安全事件時如何繼續做好工作而不冒個人風險的方法。
明確定義角色和職責
CISO保護自己的一種最重要方法是確保有一套明確的公司安全角色和職責標準。
“我的建議是檢查你所有的治理文件,并確保它們對角色和職責,特別是關于誰做出風險管理決策的部分,寫得非常清楚,”為咨詢公司Cyber Aegis提供網絡安全建議并為風投基金Team8擔任駐場CISO的Charles Blauner建議道。
遺憾的是,很多CISO在沒有這種清晰度的情況下工作,網絡安全公司ImmuniWeb的創始人兼Platt Law LLP的網絡安全律師Ilia Kolochenko表示。他猜測,如果有人問大公司的CISO們是否能清楚全面地列出他們所有的職責,大多數人都會說‘不’。
“通常,CISO的專業職責是模糊不清的,職責真的很混亂,你負責所有的事情,”他告訴記者,“但當你需要預算時,你又不能得到,因為其實是董事會在做決定。”
公司應該使用的一種重要工具是責任、負責、咨詢和知情(RACI)矩陣,Oracle SaaS Cloud的高級副總裁兼CISO David Cross說。“因為如果你沒有RACI,你實際上沒有定義角色和職責。那么,當出現問題時,他們會怪誰呢?”
Cross告訴記者,這種矩陣可以幫助公司不僅為CISO,還為所有需要合作的關鍵伙伴和高管設定責任標準,這可以為每個人在做出風險決策時設定規則。
“它是有文件記錄的,在公司內部是公開的,當任何問題出現時,很清楚是誰在做決定,”Cross解釋說,“這也更容易回答標準何時被違反,以及由誰違反。”
角色和職責的制定不僅應針對大局的戰略決策,還應涵蓋戰術事件響應計劃和操作手冊,以明確在緊急情況下每個人的職責。 “如果你的操作手冊沒有包括指揮鏈中的每個人——法律、通訊、CEO和其他高管代表——那么你猜怎么著?當事件發生時,你沒有準備好合適的人選。”他說。
從政策到會議,記錄一切
當然,需要記錄的不僅是角色和職責。高效的CISO需要在他們工作的幾乎每個方面都進行記錄,這不僅對履行其作為風險官員的職責、向董事會和審計員負責很重要——也可以在減少他們的個人責任方面發揮重大作用。“文檔記錄至關重要。有了文檔記錄,你已經有了相當程度的保護。”Kolochenko說。
文檔記錄的路徑從企業政策和流程開始,可能還包括風險接受框架,并通過日常的電子郵件和書面通信以及CISO的會議記錄持續進行。Cross表示,他記錄了每次會議的筆記,誰參加了會議,采取了哪些行動以及涉及的決策者。“我寫了一個叫做‘每周安全檔案’的東西,”Cross說,“每個人都知道這一點。(它涵蓋了)每次會議,誰在那里,決定了什么。所有這些都被記錄下來了。”
制定關于問題發生時的應對措施、應通知誰以及誰應批準下一步行動的政策是CISO保護自己的重要機制。Kolochenko解釋說,如果CISO能夠告訴監管機構或檢察官,他們有由總法律顧問審查的公司政策,并且CISO遵守規則并通過電子郵件通知董事會和法律顧問安全漏洞,并且高層回應繼續正常操作,他們可以更自信地行動。“然后你有可用的證據證明,‘我一直在按照公司規則行事,并且完全遵守我們的政策和程序行事,’”他說,“如果董事會忽略了你的電子郵件,之后責任將由他們承擔。”
建立風險登記冊
CISO可以維護的最有效和系統化的文檔方法之一是風險登記冊,識別現有的網絡風險并記錄相關業務利益相關者的風險接受,這有助于向董事會提供更大的網絡風險可見性,并肯定有助于CISO保護自己。
“為了運行一個安全計劃,你必須有一個風險登記冊,這就像桌面賭注一樣重要,”Expel(一個托管檢測和響應公司)的CISO Greg Notch說,他是一位長期的安全專家,此前擔任國家冰球聯盟的CISO。
一些組織可能使用治理、風險和合規(GRC)平臺來跟蹤風險登記冊,但這并非必要。Notch解釋說,在很多情況下,只需要一個電子表格就可以。他解釋說,他就是這樣做的,他并不孤單,安全公司Devo的CISO Kayla Williams說,她使用電子表格模板來跟蹤風險接受和不同業務利益相關者所做的控制例外。
“通過Google Sheets,你實際上可以設置審批人并發送電子郵件。所以,在我的風險框架中,我有一個層級,如果是低風險,風險所有者可以接受它。如果是中等風險,則上報給職能部門。如果是高風險,則上報給我或我團隊的委托人和總法律顧問,然后,如果是關鍵風險,則上報給CEO,”Williams告訴記者,“它通過Google Sheets的審批流程記錄下來,我把它們按年份放在文件夾里,當審計員來索取信息時,我可以說,‘給你,隨便查。’”
保險和賠償保護
即使有堅實的政策、程序和文檔,CISO也應通過賠償協議、雇傭合同條款和適當的保險保護來建立法律保護。
Kolochenko說,不確定自己保護措施的CISO應主動聯系他們的總法律顧問,詢問所有的職責、責任和保護。如果有不利的地方,要反駁,他說。
“不要猶豫重新談判某些條款,因為如果你的總法律顧問說,‘聽著,你完全沒有保護,如果我們被黑了,我們也會起訴你。我們會加入集體訴訟并將你告上法庭,’那么重新談判雇傭條件是個好主意,”他說,“我認為,提到‘聽著,這不僅僅是關于我的問題。如果你希望我高效且有效地工作,希望我保護我們的商業秘密、知識產權以及客戶的個人數據,我需要額外的保護,以確保我能做正確的事情,而不僅僅是政治上正確的或個人風險最小的事情,’總是個好主意。”
常見的建議之一是確保你有董事和高級職員(D&O)保險,但專家提醒CISO們要記住,這種保險的覆蓋范圍通常有限。
“如果你是公司的董事和高級職員,并且對影響企業風險的決策負有一定的財政責任,你應該有D&O保險,這是公司的風險,不是你的風險,”Notch說,“但這也不是人們認為的萬能藥,首先,D&O保險不會覆蓋你的刑事責任,它也不會覆蓋你的政府責任,所以,如果美國證券交易委員會找上門來,你的D&O不一定會覆蓋你,一切都很好玩,直到你收到Wells通知。”
Uber前CISO Joe Sullivan被聯邦貿易委員會起訴,因該公司2016年的數據泄露事件被判有罪,并被判三年緩刑——目前他和他的律師正在上訴中。他指出,當他看到律師在會議上談論他的案子并提供建議,告訴大家如何避免成為“像Joe一樣的人”時,他感到很沮喪,D&O保險是其中的關鍵點之一。
“我們都做了那些事情。我們有事件響應政策。我們有相當于D&O保險的東西,”Sullivan說,他在過去一年里一直在會議巡回演講,向其他CISO提供如何限制責任的建議,并最近擔任初創公司BreachRx的顧問角色。“你想要的是一種保險,當你在訴訟過程中需要律師時,它能保護你并覆蓋費用。賠償不是沒有限制的,這是你應該和律師討論的問題。”
聘請自己的律師
正如Sullivan指出的,在今天的監管環境中,設立獨立律師可能是CISO為自己建立的最重要——也是最常被忽視——的保護措施之一。
“有一個關鍵點可能有人會忽略。當你是公司員工,并且你有總法律顧問時,總法律顧問不是你的律師,”Kolochenko補充道,“這非常重要。在大多數情況下,總法律顧問會為你的雇主的最佳利益行事。”
當CISO不了解這種關系的條款時,他們可能會使自己處于一些丑陋的利益沖突情境中,從而可能陷入個人法律危機。
“假設,一個CISO對總法律顧問說,‘聽著,這都是我的錯,’明確承認了過錯,之后,公司利用這些信息對付CISO。CISO可能對總法律顧問有有效的索賠,但我不認為在平行處理中再增加一個法律行動會帶來多大價值。”
在危機出現之前主動選擇律師是至關重要的。“當你已經收到法院傳票時,可能就有點太晚了,”Kolochenko說,“最重要的是,你和你周圍的每個人都會做出次優決策。”
CISO們不一定要有常年律師,但他們應該尋求一些免費的初步咨詢,找到一個具備雇傭、公司和網絡安全責任經驗的律師。
提前要做的另一件事是嘗試與雇主協商,報銷獨立的法律費用,或者至少要明白,當安全事件開始展開時,CISO將會聘請個人律師。Sullivan甚至建議讓CISO與組織協商,將其寫入最佳實踐文件中。“想象一下,你正處于安全事件的處理中,突然打電話給總法律顧問說,‘我需要獨立的法律代表。’他們會在事件的余下時間信任你嗎?不會,”Sullivan告訴記者,“所以,你實際上要提前進行這些對話。”
注意公司對外發布的有關安全的信息
最后,CISO們應該記住,近年來許多法律爭端的核心與組織的具體安全實踐要素關系不大,而更多與他們向公眾和股東所說的保護信息的措施有關。
“他們擁有的工具是可以追究那些做出重大錯誤陳述的公司,”Sullivan解釋道,“他們的關注點不是SolarWinds是否有良好的安全實踐。他們關注的是他們說了什么,承諾了什么,在哪些方面未能兌現承諾?在我的案例中,聯邦貿易委員會討論的是公司欺騙性的商業行為。”
安全領導者可以通過確保對公司公開宣稱的安全立場有發言權來保護自己。“那些是公司被衡量的內容。你的隱私政策中說了什么?你的8K報告中說了什么?你的10K報告中說了什么?”Sullivan說。
“我從案件模式中得到的一個啟示是,安全領導者需要真正關注公司發布的內容,并說‘如果你要說些什么關于安全的內容,至少先與安全團隊核對一下,確保其準確。’”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號