Tulumba 還分享了 CISO 可以采取的主動(dòng)措施以降低這些風(fēng)險(xiǎn),并強(qiáng)調(diào)與高管領(lǐng)導(dǎo)和董事會(huì)成員進(jìn)行透明溝通的重要性。
哪些關(guān)鍵因素導(dǎo)致 CISO 個(gè)人責(zé)任風(fēng)險(xiǎn)增加?
過(guò)去一年里,CISO 的角色發(fā)生了顯著變化。個(gè)人責(zé)任增加的主要原因有三個(gè):
首先,企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)比以往任何時(shí)候都大,攻擊者及其工具日益先進(jìn),同時(shí),盡管新技術(shù)(如 AI)帶來(lái)了許多好處,但也導(dǎo)致數(shù)字基礎(chǔ)設(shè)施日益復(fù)雜,這可能隱藏了易被攻擊的安全漏洞。
其次,不斷演變的監(jiān)管環(huán)境,歐洲的《數(shù)字運(yùn)營(yíng)彈性法案》(DORA) 和美國(guó)證券交易委員會(huì) (SEC) 的各種新法規(guī)在法律上將數(shù)據(jù)泄露的個(gè)人責(zé)任明確放在 CISO 的肩上。
最后,公眾對(duì)安全漏洞的廣泛關(guān)注,SEC 現(xiàn)在要求上市公司在四天內(nèi)披露重大網(wǎng)絡(luò)安全事件,此外,《加強(qiáng)美國(guó)網(wǎng)絡(luò)安全法案》要求擁有或運(yùn)營(yíng)關(guān)鍵基礎(chǔ)設(shè)施的實(shí)體在 24 至 72 小時(shí)內(nèi)報(bào)告網(wǎng)絡(luò)事件和贖金支付。
高調(diào)的網(wǎng)絡(luò)事件如何影響 CISO 個(gè)人責(zé)任的認(rèn)知和現(xiàn)實(shí)?
即使現(xiàn)在許多企業(yè)被要求及時(shí)披露網(wǎng)絡(luò)安全事件——正如我剛才提到的——這并不意味著所有這些事件都會(huì)成為常識(shí),事實(shí)上,只有相對(duì)較少的事件會(huì)如此。影響公眾最多的高調(diào)網(wǎng)絡(luò)安全漏洞是那些推動(dòng)公眾審查加劇的事件,當(dāng)這些事件成為頭條新聞時(shí),客戶會(huì)要求改變。不幸的是,對(duì)于 CISO 來(lái)說(shuō),在這些情況下,認(rèn)知就是現(xiàn)實(shí),即使更廣泛的高管和董事會(huì)成員也應(yīng)該分擔(dān)責(zé)任,他們往往成為替罪羊。
CISO 可以采取哪些主動(dòng)措施來(lái)降低個(gè)人責(zé)任風(fēng)險(xiǎn)?
俗話說(shuō),“預(yù)防勝于治療”。首先也是最重要的是,通過(guò)增強(qiáng)企業(yè)的網(wǎng)絡(luò)彈性來(lái)做好核心工作,確保你的團(tuán)隊(duì)擁有資源、技能和指導(dǎo),以保持對(duì)所有資產(chǎn)的可見(jiàn)性,正確配置外圍防御,通過(guò)強(qiáng)大的備份和恢復(fù)策略保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序,實(shí)施強(qiáng)有力的安全政策,例如密碼、最小特權(quán)原則以及遠(yuǎn)程和個(gè)人設(shè)備訪問(wèn),進(jìn)行有效的員工網(wǎng)絡(luò)安全意識(shí)培訓(xùn),最后,不斷測(cè)試和演練,反復(fù)進(jìn)行。
網(wǎng)絡(luò)犯罪分子正在使用AI來(lái)改進(jìn)他們的戰(zhàn)術(shù),實(shí)施AI驅(qū)動(dòng)的技術(shù)以提高上述每一步網(wǎng)絡(luò)彈性措施的有效性,將有助于確保你始終領(lǐng)先于壞人一步,并避免因一次成功的攻擊而承擔(dān)個(gè)人責(zé)任的風(fēng)險(xiǎn)。
另一個(gè)關(guān)鍵是與其他高管領(lǐng)導(dǎo)和董事會(huì)成員建立明確的溝通渠道,完全透明,避免掩蓋尚未完全理解或尚無(wú)資源處理的新興和潛在問(wèn)題,能夠說(shuō)“我早就提醒過(guò)你”總比說(shuō)“我應(yīng)該、可能、本可以”要好得多。
董事和高級(jí)職員保險(xiǎn)政策在保護(hù)CISO免受個(gè)人責(zé)任方面有多有效?
董事和高級(jí)職員(D&O)責(zé)任保險(xiǎn)可以為CISO提供一定的保護(hù),但在動(dòng)態(tài)的網(wǎng)絡(luò)安全領(lǐng)域,其有效性并不是100%確定的,這些政策通常涵蓋因高管在其職業(yè)職責(zé)范圍內(nèi)做出的決策而引起的訴訟所產(chǎn)生的法律費(fèi)用和賠償金,但包括對(duì)網(wǎng)絡(luò)安全失敗的個(gè)人責(zé)任的法規(guī)可能會(huì)挑戰(zhàn)傳統(tǒng)D&O覆蓋范圍的廣度和限制。
保險(xiǎn)提供商可能需要調(diào)整其政策以應(yīng)對(duì)CISO面臨的具體風(fēng)險(xiǎn),雖然這將導(dǎo)致更有效、量身定制的覆蓋,但也可能會(huì)導(dǎo)致更高的保費(fèi),或者有這么多的排除條款以至于變得不切實(shí)際。
企業(yè)如何更好地支持他們的CISO,以確保他們不會(huì)因網(wǎng)絡(luò)事件而被不公平地追究責(zé)任?
企業(yè)需要培養(yǎng)一種歡迎透明度的文化,如果CISO害怕向高管領(lǐng)導(dǎo)團(tuán)隊(duì)和董事會(huì)提出嚴(yán)峻的事實(shí),那就是一個(gè)問(wèn)題。在我們的團(tuán)隊(duì)中,我們甚至很少討論那些進(jìn)展順利的事情,相反,我們幾乎只關(guān)注需要改進(jìn)的地方,我們不回避問(wèn)題,而是接受它們,以便每個(gè)人都了解風(fēng)險(xiǎn)和潛在的漏洞。
同樣重要的是,即使是最好的安全團(tuán)隊(duì),如果沒(méi)有必要的資源支持,也會(huì)失敗,這不僅包括持續(xù)的預(yù)算支持以執(zhí)行上述網(wǎng)絡(luò)彈性策略,還包括實(shí)施關(guān)鍵安全措施的權(quán)力。如果安全建議被企業(yè)的其他部分一再推翻或忽視,CISO的努力將變得徒勞。
你對(duì)現(xiàn)任和有志成為CISO的人在應(yīng)對(duì)個(gè)人責(zé)任復(fù)雜性方面有什么建議?
大多數(shù)CISO最需要改進(jìn)的地方是溝通技巧,正如我所說(shuō),透明度在避免網(wǎng)絡(luò)安全漏洞和由此產(chǎn)生的個(gè)人責(zé)任風(fēng)險(xiǎn)方面與任何其他因素同樣重要,而透明度需要有效的溝通,不僅如此,為執(zhí)行將保護(hù)你的組織和你的網(wǎng)絡(luò)彈性策略爭(zhēng)取資源也需要有效的溝通,最后,有效的溝通在你能夠在全企業(yè)范圍內(nèi)爭(zhēng)取對(duì)網(wǎng)絡(luò)安全最佳實(shí)踐的認(rèn)同方面起著關(guān)鍵作用,將網(wǎng)絡(luò)安全定位為業(yè)務(wù)促進(jìn)因素而不是障礙。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門戶,旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)