這句輕松的調侃凸顯了這兩個職業之間的根本差異。工程師,以及由此延伸的CISO,專注于構建和修復事物,學習各種技能,有時甚至涉足無人教授的技術領域。而律師則旨在發現問題、應對灰色地帶并預測風險。
盡管這些差異似乎預示著兩者之間的沖突,但它們往往能促成強大的合作關系。通過結合各自的技能,這兩個群體能夠應對技術、創新和法規之間不斷演變的交集。
“網絡安全和數據泄露不僅僅是技術問題,”摩根富蘭克林咨詢公司(MorganFranklin Consulting)的前CISO兼董事總經理邁克爾·韋爾奇(Michael Welch)表示,“它們可能與法律、法規和聲譽風險交織在一起,需要采取協作、主動的方法。”
盡管CISO與其法律團隊之間的關系至關重要,但事情并不總是一帆風順。不同的優先事項和溝通障礙可能會產生緊張關系,甚至導致沖突,然而,加強這一合作關系不僅有益,而且對于企業管理風險和應對復雜的網絡安全和合規挑戰至關重要。CISO可以采取一些措施來促成這一合作。
CISO必須與法律團隊建立聯系
在網絡安全和隱私方面,全球范圍內新法規層出不窮。對于公司,尤其是那些有國際業務的公司來說,了解這些變化以確保合規是強制性的。CISO與其法律團隊之間的持續溝通可以幫助企業掌握最新動態。
“最好提前了解企業運營所在司法管轄區的安全和隱私要求,并為可能違反這些法律的事件準備應對措施,”WithSecure的CISO克里斯汀·貝杰拉斯科(Christine Bejerasco)表示。
當然,如果雙方已經建立了關系,那么溝通就會更加順暢。如果沒有,那么應該建立這種關系。“聯系法律專家應該像聯系其他同事一樣直接,”貝杰拉斯科補充道,“直接跟他們談。”
當關系剛開始建立時,WithSecure的CISO建議找到一些共同點來建立聯系。她還指出了清晰溝通和保持簡潔的重要性。“例如,在發生事件時,最好在對話開始時就把事實擺在桌面上:問題、司法管轄區、事件對公司的影響以及你的打算應對措施。”她說。
韋爾奇補充說,CISO應該將與律師的對話框定為以解決方案為導向的討論,專注于短期和長期的風險管理。“通過將對話框定為雙方共同努力保護企業的伙伴關系,CISO可以確保法律顧問能夠及時提供符合安全和業務目標的知情建議。”
避免“橡皮圖章”心態
法律團隊的存在不是為了簡單地批準決策,而是為了提供見解、減輕風險并幫助公司遵守法規。“一種肯定會損害與法律團隊關系的方式就是把法律團隊當作‘橡皮圖章’,”BishopFox的紅隊實踐總監兼前首席安全官特雷文·埃奇沃思(Trevin Edgeworth)表示。
當律師被期望只是提供批準時,他們可能會感到沮喪和被低估。未能讓律師參與整個過程的CISO可能會無意中表明他們不尊重這些專業人士的關鍵專長。
“如果他們覺得自己的角色只是批準而沒有有意義的參與,他們就不太可能優先考慮你的努力或將其視為合作,”埃奇沃思補充道,“成功的合作需要相互尊重、開放溝通和持續協作。”
不要試圖“自己處理”
當然,把問題掩蓋起來不是解決辦法。在發生危機時,法律部門必須盡早介入,指導技術團隊應對監管和合規的復雜性,并幫助他們保護機密信息。
“不要遵循先解決后告知的心態,”韋爾奇表示,“從一開始就讓法律部門參與進來,以確保協調一致的響應,并記錄一切。”他補充說,在聯系法律部門之前等待可能會導致錯過強制報告期限,從而給企業帶來風險。
透明度也應該是心態的一部分。“CISO需要保持透明,分享相關信息,同時避免用技術術語淹沒法律部門。”韋爾奇表示。
在談到完全透明時,貝杰拉斯科建議CISO要坦誠地說明他們知道什么和不知道什么。“這些律師像你這樣的安全人員一樣,都在保護企業,”她說,“從高層次上看,你們有相同的使命。如有疑問,提醒自己回到那個共同使命上,這樣工作就能更順暢地進行。”
堅守自己的領域
一些CISO有法律背景或與總法律顧問有大量合作經驗。然而,這并不意味著他們應該充當法律顧問或承擔職責之外的責任。“尊重界限,不要越界是很重要的,”Halcyon的CISO斯泰西·卡梅隆(Stacey Cameron)表示,“有不同的意見、解釋或健康的討論沒有錯,但對于法律問題,將由律師代表公司提出論點,因此我們需要尊重彼此的角色,堅守各自的領域。”
據卡梅隆(Stacey Cameron)表示,在嘗試與企業內的律師建立關系時,越界是CISO可能犯下的最大錯誤之一。“律師們的大部分時間都花在了解適用于企業的法律、構建/審查合同協議、服務級別協議(SLA)、主服務協議(MSA)、公司政策、業務結構、專利以及其他確保公司成功運營和保持良好聲譽的任務上,”她說,“當CISO開始做出與企業內其他部門相沖突的內部/外部決策時,這可能會導致混淆,并可能引發未來的法律問題。”
無論是有意還是無意,這都會給CISO與法律團隊之間的關系帶來緊張——而這種關系可能難以修復。“信任的缺失往往難以重建,并可能導致整個企業的困難,”卡梅隆補充道。
企業交叉培訓環節
兩支團隊——律師和安全專家——可以通過分享專業知識并相互教育來協作。“進行模擬數據泄露或安全事件的桌面演練,”韋爾奇(Michael Welch)說,“這將幫助CISO和法律團隊了解彼此在這種情況下的角色和責任。”
BreachRx的創始人安迪·倫斯福德(Andy Lunsford)建議每季度在全公司范圍內進行事件模擬,讓法律專家和安全專家都參與其中。他還建議進行現實培訓,讓團隊接觸法律場景:“為CISO/安全團隊舉辦一次取證工作坊,向他們展示他們團隊所做的工作如何在法庭上輕易地被用來對付他們。”
盡管安全和法律團隊可能大相徑庭,但記住他們之間有共同點是有用的。“兩者都專注于通過識別、評估和減輕風險來保護企業。兩者都確保遵守外部和內部規則,以避免監管或聲譽損害。兩者都面臨著在保護企業與支持戰略業務目標之間取得平衡的持續挑戰。”埃奇沃思(Trevin Edgeworth)說。
將協作融入日常習慣
在《摩擦項目》(The Friction Project)一書中,斯坦福大學教授羅伯特·I·薩頓(Robert I. Sutton)和休吉·拉奧(Huggy Rao)認為,偉大的領導者“讓正確的事情變得容易,讓錯誤的事情變得困難”。如果我們遵循這一建議,那么很明顯,促進CISO與法律團隊之間協作的一種方法是創建系統和流程來簡化協作。
“實施一個專門為事件響應、危機管理和持續安全討論設計的安全帶外通信平臺,”韋爾奇說,“這將實現實時更新、文檔共享和協作決策。”
他還建議企業設立一個明確的流程,將安全問題升級給法律團隊,以確保在發現潛在泄露等事件時,法律專家能夠盡早介入。“通過創建一個與電子郵件或非正式消息不同的結構化溝通渠道,你可以在確保對齊的同時,避免遺漏關鍵細節,從而在高壓力情況下做出及時且知情的決策。”他補充道。
埃奇沃思建議更進一步。他邀請公司的法律專家每月參加一次他所在紅隊的周會。“當我第一次提到這個改變時,我的團隊瞪大了眼睛,質疑我的理智,但他們很快就認識到了其價值,”他說,“法律專家幫助我們避免了在規劃、執行和報告對抗性操作中的錯誤,特別是通過鼓勵事實性、客觀性的報告。”
知識傳遞也可以在需要時隨時進行,甚至可以在結構化活動之外進行。網絡安全專家通常沒有他們工作的法律方面的正式培訓,而他們需要這種培訓。“法律條文對他們中的大多數人來說是陌生的,”貝杰拉斯科(Christine Bejerasco)說。她的建議是保持開放的學習態度,并在需要澄清時提出問題。
根據需要頻繁邀請法律專家參與
法律團隊可以在各種任務上提供他們的觀點。他們可以審查與第三方供應商或服務提供商簽訂的合同,以確保其中包含數據保護和泄露通知條款。他們可以幫助進行合規性審查,并在企業可能面臨潛在風險時提供見解。
“嘗試讓法律團隊參與討論新興風險、關鍵戰略決策和項目,如紅隊操作,如果不小心的話,這些可能會揭露或甚至創造企業風險。”埃奇沃思說。
法律團隊可以幫助CISO在早期識別風險,并在交付給業務之前避免運營或財務效率低下。“考慮在開發和執行安全計劃時盡早讓法律團隊參與進來,”韋爾奇的同事、戰略與風險高級總監凱文·麥戈文(Kevin McGovern)說,“支持這種伙伴關系將建立相互信任和共享的機構知識,從而為業務帶來更好、更有效的解決方案。”
啤酒促情誼
不要低估在咖啡或啤酒上的良好交談的力量。有時,協作會在輕松的環境中進行。“法律人士也是人,”貝杰拉斯科說,“與他們一起喝啤酒、聊天,會讓你看到他們工作的不同視角,以及他們如何看待一些給我們其他人帶來合規痛苦的立法。”
在親自嘗試過之后,她驚訝地發現,法律專家“并沒有像我那樣對增加的要求感到沮喪!簡直難以置信。”
卡梅隆也同意這一點,她指出,幫助她的團隊與法律專家建立牢固聯系的一項活動就是卡拉OK之夜。
埃奇沃思也看到了非正式活動在建立更牢固關系方面的潛力:“通過將法律視為重要合作伙伴而不是障礙,與法律建立個人關系,”他說,“強大的個人聯系往往使協作變得更加順暢。”
通過走出正式場合,雙方都能獲得新的視角,并建立共同應對挑戰所需的信任。有時,僅僅坐下來進行輕松的交談就能產生深遠的影響。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號