在这次Help Net Security采访中,Veritas Technologies的首席信息安全官Christos Tulumba讨论了导致CISO增加个人责任风险的关键因素。这些风险是由网络安全威胁加剧、法规不断演变以及公众对安全漏洞的认识提高所驱动的。
图伦巴还分享了首席信息安全官可以采取的积极措施来减轻这些风险,并强调与执行领导人和董事会成员进行透明沟通的重要性。
哪些关键因素导致CISO的个人责任风险增加?
在过去的一年里,CISO的作用发生了重大变化。向增加个人责任的显著转变主要是三个因素的结果:
首先,组织面临的网络安全风险比以往任何时候都大。攻击者及其商品日益先进。与此同时,尽其所有好处,人工智能等新技术往往导致日益复杂的数字基础设施,这些基础设施可能会隐藏适合挑选的安全漏洞。
其次,不断变化的监管格局。欧洲《数字运营弹性法》(DORA)等法律和美国证券交易委员会(SEC)的各种新法规在法律上将数据泄露的个人责任完全由CISO承担。
最后,更广泛的公众对安全意识的丧失。美国证券交易委员会现在要求上市公司在四天内披露重大网络安全事件。这是在《加强美国网络安全法》的基础上,该法要求拥有或运营关键基础设施的实体在24至72小时内报告网络事件和赎金支付。
备受瞩目的网络事件如何影响CISO对个人责任的看法和现实?
即使许多组织现在被要求及时披露网络安全事件——正如我刚才提到的——但这并不意味着所有这些事件都成为常识。事实上,相对较少的人这样做。备受瞩目的网络安全漏洞——对公众影响最大的事件——是那些推动公众审查加剧的事件。随着这些事件成为头条新闻,客户要求改变。不幸的是,对于CISO来说,在这些情况下,感知是现实,即使更广泛的高管和董事会成员应该分担责任,他们也往往会成为牺牲的羔羊。
CISO可以采取哪些积极措施来降低个人责任风险?
俗话说:“一盎司的预防胜过一磅的治疗。”因此,首先,通过加强组织的网络复原力来完成您的核心工作。确保您的团队拥有资源、技能和指导,以保持对所有资产的可见性;正确配置外围防御;使用强大的备份和恢复策略保护业务关键型数据和应用程序;对密码、最低特权原则以及远程和个人设备访问等内容实施强大的安全策略;进行有效的员工网络安全意识培训;最后,测试和排练,测试和排练,测试和排练。
它还有助于用火来灭火。网络犯罪分子正在使用人工智能来改进他们的战术。实施人工智能驱动的技术来提高上述每个网络弹性步骤的有效性,将有助于确保您领先坏人一步,并避免因成功漏洞而承担个人责任的风险。
另一个关键是与其他执行领导和董事会成员建立明确的沟通渠道。完全透明,避免因您尚未完全理解或没有资源处理的新出现和潜在问题的诱惑。能够说“我告诉过你”比“应该有,本可以有,会有”要好得多。
董事和高管保险单在保护CISO免受个人责任方面有多有效?
董事和高管(D&O)责任保险可以为CISO提供一些保护,但其在网络安全动态领域的有效性不是100%确定的。这些政策通常涵盖因高管以专业身份做出的决定而对高管提起诉讼而造成的法律费用和损害赔偿,但包括对网络安全失败的个人问责制的法规可能会挑战传统D&O覆盖范围和限制。
保险提供商可能需要调整其保单,以应对CISO面临的具体风险。虽然这将导致更有效、更量身定制的保险,但它也可能导致更高的保费或许多排除,以至于变得不切实际。
组织如何更好地支持其CISO,以确保他们不会被不公平地追究网络事件的责任?
组织需要发展一种受欢迎的透明文化。如果CISO害怕向行政领导团队和董事会带来残酷的真相,那就有问题了。在我们的团队中,我们甚至往往不谈论进展顺利的事情。相反,我们几乎只专注于我们需要改进的东西。危险信号不是我们避免的,而是拥抱的,所以每个人都意识到风险和潜在的脆弱性。
同样重要的是,如果没有必要的资源,即使是最好的安全团队也会失败。这不仅包括执行上述网络复原力战略的持续预算支持,还包括实施关键安全措施的权力。如果安全建议一直被组织的其他部分推翻或忽视,CISO的努力就会变得徒劳无功。
在驾驭个人责任的复杂性时,您会给现任和有抱负的CISO什么建议?
大多数首席信息安全官需要的最大改进领域是沟通技巧。正如我所说,在避免网络安全漏洞和由此产生的个人责任风险方面,透明度与其他任何事情一样重要,透明度需要有效的沟通。不仅如此,还要就执行网络复原力战略所需的资源进行谈判,这些策略将保护您的组织,您还需要有效的沟通。最后,通过将网络安全定位为业务推动因素而不是阻碍因素,有效沟通在您获得全组织对网络安全最佳实践的认同能力中起着关键作用。
暂无评论内容