平衡法律框架和企业安全治理

在这次帮助网络安全采访中,Coalfire首席执行官Tom McAndrew讨论了在不断变化的监管框架背景下,组织必须在法律合规和有效企业安全治理之间取得的平衡。

McAndrew还谈到了明确的治理结构和定期董事会报告的必要性,以有效监督网络风险和事件响应计划。

公司治理
鉴于越来越多的法律和监管框架,如HIPAA和GDPR,组织应该如何平衡法律合规性和有效的企业安全治理?

随着法律和监管框架的不断扩大,有必要在有效的安全治理和遵守法律要求之间找到平衡点。虽然基于风险的方法长期以来一直是主导主题,但隐私设计方法终于获得了我们许多人多年来一直在宣扬的关注。

使用基于风险的方法,识别和确定风险的优先次序,并了解数据的谁、什么、何时、何地和为什么,使组织能够专注于真正重要和风险最大的内容,并对这些数据应用适当的政策和控制。

隐私设计方法很简单,“通过有意的设计选择来保护个人隐私和数据保护”,通过确保安全和隐私控制在开发阶段嵌入系统,而不是作为事后的螺栓控制,采取安全第一的方法。

最后,组织必须克服文化障碍,在IT、网络安全、法律、人力资源等内部组织之间进行更正式的合作,这将确保政策和程序的更加组织协调。

您如何建议组织为董事会开发有效的报告机制,以了解和监督网络风险?哪些指标或关键绩效指标应该成为董事会级定期报告的一部分?

董事会对网络安全和合规的报告应该更加频繁和简洁。一致的仪表板定期更新,并强调遵守报告标准等战略问题,以及更具战术问题,如补丁管理效率和平均检测时间(MTTD)和平均响应时间(MTTR),是有效的指标,可以为董事会提供良好的安全计划有效性感。

董事会成员不应期望成为网络安全专家,因此安全团队有责任以清晰易懂的方式提供信息,传达与网络风险及其潜在业务影响相关的趋势。

哪些治理结构在防止首席信息官和首席信息安全官之间的利益冲突方面最有效?

预防冲突最重要的组成部分是明确的角色和责任设计,消除与活动和权力有关的任何误解机会。多年来,我一直主张CISO不应该向CIO报告,因为存在固有的利益冲突,而应该直接向首席执行官报告。CISO在董事会的网络安全委员会中发挥作用的趋势也越来越大,该委员会提供直接线路访问和与董事会的未经过滤的沟通。

公司的董事会应该如何确立其在开发和监督企业安全计划中的作用?董事会可以采取哪些实际措施来确保他们得到充分的信息并参与安全监督?

我为从财富100强到初创企业的数百家董事会提供了关于其网络安全治理界限的建议。随着越来越多的监管机构深入研究网络安全,我看到董事会的焦虑越来越多,因为他们感到获得网络流利程度的压力更大。好消息是,董事会负责治理,而不是网络安全运营,这有助于在董事会和执行团队之间建立一条光明的界限。

因此,虽然SEC更新的网络安全规则要求公司描述其董事会对网络安全风险的监督,并将风险评估分配给日常运营商,但实际执行运营仍由执行团队负责。

董事会可以采取的切实可行的步骤是要求每月提交CISO董事会报告,作为了解网络产生的业务风险的起点。这些报告提供了网络安全行动和结果的可见性,董事会可以将其纳入业务风险。

从治理的角度来看,有效事件响应计划的关键要素是什么?董事会应该如何参与事件响应测试和规划?

网络安全只是公司风险大量中的另一个风险,包括合规和监管风险、财务风险、声誉风险、竞争风险等。从治理的角度来看,对角色、通信协议以及网络安全事件响应计划如何与更广泛的企业风险框架保持一致的清晰理解是将好公司与坏公司区分开来的。

虽然事件响应纯粹是一种运营职能和公司执行团队的责任,但董事会应该发挥作用,应该熟悉该计划,并了解它是如何基于组织本身和不断变化的网络威胁格局的。

来源:helpnetsecurity

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞6 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容