前Uber首席信息安全官Joe Sullivan,因试图掩盖2016年Uber遭受的数据泄露事件而被判有罪,最近提出在不久的将来,CEO可能会直接对网络安全漏洞负责。
考虑到《网络安全框架2.0》(CSF 2.0)在治理和与董事会沟通方面的变化,Sullivan认为责任不会止步于首席信息安全官(CISO),而很可能会向上延伸至CEO。
在他的文章中,Sullivan敦促CEO们为CISO提供更多资源来完成他们的工作,但如果他指的是增加资金来购买更多的安全控制措施,这可能会让CEO们难以接受。网络安全预算增长一贯超过一般IT支出。虽然由于经济问题,2022年和2023年的网络安全预算增长有所放缓,但最近对CISO的调查报告显示,企业在网络安全方面的支出仍然强劲增长。
CISO们知道他们拥有的安全控制措施多到难以管理:工具过多和工具瘫痪是已知的缺陷——新增的网络安全控制措施并不是问题所在。
四个关键步骤:发言时间、指标、实习和过程监控
如果不是需要更多资金来新增或扩展控制措施,那么CEO们可以给CISO提供什么来降低风险并最终加强CEO自身面临的法律责任呢?
与董事会更多的沟通时间
大多数董事会仍然缺乏对当今网络安全团队所面临挑战的背景和理解。
部分原因是简单的缺乏接触。尽管越来越多的监管机构——包括美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和网络安全与基础设施安全局(CISA)——已要求公开注册实体进行严格的披露和网络安全规划,但只有少数公开公司在其董事会中设有技术委员会,更不用说定期进行网络安全对话以探讨威胁和风险了。
另一个原因是将网络安全审计置于总法律顾问或首席财务官办公室下。无论如何,在每次董事会会议中拨出30分钟与公司CISO讨论网络安全挑战,将有助于他们建立必要的政治资本,使网络安全成为董事会层面的关注点。
在季度报告中发布一套共享指标
任何不认为网络安全是公司财务健康的重大问题的CEO都没有真正关注这个问题。
公开交易的保险巨头的子公司Change Healthcare在一次勒索软件攻击后,其药房验证和支付系统瘫痪,面临可能高达十亿美元的事件恢复费用。由于依赖该服务的医疗保健机构和医院所遭受的损失,Change Healthcare可能还面临数十亿美元的法律赔偿。2017年,由于一个未修补的软件组件导致的漏洞,使信用报告机构Equifax损失超过十亿美元,包括法律费用、增加的客户服务和事件响应费用。
CEO们应该表现出他们对网络安全的重视,并在公司报告中增加指标,以表明这是一个重要的关注点。对于CISO来说,与CEO达成一套指标协议将提供一个明确的方向,并推动资源和人力的对齐,以确保指标继续向正确的方向发展。
网络安全实习计划以引进初级工程师
尽管网络安全团队部署了大量技术,但推动真正进展的还是人力。
网络安全专业人员的短缺正在恶化。根据ISC2的数据,全球缺少近400万所需的网络安全专家。尽管如此,2023年的网络安全队伍增加了近10%。
在竞争激烈的就业市场中,发布新的招聘信息已经不够了。越来越多的科技公司,如IBM,正在创建实习管道,从社区大学或不知名大学招募和培训初级工程师。虽然这种方法需要更多的基础设施、可行的课程以及一些耐心,但它可以产生更强大的员工管道,使他们在对所保护系统有先前知识的情况下直接进入工作。
持续的安全流程映射和监控
虽然人力在加强网络安全方面至关重要,但人类也往往是网络安全链中最薄弱的一环。
绝大多数重大漏洞和攻击都涉及人为错误。大多数CISO都会进行红队演习,使用渗透测试或攻击模拟服务或工具,并采取其他措施来测试事件响应。网络取证工具可以帮助绘制攻击链,详细的根本原因分析可以指出特定演习中的具体失败,但CISO缺乏对事件响应的持续分析,往往只关注最严重的漏洞,即使这些漏洞可能只是由于先前的“流程债务”导致网络团队无意间留下风险漏洞。
由于网络安全互动和流程的复杂性以及事件响应的不可预测性,映射安全流程可能具有挑战性。话虽如此,对CISO提起的案件都围绕着欺诈和欺骗的指控。在没有系统自动捕获安全流程和人类行为的情况下,这样的指控更难以辩护,从而消除了“意图”的灰色地带。新解决方案可以将流程映射和监控应用于安全工作流程,确保最佳实践的可见性和执行。
结论:与CISO的合作至关重要
严肃对待网络安全的CEO必须优先考虑与CISO的合作,并将他们纳入定期会议的轮换中。随着AI带来许多新风险,增加工具预算可能是必要的,但这既不是充分的也不是最重要的一步。
CISO需要更好的人力和更好的流程来履行保持企业安全的承诺。监管机构不仅关注能力,还关注作为最佳努力证据的意图和流程。指标是一个明确的方向,但可视化和改进由工程师执行的流程同样重要。随着更多CISO面临指控,CEO应该担心他们可能是下一个,并开始思考如何更好地保护他们的网络资产和网络团队。
