在采访中,Veritas Technologies 的首席信息安全官 (CISO) Christos Tulumba 讨论了导致 CISO 个人责任风险增加的关键因素,这些风险源于日益严重的网络安全威胁、不断演变的法规以及公众对安全漏洞的意识增强。
Tulumba 还分享了 CISO 可以采取的主动措施以降低这些风险,并强调与高管领导和董事会成员进行透明沟通的重要性。
哪些关键因素导致 CISO 个人责任风险增加?
过去一年里,CISO 的角色发生了显著变化。个人责任增加的主要原因有三个:
首先,企业面临的网络安全风险比以往任何时候都大,攻击者及其工具日益先进,同时,尽管新技术(如 AI)带来了许多好处,但也导致数字基础设施日益复杂,这可能隐藏了易被攻击的安全漏洞。
其次,不断演变的监管环境,欧洲的《数字运营弹性法案》(DORA) 和美国证券交易委员会 (SEC) 的各种新法规在法律上将数据泄露的个人责任明确放在 CISO 的肩上。
最后,公众对安全漏洞的广泛关注,SEC 现在要求上市公司在四天内披露重大网络安全事件,此外,《加强美国网络安全法案》要求拥有或运营关键基础设施的实体在 24 至 72 小时内报告网络事件和赎金支付。
高调的网络事件如何影响 CISO 个人责任的认知和现实?
即使现在许多企业被要求及时披露网络安全事件——正如我刚才提到的——这并不意味着所有这些事件都会成为常识,事实上,只有相对较少的事件会如此。影响公众最多的高调网络安全漏洞是那些推动公众审查加剧的事件,当这些事件成为头条新闻时,客户会要求改变。不幸的是,对于 CISO 来说,在这些情况下,认知就是现实,即使更广泛的高管和董事会成员也应该分担责任,他们往往成为替罪羊。
CISO 可以采取哪些主动措施来降低个人责任风险?
俗话说,“预防胜于治疗”。首先也是最重要的是,通过增强企业的网络弹性来做好核心工作,确保你的团队拥有资源、技能和指导,以保持对所有资产的可见性,正确配置外围防御,通过强大的备份和恢复策略保护关键业务数据和应用程序,实施强有力的安全政策,例如密码、最小特权原则以及远程和个人设备访问,进行有效的员工网络安全意识培训,最后,不断测试和演练,反复进行。
网络犯罪分子正在使用AI来改进他们的战术,实施AI驱动的技术以提高上述每一步网络弹性措施的有效性,将有助于确保你始终领先于坏人一步,并避免因一次成功的攻击而承担个人责任的风险。
另一个关键是与其他高管领导和董事会成员建立明确的沟通渠道,完全透明,避免掩盖尚未完全理解或尚无资源处理的新兴和潜在问题,能够说“我早就提醒过你”总比说“我应该、可能、本可以”要好得多。
董事和高级职员保险政策在保护CISO免受个人责任方面有多有效?
董事和高级职员(D&O)责任保险可以为CISO提供一定的保护,但在动态的网络安全领域,其有效性并不是100%确定的,这些政策通常涵盖因高管在其职业职责范围内做出的决策而引起的诉讼所产生的法律费用和赔偿金,但包括对网络安全失败的个人责任的法规可能会挑战传统D&O覆盖范围的广度和限制。
保险提供商可能需要调整其政策以应对CISO面临的具体风险,虽然这将导致更有效、量身定制的覆盖,但也可能会导致更高的保费,或者有这么多的排除条款以至于变得不切实际。
企业如何更好地支持他们的CISO,以确保他们不会因网络事件而被不公平地追究责任?
企业需要培养一种欢迎透明度的文化,如果CISO害怕向高管领导团队和董事会提出严峻的事实,那就是一个问题。在我们的团队中,我们甚至很少讨论那些进展顺利的事情,相反,我们几乎只关注需要改进的地方,我们不回避问题,而是接受它们,以便每个人都了解风险和潜在的漏洞。
同样重要的是,即使是最好的安全团队,如果没有必要的资源支持,也会失败,这不仅包括持续的预算支持以执行上述网络弹性策略,还包括实施关键安全措施的权力。如果安全建议被企业的其他部分一再推翻或忽视,CISO的努力将变得徒劳。
你对现任和有志成为CISO的人在应对个人责任复杂性方面有什么建议?
大多数CISO最需要改进的地方是沟通技巧,正如我所说,透明度在避免网络安全漏洞和由此产生的个人责任风险方面与任何其他因素同样重要,而透明度需要有效的沟通,不仅如此,为执行将保护你的组织和你的网络弹性策略争取资源也需要有效的沟通,最后,有效的沟通在你能够在全企业范围内争取对网络安全最佳实践的认同方面起着关键作用,将网络安全定位为业务促进因素而不是障碍。
