优步首席信息安全官 (CISO) 乔·沙利文 (Joe Sullivan) 最近因未能报告公司 2016 年的数据泄露事件而被定罪,这让一些人感到意外,但同时也是沙利文先生的行为对其他人造成的合理后果。
作为一名 30 多年的 CISO 和信息安全领导者,我尊重 Sullivan 杰出的职业生涯,同时全力支持 判决. Sullivan 发现自己陷入了大多数 CISO 迟早会陷入的道德困境。 CISO 决定如何处理这种困境,关系到他们职业生涯的成败。
CISO 的职责是什么?
CISO 的角色和职责在不断发展,并且由于围绕大型违规事件的宣传越来越多,因此受到更多的审查,例如优步。
对于考虑最近这些事件对他们意味着什么的 CISO 来说,现在是提出三个重要问题的合适时机。
1) 作为 CISO,发生数据泄露时我的责任是什么?
虽然优步试验可能使 CISO 的角色更加受到关注,但我认为它不会改变与该角色相关的责任或义务。 当发生违规行为时,CISO 的责任很明确:保持透明并提供所有必要的披露。 有时这些披露是由监管机构强制要求的,有时它们只是被认为是公司对其选民的负责任的披露。
我不知道沙利文的第一反应是不是采取了正确的行动,并按照法律要求报告了违规行为。 考虑到他漫长的职业生涯,我当然希望是这样。 也就是说,根据公司内部的报告结构,许多 CISO 可能无法最终决定公司是否会披露违规行为。 通常情况下,CISO 可能会被否决并被迫找到一种方法将违规行为重新定义为违规行为以外的其他事情。 这种重构可以帮助公司避免潜在的负面后果,包括监管罚款、补救成本(例如,向受影响的客户提供信用监控服务)以及对客户信任和公司声誉的影响。
非常正确地,数据泄露被视为公司未能保护被泄露的数据。 它最终也可以被视为 CISO 的失败。 这就提出了一个古老的问题:责任在哪里止步? 谁为违规行为承担最终责任? 不管怎样,一家公司承认或披露都不是一件简单的事情。
CISO 的道德困境是:我是否保持我角色的完整性并履行我的职责? 或者我是否尝试重新定义事件,以便我的公司不承担后果?
我想,如果我处在沙利文的位置上,我会愿意辞去职务,而不是背叛我角色的完整性,坦率地说,背叛我的选民的信任。 用美国总统哈里·S·杜鲁门 (Harry S. Truman) 的话说,“网络安全责任由 CISO 承担。”
2) 当(而不是如果)我们被破坏时,我公司的计划是什么?
作为安全供应商的 CISO,我非常了解坏人和国家的动机和决心。 我也了解组织在成为攻击受害者时所面临的几率—— 组织必须假设他们会被破坏. 发生这种情况时你会怎么做?
在您被破坏之前解决最坏的情况并制定应急计划可以最大限度地减少您这样做时的财务和运营影响。 如果攻击者使您的客户支持或供应链运营脱机,停机成本是多少? 您的系统哪里最容易受到攻击? 你如何控制损失,你能多快恢复? 您如何向您的员工、客户和董事会传达发生的事情?
CEO 和其他公司官员必须积极与 CISO 合作解决这些问题,并制定一个全面的计划,以便在发生违规行为时做好准备。 立即行动——和诚实——很重要 最重要的是。 但这样的计划只有在提前制定、审查和排练的情况下才会成功。
3) 我在董事会中的角色是什么?
最多 有弹性的公司致力于高层安全 并在组织的各个层面推动它。 这意味着要与董事会以及员工一起建立强大的网络安全文化。 许多 CISO 可能不得不应对董事会的偏见,他们说“这永远不会发生在我们身上”或“无论如何都会发生,所以为什么要投资网络安全。”
像管理业务关系一样管理 CISO 关系
CISO 加强与董事会关系的一种方式是充当技术与业务之间的桥梁。 我们需要向董事会表明,我们将网络安全作为一项业务风险进行管理,并与组织的绩效、增长和其他业务目标保持一致。 请务必使用业务术语和结果,而不仅仅是技术首字母缩略词和概念。 帮助回答“我为什么要关心这个?”这个问题。 如果您成功获得董事会授予的资源,重要的是要跟进一份报告,将您请求的资源与随后的业务结果和结果联系起来。
根据我自己的经验,为了最有效,CISO 在定期会议之外培养与董事会成员的关系非常重要。 这让我们有机会更好地了解我们的董事会成员对 CISO 的期望,同样,我们也可以开始教育董事会。 最后,网络安全的实践是关于管理风险,但事实是我们永远无法完全消除风险。 每天的违规头条新闻都让每一位 CISO 都处于危险之中。 CISO 有一项艰巨的工作:他们必须管理组织的日常防御,同时为不可避免的未来攻击制定行动计划。 今天,CISO 需要正直和诚实才能在这个具有挑战性和关键的角色中成功领导和发展。
