在采訪中，Veritas Technologies 的首席信息安全官 (CISO) Christos Tulumba 討論了導(dǎo)致 CISO 個人責(zé)任風(fēng)險增加的關(guān)鍵因素，這些風(fēng)險源于日益嚴(yán)重的網(wǎng)絡(luò)安全威脅、不斷演變的法規(guī)以及公眾對安全漏洞的意識增強(qiáng)。

Tulumba 還分享了 CISO 可以采取的主動措施以降低這些風(fēng)險，并強(qiáng)調(diào)與高管領(lǐng)導(dǎo)和董事會成員進(jìn)行透明溝通的重要性。

哪些關(guān)鍵因素導(dǎo)致 CISO 個人責(zé)任風(fēng)險增加？

過去一年里，CISO 的角色發(fā)生了顯著變化。個人責(zé)任增加的主要原因有三個：

首先，企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險比以往任何時候都大，攻擊者及其工具日益先進(jìn)，同時，盡管新技術(shù)（如 AI）帶來了許多好處，但也導(dǎo)致數(shù)字基礎(chǔ)設(shè)施日益復(fù)雜，這可能隱藏了易被攻擊的安全漏洞。

其次，不斷演變的監(jiān)管環(huán)境，歐洲的《數(shù)字運(yùn)營彈性法案》(DORA) 和美國證券交易委員會 (SEC) 的各種新法規(guī)在法律上將數(shù)據(jù)泄露的個人責(zé)任明確放在 CISO 的肩上。

最后，公眾對安全漏洞的廣泛關(guān)注，SEC 現(xiàn)在要求上市公司在四天內(nèi)披露重大網(wǎng)絡(luò)安全事件，此外，《加強(qiáng)美國網(wǎng)絡(luò)安全法案》要求擁有或運(yùn)營關(guān)鍵基礎(chǔ)設(shè)施的實體在 24 至 72 小時內(nèi)報告網(wǎng)絡(luò)事件和贖金支付。

高調(diào)的網(wǎng)絡(luò)事件如何影響 CISO 個人責(zé)任的認(rèn)知和現(xiàn)實？

即使現(xiàn)在許多企業(yè)被要求及時披露網(wǎng)絡(luò)安全事件——正如我剛才提到的——這并不意味著所有這些事件都會成為常識，事實上，只有相對較少的事件會如此。影響公眾最多的高調(diào)網(wǎng)絡(luò)安全漏洞是那些推動公眾審查加劇的事件，當(dāng)這些事件成為頭條新聞時，客戶會要求改變。不幸的是，對于 CISO 來說，在這些情況下，認(rèn)知就是現(xiàn)實，即使更廣泛的高管和董事會成員也應(yīng)該分擔(dān)責(zé)任，他們往往成為替罪羊。

CISO 可以采取哪些主動措施來降低個人責(zé)任風(fēng)險？

俗話說，“預(yù)防勝于治療”。首先也是最重要的是，通過增強(qiáng)企業(yè)的網(wǎng)絡(luò)彈性來做好核心工作，確保你的團(tuán)隊擁有資源、技能和指導(dǎo)，以保持對所有資產(chǎn)的可見性，正確配置外圍防御，通過強(qiáng)大的備份和恢復(fù)策略保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)和應(yīng)用程序，實施強(qiáng)有力的安全政策，例如密碼、最小特權(quán)原則以及遠(yuǎn)程和個人設(shè)備訪問，進(jìn)行有效的員工網(wǎng)絡(luò)安全意識培訓(xùn)，最后，不斷測試和演練，反復(fù)進(jìn)行。

網(wǎng)絡(luò)犯罪分子正在使用AI來改進(jìn)他們的戰(zhàn)術(shù)，實施AI驅(qū)動的技術(shù)以提高上述每一步網(wǎng)絡(luò)彈性措施的有效性，將有助于確保你始終領(lǐng)先于壞人一步，并避免因一次成功的攻擊而承擔(dān)個人責(zé)任的風(fēng)險。

另一個關(guān)鍵是與其他高管領(lǐng)導(dǎo)和董事會成員建立明確的溝通渠道，完全透明，避免掩蓋尚未完全理解或尚無資源處理的新興和潛在問題，能夠說“我早就提醒過你”總比說“我應(yīng)該、可能、本可以”要好得多。

董事和高級職員保險政策在保護(hù)CISO免受個人責(zé)任方面有多有效？

董事和高級職員(D&O)責(zé)任保險可以為CISO提供一定的保護(hù)，但在動態(tài)的網(wǎng)絡(luò)安全領(lǐng)域，其有效性并不是100%確定的，這些政策通常涵蓋因高管在其職業(yè)職責(zé)范圍內(nèi)做出的決策而引起的訴訟所產(chǎn)生的法律費(fèi)用和賠償金，但包括對網(wǎng)絡(luò)安全失敗的個人責(zé)任的法規(guī)可能會挑戰(zhàn)傳統(tǒng)D&O覆蓋范圍的廣度和限制。

保險提供商可能需要調(diào)整其政策以應(yīng)對CISO面臨的具體風(fēng)險，雖然這將導(dǎo)致更有效、量身定制的覆蓋，但也可能會導(dǎo)致更高的保費(fèi)，或者有這么多的排除條款以至于變得不切實際。

企業(yè)如何更好地支持他們的CISO，以確保他們不會因網(wǎng)絡(luò)事件而被不公平地追究責(zé)任？

企業(yè)需要培養(yǎng)一種歡迎透明度的文化，如果CISO害怕向高管領(lǐng)導(dǎo)團(tuán)隊和董事會提出嚴(yán)峻的事實，那就是一個問題。在我們的團(tuán)隊中，我們甚至很少討論那些進(jìn)展順利的事情，相反，我們幾乎只關(guān)注需要改進(jìn)的地方，我們不回避問題，而是接受它們，以便每個人都了解風(fēng)險和潛在的漏洞。

同樣重要的是，即使是最好的安全團(tuán)隊，如果沒有必要的資源支持，也會失敗，這不僅包括持續(xù)的預(yù)算支持以執(zhí)行上述網(wǎng)絡(luò)彈性策略，還包括實施關(guān)鍵安全措施的權(quán)力。如果安全建議被企業(yè)的其他部分一再推翻或忽視，CISO的努力將變得徒勞。

你對現(xiàn)任和有志成為CISO的人在應(yīng)對個人責(zé)任復(fù)雜性方面有什么建議？

大多數(shù)CISO最需要改進(jìn)的地方是溝通技巧，正如我所說，透明度在避免網(wǎng)絡(luò)安全漏洞和由此產(chǎn)生的個人責(zé)任風(fēng)險方面與任何其他因素同樣重要，而透明度需要有效的溝通，不僅如此，為執(zhí)行將保護(hù)你的組織和你的網(wǎng)絡(luò)彈性策略爭取資源也需要有效的溝通，最后，有效的溝通在你能夠在全企業(yè)范圍內(nèi)爭取對網(wǎng)絡(luò)安全最佳實踐的認(rèn)同方面起著關(guān)鍵作用，將網(wǎng)絡(luò)安全定位為業(yè)務(wù)促進(jìn)因素而不是障礙。