引领网络安全执法新时代

引领网络安全执法新时代

时间戳记:4年2024月10日,凌晨00:XNUMX
源节点: 3046344

评论

30 年 2023 月 XNUMX 日,美国证券交易委员会 (SEC) 动摇了各行业安全领导者的假设: 提起了具有里程碑意义的诉讼SolarWinds的 及其首席信息安全官(CISO)。许多人认为这一举措对于担任 CISO 职位的人员来说就像是炸弹爆炸。这也是美国证券交易委员会首次以这种方式对公司个人提起诉讼。

随着案件的展开,您了解作为 CISO 的个人责任吗?有一点是明确的:这个案例传递了一个信息。首席信息安全官 (CISO) 现在面临着前所未有的潜在责任风险,因此需要采取积极主动的方法来应对安全管理人员的法律风险。为了阐明这个复杂的问题,我们召集了 60 多名 CISO、前 SEC 成员和法律专家进行了小组讨论。背景和可信度对于招募小组成员来讨论这个高风险话题至关重要。我们的目标很简单:为 CISO 社区提供权威的指导和清晰的责任管理。

该小组剖析了 SolarWinds 案件,指出 SEC 的重点似乎是疏忽,而不是严重的欺诈。虽然此案被描述为具有攻击性,但实质内容可能并不那么有力。专家建议首席信息安全官将此案视为警钟,强调需要采取积极措施和真诚的网络安全方法。

此次讨论中收集到的见解为 CISO 提供了驾驭网络安全执法新时代的路线图。以下是我们从小组中学到的一些最重要的建议。

与总法律顾问建立强大的联盟

小组讨论的第一个(或许也是最重要的)要点是 CISO 与总法律顾问 (GC) 建立牢固关系的重要性。专家们认为,总督在危机时期可以成为重要的盟友,提供宝贵的法律指导和支持。 SolarWinds 案件发生后,建议 CISO 积极与其 GC 保持一致,确保对潜在的法律挑战进行协作和做好充分准备的响应。

建立 FBI 联系

该小组的另一个重要建议是尽快与当地联邦调查局外地办事处建立关系。参与讨论的联邦调查局代表强调了与联邦调查局预先存在的关系的重要性。在 FBI 内部建立联系有助于处理类似于 SolarWinds 案件的情况。该小组的联邦调查局代表表示,这一切都与信任因素有关。他们还指出,FBI 将处于这种情况的公司视为受害者,这就是为什么鼓励 CISO 早在危机发生之前就与当地 FBI 现场办公室建立关系的原因。

注意遵守标准

该小组还强调了将网络安全实践与客观标准(例如美国国家标准与技术研究所 (NIST) 概述的标准)保持一致的重要性。正如 SolarWinds 案例所示,SEC 可能会要求提供遵守这些标准的证据。我们的一位 SEC 代表指出:“任何时候,只要你遵循 NIST 等客观标准,SEC 就会想要证据。”因此,如果您要公开宣布您正在使用一套标准,还要确保遵守您选择的标准。 CISO 必须保存完整的文档,以便在需要时提供证据。

协调法律顾问和内部调查

当谈到法律顾问时,关于 CISO 是否需要自己的法律顾问的话题引起了专家组的不同意见。那么,CISO 应该做什么?专家组一致认为,可能需要一名私人律师,尤其是在接受 SEC 或司法部 (DOJ) 约谈时。在内部调查和与内部法律顾问互动期间聘请法律代表也可能是明智之举。

考虑 D&O 保险

了解和投资董事和高级管理人员 (D&O) 保险是专家小组强调的另一个重要方面。面对潜在的法律诉讼,拥有 D&O 保险可以为 CISO 提供财务保护。专家建议您熟悉承保范围,检查是否存在任何现有索赔,甚至考虑独立承保以增加保护。

拥抱三大支柱:协调、澄清、升级

在这个加强网络安全执法的新时代,建议 CISO 坚持三个关键支柱:协调、澄清和升级。将网络安全实践与公认的标准保持一致,澄清与法律和联邦调查局联系人的沟通,并将问题上报给指挥系统。这些支柱构成了针对网络安全高管面临的不断变化的挑战采取主动和保护性方法的基础。

CISO 现在必须采取积极措施

SolarWinds SEC 诉讼揭示了网络安全高管面临的潜在风险。敦促 CISO 采取积极主动的措施,保护自己免受法律风险。与总法律顾问建立强大的联盟、与联邦调查局建立联系、遵守网络安全标准、获得 D&O 保险以及拥抱协调、澄清和升级这三大支柱,是应对网络安全执法新时代挑战的关键步骤。随着形势的不断发展,CISO 必须保持警惕并做好充分准备,以确保组织的安全并维护自己的专业地位。

时间戳记:

更多来自 暗读