法律顾问兼首席安全官ChrisPierson认为,事件应急响应计划可以帮助CISO在安全事件发生后最大程度地挽救公司。作为LewisRocaRothgerberLLP的公司法律顾问,ChrisPierson建立了该公司的网络安全实践,并就事件响应和高风险事件的恢复向该公司提供建议。他认为,随着事件危害的增加,CISO必须负责事件响应计划,并聘请第三方“展示而不是告诉”管理层本可以通过尽职调查避免的业务问题。Pierson目前是ViewpostIntellectualPropertyHoldings的首席安全官、执行副总裁兼总法律顾问,领导公司的网络安全和监管合规计划。Pierson是美国国土安全部(DHS)数据隐私和完整性咨询委员会和网络安全小组委员会的指定成员,也是PonemonResearch的杰出研究员。他之前还曾担任苏格兰皇家银行美国银行业务的高级副总裁兼首席隐私官,负责公司的隐私和数据保护计划。最近,他与我们讨论了如何识别和填补事件响应计划中的空白。最近有很多讨论认为,应该根据事件响应管理能力而不是事件防御能力来评判CISO,因为后者不再是一个现实的目标。你同意这个前提吗?ChrisPierson:我认为它比这更广泛。我们需要判断的是企业对企业内部出现的事件和问题的应对能力。事件并不代表现实生活,尤其是在某个时刻,事件不仅仅影响每家公司——那些日子已经一去不复返了。每个公司都有问题、事件、挑战和斗争。确实,你在市场上看到的已经转向更多关注事件应急响应、提供调查能力的调查技术和解决方案,更多关注应急计划,以便通过桌面或现场提前确定事件的范围-消防演习。所以我认为应该对整个公司和CISO、CIO进行评判——当然他们将发挥更大的作用——但尽管法律和合规性在这里可以提供很多,但相关部门作为合作伙伴参与是极其重要的.CISO在事件响应中的角色是什么?您认为它正在发生变化吗?克里斯·皮尔森:这是个好问题。我认为他们负责应急响应。他们可能与CIO一起工作,但最终,所有的目光都将集中在CISO身上。我们在做什么?我们现在知道什么?我们还需要什么其他信息?以及正在使用哪些资源对问题进行分析、访问和决策的角度,CISO在应急响应中扮演着四分卫的角色。他们的角色也将成为为公司取得成功的更广泛团队的一部分。CISO不是写事件响应信的人,也不一定是公关沟通第一线的人。然而,当事件发生时,他们将成为强大的公司代理人和合作伙伴,与其他角色产生强大的协同作用。我还想强调——这一点非常重要——所有的目光,包括最高级别的,都将关注CISO,以确定谁需要参与内部和外部的事件响应。CISO必须提前确定范围。CISO领导桌面演习,他们必须在任何事件发生之前了解应急响应的所有组成部分和人员。这包括涉及外部顾问以及营销和传播的人员。CISO确实需要充当粘合剂,让组织中的多方齐心协力做好准备。CISO在事件响应中的角色是否发生变化?ChrisPierson:CISO是负责合规工作的人,并且合法地预先了解涉及哪些角色并在团队中发挥更大的作用。它不再只是公司的1和0。我认为答案是CISO的角色发生了变化。以前,CISO将负责就所发生的事情提供技术建议和指导:我们如何解决它?他们曾经负责使这些方面合理化。CISO的角色在两个核心领域发生了变化。首先,他们在计划方面受到关注,了解需要在桌上的玩家,并确保他们通过桌面演习提前做好准备。其次,我认为归根结底,CISO是负责合规工作并在法律上预先了解所涉及的角色并在团队中发挥更大作用的人。合规不再只是公司的1和0;这些人必须了解并准确理解那些影响他们的规章制度。您如何看待CISO在定义安全事件范围方面的作用,尤其是在了解事件范围或在管理层面前淡化事件影响方面?ChrisPierson:首先,CISO有责任确保公司中的每个人都知道可能会发生什么类型的事件,这些事件可能会如何发展,以及导致这些挑战的先决条件是什么。最后,需要澄清所有其他参与者的角色和责任——这很关键。另一个方面是确定某种公司治理流程是否到位。这可能不在CISO的职责范围内,甚至更好,大致在合规、风险或法律职能范围内。将所有利益相关者聚集在一起以确保高管和中层管理人员都了解事件及其可能的影响也非常重要。CISO还需要确保每个人都满意并采用潜在的事件响应计划,以便在事件发生时没有组织导致大量混乱、时间浪费和善意消耗。我认为这是CISO需要关注的一个关键领域。您认为事件响应的准备时间如何合理?谁应该参与计划,尤其是当CEO说“我们不希望发生任何事件”时?克里斯皮尔森:这是一个了不起的问题——让组织参与进来。而且,组织的规模真的无关紧要。CISO应该担心的关键事情是让每个人都了解他们的角色以及这将如何影响公司,并将其纳入业务目标。对于涉及应急计划和最终应急响应的时间、资源和资金,必须有一些更广泛的商业理由。我会告诉你这一点,从商业角度准备,通过活动策划可以更容易地实现你的目标,保护良好的意图,保护你的品牌和客户的信任。这意味着提前计划并组建合适的团队——一个知道如何合作、有明确规则和责任的团队——以及一个了解这将在多大程度上保护公司运营的领事。这种[方法]将使公司走向成功。从长远来看,这是省钱的举措,不会对公司的品牌或市场地位造成重大失误和负面影响。在2014年初的RSA大会上的主题演讲中,您提到了国土安全部的网络安全评估计划,并讨论了管理层“展示而不是讲述”业务问题的一些方式。你能详细说明一下吗?ChrisPierson:CISO的关键领导之一是确保你“展示而不是讲述”当前的风险,你对它们做了什么,甚至这些风险的生命周期以及它们如何影响公司。做到这一点的一个好方法是通过第三方的参与,无论他们是外部审计员还是外部安全专业人员,都没有关系。一个很好用的工具是DHSC3(关键基础设施网络社区C3自愿项目)计划,这是一个DHS合作伙伴关系,可帮助您的组织评估跨信息安全基础设施和其他技术的风险范围,通知参考并提供有关如何进行的信息美国国家标准与技术研究院(NIST)网络安全框架和其他标准对风险进行了排名。如果您的组织中存在差距,他们还会提供大量文档,说明您希望如何缩小差距或弄清楚任何现有项目。或者你可以自己做。大约一年前,即2014年2月,该项目开放供个人使用。因此,无论成本或专业知识要求如何,都可以将其引入任何规模的组织,以进行真正的风险评估和映射到组织。这是一个了不起的工具,我希望每个人都知道,或者正在考虑使用。公司应该多久审查一次他们的事件响应计划?过去的一般原则是年度审查。那改变了吗?克里斯·皮尔森:我认为是的。应每年审查并更新一次事件响应计划。还应补充和审查事件响应计划,因为它们与影响公司的新风险或新威胁媒介有关。好吧,如果您所在的零售公司依赖销售点终端并且可以访问大约一年前的入侵信息,那么您的组织不应该等待年度审查;您应该已经审查了事件响应计划,确定它将如何有效响应,这样您就可以很好地应对未来的任何信息安全挑战。
