法律顧問兼首席安全官Chris Pierson認(rèn)為，事件應(yīng)急響應(yīng)預(yù)案可在安全事件發(fā)生后最大程度地幫助CISO挽救其公司。

[[126863]]

作為Lewis Roca Rothgerber律師事務(wù)所的公司法律顧問，Chris Pierson建立了該公司的網(wǎng)絡(luò)安全實踐，并就事件應(yīng)急響應(yīng)和高危事件恢復(fù)對公司進(jìn)行建議。他認(rèn)為，隨著事件危害的逐漸上升，CISO們必須負(fù)責(zé)事件應(yīng)急響應(yīng)預(yù)案，并雇用第三方對管理層“場景展示而非講述”那些通過盡職調(diào)查可被避免的業(yè)務(wù)問題。

Pierson目前是Viewpost知識產(chǎn)權(quán)控股公司首席安全官、執(zhí)行副總裁兼公司法律總顧問，負(fù)責(zé)領(lǐng)導(dǎo)該公司的網(wǎng)絡(luò)安全以及法規(guī)遵從性項目。Pierson是美國國土安全部(DHS)數(shù)據(jù)隱私與完整性咨詢委員會以及網(wǎng)絡(luò)安全小組委員會委任成員，也是Ponemon研究機(jī)構(gòu)一位杰出的研究員。他之前還擔(dān)任過蘇格蘭皇家銀行美國銀行業(yè)務(wù)的高級副總裁兼首席隱私官，負(fù)責(zé)公司的隱私與數(shù)據(jù)保護(hù)項目。近日，他與我們探討了如何找出并填補(bǔ)事件應(yīng)急響應(yīng)項目的缺口。

近期有大量討論，認(rèn)為應(yīng)評判CISO們的事件應(yīng)急響應(yīng)管理能力而不是他們的事件防御能力，因為后者不再是一個現(xiàn)實的目標(biāo)。您同意這個前提嗎?

Chris Pierson：我認(rèn)為它甚至比這還要廣泛。我們需要評判的是公司針對事件以及企業(yè)內(nèi)部產(chǎn)生問題的響應(yīng)能力。事件不代表現(xiàn)實生活，尤其在某個點上的事件并不會正好影響到每一家公司—這些日子已一去不復(fù)返。

每家公司都存在問題，都可能有事件發(fā)生，也都會面臨這些挑戰(zhàn)并進(jìn)行相應(yīng)的斗爭。的確，你在市場所見已轉(zhuǎn)向于更多關(guān)注事件應(yīng)急響應(yīng)、提供調(diào)查能力的調(diào)查技術(shù)與方案，也更多關(guān)注預(yù)案，這樣可以提前通過桌面或?qū)崗椦萘?xí)確定事件范圍。因此我認(rèn)為應(yīng)評判整個公司以及CISO、CIO—當(dāng)然他們將發(fā)揮更大作用—但即使法律和法規(guī)遵從在這里有許多事需要提供，相關(guān)部門作為合作伙伴參與進(jìn)來也極為重要。

在事件響應(yīng)中CISO角色是什么，且在您看來這一角色正發(fā)生變化嗎?

Chris Pierson：這是個好問題。我認(rèn)為他們是應(yīng)急響應(yīng)的責(zé)任人。他們也許正與CIO進(jìn)行合作，但在事件當(dāng)天結(jié)束時，所有人都將關(guān)注在CISO身上。我們正在做的是什么?現(xiàn)在我們知道了什么?我們還需要其它什么信息?以及針對我們當(dāng)前面臨且正挑戰(zhàn)我們業(yè)務(wù)的事項，有什么資源正被用于分析、訪問與決策?我認(rèn)為從技術(shù)角度，CISO在應(yīng)急響應(yīng)中扮演四分衛(wèi)角色。

他們的角色還會是在為公司取得成功方面、更廣義的團(tuán)隊一份子。CISO們不是那些書寫事件應(yīng)急響應(yīng)信件的個人，也不必是身處公關(guān)溝通前線的個人。然而在事件發(fā)生時，他們將是強(qiáng)有力的公司代理人以及與其他角色強(qiáng)協(xié)同的合作伙伴。

我還想強(qiáng)調(diào)—這是非常重要的—在內(nèi)、外部什么人需要參與事件應(yīng)急方面，包括最高級別的所有人目光都會投向CISO。CISO必須提前確定好范圍。

CISO們領(lǐng)導(dǎo)負(fù)責(zé)桌面演習(xí)，他們在任何事件發(fā)生之前必須清楚應(yīng)急響應(yīng)所有的組成與人員。這包括那些參與外部顧問以及市場營銷與溝通的人員。CISO們的確需要成為組織多方共同進(jìn)行事前準(zhǔn)備的粘合劑。

CISO的角色在事件應(yīng)急響應(yīng)中正發(fā)生變化嗎?

Chris Pierson：CISO正是那位與法規(guī)遵從合作的責(zé)任人，且以合法方式提前了解涉及什么角色，并在團(tuán)隊中發(fā)揮更大作用。它不再只是公司的1和0。

我認(rèn)為答案是CISO角色已經(jīng)發(fā)生變化。之前，CISO將負(fù)責(zé)對已發(fā)生事件提供技術(shù)建議和指導(dǎo)：我們?nèi)绾涡迯?fù)?他們過去曾負(fù)責(zé)合理化這些方面的事情。

CISO角色在兩個核心領(lǐng)域已經(jīng)發(fā)生變化。首先，在預(yù)案方面他們正被關(guān)注，了解需要在桌旁的玩家，并確保通過桌面演習(xí)提前做好準(zhǔn)備。第二，我認(rèn)為在事件當(dāng)天結(jié)束時，CISO正是那位與法規(guī)遵從合作、且以合法方式提前了解涉及什么角色、并在團(tuán)隊中發(fā)揮更大作用的責(zé)任人。合規(guī)不再僅僅是公司的1和0;這些個人必須知情并確切了解那些對他們產(chǎn)生影響的條例和法規(guī)。

你怎么看待CISO在定義一起安全事件范圍時所起的作用，尤其在理解該事件范圍或在管理層面前低估事件影響方面?

Chris Pierson：首先，CISO負(fù)責(zé)確保全公司每個人都知道什么類型事件可能發(fā)生、這些事件可能會如何上演，而又有什么前置條件導(dǎo)致出現(xiàn)這些挑戰(zhàn)。以及最后，所有其他參與者的角色及職責(zé)需要明確——這一點非常關(guān)鍵。

另一方面是確定某種公司治理流程就緒。這可能在CISO職責(zé)之外，甚至更佳方式，廣義上由合規(guī)、風(fēng)險或法律部門負(fù)責(zé)。讓所有干系人坐到一起，這一點也極為重要，以便確保公司高管和中層人員對事件以及可能產(chǎn)生影響都有認(rèn)識。CISO還要確定每個人都感到滿意，且采納潛在的事件應(yīng)急響應(yīng)方案，這樣當(dāng)事件發(fā)生時，不會存在由于沒有組織而導(dǎo)致大量混亂、時間浪費以及良好意愿的消費。我認(rèn)為這是一位CISO需要關(guān)注的關(guān)鍵領(lǐng)域。

您如何看待事件應(yīng)急響應(yīng)的準(zhǔn)備時間是否合理?誰應(yīng)該參與預(yù)案工作，尤其當(dāng)首席執(zhí)行官說：“我們不想發(fā)生任何事件”?

Chris Pierson：這是一個驚人的問題——讓該組織加入。而且，這也的確無關(guān)組織規(guī)模。CISO應(yīng)當(dāng)擔(dān)心的關(guān)鍵在于讓所有人理解他們自身的角色以及這將如何影響到公司，并將此織入業(yè)務(wù)目標(biāo)。對于應(yīng)急預(yù)案以及最終的應(yīng)急響應(yīng)舉措中所涉及到的時間、資源以及金錢，必須有一些更為廣泛的業(yè)務(wù)理由進(jìn)行支撐。

我會告訴你這一點，從業(yè)務(wù)角度進(jìn)行準(zhǔn)備，通過事件預(yù)案可以更容易實現(xiàn)保護(hù)良好意愿、保護(hù)品牌與客戶信賴方面的目標(biāo)。這意味著事前有針對性預(yù)案，并裝配合適的團(tuán)隊—一個知道如何合作、清楚規(guī)則和職責(zé)的團(tuán)隊—以及一位理解這將很大程度保護(hù)公司運營的執(zhí)政官。該[方法]將讓公司走向成功。那正是長遠(yuǎn)來看節(jié)省財力的舉措，不具有大量失誤以及對公司品牌或市場地位的負(fù)面影響。

在2014年早些的RSA大會主題演講中，您提及了國土安全部的網(wǎng)絡(luò)空間安全評估項目，并討論了對管理層“場景展示而非講述”業(yè)務(wù)問題的一些方法。您能對此再做詳細(xì)介紹嗎?

Chris Pierson：CISO關(guān)鍵領(lǐng)導(dǎo)力之一是確保你正面向高管甚至公司董事會“場景展示而非講述”當(dāng)前風(fēng)險、你針對這些風(fēng)險所采取的應(yīng)對措施、乃至這些風(fēng)險的生命周期以及它們?nèi)绾斡绊懝?。一個好的方式是通過第三方參與，無論他們是外部審計人員或外部安全專業(yè)人士，都沒關(guān)系。

一個好用的工具是DHS C3(關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)社區(qū)C3自愿項目)計劃，這是一種國土安全部以伙伴關(guān)系參與、幫助你的組織評估跨信息安全基礎(chǔ)設(shè)施和其他技術(shù)的風(fēng)險范圍，告知參考美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)網(wǎng)絡(luò)安全框架和其他標(biāo)準(zhǔn)如何對風(fēng)險排名，并提供相關(guān)信息。如果您的組織存在差距，他們還會提供大量文檔，關(guān)于你如何想縮小差距或?qū)ΜF(xiàn)存任何項獲得清楚認(rèn)識。

或者你也可以自己來做。大約一年前，2014年2月，該項目面向個人使用開放了。所以它可以帶入任何規(guī)模的組織而不論成本或?qū)I(yè)知識要求，用于一種真正的風(fēng)險評估并映射于組織。這是一個了不起的工具，我希望人人都知道、或正在考慮使用它。

公司應(yīng)多頻繁審查他們的事件應(yīng)急響應(yīng)預(yù)案?一般原則過去是每年審查。這已經(jīng)發(fā)生變化了嗎?

Chris Pierson：我認(rèn)為這的確已發(fā)生變化。事件應(yīng)急響應(yīng)預(yù)案應(yīng)加以審查，絕對是最新的為一年一次。涉及到會影響公司的新型風(fēng)險或新型威脅向量，事件應(yīng)急響應(yīng)項目也應(yīng)對此進(jìn)行補(bǔ)充和審查。

那么，如果你在一家依賴于銷售點終端設(shè)備的零售公司，并已經(jīng)訪問到大約一年前的入侵信息，那么你的組織原本不應(yīng)該等到年度審查;而你原本應(yīng)該已經(jīng)審查過事件應(yīng)急響應(yīng)預(yù)案，判斷它將如何有效應(yīng)對，這樣，面對任何未來的信息安全挑戰(zhàn)時你都將處于有利地位。