CISO如何在做好工作的同时避免个人风险

针对CISO的法院案件，如前Uber CISO Joe Sullivan和SolarWinds的Timothy G. Brown面临的可能判刑和昂贵罚款，使得CISO们夜不能寐。CISO们面临压力的情况下如何在公司工作中不仅减少职业风险，还要减少个人风险，即使预算和业务决策可能会让公司暴露在潜在的安全事件中。因为在重大数据泄露事件发生时，CISO不再只是担心被解雇，他们可能面临改变生活的严重后果。

虽然有些CISO可能会考虑离职，另寻发展机会，但其他人仍然选择留下并继续他们擅长的工作：管理风险，只是这一次的风险管理是从个人层面出发的。

以下是CISO们在不可避免地面临安全事件时如何继续做好工作而不冒个人风险的方法。

CISO保护自己的一种最重要方法是确保有一套明确的公司安全角色和职责标准。

“我的建议是检查你所有的治理文件，并确保它们对角色和职责，特别是关于谁做出风险管理决策的部分，写得非常清楚，”为咨询公司Cyber Aegis提供网络安全建议并为风投基金Team8担任驻场CISO的Charles Blauner建议道。

遗憾的是，很多CISO在没有这种清晰度的情况下工作，网络安全公司ImmuniWeb的创始人兼Platt Law LLP的网络安全律师Ilia Kolochenko表示。他猜测，如果有人问大公司的CISO们是否能清楚全面地列出他们所有的职责，大多数人都会说‘不’。

“通常，CISO的专业职责是模糊不清的，职责真的很混乱，你负责所有的事情，”他告诉记者，“但当你需要预算时，你又不能得到，因为其实是董事会在做决定。”

公司应该使用的一种重要工具是责任、负责、咨询和知情（RACI）矩阵，Oracle SaaS Cloud的高级副总裁兼CISO David Cross说。“因为如果你没有RACI，你实际上没有定义角色和职责。那么，当出现问题时，他们会怪谁呢？”

Cross告诉记者，这种矩阵可以帮助公司不仅为CISO，还为所有需要合作的关键伙伴和高管设定责任标准，这可以为每个人在做出风险决策时设定规则。

“它是有文件记录的，在公司内部是公开的，当任何问题出现时，很清楚是谁在做决定，”Cross解释说，“这也更容易回答标准何时被违反，以及由谁违反。”

角色和职责的制定不仅应针对大局的战略决策，还应涵盖战术事件响应计划和操作手册，以明确在紧急情况下每个人的职责。“如果你的操作手册没有包括指挥链中的每个人——法律、通讯、CEO和其他高管代表——那么你猜怎么着？当事件发生时，你没有准备好合适的人选。”他说。

当然，需要记录的不仅是角色和职责。高效的CISO需要在他们工作的几乎每个方面都进行记录，这不仅对履行其作为风险官员的职责、向董事会和审计员负责很重要——也可以在减少他们的个人责任方面发挥重大作用。“文档记录至关重要。有了文档记录，你已经有了相当程度的保护。”Kolochenko说。

文档记录的路径从企业政策和流程开始，可能还包括风险接受框架，并通过日常的电子邮件和书面通信以及CISO的会议记录持续进行。Cross表示，他记录了每次会议的笔记，谁参加了会议，采取了哪些行动以及涉及的决策者。“我写了一个叫做‘每周安全档案’的东西，”Cross说，“每个人都知道这一点。（它涵盖了）每次会议，谁在那里，决定了什么。所有这些都被记录下来了。”

制定关于问题发生时的应对措施、应通知谁以及谁应批准下一步行动的政策是CISO保护自己的重要机制。Kolochenko解释说，如果CISO能够告诉监管机构或检察官，他们有由总法律顾问审查的公司政策，并且CISO遵守规则并通过电子邮件通知董事会和法律顾问安全漏洞，并且高层回应继续正常操作，他们可以更自信地行动。“然后你有可用的证据证明，‘我一直在按照公司规则行事，并且完全遵守我们的政策和程序行事，’”他说，“如果董事会忽略了你的电子邮件，之后责任将由他们承担。”

CISO可以维护的最有效和系统化的文档方法之一是风险登记册，识别现有的网络风险并记录相关业务利益相关者的风险接受，这有助于向董事会提供更大的网络风险可见性，并肯定有助于CISO保护自己。

“为了运行一个安全计划，你必须有一个风险登记册，这就像桌面赌注一样重要，”Expel（一个托管检测和响应公司）的CISO Greg Notch说，他是一位长期的安全专家，此前担任国家冰球联盟的CISO。

一些组织可能使用治理、风险和合规（GRC）平台来跟踪风险登记册，但这并非必要。Notch解释说，在很多情况下，只需要一个电子表格就可以。他解释说，他就是这样做的，他并不孤单，安全公司Devo的CISO Kayla Williams说，她使用电子表格模板来跟踪风险接受和不同业务利益相关者所做的控制例外。

“通过Google Sheets，你实际上可以设置审批人并发送电子邮件。所以，在我的风险框架中，我有一个层级，如果是低风险，风险所有者可以接受它。如果是中等风险，则上报给职能部门。如果是高风险，则上报给我或我团队的委托人和总法律顾问，然后，如果是关键风险，则上报给CEO，”Williams告诉记者，“它通过Google Sheets的审批流程记录下来，我把它们按年份放在文件夹里，当审计员来索取信息时，我可以说，‘给你，随便查。’”

即使有坚实的政策、程序和文档，CISO也应通过赔偿协议、雇佣合同条款和适当的保险保护来建立法律保护。

Kolochenko说，不确定自己保护措施的CISO应主动联系他们的总法律顾问，询问所有的职责、责任和保护。如果有不利的地方，要反驳，他说。

“不要犹豫重新谈判某些条款，因为如果你的总法律顾问说，‘听着，你完全没有保护，如果我们被黑了，我们也会起诉你。我们会加入集体诉讼并将你告上法庭，’那么重新谈判雇佣条件是个好主意，”他说，“我认为，提到‘听着，这不仅仅是关于我的问题。如果你希望我高效且有效地工作，希望我保护我们的商业秘密、知识产权以及客户的个人数据，我需要额外的保护，以确保我能做正确的事情，而不仅仅是政治上正确的或个人风险最小的事情，’总是个好主意。”

常见的建议之一是确保你有董事和高级职员（D&O）保险，但专家提醒CISO们要记住，这种保险的覆盖范围通常有限。

“如果你是公司的董事和高级职员，并且对影响企业风险的决策负有一定的财政责任，你应该有D&O保险，这是公司的风险，不是你的风险，”Notch说，“但这也不是人们认为的万能药，首先，D&O保险不会覆盖你的刑事责任，它也不会覆盖你的政府责任，所以，如果美国证券交易委员会找上门来，你的D&O不一定会覆盖你，一切都很好玩，直到你收到Wells通知。”

Uber前CISO Joe Sullivan被联邦贸易委员会起诉，因该公司2016年的数据泄露事件被判有罪，并被判三年缓刑——目前他和他的律师正在上诉中。他指出，当他看到律师在会议上谈论他的案子并提供建议，告诉大家如何避免成为“像Joe一样的人”时，他感到很沮丧，D&O保险是其中的关键点之一。

“我们都做了那些事情。我们有事件响应政策。我们有相当于D&O保险的东西，”Sullivan说，他在过去一年里一直在会议巡回演讲，向其他CISO提供如何限制责任的建议，并最近担任初创公司BreachRx的顾问角色。“你想要的是一种保险，当你在诉讼过程中需要律师时，它能保护你并覆盖费用。赔偿不是没有限制的，这是你应该和律师讨论的问题。”

正如Sullivan指出的，在今天的监管环境中，设立独立律师可能是CISO为自己建立的最重要——也是最常被忽视——的保护措施之一。

“有一个关键点可能有人会忽略。当你是公司员工，并且你有总法律顾问时，总法律顾问不是你的律师，”Kolochenko补充道，“这非常重要。在大多数情况下，总法律顾问会为你的雇主的最佳利益行事。”

当CISO不了解这种关系的条款时，他们可能会使自己处于一些丑陋的利益冲突情境中，从而可能陷入个人法律危机。

“假设，一个CISO对总法律顾问说，‘听着，这都是我的错，’明确承认了过错，之后，公司利用这些信息对付CISO。CISO可能对总法律顾问有有效的索赔，但我不认为在平行处理中再增加一个法律行动会带来多大价值。”

在危机出现之前主动选择律师是至关重要的。“当你已经收到法院传票时，可能就有点太晚了，”Kolochenko说，“最重要的是，你和你周围的每个人都会做出次优决策。”

CISO们不一定要有常年律师，但他们应该寻求一些免费的初步咨询，找到一个具备雇佣、公司和网络安全责任经验的律师。

提前要做的另一件事是尝试与雇主协商，报销独立的法律费用，或者至少要明白，当安全事件开始展开时，CISO将会聘请个人律师。Sullivan甚至建议让CISO与组织协商，将其写入最佳实践文件中。“想象一下，你正处于安全事件的处理中，突然打电话给总法律顾问说，‘我需要独立的法律代表。’他们会在事件的余下时间信任你吗？不会，”Sullivan告诉记者，“所以，你实际上要提前进行这些对话。”

最后，CISO们应该记住，近年来许多法律争端的核心与组织的具体安全实践要素关系不大，而更多与他们向公众和股东所说的保护信息的措施有关。

“他们拥有的工具是可以追究那些做出重大错误陈述的公司，”Sullivan解释道，“他们的关注点不是SolarWinds是否有良好的安全实践。他们关注的是他们说了什么，承诺了什么，在哪些方面未能兑现承诺？在我的案例中，联邦贸易委员会讨论的是公司欺骗性的商业行为。”

安全领导者可以通过确保对公司公开宣称的安全立场有发言权来保护自己。“那些是公司被衡量的内容。你的隐私政策中说了什么？你的8K报告中说了什么？你的10K报告中说了什么？”Sullivan说。

“我从案件模式中得到的一个启示是，安全领导者需要真正关注公司发布的内容，并说‘如果你要说些什么关于安全的内容，至少先与安全团队核对一下，确保其准确。’”