法律顾问兼首席安全官Chris Pierson认为,事件应急响应预案可在安全事件发生后最大程度地帮助CISO挽救其公司。
作为Lewis Roca Rothgerber律师事务所的公司法律顾问,Chris Pierson建立了该公司的网络安全实践,并就事件应急响应和高危事件恢复对公司进行建议。他认为,随着事件危害的逐渐上升,CISO们必须负责事件应急响应预案,并雇用第三方对管理层“场景展示而非讲述”那些通过尽职调查可被避免的业务问题。
Pierson目前是Viewpost知识产权控股公司首席安全官、执行副总裁兼公司法律总顾问,负责领导该公司的网络安全以及法规遵从性项目。Pierson是美国国土安全部(DHS)数据隐私与完整性咨询委员会以及网络安全小组委员会委任成员,也是Ponemon研究机构一位杰出的研究员。他之前还担任过苏格兰皇家银行美国银行业务的高级副总裁兼首席隐私官,负责公司的隐私与数据保护项目。近日,他与我们探讨了如何找出并填补事件应急响应项目的缺口。
近期有大量讨论,认为应评判CISO们的事件应急响应管理能力而不是他们的事件防御能力,因为后者不再是一个现实的目标。您同意这个前提吗?
Chris Pierson:我认为它甚至比这还要广泛。我们需要评判的是公司针对事件以及企业内部产生问题的响应能力。事件不代表现实生活,尤其在某个点上的事件并不会正好影响到每一家公司—这些日子已一去不复返。
每家公司都存在问题,都可能有事件发生,也都会面临这些挑战并进行相应的斗争。的确,你在市场所见已转向于更多关注事件应急响应、提供调查能力的调查技术与方案,也更多关注预案,这样可以提前通过桌面或实弹演习确定事件范围。因此我认为应评判整个公司以及CISO、CIO—当然他们将发挥更大作用—但即使法律和法规遵从在这里有许多事需要提供,相关部门作为合作伙伴参与进来也极为重要。
在事件响应中CISO角色是什么,且在您看来这一角色正发生变化吗?
Chris Pierson:这是个好问题。我认为他们是应急响应的责任人。他们也许正与CIO进行合作,但在事件当天结束时,所有人都将关注在CISO身上。我们正在做的是什么?现在我们知道了什么?我们还需要其它什么信息?以及针对我们当前面临且正挑战我们业务的事项,有什么资源正被用于分析、访问与决策?我认为从技术角度,CISO在应急响应中扮演四分卫角色。
他们的角色还会是在为公司取得成功方面、更广义的团队一份子。CISO们不是那些书写事件应急响应信件的个人,也不必是身处公关沟通前线的个人。然而在事件发生时,他们将是强有力的公司代理人以及与其他角色强协同的合作伙伴。
我还想强调—这是非常重要的—在内、外部什么人需要参与事件应急方面,包括最高级别的所有人目光都会投向CISO。CISO必须提前确定好范围。
CISO们领导负责桌面演习,他们在任何事件发生之前必须清楚应急响应所有的组成与人员。这包括那些参与外部顾问以及市场营销与沟通的人员。CISO们的确需要成为组织多方共同进行事前准备的粘合剂。
CISO的角色在事件应急响应中正发生变化吗?
Chris Pierson:CISO正是那位与法规遵从合作的责任人,且以合法方式提前了解涉及什么角色,并在团队中发挥更大作用。它不再只是公司的1和0。
我认为答案是CISO角色已经发生变化。之前,CISO将负责对已发生事件提供技术建议和指导:我们如何修复?他们过去曾负责合理化这些方面的事情。
CISO角色在两个核心领域已经发生变化。首先,在预案方面他们正被关注,了解需要在桌旁的玩家,并确保通过桌面演习提前做好准备。第二,我认为在事件当天结束时,CISO正是那位与法规遵从合作、且以合法方式提前了解涉及什么角色、并在团队中发挥更大作用的责任人。合规不再仅仅是公司的1和0;这些个人必须知情并确切了解那些对他们产生影响的条例和法规。
你怎么看待CISO在定义一起安全事件范围时所起的作用,尤其在理解该事件范围或在管理层面前低估事件影响方面?
Chris Pierson:首先,CISO负责确保全公司每个人都知道什么类型事件可能发生、这些事件可能会如何上演,而又有什么前置条件导致出现这些挑战。以及最后,所有其他参与者的角色及职责需要明确——这一点非常关键。
另一方面是确定某种公司治理流程就绪。这可能在CISO职责之外,甚至更佳方式,广义上由合规、风险或法律部门负责。让所有干系人坐到一起,这一点也极为重要,以便确保公司高管和中层人员对事件以及可能产生影响都有认识。CISO还要确定每个人都感到满意,且采纳潜在的事件应急响应方案,这样当事件发生时,不会存在由于没有组织而导致大量混乱、时间浪费以及良好意愿的消费。我认为这是一位CISO需要关注的关键领域。
您如何看待事件应急响应的准备时间是否合理?谁应该参与预案工作,尤其当首席执行官说:“我们不想发生任何事件”?
Chris Pierson:这是一个惊人的问题——让该组织加入。而且,这也的确无关组织规模。CISO应当担心的关键在于让所有人理解他们自身的角色以及这将如何影响到公司,并将此织入业务目标。对于应急预案以及最终的应急响应举措中所涉及到的时间、资源以及金钱,必须有一些更为广泛的业务理由进行支撑。
我会告诉你这一点,从业务角度进行准备,通过事件预案可以更容易实现保护良好意愿、保护品牌与客户信赖方面的目标。这意味着事前有针对性预案,并装配合适的团队—一个知道如何合作、清楚规则和职责的团队—以及一位理解这将很大程度保护公司运营的执政官。该[方法]将让公司走向成功。那正是长远来看节省财力的举措,不具有大量失误以及对公司品牌或市场地位的负面影响。
在2014年早些的RSA大会主题演讲中,您提及了国土安全部的网络空间安全评估项目,并讨论了对管理层“场景展示而非讲述”业务问题的一些方法。您能对此再做详细介绍吗?
Chris Pierson:CISO关键领导力之一是确保你正面向高管甚至公司董事会“场景展示而非讲述”当前风险、你针对这些风险所采取的应对措施、乃至这些风险的生命周期以及它们如何影响公司。一个好的方式是通过第三方参与,无论他们是外部审计人员或外部安全专业人士,都没关系。
一个好用的工具是DHS C3(关键基础设施网络社区C3自愿项目)计划,这是一种国土安全部以伙伴关系参与、帮助你的组织评估跨信息安全基础设施和其他技术的风险范围,告知参考美国国家标准与技术研究院(NIST)网络安全框架和其他标准如何对风险排名,并提供相关信息。如果您的组织存在差距,他们还会提供大量文档,关于你如何想缩小差距或对现存任何项获得清楚认识。
或者你也可以自己来做。大约一年前,2014年2月,该项目面向个人使用开放了。所以它可以带入任何规模的组织而不论成本或专业知识要求,用于一种真正的风险评估并映射于组织。这是一个了不起的工具,我希望人人都知道、或正在考虑使用它。
公司应多频繁审查他们的事件应急响应预案?一般原则过去是每年审查。这已经发生变化了吗?
Chris Pierson:我认为这的确已发生变化。事件应急响应预案应加以审查,绝对是最新的为一年一次。涉及到会影响公司的新型风险或新型威胁向量,事件应急响应项目也应对此进行补充和审查。
那么,如果你在一家依赖于销售点终端设备的零售公司,并已经访问到大约一年前的入侵信息,那么你的组织原本不应该等到年度审查;而你原本应该已经审查过事件应急响应预案,判断它将如何有效应对,这样,面对任何未来的信息安全挑战时你都将处于有利地位。