在采訪中，Veritas Technologies 的首席信息安全官 (CISO) Christos Tulumba 討論了導致 CISO 個人責任風險增加的關鍵因素，這些風險源于日益嚴重的網(wǎng)絡安全威脅、不斷演變的法規(guī)以及公眾對安全漏洞的意識增強。

Tulumba 還分享了 CISO 可以采取的主動措施以降低這些風險，并強調(diào)與高管領導和董事會成員進行透明溝通的重要性。

哪些關鍵因素導致 CISO 個人責任風險增加？

過去一年里，CISO 的角色發(fā)生了顯著變化。個人責任增加的主要原因有三個：

首先，企業(yè)面臨的網(wǎng)絡安全風險比以往任何時候都大，攻擊者及其工具日益先進，同時，盡管新技術（如 AI）帶來了許多好處，但也導致數(shù)字基礎設施日益復雜，這可能隱藏了易被攻擊的安全漏洞。

其次，不斷演變的監(jiān)管環(huán)境，歐洲的《數(shù)字運營彈性法案》(DORA) 和美國證券交易委員會 (SEC) 的各種新法規(guī)在法律上將數(shù)據(jù)泄露的個人責任明確放在 CISO 的肩上。

最后，公眾對安全漏洞的廣泛關注，SEC 現(xiàn)在要求上市公司在四天內(nèi)披露重大網(wǎng)絡安全事件，此外，《加強美國網(wǎng)絡安全法案》要求擁有或運營關鍵基礎設施的實體在 24 至 72 小時內(nèi)報告網(wǎng)絡事件和贖金支付。

高調(diào)的網(wǎng)絡事件如何影響 CISO 個人責任的認知和現(xiàn)實？

即使現(xiàn)在許多企業(yè)被要求及時披露網(wǎng)絡安全事件——正如我剛才提到的——這并不意味著所有這些事件都會成為常識，事實上，只有相對較少的事件會如此。影響公眾最多的高調(diào)網(wǎng)絡安全漏洞是那些推動公眾審查加劇的事件，當這些事件成為頭條新聞時，客戶會要求改變。不幸的是，對于 CISO 來說，在這些情況下，認知就是現(xiàn)實，即使更廣泛的高管和董事會成員也應該分擔責任，他們往往成為替罪羊。

CISO 可以采取哪些主動措施來降低個人責任風險？

俗話說，“預防勝于治療”。首先也是最重要的是，通過增強企業(yè)的網(wǎng)絡彈性來做好核心工作，確保你的團隊擁有資源、技能和指導，以保持對所有資產(chǎn)的可見性，正確配置外圍防御，通過強大的備份和恢復策略保護關鍵業(yè)務數(shù)據(jù)和應用程序，實施強有力的安全政策，例如密碼、最小特權原則以及遠程和個人設備訪問，進行有效的員工網(wǎng)絡安全意識培訓，最后，不斷測試和演練，反復進行。

網(wǎng)絡犯罪分子正在使用AI來改進他們的戰(zhàn)術，實施AI驅(qū)動的技術以提高上述每一步網(wǎng)絡彈性措施的有效性，將有助于確保你始終領先于壞人一步，并避免因一次成功的攻擊而承擔個人責任的風險。

另一個關鍵是與其他高管領導和董事會成員建立明確的溝通渠道，完全透明，避免掩蓋尚未完全理解或尚無資源處理的新興和潛在問題，能夠說“我早就提醒過你”總比說“我應該、可能、本可以”要好得多。

董事和高級職員保險政策在保護CISO免受個人責任方面有多有效？

董事和高級職員(D&O)責任保險可以為CISO提供一定的保護，但在動態(tài)的網(wǎng)絡安全領域，其有效性并不是100%確定的，這些政策通常涵蓋因高管在其職業(yè)職責范圍內(nèi)做出的決策而引起的訴訟所產(chǎn)生的法律費用和賠償金，但包括對網(wǎng)絡安全失敗的個人責任的法規(guī)可能會挑戰(zhàn)傳統(tǒng)D&O覆蓋范圍的廣度和限制。

保險提供商可能需要調(diào)整其政策以應對CISO面臨的具體風險，雖然這將導致更有效、量身定制的覆蓋，但也可能會導致更高的保費，或者有這么多的排除條款以至于變得不切實際。

企業(yè)如何更好地支持他們的CISO，以確保他們不會因網(wǎng)絡事件而被不公平地追究責任？

企業(yè)需要培養(yǎng)一種歡迎透明度的文化，如果CISO害怕向高管領導團隊和董事會提出嚴峻的事實，那就是一個問題。在我們的團隊中，我們甚至很少討論那些進展順利的事情，相反，我們幾乎只關注需要改進的地方，我們不回避問題，而是接受它們，以便每個人都了解風險和潛在的漏洞。

同樣重要的是，即使是最好的安全團隊，如果沒有必要的資源支持，也會失敗，這不僅包括持續(xù)的預算支持以執(zhí)行上述網(wǎng)絡彈性策略，還包括實施關鍵安全措施的權力。如果安全建議被企業(yè)的其他部分一再推翻或忽視，CISO的努力將變得徒勞。

你對現(xiàn)任和有志成為CISO的人在應對個人責任復雜性方面有什么建議？

大多數(shù)CISO最需要改進的地方是溝通技巧，正如我所說，透明度在避免網(wǎng)絡安全漏洞和由此產(chǎn)生的個人責任風險方面與任何其他因素同樣重要，而透明度需要有效的溝通，不僅如此，為執(zhí)行將保護你的組織和你的網(wǎng)絡彈性策略爭取資源也需要有效的溝通，最后，有效的溝通在你能夠在全企業(yè)范圍內(nèi)爭取對網(wǎng)絡安全最佳實踐的認同方面起著關鍵作用，將網(wǎng)絡安全定位為業(yè)務促進因素而不是障礙。