法律顧問(wèn)兼首席安全官Chris Pierson認(rèn)為，事件應(yīng)急響應(yīng)預(yù)案可在安全事件發(fā)生后最大程度地幫助CISO挽救其公司。

[[126863]]

作為L(zhǎng)ewis Roca Rothgerber律師事務(wù)所的公司法律顧問(wèn)，Chris Pierson建立了該公司的網(wǎng)絡(luò)安全實(shí)踐，并就事件應(yīng)急響應(yīng)和高危事件恢復(fù)對(duì)公司進(jìn)行建議。他認(rèn)為，隨著事件危害的逐漸上升，CISO們必須負(fù)責(zé)事件應(yīng)急響應(yīng)預(yù)案，并雇用第三方對(duì)管理層“場(chǎng)景展示而非講述”那些通過(guò)盡職調(diào)查可被避免的業(yè)務(wù)問(wèn)題。

Pierson目前是Viewpost知識(shí)產(chǎn)權(quán)控股公司首席安全官、執(zhí)行副總裁兼公司法律總顧問(wèn)，負(fù)責(zé)領(lǐng)導(dǎo)該公司的網(wǎng)絡(luò)安全以及法規(guī)遵從性項(xiàng)目。Pierson是美國(guó)國(guó)土安全部(DHS)數(shù)據(jù)隱私與完整性咨詢(xún)委員會(huì)以及網(wǎng)絡(luò)安全小組委員會(huì)委任成員，也是Ponemon研究機(jī)構(gòu)一位杰出的研究員。他之前還擔(dān)任過(guò)蘇格蘭皇家銀行美國(guó)銀行業(yè)務(wù)的高級(jí)副總裁兼首席隱私官，負(fù)責(zé)公司的隱私與數(shù)據(jù)保護(hù)項(xiàng)目。近日，他與我們探討了如何找出并填補(bǔ)事件應(yīng)急響應(yīng)項(xiàng)目的缺口。

近期有大量討論，認(rèn)為應(yīng)評(píng)判CISO們的事件應(yīng)急響應(yīng)管理能力而不是他們的事件防御能力，因?yàn)楹笳卟辉偈且粋€(gè)現(xiàn)實(shí)的目標(biāo)。您同意這個(gè)前提嗎?

Chris Pierson：我認(rèn)為它甚至比這還要廣泛。我們需要評(píng)判的是公司針對(duì)事件以及企業(yè)內(nèi)部產(chǎn)生問(wèn)題的響應(yīng)能力。事件不代表現(xiàn)實(shí)生活，尤其在某個(gè)點(diǎn)上的事件并不會(huì)正好影響到每一家公司—這些日子已一去不復(fù)返。

每家公司都存在問(wèn)題，都可能有事件發(fā)生，也都會(huì)面臨這些挑戰(zhàn)并進(jìn)行相應(yīng)的斗爭(zhēng)。的確，你在市場(chǎng)所見(jiàn)已轉(zhuǎn)向于更多關(guān)注事件應(yīng)急響應(yīng)、提供調(diào)查能力的調(diào)查技術(shù)與方案，也更多關(guān)注預(yù)案，這樣可以提前通過(guò)桌面或?qū)崗椦萘?xí)確定事件范圍。因此我認(rèn)為應(yīng)評(píng)判整個(gè)公司以及CISO、CIO—當(dāng)然他們將發(fā)揮更大作用—但即使法律和法規(guī)遵從在這里有許多事需要提供，相關(guān)部門(mén)作為合作伙伴參與進(jìn)來(lái)也極為重要。

在事件響應(yīng)中CISO角色是什么，且在您看來(lái)這一角色正發(fā)生變化嗎?

Chris Pierson：這是個(gè)好問(wèn)題。我認(rèn)為他們是應(yīng)急響應(yīng)的責(zé)任人。他們也許正與CIO進(jìn)行合作，但在事件當(dāng)天結(jié)束時(shí)，所有人都將關(guān)注在CISO身上。我們正在做的是什么?現(xiàn)在我們知道了什么?我們還需要其它什么信息?以及針對(duì)我們當(dāng)前面臨且正挑戰(zhàn)我們業(yè)務(wù)的事項(xiàng)，有什么資源正被用于分析、訪(fǎng)問(wèn)與決策?我認(rèn)為從技術(shù)角度，CISO在應(yīng)急響應(yīng)中扮演四分衛(wèi)角色。

他們的角色還會(huì)是在為公司取得成功方面、更廣義的團(tuán)隊(duì)一份子。CISO們不是那些書(shū)寫(xiě)事件應(yīng)急響應(yīng)信件的個(gè)人，也不必是身處公關(guān)溝通前線(xiàn)的個(gè)人。然而在事件發(fā)生時(shí)，他們將是強(qiáng)有力的公司代理人以及與其他角色強(qiáng)協(xié)同的合作伙伴。

我還想強(qiáng)調(diào)—這是非常重要的—在內(nèi)、外部什么人需要參與事件應(yīng)急方面，包括最高級(jí)別的所有人目光都會(huì)投向CISO。CISO必須提前確定好范圍。

CISO們領(lǐng)導(dǎo)負(fù)責(zé)桌面演習(xí)，他們?cè)谌魏问录l(fā)生之前必須清楚應(yīng)急響應(yīng)所有的組成與人員。這包括那些參與外部顧問(wèn)以及市場(chǎng)營(yíng)銷(xiāo)與溝通的人員。CISO們的確需要成為組織多方共同進(jìn)行事前準(zhǔn)備的粘合劑。

CISO的角色在事件應(yīng)急響應(yīng)中正發(fā)生變化嗎?

Chris Pierson：CISO正是那位與法規(guī)遵從合作的責(zé)任人，且以合法方式提前了解涉及什么角色，并在團(tuán)隊(duì)中發(fā)揮更大作用。它不再只是公司的1和0。

我認(rèn)為答案是CISO角色已經(jīng)發(fā)生變化。之前，CISO將負(fù)責(zé)對(duì)已發(fā)生事件提供技術(shù)建議和指導(dǎo)：我們?nèi)绾涡迯?fù)?他們過(guò)去曾負(fù)責(zé)合理化這些方面的事情。

CISO角色在兩個(gè)核心領(lǐng)域已經(jīng)發(fā)生變化。首先，在預(yù)案方面他們正被關(guān)注，了解需要在桌旁的玩家，并確保通過(guò)桌面演習(xí)提前做好準(zhǔn)備。第二，我認(rèn)為在事件當(dāng)天結(jié)束時(shí)，CISO正是那位與法規(guī)遵從合作、且以合法方式提前了解涉及什么角色、并在團(tuán)隊(duì)中發(fā)揮更大作用的責(zé)任人。合規(guī)不再僅僅是公司的1和0;這些個(gè)人必須知情并確切了解那些對(duì)他們產(chǎn)生影響的條例和法規(guī)。

你怎么看待CISO在定義一起安全事件范圍時(shí)所起的作用，尤其在理解該事件范圍或在管理層面前低估事件影響方面?

Chris Pierson：首先，CISO負(fù)責(zé)確保全公司每個(gè)人都知道什么類(lèi)型事件可能發(fā)生、這些事件可能會(huì)如何上演，而又有什么前置條件導(dǎo)致出現(xiàn)這些挑戰(zhàn)。以及最后，所有其他參與者的角色及職責(zé)需要明確——這一點(diǎn)非常關(guān)鍵。

另一方面是確定某種公司治理流程就緒。這可能在CISO職責(zé)之外，甚至更佳方式，廣義上由合規(guī)、風(fēng)險(xiǎn)或法律部門(mén)負(fù)責(zé)。讓所有干系人坐到一起，這一點(diǎn)也極為重要，以便確保公司高管和中層人員對(duì)事件以及可能產(chǎn)生影響都有認(rèn)識(shí)。CISO還要確定每個(gè)人都感到滿(mǎn)意，且采納潛在的事件應(yīng)急響應(yīng)方案，這樣當(dāng)事件發(fā)生時(shí)，不會(huì)存在由于沒(méi)有組織而導(dǎo)致大量混亂、時(shí)間浪費(fèi)以及良好意愿的消費(fèi)。我認(rèn)為這是一位CISO需要關(guān)注的關(guān)鍵領(lǐng)域。

您如何看待事件應(yīng)急響應(yīng)的準(zhǔn)備時(shí)間是否合理?誰(shuí)應(yīng)該參與預(yù)案工作，尤其當(dāng)首席執(zhí)行官說(shuō)：“我們不想發(fā)生任何事件”?

Chris Pierson：這是一個(gè)驚人的問(wèn)題——讓該組織加入。而且，這也的確無(wú)關(guān)組織規(guī)模。CISO應(yīng)當(dāng)擔(dān)心的關(guān)鍵在于讓所有人理解他們自身的角色以及這將如何影響到公司，并將此織入業(yè)務(wù)目標(biāo)。對(duì)于應(yīng)急預(yù)案以及最終的應(yīng)急響應(yīng)舉措中所涉及到的時(shí)間、資源以及金錢(qián)，必須有一些更為廣泛的業(yè)務(wù)理由進(jìn)行支撐。

我會(huì)告訴你這一點(diǎn)，從業(yè)務(wù)角度進(jìn)行準(zhǔn)備，通過(guò)事件預(yù)案可以更容易實(shí)現(xiàn)保護(hù)良好意愿、保護(hù)品牌與客戶(hù)信賴(lài)方面的目標(biāo)。這意味著事前有針對(duì)性預(yù)案，并裝配合適的團(tuán)隊(duì)—一個(gè)知道如何合作、清楚規(guī)則和職責(zé)的團(tuán)隊(duì)—以及一位理解這將很大程度保護(hù)公司運(yùn)營(yíng)的執(zhí)政官。該[方法]將讓公司走向成功。那正是長(zhǎng)遠(yuǎn)來(lái)看節(jié)省財(cái)力的舉措，不具有大量失誤以及對(duì)公司品牌或市場(chǎng)地位的負(fù)面影響。

在2014年早些的RSA大會(huì)主題演講中，您提及了國(guó)土安全部的網(wǎng)絡(luò)空間安全評(píng)估項(xiàng)目，并討論了對(duì)管理層“場(chǎng)景展示而非講述”業(yè)務(wù)問(wèn)題的一些方法。您能對(duì)此再做詳細(xì)介紹嗎?

Chris Pierson：CISO關(guān)鍵領(lǐng)導(dǎo)力之一是確保你正面向高管甚至公司董事會(huì)“場(chǎng)景展示而非講述”當(dāng)前風(fēng)險(xiǎn)、你針對(duì)這些風(fēng)險(xiǎn)所采取的應(yīng)對(duì)措施、乃至這些風(fēng)險(xiǎn)的生命周期以及它們?nèi)绾斡绊懝尽Ｒ粋€(gè)好的方式是通過(guò)第三方參與，無(wú)論他們是外部審計(jì)人員或外部安全專(zhuān)業(yè)人士，都沒(méi)關(guān)系。

一個(gè)好用的工具是DHS C3(關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)社區(qū)C3自愿項(xiàng)目)計(jì)劃，這是一種國(guó)土安全部以伙伴關(guān)系參與、幫助你的組織評(píng)估跨信息安全基礎(chǔ)設(shè)施和其他技術(shù)的風(fēng)險(xiǎn)范圍，告知參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)網(wǎng)絡(luò)安全框架和其他標(biāo)準(zhǔn)如何對(duì)風(fēng)險(xiǎn)排名，并提供相關(guān)信息。如果您的組織存在差距，他們還會(huì)提供大量文檔，關(guān)于你如何想縮小差距或?qū)ΜF(xiàn)存任何項(xiàng)獲得清楚認(rèn)識(shí)。

或者你也可以自己來(lái)做。大約一年前，2014年2月，該項(xiàng)目面向個(gè)人使用開(kāi)放了。所以它可以帶入任何規(guī)模的組織而不論成本或?qū)I(yè)知識(shí)要求，用于一種真正的風(fēng)險(xiǎn)評(píng)估并映射于組織。這是一個(gè)了不起的工具，我希望人人都知道、或正在考慮使用它。

公司應(yīng)多頻繁審查他們的事件應(yīng)急響應(yīng)預(yù)案?一般原則過(guò)去是每年審查。這已經(jīng)發(fā)生變化了嗎?

Chris Pierson：我認(rèn)為這的確已發(fā)生變化。事件應(yīng)急響應(yīng)預(yù)案應(yīng)加以審查，絕對(duì)是最新的為一年一次。涉及到會(huì)影響公司的新型風(fēng)險(xiǎn)或新型威脅向量，事件應(yīng)急響應(yīng)項(xiàng)目也應(yīng)對(duì)此進(jìn)行補(bǔ)充和審查。

那么，如果你在一家依賴(lài)于銷(xiāo)售點(diǎn)終端設(shè)備的零售公司，并已經(jīng)訪(fǎng)問(wèn)到大約一年前的入侵信息，那么你的組織原本不應(yīng)該等到年度審查;而你原本應(yīng)該已經(jīng)審查過(guò)事件應(yīng)急響應(yīng)預(yù)案，判斷它將如何有效應(yīng)對(duì)，這樣，面對(duì)任何未來(lái)的信息安全挑戰(zhàn)時(shí)你都將處于有利地位。