法律顧問兼首席安全官chris pierson認為,事件應急響應預案可在安全事件發生後最大程度地幫助ciso挽救其公司。
作為lewis roca rothgerber律師事務所的公司法律顧問,chris pierson建立了該公司的網路安全實踐,並就事件應急響應和高危事件恢復對公司進行建議。他認為,隨著事件危害的逐漸上公升,ciso們必須負責事件應急響應預案,並雇用第三方對管理層「場景展示而非講述」那些通過盡職調查可被避免的業務問題。
pierson目前是viewpost智財權控股公司首席安全官、執行副總裁兼公司法律總顧問,負責領導該公司的網路安全以及法規遵從性專案。pierson是美國國土安全部(dhs)資料隱私與完整性諮詢委員會以及網路安全小組委員會委任成員,也是ponemon研究機構一位傑出的研究員。他之前還擔任過蘇格蘭皇家銀行美國銀行業務的高階副總裁兼首席隱私官,負責公司的隱私與資料保護專案。近日,他與我們**了如何找出並填補事件應急響應專案的缺口。
近期有大量討論,認為應評判ciso們的事件應急響應管理能力而不是他們的事件防禦能力,因為後者不再是乙個現實的目標。您同意這個前提嗎?
chris pierson:我認為它甚至比這還要廣泛。我們需要評判的是公司針對事件以及企業內部產生問題的響應能力。事件不代表現實生活,尤其在某個點上的事件並不會正好影響到每一家公司—這些日子已一去不復返。
在事件響應中ciso角色是什麼,且在您看來這一角色正發生變化嗎?
chris pierson:這是個好問題。我認為他們是應急響應的責任人。他們也許正與cio進行合作,但在事件當天結束時,所有人都將關注在ciso身上。我們正在做的是什麼?現在我們知道了什麼?我們還需要其它什麼資訊?以及針對我們當前面臨且正挑戰我們業務的事項,有什麼資源正被用於分析、訪問與決策?我認為從技術角度,ciso在應急響應中扮演四分衛角色。
他們的角色還會是在為公司取得成功方面、更廣義的團隊乙份子。ciso們不是那些書寫事件應急響應信件的個人,也不必是身處公關溝通前線的個人。然而在事件發生時,他們將是強有力的公司**人以及與其他角色強協同的合作夥伴。
我還想強調—這是非常重要的—在內、外部什麼人需要參與事件應急方面,包括最高端別的所有人目光都會投向ciso。ciso必須提前確定好範圍。
ciso們領導負責桌面演習,他們在任何事件發生之前必須清楚應急響應所有的組成與人員。這包括那些參與外部顧問以及市場營銷與溝通的人員。ciso們的確需要成為組織多方共同進行事前準備的粘合劑。
ciso的角色在事件應急響應中正發生變化嗎?
chris pierson:ciso正是那位與法規遵從合作的責任人,且以合法方式提前了解涉及什麼角色,並在團隊中發揮更大作用。它不再只是公司的1和0。
我認為答案是ciso角色已經發生變化。之前,ciso將負責對已發生事件提供技術建議和指導:我們如何修復?他們過去曾負責合理化這些方面的事情。
ciso角色在兩個核心領域已經發生變化。首先,在預案方面他們正被關注,了解需要在桌旁的玩家,並確保通過桌面演習提前做好準備。第二,我認為在事件當天結束時,ciso正是那位與法規遵從合作、且以合法方式提前了解涉及什麼角色、並在團隊中發揮更大作用的責任人。合規不再僅僅是公司的1和0;這些個人必須知情並確切了解那些對他們產生影響的條例和法規。
你怎麼看待ciso在定義一起安全事件範圍時所起的作用,尤其在理解該事件範圍或在管理層面前低估事件影響方面?
chris pierson:首先,ciso負責確保全公司每個人都知道什麼型別事件可能發生、這些事件可能會如何上演,而又有什麼前置條件導致出現這些挑戰。以及最後,所有其他參與者的角色及職責需要明確——這一點非常關鍵。
另一方面是確定某種公司治理流程就緒。這可能在ciso職責之外,甚至更佳方式,廣義上由合規、風險或法律部門負責。讓所有干係人坐到一起,這一點也極為重要,以便確保公司高管和中層人員對事件以及可能產生影響都有認識。ciso還要確定每個人都感到滿意,且採納潛在的事件應急響應方案,這樣當事件發生時,不會存在由於沒有組織而導致大量混亂、時間浪費以及良好意願的消費。我認為這是一位ciso需要關注的關鍵領域。
您如何看待事件應急響應的準備時間是否合理?誰應該參與預案工作,尤其當首席執行官說:「我們不想發生任何事件」?
chris pierson:這是乙個驚人的問題——讓該組織加入。而且,這也的確無關組織規模。ciso應當擔心的關鍵在於讓所有人理解他們自身的角色以及這將如何影響到公司,並將此織入業務目標。對於應急預案以及最終的應急響應舉措中所涉及到的時間、資源以及金錢,必須有一些更為廣泛的業務理由進行支撐。
我會告訴你這一點,從業務角度進行準備,通過事件預案可以更容易實現保護良好意願、保護品牌與客戶信賴方面的目標。這意味著事前有針對性預案,並裝配合適的團隊—乙個知道如何合作、清楚規則和職責的團隊—以及一位理解這將很大程度保護公司運營的執政官。該[方法]將讓公司走向成功。那正是長遠來看節省財力的舉措,不具有大量失誤以及對公司品牌或市場地位的負面影響。
在2023年早些的rsa大會主題演講中,您提及了國土安全部的網路空間安全評估專案,並討論了對管理層「場景展示而非講述」業務問題的一些方法。您能對此再做詳細介紹嗎?
chris pierson:ciso關鍵領導力之一是確保你正面向高管甚至公司董事會「場景展示而非講述」當前風險、你針對這些風險所採取的應對措施、乃至這些風險的生命週期以及它們如何影響公司。乙個好的方式是通過第三方參與,無論他們是外部審計人員或外部安全專業人士,都沒關係。
乙個好用的工具是dhs c3(關鍵基礎設施網路社群c3自願專案)計畫,這是一種國土安全部以夥伴關係參與、幫助你的組織評估跨資訊保安基礎設施和其他技術的風險範圍,告知參考美國國家標準與技術研究院(nist)網路安全框架和其他標準如何對風險排名,並提供相關資訊。如果您的組織存在差距,他們還會提供大量文件,關於你如何想縮小差距或對現存任何項獲得清楚認識。
或者你也可以自己來做。大約一年前,2023年2月,該專案面向個人使用開放了。所以它可以帶入任何規模的組織而不論成本或專業知識要求,用於一種真正的風險評估並對映於組織。這是乙個了不起的工具,我希望人人都知道、或正在考慮使用它。
公司應多頻繁審查他們的事件應急響應預案?一般原則過去是每年審查。這已經發生變化了嗎?
chris pierson:我認為這的確已發生變化。事件應急響應預案應加以審查,絕對是最新的為一年一次。涉及到會影響公司的新型風險或新型威脅向量,事件應急響應專案也應對此進行補充和審查。
那麼,如果你在一家依賴於銷售點終端裝置的零售公司,並已經訪問到大約一年前的入侵資訊,那麼你的組織原本不應該等到年度審查;而你原本應該已經審查過事件應急響應預案,判斷它將如何有效應對,這樣,面對任何未來的資訊保安挑戰時你都將處於有利地位。
安全應急響應流程
根據業界的經驗,可以通過分階段的方式來更清晰地看待整個安全應急響應過程。任何乙個具體的安全應急響應過程都多多少少地涉及到六個階段,即準備 檢測 抑制 恢復和跟蹤階段。準備階段 實現與其他安全環節的互動 檢測階段 初步事件分析 把事件分析與業務恢復程序分離 抑制階段 抑制事件對業務影響 階段 事件分析...
網路安全應急響應
應急響應 對應的英文是 incident response 或 emergency response 等,通常是指乙個組織為了應對各種意外事件的發生所做的準備以及在事件發生後所採取的措施。外文名稱 incident response 準備對各種意外事件的發生所做的準備 物件儲存 傳輸 處理 病毒計算...
請不要忽視專案文件管理
這麼些年來,大大小小經歷了一些資訊系統的實施專案,有一部分是協助別人進行專案的實施工作,有一部分是自己負責管理專案的實施工作,另外還有一部分是通過各種渠道了解的別人的專案實施工作,在這個過程中也在不斷地思索一些管理方面的問題。資訊系統的實施工作是紛繁複雜的,走過了這麼些年,令自己欣慰的是積累了一些成...