這一篇是由Rosalyn Page撰寫的"Why and how CISOs should work with lawyers to address regulatory burdens",探討了資安長如何與法務人員合作、自身責任與挑戰等諸多面向的議題。現在資安問題越來越熱門,資安長該怎麼做、尋求什麼協助值得參考。以下是我所看到及整理的一些重點。
在監理審查日益嚴格下,某些資安長會合組織法務長(legal counsel)合作,尋求專業意見引導他們關於遵循及降低風險的作為。
Hopkins & Carley的網路安全律師Chiara Portner說,監理增強來自於兩個面向:政府和消費者的壓力。網路保險經紀公司Woodruff Sawyer的副總裁Dave Anderson說,這些就轉變了公司的負擔。他還說典範已有所轉變:公司從「受害者」變成「控制上有所疏忽」。
Anderson說,資料外洩的結果,讓個別董事以及高階主管(比如資安長、法務長)都更為嚴肅,資訊安全與法務的合作,是企業最基本、最合理的實務作法。他主張,若少了這一點,在集體訴訟和監理調查上會被視為有重大疏忽。
Anderson說,資安長應該依靠公司法務長、保密主管,以更加瞭解其系統身處的監理局勢。
Deloitte的網路風險合夥人David Owen說,網路法規在過去幾年間有所變化,要處理組織控制和決策不足的問題。Owen指出,法規的目標是減少自由裁量並強化控制機制。特別是原則基礎的規範,要求對有效落實進行詮釋。
Owen也說,法律對「重大傷害」的詮釋非常重要,理想上這需要在事件發生前就要定義好。定義重大傷害的範圍,會改變網路安全支出的花費公式。這會協助資安長展現出花錢降低風險的價值所在,而不僅增加獲利而已。他說,法規對網路領導人做的,是要解除管理上的自由裁量。
Hyperproof的資安長Kayne McGladrey說,監理負擔增加,就需要視網路風險為企業風險。網路風險不再只是科技風險。他說問題是,公司會將這兩個風險分開處理,但世界上不是這樣做的。
並非所有資安長都會定義網路風險,McGladrey 相信,能調整自己、說明資安對企業價值的資安長,較容易說服其他人,而更科技背景、強調遵循高於企業風險的人,將更難獲得支持及預算。
McGladrey說,根本的問題是,資安長都來自於科技背景。他們聽的、說的都是資訊科技,很多溝通內容是董事會、或高階經理人沒興趣的,或者資訊根本沒有抵達。資安長的挑戰是,如何向眾多聽眾溝通越來越多元的議題,讓每個人都瞭解他們在說什麼,給每個人他們需要的訊息。
和法務更緊密地合作,資安長會獲得組織監理環境所需的支持,並以企業風險的語言增加所需的預算,跟上法律體系最新的變化;對此他們缺乏時間、訓練而且也不是他們的專長。
和法務長合作,資安長可瞭解世界的變化、予以規劃的風險。McGladrey說,資安長要負責的不應該包含法務體系的近期變化。
McGladrey說,討論要每季一次,以瞭解最新趨勢及需要注意什麼。如果把法律風險視為資安長的另一個風險來源,那就會獲得更多資訊,並能主動、而非被動地做出決定。
有法務人員在旁,可協助資安長與承包商、供應鏈或客戶合約之協商。如果需要一些證明或契約條款,資安長或許在簽署之前,先對一些非必要、不明智的部分取得意見與建議。
資安長在風險概況上,或許可向法務諮詢,再做最後的決定。有的資安長會在法務建議下不做最後決定,以免在事態惡化後單獨承擔責任。
對於資安長個人責任的問題,或許需要法律上的建議。McGladrey說在美國,資安長需要知道他們是否因其角色或個人,有納入董事及主管(D&O)的政策之內,藉此瞭解若對組織提訴時,自己是否有潛在的個人責任。若資安長沒有納入D&O政策,不意味公司必須負擔他們其他的法律保護。這部分就要和公司法務維持一定關係,並瞭解他們願意承擔到什麼程度。
某些資安長並不一定會定期和公司法務合作,唯有資料外洩或有事故時才會面,但在監理環境之需求日增之際,如此可能不夠永續。
沒有留言:
張貼留言