对于 CISO 来说，这是一个充满挑战的时期。 过去几周，安全社区一直在热切关注有关 Uber 的多个故事。 来自 他们最近的主要黑客攻击的逐个播放，到上周优步前安全主管乔沙利文的有罪判决，首席信息安全官面临着相当大的挑战。

沙利文案的判决认定他犯有妨碍联邦调查和向政府隐瞒重罪的罪行。 根据 “纽约时报”：“加州北区联邦检察官斯蒂芬妮·M·海因兹 (Stephanie M. Hinds) 在一份声明中说：‘我们不会容忍公司高管向公众隐瞒重要信息，这些高管更关心的是保护自己及其雇主的声誉，而不是保护自己的声誉。保护用户。 如果此类行为违反联邦法律，将受到起诉。'”

政府正在向美国的 CISO 发出信息——披露并可能丢掉工作，或者隐瞒并入狱。 如果他们向政府披露信息，他们符合合规规定，但他们的工作将处于危险之中。 违规行为，尤其是个人身份信息 (PII) 遭到泄露的违规行为，将导致诉讼，并且 CISO 可能会被解雇。

但对不合规、无法证明完全披露或中间任何灰色地带的惩罚现在是针对个人的（与其他不合规导致公司罚款的规定不同）。 在 Uber 案例中，掩盖违规行为，然后在联邦调查的背景下进一步隐藏黑客攻击的细节，可能会导致入狱。

这个案例也给 CISO 带来了新的挑战：“你知道什么？” 隐瞒信息是本案及判决的重要内容。 通过说“我不知道”来隐藏信息并不是对数据泄露的 CISO 的回答——它最多反映了疏忽，最坏的情况是谎言。 安全团队需要知道——而且很可能 do 从他们使用的许多安全工具中了解他们的安全状况，以及他们所知道的无法隐藏的信息。

沙利文案对安全行业具有巨大的吸引力。 我们对 CISO 有什么期望？ 这些期望公平吗？

管理 CISO 的期望

根据拟议的立法，预期如下。 来自 关于重大网络安全事件的 8-K (6-K) 表披露 (PDF) — 将添加以下规则：

• 1.05-K 表格的新项目 8 将要求 SEC 报告公司在确定重大事件发生后的四个工作日内披露重大网络安全事件。
• 公司必须在发现事件后“在合理可行的情况下尽快”确定网络安全事件的重要性。
• SEC 去年在一项网络安全执法行动中表示，公司必须维持披露控制和程序，旨在确保分析有关任何网络安全事件的所有可用相关信息，以便在公司的 SEC 报告中及时披露。
• “网络安全事件”是指在公司信息系统上或通过公司信息系统发生的未经授权的事件，危及公司信息系统“或其中驻留的任何信息”的机密性、完整性或可用性。

问题是，CISO 应该做什么？ 他们已经部署了多种安全解决方案。 本地、云、端点检测、防火墙、勒索软件恢复、工作负载保护……不胜枚举。 仍然，黑客进入——就像优步的情况——通常只是通过简单的 唠叨员工点击网络钓鱼链接. 数百万美元用于攻击预防和“用户 XYZ”使系统瘫痪。

帮助 CISO 的方法

在我职业生涯的大部分时间里，我一直从事安全工作，构建将黑客拒之门外的工具。 我想推荐几个 我们可以帮助 CISO 的方式 出于他们所处的复杂情况。

1. 摆脱对每次潜在攻击或配置错误发出警报的工具。 一代基于警报的安全工具会针对每一件小事向安全团队发出请求，这让情况变得更糟。 安全团队无法跟上他们的安全工具提供的数百个警报，其中大部分是错误警报。 他们需要能够在其特定资产的背景下看到实时传入的攻击——这种攻击提供了一系列事件来识别对公司最有价值资产的直接风险。 我们需要做得更好来支持安全团队 提供价值的工具，而不仅仅是警报.
2. 重组。 监管机构希望 CISO 能够快速检测、分析和理解真实攻击事件（相对于潜在的错误配置）的影响。 这需要重组和重新思考大部分安全软件“堆栈”，以确保我们领先于黑客一步。 使用过时的技术是经常导致安全最佳实践与现实之间发生摩擦的一个领域。
3. 与政府更紧密地合作 关于拟议立法的重要规定。 为了保护我们的 CISO 免于陷入重罪，我们需要立法来保护公众，同时也保护挺身而出并报告数据泄露的 CISO。 真正为每种攻击场景做计划（并且可以展示这种计划）但发现自己被黑客打败的 CISO 不应该受到他们所服务的公司的惩罚。
4. 对齐安全目标。 许多组织的发展速度太快，以至于无法专注于安全性——而且它会赶上他们。 开发团队越来越多地利用 CI/CD（持续集成、交付和部署）等敏捷技术来快速交付新的创新功能并保持竞争优势。 安全不是开发团队或任何典型员工日常思考过程的一部分——但它必须是。 组织必须有一个渗透到组织中的安全策略，这样每个人——开发人员、市场营销、人力资源、财务、董事会和其他所有人都与 CISO 和安全团队分担责任。 所有类型 员工在保护数据资产方面发挥作用.