企业如何适应个人责任规则

快速阅读: 据《ITProPortal》最新报道，近期调查显示，93%的组织在过去12个月中调整了政策以应对CISO个人责任增加的问题。五分之二的组织赋予CISO更多话语权，38%加强网络安全披露文档的审查。然而，近半数组织仍不清楚网络安全事件的最终责任归属。美国证券交易委员会和欧盟的法规使高管面临法律责任，包括罚款和监禁。CISO的责任应从高级领导层的明确沟通和资源配置开始。

（图片来源：盖蒂图片社）

由于数据泄露可能导致的个人责任威胁悬在首席信息安全官（CISO）们的头上，组织正越来越多地努力降低风险。最近美国和欧盟的立法使得可以追究高管对安全漏洞的责任，可能的惩罚包括罚款甚至监禁。由Fastly提供的边缘云平台提供商最近的一项调查显示，93%的组织在过去12个月中已经进行了政策变更，试图应对CISO个人责任增加的问题。作为其中的一部分，五分之二的人表示他们给予CISO更多的话语权，在董事会层面进行战略决策。为了降低风险，38%的人表示他们承诺加强对网络安全披露文档的审查。同样数量的人表示他们改善了对网络安全人员的法律支持，包括购买责任保险，而公司在过去一年中分配了更多的资源到安全方面。

“看到大多数公司都在做出改变以披露责任，这令人鼓舞，尤其是考虑到全球范围内不可避免的再次中断将再次把CISO的责任置于聚光灯下。”Fastly的CISO马歇尔·厄文说。“然而，尽管投资于法律保护是一个重要的步骤，但这种变化更多的是为了保护组织免受法律风险，而不是促进有意义的责任来推动更好的安全实践。”

获取ITPro每日通讯，接收我们最新的新闻、行业更新、特色资源等。今天就注册，免费获得我们的2024年AI网络犯罪与安全报告。联系我以了解Future品牌的新闻和优惠，接收来自我们可信赖合作伙伴或赞助商的邮件。

企业仍然不确定个人责任规则加剧了这种不确定性的事实是，近一半的组织不清楚谁实际上对网络安全事件负有最终责任，而只有36%的组织在其团队内部明确划分了角色和职责。“CISO们并不是每个决定的最终决策者。当涉及到安全风险时，董事会应该问的问题是，‘我们是否正在根据CISO向我们通报的风险调整预算？’”厄文说。“这就是问责制应该开始的地方——在高级领导层中，通过清晰的沟通和资源配置的协调。”

2023年底，美国证券交易委员会（SEC）引入了新规定，旨在让高管对安全漏洞和事故负责。这不是空话。去年，SEC对SolarWinds及其CISO蒂姆·布朗提起了诉讼，这是在2020年著名攻击事件之后。同样在2023年，优步首席安全官约瑟夫·沙利文因试图掩盖数据泄露事件被定罪，并被判三年缓刑，罚款5万美元，以及200小时社区服务。在大西洋彼岸，欧盟立法者也引入了类似的规则，特别是欧盟的《网络和信息安全指令》（NIS2）。该立法旨在保护联盟内的关键基础设施和服务，并包括对高管的个人责任。《数字运营韧性法案》（DORA），监管金融机构的安全实践，也做了同样的事情。但根据Fastly的报告，对于这些措施将如何实施以及在什么情况下实施存在极大的不确定性。

“需要监管部门和执法机构制定更好、更明确的标准，区分不可避免的事件和由于真正不足的安全实践导致的可避免事件。”厄文说。

更多来自ITPro的内容：

– CISO们在董事会中的影响力日益增大，这恰逢其时。
– CISO们如何应对“滑坡”的AI数据保护问题。
– 远程工作仍在给CISO们带来安全难题。

主题：首席信息安全官（CISO）

艾玛·伍拉科特

社交链接导航

艾玛·伍拉科特是一名自由撰稿人，为包括BBC、Private Eye、福布斯、Raconteur和专业科技出版物在内的媒体撰写文章。

(以上内容均由Ai生成)