监管合规性:董事会向首席信息安全官提出的主要问题
这是一个由四部分组成的系列的第四部分,这部分为 CISO 提供了主动沟通策略的指导,包括 翻译关键信息和用执行语言表达您的行动的方法,这样您就可以继续将主要精力均衡地安排给 事件、活动和威胁的响应,从而减轻对企业影响。
到目前为止,我们已经讨论了如何与您的董事会讨论网络风险暴露、网络风险缓解计划以及事件发生时的尽职调 查。您需要准备回答的下一组逻辑问题是关于网络安全合规性的。
众所周知,我们的业务需要接受大量行业和政府法规的指导。一旦发生事件(或怀疑存在威胁),就会引发许多不 同的实体提出大量问题,这些问题涉及对数据和操作的安全性及完整性的潜在影响。您需要准备好高效地回答这些 问题。让我们了解下如何做好回答“我们将如何回复监管或其他合规性询问?”问题的准备
需要考虑的潜在问题:
- 是否存在任何潜在暴露的系统处理、存储或传输受监管的数据?
- 如果有,我们应该通知谁?我们是否已完成通知?
- 怎样做到应有的谨慎?
- 应如何跟踪补救活动?
网络安全合规性:我们在何时做出了怎样的表述?
从发现漏洞时开始,监管机构就想知道您如何评估和缓解攻击面暴露。他们想知道您资产清单的详细信息,包括您 是否能够指出您的环境中哪里存在漏洞;发生了哪些通信;是否存在潜在的威胁实例,如果有,是否已及时通知相 应的监管机构;采取了哪些缓解措施和补救措施,以及吸取了哪些经验教训等。
简而言之,监管机构希望了解您实施了哪些现有流程,以及您采取了哪些措施来最大程度地减少对任何易受攻击资 产的影响。通常,当涉及监管机构时,这意味着客户和/或客户端也参与其中(例如,他们的个人身份信息被盗), 或者您的行业/部门存在潜在的系统性风险(例如,对能源网格发起有针对性的攻击)。因此,他们的询问并不值 得害怕或需要回避——他们只需要得到深思熟虑且透明的回应。
这将有助于最大限度地减少任何进一步损害的可能性(例如,对您的品牌或声誉)。如果您有一个影响您企业(和 客户)的漏洞利用程序,若您能展示对该程序的处理方式(处理、解决并从中吸取教训),这会比试图隐藏此程序 更能介绍企业的状况。
就网络事件进行沟通:知晓通知对象
部分法规规定了在发生违规事件时,受监管的实体何时需要通知客户和指定的第三方。有时,与第三方签订的合同 包含通知条款——他们必须通知您,或者您必须通知他们有关暴露的情况。但是,您还应该通知您的危机分类团 队、事件响应供应商和外部顾问,以便他们采取行动。
拥有 事件响应顾问人员 几乎成为了标准做法,因为它可以帮助您证明您采取了合理的步骤来保护受监管的数据在事 件发生后不被暴露。如果怀疑存在漏洞利用或威胁,除了通知您的外部顾问外,您还需要向取证和事件响应公司聘 请合适的律师。
确保您的所有通信协议对于您的所有内部和外部成员都行之有效,这一点至关重要。请注意,监管机构不会期望您 立即修复或缓解事件。他们希望的是您提前做好尽职调查,这样就不会打完全无准备之仗。他们想知道您能否及时 检测到攻击及其影响,并与所有适当的利益相关方合作进行沟通和补救。
成功完成事件响应:一切都是为了建立稳固的关系
当您正在处理某个事件时,您会在与外部顾问和事件响应供应商的现有关系中获得慰藉。现在就主动联系,开始建 立这些关系吧!了解他们的分类流程并获取他们的手机号码。请您一定要积极主动,因为当您处理事件,经历一个 最糟糕的工作日时,这些牢固的关系将成为您的救命稻草。
考虑与您的事件响应供应商分享您的 事件响应计划 并了解他们的想法。让他们参与进来,这样当这些专家加入并进 行全面调查时,您就会了解他们在做什么,并且保证他们可以确定发生了什么。
建议您了解清楚自己的顾问团队,确保它包含您履行法律和法规遵从义务所必需的活动。主动联系您的法律团队, 确保您了解您在不同司法管辖区的监管义务,特别是跨国公司。
此外,您可以考虑与监管机构建立关系。有时,监管机构对威胁形势有深入的了解,这可以帮助您为即将发生的事 情做好准备。不要想当然地认为,如果数据没有被盗,监管机构就不会那么感兴趣。他们一直在不断寻找新的威胁 和漏洞利用。他们可能会对您对企业内可能接触到数据的攻击者所做之事感兴趣,即使没有证据表明数据是从企业 外部获取的。
这也让您有机会展示您应对威胁的方式(例如,“我们从那次事件中吸取了教训,并将其应用于整个杀伤链的前 后,以了解原本可能发生的事件以及实际发生的事件。”),这有助于监管机构更好地了解您的流程和计划的稳健 性,从而使未来的交易更加顺畅。
观看此视频,详细了解如何与您的董事会讨论网络安全合规性: