随着监管审查的加剧,越来越多的首席信息安全官CISO选择与公司法律顾问合作,以获取专业意见,指导合规和风险减少工作。来自霍普金斯和卡利的网络安全律师基亚拉波特纳Chiara Portner表示,律师在评估风险并寻找缓解措施方面起着关键作用。“随着监管压力的增大,将法律顾问纳入每一步流程,可以帮助公司高效应对数据隐私法和安全法规,”波特纳说道。
白鲸加速器旧版本监管的推动来自两个方面:政府和消费者压力。波特纳指出,保护消费者和确保其数据安全的要求源于人们对信息保护意识的增强。“普通大众正在学习隐私和安全方面的知识,他们开始理解网站或应用中的弹出提示和请求,”她补充道。
根据伍德拉夫索耶保险公司的网络副总裁戴夫安德森Dave Anderson的说法,政府需要找到并起诉网络犯罪分子,而许多此类犯罪分子已经居住在其他国家,这使得企业承担了更多的责任。他还提到,近年来出现了一种思维模式的转变,即遭受网络攻击的公司被视为“不再是受害者,而是对其控制的疏忽。”
随着数据泄露对公司董事和高级管理人员如CISO 和总法律顾问后果的日益严重,信息安全与法律之间的协作正逐渐成为基本和合理的商业实践。安德森强调,如果缺乏这种合作,可能在集体诉讼和监管调查中被视为极度疏忽。“在未来几年,刑事疏忽的理论很可能会受到检验,”安德森说道。他认为,CISO需要注意这一潜在风险。
管理网络风险不仅是CISO的责任,更需要与商业风险的视角一起进行考虑。海拔证明的领域CISO凯恩麦克拉德里Kayne McGladrey指出,网络风险不再仅仅是技术风险。“在企业层面,不同业务风险注册和网络风险注册趋于分开,但现实世界的运作并非如此。”麦克拉德里称。
企业面临的法规框架愈加复杂:包括针对特定行业的要求,以金融和银行业为最严格法规的领域,医疗保健及生物信息学处理DNA等。而国家和管辖区如欧洲联盟的通用数据保护条例GDPR的要求也在不断增加,这些要求对全球运营的在线组织构成了挑战。
德勤的网络风险合伙人大卫奥文David Owen表示,近年来网络安全法规的演变旨在解决组织内部缺乏控制和决策的问题。他指出,法规旨在减少自由裁量权并增强控制措施。特别是基于原则的法规要求进行有效的解释以实现最佳实施。
奥文还提到,对于“重大损害”等术语的法律解释非常重要,最好在事件发生之前就明确界定。定义重大损害的范围改变了网络安全支出的成本计算。它帮助CISO撰写商业案例,展示在网络安全上花钱降低风险的价值,而不仅仅是为了增加公司利润。“法规为网络安全领导者消除了部分管理自由裁量权,”他说。
随着监管负担的加重,组织和CISO需要承担网络风险,但它需要从商业风险的角度来看待。麦克拉德里认为,网络风险不再仅仅是IT风险。“问题在于,企业通常将这两者隔离开来,但这个时代已不再如此,”他说。
他认为,美国的证券交易委员会、联邦贸易委员会和其他监管机构正努力推动商业领袖之间的合作,因为网络风险实质上就是商业风险。麦克拉
上海市共和新路1968号8幢10楼
