How Are New SEC Rules Impacting CISOs?
34:32 Share

我们看到越来越多的法律责任，特别是对首席执行官，但我们的首席执行官已经准备好应对这些责任，并在组织内部取得成功。监管机构是否意识到这一点？

您正在收听深度防御。

欢迎收听深度防御迷你节目。我是 CISO 系列的制作人戴维·斯帕克（@dspark），猜猜看？我的合伙人斯蒂夫·扎莱夫斯基在这里。斯蒂夫，向听众问好。

很高兴能和友好的听众们见面。你好。

您将在本节目中更多地听到这个声音。今天节目的赞助商是 SpyCloud。网络犯罪从未停止。利用 SpyCloud 保护您的组织免受勒索软件、账户接管和网络欺诈的侵害。SpyCloud 从违规行为、信息窃取恶意软件和网络钓鱼攻击中回收被盗的身份数据，这些攻击会给您的业务带来风险。团队利用 SpyCloud 的高级分析和强大的自动化功能来领先于攻击者。访问 spycloud.com 获取免费风险报告，立即开始打击网络犯罪。

他们知道罪犯知道什么，并让您知道，以便您可以防范网络攻击。首先，斯蒂夫，让我们谈谈这个话题。SEC（美国证券交易委员会）越来越要求首席信息安全官（CISO）承担责任。这令许多 CISO 非常不安。

但监管机构真的了解 CISO 在组织中的运作方式吗？最近在连线文章中，迈克·洛克卡德（Mike Lockard）指出，SEC 似乎没有意识到许多 CISO 能够对系统性问题进行实质性修复的程度有多低。因此，我问你，斯蒂夫，如果监管机构不追究上层领导的责任，CISO 是否注定要失败？

我非常喜欢迈克在这里表达的担忧，即对未知的恐惧。我们不知道自己要为哪些事情负责。因此，我们提出了许多开放性问题。

我个人认为，我们接下来要讨论的是 SEC 的运作方式，他们只能通过某些方式来强制执行变革。他们正在努力理解如何运作，并且在这种情况下，他们也超出了自己的舒适区。因此，双方都超出了自己的舒适区，这就是为什么我们提出了许多开放性问题。

为了尽可能最好地回答这些问题，因为我们不一定有所有答案，但我们会尽力。我们很高兴能邀请一位嘉宾。我在田纳西州纳什维尔进行了一场现场直播节目。

我们很高兴能邀请他参加本期节目。他就是壳牌集团的首席信息安全官（CISO），艾伦·考克里尔（Allan Cockriel）。艾伦，非常感谢您加入我们。

很高兴能在这里。我能看到戴维和斯蒂夫都成熟了吗？

他们做错了什么？

泰德·海曼（Ted Hyman），一位 CISO 专家，说：“首席执行官不是超人。他没有任何特殊能力，他的能力仅限于他周围的团队。他预算有限，人才短缺，并且必须应对拥有几乎无限预算、无限人力和无限 MIPS 的国家行为者。”

当公司遭到国家行为者的攻击时，如何让 CISO 承担责任？除非存在真正的疏忽，否则让 CISO 对违规行为负责是荒谬的。乔纳森·沃德罗普（JoNathan Waldrop），天气社区的 CISO，说：“SEC 现在要求完全透明，上市公司的董事会现在必须过度沟通，这可能很困难，因为在公开披露中提供足够的细节来概述风险，而无需泄露所有底牌。在披露多少信息方面取得平衡，这有点像，嘿，让 CISO 控制所有这些，你要求的是非常不合理的事情，斯蒂夫，他们能做些什么？”首先，

我要说的是，CISO 的角色正在演变。我们已经讨论过这个问题。因此，我看到的是，随着角色的演变，它在不断变化，这取决于执行团队想要什么，变得越来越重要或不那么重要。

因此，当我看到乔纳森的评论时，我们意识到，嘿，双方都意识到我们需要改变。我们不确定如何做到这一点。我们非常担心你要求我们做一些我们不知道如何做或没有权力做的事情。因此，我希望我们能够进行一次有益的行业参与者讨论，以解决这个问题。

艾伦，我想我们与之交谈的每家公司都基本上没有直接发表公开声明。他们会通过沟通部门，或者他们只是建议其他人发布更公开的声明。所以，在所有这些情况下，CISO 的工作难道不是真正地充当风险顾问吗？是的。

我认为斯蒂夫指出了这一点，即这个角色正在发生变化。CISO 和 CISO 长期以来一直希望从学习的角度得到提升。现在，首席执行官在重要性、知名度和美国方面得到了提升。

在责任方面。这是那些小心你的愿望，因为你可能会得到它的情况之一。

我喜欢现在正在发生的这些变化，类似于 2000 年代初的 CFO，当您领导并运行时。我们是否有了网络版本的 CFO？可能不会。

我认为过去可能只是在 IT 能够在追究董事会和高级领导层责任方面做得更好。但 IT 确实提高了网络安全风险。它确实确保公司能够达到网络安全的基准预期。我认为，正如斯蒂夫提到的那样，我们将找到正确的平衡。我认为我们还没有看到监管的终点，我认为当前的情况并不反映未来在不久的将来会是什么样子。

你知道，我在另一个节目中提到过，大多数 CISO 都在关注我们所知的两起案件，其中一个是太阳风事件的蒂姆·布朗（Tim Brown），另一个是优步事件的乔·萨利文（Joe Sullivan）。我的感觉是，事情一开始总是如此不明朗。我认为您提到的与 CFO 和网络安全相关的类比非常恰当。您是否认为，由于事情不明朗，他们中的任何一方都可能在等待 CISO 犯错，就像在第一起案件中一样，我们从第一起案件中吸取教训，没有人真正知道谁会成为第一个，因为您不在他们的位置。

因此，我们谈论的其他事情是，CISO 会同意他们不是专家。当然，他们不是安全专家，他们没有一组专家，但他们可以做的是，如果有人撒谎并从中获利，这是白领犯罪，我们可以对此做些什么。

他们现在将这种模式应用于网络安全，例如蒂姆·布朗事件，因为这是他们可以根据我们围绕风险管理进行的对话来执行法律的方式。因此，这就是我为什么说，他们做对了什么，以及他们做错了什么，这取决于他们如何知道如何起诉。他们正在推动对话。

让我们从中吸取教训。我不会对与 CISO 和类似国际监管机构的互动中遇到的个别案例发表评论。他们希望公司做正确的事情。

因此，他们将利用其工具箱中的工具来实现结果。这个结果是提高网络安全风险，对公司有更高的期望标准，更严格的报告和披露义务。你知道，他们正在使用他们拥有的工具。这些工具可能不是最好的工具，但我确实看到他们试图做正确的事情。我认为，随着我们进入这个新现实，我们需要进行调整和微调。

解决方案在哪里？失败。

我的报纸评论员说：“我无法理解 SEC 的动机。在这种情况下，我理解需要遵守道德行为，尤其是在上市组织中，但对首席执行官过于严厉不会以任何方式帮助对抗外部威胁，反而适得其反，因为优秀的首席执行官会因为谨慎、自我保护和避免麻烦而离开行业，就像莱昂纳多·达·芬奇（Leonardo da Vinci）一样。”

这设定了 SEC 如何看待网络风险以及他们将如何起诉 IT 的基调。首席执行官将面临巨大的压力。没有首席执行官的公司将失去投资者，然后将出现对新 CISO 的巨大需求。

因此，我很高兴您提出了最后一个共同点，因为这完全取决于您如何看待这个问题，或者您站在哪一方。很明显，他们正在关注 IT。从 CISO 的角度来看，目前尚不清楚他们是否会离开，因为他们担心自己的工作。

但正如您所说，嘿，SEC 想要做好工作。他们希望我们所有人都有道德。他们只是在使用他们目前拥有的工具。

因此，这些人只是可以理解地感到恐惧，因为，好吧，他们自己不是监管者，他们不知道这项工作需要什么。您怎么看？

很好。我喜欢保持简单，我认为 CISO 的角色将变得非常困难。推动提升网络安全角色和 CISO 角色的知名度。再次，正如我之前提到的，小心你的愿望，因为你可能会得到它，并且可能会再次离开行业，这取决于他们自己的判断。然而，我确实认为这个角色将非常具有挑战性。

如果我退后一步，看看我所理解的美国 SEC 和其他监管机构正在尝试做的事情，那就是试图让国家保持安全，进入集体防御的角色。因为现实是，美国。

以及某些情况，实际上，许多西方公司正面临着前所未有的国家行为者攻击。现实是，美国政府和机构需要能够理解如何提高网络安全基础预期。他们如何控制和识别勒索。更多付款。因此，需要更深入地了解勒索支付。然后，从投资者的角度来看，了解您所投资的公司中是否存在重大事件非常重要。如果我将我看到的监管条例分解成部分，它与提高基本预期、识别网络事件以提高西方公司的集体防御和集体安全，以及提高公司对网络安全的责任这些一般策略相符。

是的，我指的是更高的责任，但我将回到斯蒂夫与迈克和达米安的最初评论，即我们可能会失去 CISO。我认为这是一种极端的恐惧。

我的意思是，CISO 只是因为工作压力而离开，而忘记了 SEC 的新方面。我的意思是，这项工作本身就充满了压力。

是的，我认为这不会让任何人崩溃。您怎么看？

斯蒂夫？我认为您不会看到大规模的流失，但这里值得关注的是，他们的努力可能会失败，他们所做的是强制执行 CISO 角色的定义，赋予他们权力，如果他们撒谎，他们可能会坐牢。这很好。但我们作为行业实际上并没有将 CISO 正式定义为指定的执行官或执行官。

因此，对于许多 CISO 来说，实际后果是，他们被任命或被任命为 CISO，但现在这种正式化过程正在进行中，您实际上会看到许多 CISO 成为安全总监，因为 CFO 或首席法律顾问将被分配 CISO 角色，如果他们需要签署文件。这将成为一个子集，安全单元也将提升到执行层。因此，我认为正式化 CISO 角色并使其对 CISO 负责是件好事。

但是，我们现在需要学习如何实现这一点。您是否需要获得认证？您将如何做到这一点？我认为许多公司将降低组织中的首席执行官头衔，并将风险转移到其他地方。

在继续之前，我想告诉您关于 SpyCloud 的绝对精彩赞助。对于我们的听众来说，鉴于有关高知名度数据泄露的令人担忧的新闻，以及犯罪地下世界正在大肆宣传，这并不令人惊讶，但现实情况是，被盗身份数据的增长正在助长这种宣传。我们谈论的是密码、会话 cookie 和个人身份信息。

这就是燃料。如果您依赖威胁情报来了解被盗员工和客户数据对您公司网络安全风险的影响，我们有消息要告诉您。这还不够。您真正需要了解的是罪犯对您的用户了解了什么，他们正在使用哪些被盗身份数据来攻击您的业务。

因此，我们的朋友 SpyCloud，今天的网络犯罪分析领导者，他们知道这些信息，他们实际上为您的安全团队提供了所需的识别情报，以便应对被盗数据，无论这些数据是在违规行为、信息窃取、感染或网络钓鱼攻击中泄露，他们的自动化解决方案都可以与您最喜欢的工具集成，让您能够利用罪犯正在使用的确切信息来攻击您的业务，而无需付出巨大的努力或开销。对我来说，它实际上非常易于使用。结束账户接管、会话劫持、身份盗窃，甚至勒索软件攻击，所有这些都由 SpyCloud 完成。

现在，您需要做的是获取有关您的用户的报告。因此，这将针对您的用户，以揭示身份数据。

您可以免费从 spycloud.com 获取。我看到过，这绝对物有所值。我无法强调这一点。

您会发现这有点吓人。但是，相信我，这些信息将非常有价值。因此，请访问 spycloud.com。

安全领导者应该能够做什么？

查尔斯，听说过一位有食品背景的 CFO 无法责怪 CEO 故意发布虚假财务信息，CEO 也无法责怪 CISO 发布虚假网络信息。如果 CFO 向管理层报告，但他们仍然发布虚假信息，那么他必须向执法部门报告。CISO 也不例外。官员不能欺骗政府或股东。

每位公司官员要么始终警惕远离财务丑闻，要么正在走向财务丑闻。珍妮·贝克（Jenny Bake）说：“根据我的经验，SEC 向拥有特定头衔的人员发送文件是监管要求，个人必须亲自处理文件，CISO 的信息应该如此。如果您无法亲自保证遵守最佳实践，当他们要求您签字时，请另谋高就。”我认为查尔斯和珍妮都非常清楚地表达了这一点。这就像您的工作职责之一是通过合法方式报告事情，无论您是 CISO 还是 CFO。是的，我同意。

我将对最后一条评论发表一条推文。我想说，这与其说是遵守最佳实践，不如说是遵守公司控制框架。我通常认为大型公司应该拥有某种控制框架，以管理组织内的风险，以及网络安全领导者、CRO 或 CISO（具体取决于如何表述）的角色。

该报告需要确保报告在分析上准确。因此，它更公平、更平衡。但它也反映了公司的控制结构和风险偏好。我认为，首先，网络安全领导者和安全领导者，如果您这样做，以透明的方式领导，那么我认为您不必担心太多。我认为我们的行业专家需要在组织中以透明的方式开展工作，并承担所有类型的合规性检查框结构中的风险伙伴角色，一些安全和保证组织可能会发现自己身处其中。

我将提出一个问题，这将引导您预测，您认为网络安全之所以变得如此重要，就像财务一样重要，这仅仅是因为网络安全变得如此重要，以至于他们开始对 CEO 施加与 CFO 和 CEO 相似的压力，或者我不会这么说，但有点类似，您怎么看？

因此，我们有许多国际政府政策，所有这些政策都表示网络安全非常重要。我们必须做得更好。数据隐私很重要。

问题在于这些政策是否可执行。它们只是最佳实践。因此，对于 FTC 和 SEC 等机构来说，它们更像是执行机构。

因此，您正在查看这些政策，并思考如何执行它们，您在安全村庄中扮演什么角色，以改善我们的集体防御。这就是他们正在做的事情，他们正在执行他们知道如何做的事情。这很好，对吧？

这段谈话的一部分现在是，用引号来说，经验丰富。如果你真的拥有丰富的经验，你就会明白，在一家大型公司（例如财富五百强公司），在一家 SaaS 公司，以及在一家中小型企业中，担任 CISO 的角色是不同的。在如何看待 CISO 角色以及他们如何执行工作方面存在很大差异。

一个例子是，我的工作是建立一个最成熟的安全组织，还是我的工作是为这家公司提供足够的安全保障，使其能够继续运营一周？两者都不是，关键是两者兼而有之。这就是我们现在在很多地方遇到的问题，因为为我们公司工作的安全人员，特别是那些使用云原生应用的安全人员，正在努力弄清楚该怎么做，而那些大型公司（例如财富两百强公司）则拥有大量的法律和监管合规性要求、合规性证据以及庞大的团队。

他们都“有发言权”，但成功定义以及他们能够报告的内容和成熟度，这就是我们正在围绕其展开讨论的地方。并非一概而论。这就是我所说的，很多不了解网络安全的人能够帮助我们和整个行业理解各种不同的情况，这一点是积极的。所以，IT 是否应该得到提升？还是根据组织的风险概况在组织中被淘汰？

艾伦刚才谈到……是的，就这样。

框架是什么？我的意思是，作为 CEO，我的工作是保障公司安全，IT 的工作是保护业务，还是 IT 的工作是帮助你们销售更多产品？这简单的陈述，你们要对这三者中的哪一项负责？以及你们如何看待自己工作的价值百分比，会产生截然不同的安全策略，并导致截然不同的结果。然而，这三者都是我们正在努力理解的合法的安全指令。

我同意。当你开始关注公司外部时，让我非常担忧的一件事是我们的供应链安全，特别是我们的供应商，即为我们提供硬件、软件的公司。

这就是我认为明智的监管和有针对性的执法非常有意义的原因，因为这提高了整个行业对网络安全的期望，并有助于提高我们所处环境的整体安全态势。对我来说，这是这项工作至少能够缩小差距的地方之一。它不会解决所有问题，但它会通过至少建立对网络安全的基本期望来缩小差距。

没有人说这会容易。

Class Four 的 Brian Becker 说，一方面，SolarWinds 事件中 Tim 的情况可能没有得到其上级领导的支持，我希望他能够在法庭上提供证据，如果他签署了这些文件并公开描绘了虚假的画面，并且在高管的压力下，他可能会有一个案例。如果没有，那么欺诈就是欺诈。

我密切关注他的案件。另一方面，任何个人都不是孤岛，需要一个团队。不仅 CEO，所有相关人员，包括风险管理人员，特别是董事会，都应该受到严厉的惩罚，因为管理团队在此处明显缺乏监督和谨慎。

我认为这种态度只是在逃避责任，只责怪他或她，我认为这是不明智的。我担心我们在这类案件中看到的情况。再次声明，我不知道这里完整的案例。

史蒂夫，我想从你开始。但看起来他们正在被剥夺。唯一受到责备的人。

我想，当我们回到 SOX，例如，财务方面，对 CFO 的价值发生了变化，因为他们变得负有法律责任，对 CEO 签署某些文件负有法律责任。再次声明，我认为这里每个人都在说，CISO、CIO、COO。

所以，这个缩写代表新的网络安全主管，就像你的律师和你的 CFO 一样，现在需要成为负责网络安全风险的指定主管。这是好消息。坏消息是，CISO 角色目前还没有真正存在。

它非常动态。它仍然主要以技术为导向。它正在向组织中的业务角色转变，政策制定者现在都在说，我们同意 CEO 是负责方。

每个人都在观察，你知道，关于整个 CISO 角色的讨论，还不够清晰，我们想要的是什么，以及我们正在经历的正式化过程，在未来三到五年内，CEO 角色将更加正式化。或者我想说，对 IT 的正式化程度更高，因为它一直在演变。但直到现在，没有人关心，因为尽管我们可能会因 GDPR 而支付罚款，但我们从未因重罪而承担责任。

而这次重罪和 IT 负责人入狱的练习，意味着我们正在努力弄清楚自己在其中的位置。所以我认为，最终常识会占上风。

常识会短暂地出现，然后我们又会陷入理性。我想我们现在正处于常识即将出现，并通过法院系统来理解和认识到很多事情的开始阶段。所以，你们会看到行业中发生很多好事。但在这段时间里，对网络安全人员的恐惧、不确定性和怀疑，以及高管们为了购买产品而对网络安全人员的信任，现在正在反过来影响我们。

我不想具体说明，但是你提到，你知道，你是在一个框架下运作的。但我意识到，这个框架的一部分是，你拥有沟通渠道和法律人员，他们会关注新的法规和法律，然后回来建议你，艾伦，发生这些事情。所以我们需要这种类型的报告，因为我们的框架必须适应这种情况。我的意思是，就本质而言，这并不是什么新鲜事，这只是我们开展业务的方式。

这就是为什么我认为在这种情况下回到基础知识很重要。你的风险目标是什么？你的控制框架是什么？你的风险姿态是什么？用分析来引领，并推动透明度。这些期望不会改变。我从你开始这一部分的问题中获得的印象是，我认为这只是这个角色在重要性和突出性方面自然演变的结果。

我大部分职业生涯都是 CIO，如果我需要签署一份证明文件或关于控制姿态的任何文件，或者任何与担任 CIO 相关的事情，我会，并且我知道我疏于职守。我会期望自己承担责任。我认为网络安全领导者被要求记录并批准他们的控制工作，情况也应该不会有任何不同。

所以，再次声明，这是自然演变，如果这导致一些网络安全专业人员离开市场，那就这样吧。如果你被置于一种被迫签署你知道不正确的东西的境地，那么你应该离开，我认为这类似于 SOX 时代 CFO 的职位，这可能是一个职业发展上的错误。所以，再次声明，我不想让大家感到紧张、害怕或觉得必须离开这个行业。只是要理解期望值已经提高，并且与 CIO 或 CFO 或 CEO 保持一致，确保我们公平地代表组织的姿态。CFO 有财务姿态，你将拥有安全姿态。

所以，艾伦，我想在这一点上再深入探讨一下。我在美国国会与一位律师谈过。

她当时在国会。

她说，史蒂夫，缺少框架。我就在几周前才了解到这一点。这是一个框架，而不是一个标准。

你可以对框架负责，但你只能对标准负责。好的，所以，我举个例子，我们谈论这个框架。

我无法做到，那里没有标准，对吧？你遵循的是什么标准？我是否要获得 2 型 2 级证书，然后我是否要获得联邦证书？我们必须谈论标准，以便能够证明符合标准的合规性。

我们还没有共同的标准，我们有一套。是的。然而，我们现在却在谈论框架。

使用“框架”一词是我们要对之负责的事情。我有点好奇，从你的角度来看，我看到的是经济框架与标准。你在哪里？

所以，这是一个新的答案。如果我查看 ISO 框架或类似框架，我们这个行业已经知道我们需要做什么相当长一段时间了。这些框架，例如 NIST 框架，提供了如何运营安全组织的全部细节。

当我说控制框架时，我的意思是，在你所运营的公司内部，你如何定义你的风险目标、你的控制映射、良好的表现是什么，以及你的风险姿态在哪里？然后你如何报告和确保这些控制？所以，当我说框架时，它更多的是指公司内部的控制框架，而不是外部框架，后者主要是一些最佳实践和建议。

我认为答案的细微之处在于，我看到的是所谓的附加法规，但这些类型的标准正在被编纂，对什么是良好表现有更清晰的认识。这意味着你必须拥有某种控制姿态。例如，我们可以从能源部在后殖民时代遭受的攻击中看到这一点。

他们对期望非常明确。他们希望改进身份管理。他们希望拥有，我认为，我们安全标准的方式，正如你将 IT 作为如何保护关键基础设施的方式进行描述。

所以我认为类似的情况可能会更广泛地应用于医疗保健行业。鉴于最近发生的攻击，我认为他们可能会看到更高的期望。并且会有明确的标准，监管机构将以此作为基本的网络安全姿态。

这太棒了。顺便说一句，今天播客中最大的收获是，网络安全法庭变得越来越重要。这就是为什么围绕 IT 的法规越来越多，以及 CISO 角色比以往任何时候都更重要。

所以，我们同时面临两件事。这也不是第一次出现这种情况。顺便说一句，法规会随着时间而变化，我想知道。所以，现在 CISO 角色在讨论中比以往任何时候都更突出，对吧？我们到了节目中艾伦的部分，或者问你哪个引语最让你印象深刻。

我认为有很多很棒的引语，大卫。对我来说最能引起共鸣的是查尔斯关于避免传票的引语。我认为这对于自我保护以及职业生涯的延续性来说非常重要。所以，做正确的事情，尽量避免传票，并了解你的方向。史蒂夫，你最喜欢的引语是什么？

我将采取一个略微不同的立场。我兴奋地选择约翰·阿瑟·沃尔斯特罗姆的话，他是 Weather Company 的 CISO，他说 SEC 现在要求完全透明，并且上市公司的董事会现在对此一无所知。虽然在公开披露中提供足够的细节来概述风险，而不暴露所有底牌，这可能很困难。

在披露多少信息是过多的平衡点在哪里？我认为这与行业中 CEO 角色的重要性有关。我们被告知要充分沟通我们的漏洞和攻击能力，而我们看到的是，SEC 只是说，但我们能向你展示所有内容，而没有像财务控制那样明确的标准来界定界限。

我认为这是我们被告知方向，但我们没有被告知如何证明这种方向，而不会泄露太多信息的根本原因。现在我们正在经历所有这些讨论，因为我们正在处理这些问题。

非常好。太棒了。这将使我们达到节目的结尾。

非常感谢我们的赞助商，SpyCloud。很高兴他们再次加入我们。我很欣赏他们在那里所做的事情。

你们应该获取用户暴露身份数据的免费报告。这绝对值得一看，请访问 spycloud.com。我做了。

你们也应该访问 spycloud.com。去看看。我想感谢你们。史蒂夫，总是感谢你。艾伦，我总是喜欢问我的来宾，如果他们正在招聘，你们是否正在招聘？

我们一直在寻找优秀的网络人才。所以，请通过 LinkedIn 联系我，我很乐意与你交谈，网络安全社区中也有很多优秀的从业者。

很高兴听到你这么说。我们将在本期播客的博客上提供艾伦的 LinkedIn 个人资料链接。请访问 ciso-series.com。一如既往，我们非常感谢各位观众收听本期“深度防御”节目。

我们已经到达了“深度防御”节目的结尾，请订阅，这样你不会错过任何关于网络安全热门话题的讨论。本节目受益于你们的贡献。请撰写评论，在 LinkedIn 或我们的网站上留下评论，访问 ciso-series.com，您还可以找到许多参与方式，包括录制问题或评论以供节目使用。如果您有兴趣赞助播客，请直接联系大卫·斯帕克，发送邮件至 [email protected]。感谢收听“深度防御”。