SolarWinds事件：CISO的责任与未来展望

关键要点

• 风险责任增加 ：SEC对前SolarWinds CISO的指控表明CISO面临更高的法律和财务责任。
• 沟通必要性 ：CISOs与其他高管之间需要加强沟通，以共同应对网络安全风险。
• 综合风险管理 ：采用团队合作的方式和先进的风险管理工具，有助于提升整个组织的网络安全态势。
• 持续监控的重要性 ：仅仅满足合规要求已不再足够，必须进行持续的安全监控和防御验证。

随着前
SEC指控，安全高管的责任局势发生了变化。SEC对Brown个人责任的判决表明，CISO社区的责任和后果正在不断变化。如今，CISO可能因监督下的网络安全缺陷或不当的网络风险评估而承担法律和财务责任。

除了 ，这类事件还会导致巨额合规罚款和负面公众形象。因此，CISOs需要实施重要的改进措施，以保护组织的安全态势。现在，工业组织迫切需要更好地理解其网络风险，并消除CISO、CSO与首席财务官等其他高层之间的信息孤岛，以减轻未正确记录风险对公司盈利的负面影响。必须装备CISOs履行这一新责任，并弥合不同团队之间的沟壑，这些团队通常有着不同的驱动因素和语言。

关键基础设施行业的弱点

与操作技术资产及关键基础设施工业控制系统相关的组织（如交通、制造、大型数据中心、能源和石油天然气行业）特别易受网络攻击。这种脆弱性因远程监控工具（如IT和物联网）的整合而加剧，网络罪犯找到新的攻击途径，同时也提高了CISO面临的风险。

这些漏洞带来了巨大的代价——不仅是经济上的损失，还有增加的法律风险。这些环境的互联性还意味着，一次安全漏洞可能导致连锁反应，造成顺序失败，并有可能危及公众的健康和安全。由于与公共福利的关联，在这些行业中，发生安全漏洞后的法律责任风险高于其他行业。

CISO与CFO的关系演变

SolarWinds案件凸显了CISOs与其他高层领导之间需要建立清晰且一致的沟通。如果这些领导者之间缺乏持续的开放对话，就无法完全了解潜在网络风险相关的各种复杂因素。现在我们看到，这些风险很容易超越安全问题，涉及灾难性的财务和法律后果，因此关于这些风险的对话不应仅限于CISOs之间。

CISOs和其他高管的角色和责任差异巨大，这自然会导致过程和优先事项的孤立。然而，为了确保组织之间的协同一致，有效保护组织免受数据泄露和法律责任的影响，企业领导者必须学会“说同一种语言”，并共享信息，以便相互对齐努力和目标。

CFO与CISO必须合作，评估网络安全事件与法律风险之间的关系。我们可以利用网络风险量化和管理工具来促进这一工作，这些工具整合数据以计算、量化并将关于威胁和脆弱性的
信息转化为易懂的数据。

展望未来的考虑

近期的SolarWinds新闻也强调，仅仅满足合规要求已不再足够。案件中展示的增强责任进一步强调了持续监控安全基础设施的必要性，并确认在发生漏洞之前已经部署充分的网络防御。通过接受主动的网络风险管理并整合那些提供全面风险暴露视图的工具，CISOs能够领先于潜在事件并弥补关键的漏洞，保护自己和组织免受各种问题。

展望未来，组织在安全操作中采用“团队运动”方法将大有裨益。通过为每个人参与安全相关的讨论创造空间，CISOs可以在整个组织中建立网络安全的重视。通过加强网络风险管理在