多年来,董事会里流传着一个笑话:“律师和工程师有什么区别?律师不认为自己是工程师。”
这句轻松的调侃凸显了这两个职业之间的根本差异。工程师,以及由此延伸的CISO,专注于构建和修复事物,学习各种技能,有时甚至涉足无人教授的技术领域。而律师则旨在发现问题、应对灰色地带并预测风险。
尽管这些差异似乎预示着两者之间的冲突,但它们往往能促成强大的合作关系。通过结合各自的技能,这两个群体能够应对技术、创新和法规之间不断演变的交集。
“网络安全和数据泄露不仅仅是技术问题,”摩根富兰克林咨询公司(MorganFranklin Consulting)的前CISO兼董事总经理迈克尔·韦尔奇(Michael Welch)表示,“它们可能与法律、法规和声誉风险交织在一起,需要采取协作、主动的方法。”
尽管CISO与其法律团队之间的关系至关重要,但事情并不总是一帆风顺。不同的优先事项和沟通障碍可能会产生紧张关系,甚至导致冲突,然而,加强这一合作关系不仅有益,而且对于企业管理风险和应对复杂的网络安全和合规挑战至关重要。CISO可以采取一些措施来促成这一合作。
CISO必须与法律团队建立联系
在网络安全和隐私方面,全球范围内新法规层出不穷。对于公司,尤其是那些有国际业务的公司来说,了解这些变化以确保合规是强制性的。CISO与其法律团队之间的持续沟通可以帮助企业掌握最新动态。
“最好提前了解企业运营所在司法管辖区的安全和隐私要求,并为可能违反这些法律的事件准备应对措施,”WithSecure的CISO克里斯汀·贝杰拉斯科(Christine Bejerasco)表示。
当然,如果双方已经建立了关系,那么沟通就会更加顺畅。如果没有,那么应该建立这种关系。“联系法律专家应该像联系其他同事一样直接,”贝杰拉斯科补充道,“直接跟他们谈。”
当关系刚开始建立时,WithSecure的CISO建议找到一些共同点来建立联系。她还指出了清晰沟通和保持简洁的重要性。“例如,在发生事件时,最好在对话开始时就把事实摆在桌面上:问题、司法管辖区、事件对公司的影响以及你的打算应对措施。”她说。
韦尔奇补充说,CISO应该将与律师的对话框定为以解决方案为导向的讨论,专注于短期和长期的风险管理。“通过将对话框定为双方共同努力保护企业的伙伴关系,CISO可以确保法律顾问能够及时提供符合安全和业务目标的知情建议。”
避免“橡皮图章”心态
法律团队的存在不是为了简单地批准决策,而是为了提供见解、减轻风险并帮助公司遵守法规。“一种肯定会损害与法律团队关系的方式就是把法律团队当作‘橡皮图章’,”BishopFox的红队实践总监兼前首席安全官特雷文·埃奇沃思(Trevin Edgeworth)表示。
当律师被期望只是提供批准时,他们可能会感到沮丧和被低估。未能让律师参与整个过程的CISO可能会无意中表明他们不尊重这些专业人士的关键专长。
“如果他们觉得自己的角色只是批准而没有有意义的参与,他们就不太可能优先考虑你的努力或将其视为合作,”埃奇沃思补充道,“成功的合作需要相互尊重、开放沟通和持续协作。”
不要试图“自己处理”
当然,把问题掩盖起来不是解决办法。在发生危机时,法律部门必须尽早介入,指导技术团队应对监管和合规的复杂性,并帮助他们保护机密信息。
“不要遵循先解决后告知的心态,”韦尔奇表示,“从一开始就让法律部门参与进来,以确保协调一致的响应,并记录一切。”他补充说,在联系法律部门之前等待可能会导致错过强制报告期限,从而给企业带来风险。
透明度也应该是心态的一部分。“CISO需要保持透明,分享相关信息,同时避免用技术术语淹没法律部门。”韦尔奇表示。
在谈到完全透明时,贝杰拉斯科建议CISO要坦诚地说明他们知道什么和不知道什么。“这些律师像你这样的安全人员一样,都在保护企业,”她说,“从高层次上看,你们有相同的使命。如有疑问,提醒自己回到那个共同使命上,这样工作就能更顺畅地进行。”
坚守自己的领域
一些CISO有法律背景或与总法律顾问有大量合作经验。然而,这并不意味着他们应该充当法律顾问或承担职责之外的责任。“尊重界限,不要越界是很重要的,”Halcyon的CISO斯泰西·卡梅隆(Stacey Cameron)表示,“有不同的意见、解释或健康的讨论没有错,但对于法律问题,将由律师代表公司提出论点,因此我们需要尊重彼此的角色,坚守各自的领域。”
据卡梅隆(Stacey Cameron)表示,在尝试与企业内的律师建立关系时,越界是CISO可能犯下的最大错误之一。“律师们的大部分时间都花在了解适用于企业的法律、构建/审查合同协议、服务级别协议(SLA)、主服务协议(MSA)、公司政策、业务结构、专利以及其他确保公司成功运营和保持良好声誉的任务上,”她说,“当CISO开始做出与企业内其他部门相冲突的内部/外部决策时,这可能会导致混淆,并可能引发未来的法律问题。”
无论是有意还是无意,这都会给CISO与法律团队之间的关系带来紧张——而这种关系可能难以修复。“信任的缺失往往难以重建,并可能导致整个企业的困难,”卡梅隆补充道。
企业交叉培训环节
两支团队——律师和安全专家——可以通过分享专业知识并相互教育来协作。“进行模拟数据泄露或安全事件的桌面演练,”韦尔奇(Michael Welch)说,“这将帮助CISO和法律团队了解彼此在这种情况下的角色和责任。”
BreachRx的创始人安迪·伦斯福德(Andy Lunsford)建议每季度在全公司范围内进行事件模拟,让法律专家和安全专家都参与其中。他还建议进行现实培训,让团队接触法律场景:“为CISO/安全团队举办一次取证工作坊,向他们展示他们团队所做的工作如何在法庭上轻易地被用来对付他们。”
尽管安全和法律团队可能大相径庭,但记住他们之间有共同点是有用的。“两者都专注于通过识别、评估和减轻风险来保护企业。两者都确保遵守外部和内部规则,以避免监管或声誉损害。两者都面临着在保护企业与支持战略业务目标之间取得平衡的持续挑战。”埃奇沃思(Trevin Edgeworth)说。
将协作融入日常习惯
在《摩擦项目》(The Friction Project)一书中,斯坦福大学教授罗伯特·I·萨顿(Robert I. Sutton)和休吉·拉奥(Huggy Rao)认为,伟大的领导者“让正确的事情变得容易,让错误的事情变得困难”。如果我们遵循这一建议,那么很明显,促进CISO与法律团队之间协作的一种方法是创建系统和流程来简化协作。
“实施一个专门为事件响应、危机管理和持续安全讨论设计的安全带外通信平台,”韦尔奇说,“这将实现实时更新、文档共享和协作决策。”
他还建议企业设立一个明确的流程,将安全问题升级给法律团队,以确保在发现潜在泄露等事件时,法律专家能够尽早介入。“通过创建一个与电子邮件或非正式消息不同的结构化沟通渠道,你可以在确保对齐的同时,避免遗漏关键细节,从而在高压力情况下做出及时且知情的决策。”他补充道。
埃奇沃思建议更进一步。他邀请公司的法律专家每月参加一次他所在红队的周会。“当我第一次提到这个改变时,我的团队瞪大了眼睛,质疑我的理智,但他们很快就认识到了其价值,”他说,“法律专家帮助我们避免了在规划、执行和报告对抗性操作中的错误,特别是通过鼓励事实性、客观性的报告。”
知识传递也可以在需要时随时进行,甚至可以在结构化活动之外进行。网络安全专家通常没有他们工作的法律方面的正式培训,而他们需要这种培训。“法律条文对他们中的大多数人来说是陌生的,”贝杰拉斯科(Christine Bejerasco)说。她的建议是保持开放的学习态度,并在需要澄清时提出问题。
根据需要频繁邀请法律专家参与
法律团队可以在各种任务上提供他们的观点。他们可以审查与第三方供应商或服务提供商签订的合同,以确保其中包含数据保护和泄露通知条款。他们可以帮助进行合规性审查,并在企业可能面临潜在风险时提供见解。
“尝试让法律团队参与讨论新兴风险、关键战略决策和项目,如红队操作,如果不小心的话,这些可能会揭露或甚至创造企业风险。”埃奇沃思说。
法律团队可以帮助CISO在早期识别风险,并在交付给业务之前避免运营或财务效率低下。“考虑在开发和执行安全计划时尽早让法律团队参与进来,”韦尔奇的同事、战略与风险高级总监凯文·麦戈文(Kevin McGovern)说,“支持这种伙伴关系将建立相互信任和共享的机构知识,从而为业务带来更好、更有效的解决方案。”
啤酒促情谊
不要低估在咖啡或啤酒上的良好交谈的力量。有时,协作会在轻松的环境中进行。“法律人士也是人,”贝杰拉斯科说,“与他们一起喝啤酒、聊天,会让你看到他们工作的不同视角,以及他们如何看待一些给我们其他人带来合规痛苦的立法。”
在亲自尝试过之后,她惊讶地发现,法律专家“并没有像我那样对增加的要求感到沮丧!简直难以置信。”
卡梅隆也同意这一点,她指出,帮助她的团队与法律专家建立牢固联系的一项活动就是卡拉OK之夜。
埃奇沃思也看到了非正式活动在建立更牢固关系方面的潜力:“通过将法律视为重要合作伙伴而不是障碍,与法律建立个人关系,”他说,“强大的个人联系往往使协作变得更加顺畅。”
通过走出正式场合,双方都能获得新的视角,并建立共同应对挑战所需的信任。有时,仅仅坐下来进行轻松的交谈就能产生深远的影响。
