未来网络安全合规的挑战与机遇

重点摘要

• 随着即将实施的证券交易委员会（SEC）要求，公司需向网络安全基础设施安全局（CISA）和相关利益方报告安全事件，提升透明度的挑战将非常艰巨。
• 许多公司目前仍处于被动披露阶段，缺乏有价值的信息。
• 政策和规章的变化将使网络安全成为投资者及董事会关注的重点。

在即将推出的
下，企业必须向网络安全基础设施安全局（CISA）以及相关利益方报告安全事件，然而，企业遵守这些规定和提高透明度的难度将会很大。Equifax副总裁及首席信息安全官（CISO）
Jamil Farshchi 在4月24日RSA会议的会议上表示，目前，多数企业在披露违规事件方面采取的是被动的姿态，远非普遍做法。

Farshchi 是在经历了
后加入公司的，该事件导致1.82亿美国消费者的个人数据和209,000个个体的信用卡数据遭到泄露。此事件引发了多次国会听证会、首席领导层的提前退休以及一系列监管和立法变更。

这一事件也严重损害了公司的声誉，而Farshchi在其任期内一直积极致力于改善。为了提高透明度，Equifax每年发布的安全报告包含了大量的指标和数据。“我不会自我吹嘘，”Farshchi表示，发布这些报告有时让他感到不安，但这对提高透明度至关重要。这一努力在公司的首席执行官的支持下得以实现，后者将其定为优先事项。

公司名称 | 报告类型
—|—
Equifax | 年度安全报告
HP | 最近几年发布的类似报告

虽然一些企业如HP也进行了类似的努力，但大多数公司仍停留在被动阶段。斯派里昂公司（Spirion）隐私副总裁及总法律顾问ScottGiordano指出，很多披露内容都缺乏有意义的信息，导致无法为资本市场提供有效支持。“我读到一些披露简直是灾难性的，毫无用处，”Giordano说。“假如它们没有任何实用性，在资本市场面前也显得无效。”

随着监管机构不断改变执法方式、攻击者的手段不断进化，企业必须重新考虑披露的性质和完整性。SEC特别将要求公司不仅要向CISA报告，也要向投资者透明。在当前的情况下，很多披露更像是一场表演，而不是为投资者提供有意义的洞察。这是需要改变的地方，Giordano如是说。

总体而言，企业在对抗网络攻击和识别风险的可见性方面取得了巨大进展。创建披露的过程本身应被视为积极的步骤，因为高管团队必须对这些内容进行审查。Farshchi则强调，关键在于披露是否以“良好的信念”发布。

未来的变化将“巩固网络安全作为投资者、董事会以及银行家们的重要议题，”Farshchi指出。这一趋势使得网络安全将成为所有组织更为重要的高层话题，并有助于安全领导者更有效地保护组织。他强调，“披露的完整性至关重要。”

“银行行业正是这些亟需变革的典型代表，”穆迪投资服务分析师LesleyRitter解释说。2010年代早期银行行业发生的重大数据泄露导致了更多的披露和透明度，随之而来的监管也更为广泛。金融行业反过来推动了关于网络安全的更广泛讨论。Ritter提到，近期的研究显示，在监管的刺激下，行业内的披露数量在不论企业规模的情况下都有相当程度的一致性和改善。

除了72小时的报告要求外，Giordano指出，SEC还希望公司能“预测和减轻网络风险”。他说：“这本身就是一场游戏