首席信息官有什么用？能在网络安全法规方面发挥巨大作用！！

随着针对企业和其他组织的网络攻击逐年增加，全球各国政府都在制定影响首席信息官的网络安全法规。

麻省理工学院信息技术教授斯图尔特·马德尼克 (Stuart Madnick) 表示，从 2022 年到 2023 年，麻省理工学院的数据泄露事件增加了 20%，并且正在遵守 170 多项规定企业网络安全要求的法规。 Madnick 在 2024 年麻省理工学院斯隆商学院 CIO 研讨会上发表讲话。

网络安全法规源自美国多个实体，包括白宫、国会、36 个州政府、联邦贸易委员会和证券交易委员会 (SEC)，以及其他国家的政府实体。 Madnick 说，大多数法规都会影响 IT 系统。

法规通常不关注单一问题。事实上，在评估网络安全法规时，麦德尼克表示，这些规则始终要求公司实施至少 18 项要求。这些可以作为首席信息官了解合规性并为网络威胁做好准备的蓝图。

“其中许多法规涵盖多个领域，”麦德尼克说。违反这些规定可能会受到严厉的公开和经济处罚。”

Madnick 表示，虽然网络安全法规在多个领域存在重叠，但有五项要求对首席信息官尤其有影响。

Madnick 说，软件物料清单 ( SBOM ) 是各种产品中使用的组件的综合清单。《2023 财年国防授权法》等立法规定，任何与国防部或能源部合作的企业都必须为每份新合同提供此类清单。在欧洲，《网络安全法》也提出了类似的要求。

鉴于这些漏洞，首席信息官和企业领导者被迫破译他们的系统，以确定 Log4j 是否嵌入到他们的软件产品的各个层中。

“许多公司不知道他们拥有它，因为他们个人从未购买过 Log4j，”Madnick 说。“例如，他们购买的是一个会计系统，但他们没有意识到这些会计系统的开发人员已经安装了 Log4j 作为其组件的一部分。”

设计安全意味着在产品设计过程开始时实施网络安全措施，而不是在最后添加这些措施，麦尼克表示，这对于不以这种方式运营的企业来说是一个重大挑战。

但《加州物联网法案》等网络安全法规要求设备制造商在整个产品设计中实施合理的安全功能。

马德尼克表示，从长远来看，从一开始就考虑网络安全将有助于保护企业，不仅避免违反法规，而且避免日后出现其他问题。

“事后采取行动并不总是那么容易，”他说。“在某些情况下，它几乎需要你拆卸并重新设计整个产品。”

当网络攻击者锁定或窃取公司的数据并要求付款才能归还或解锁数据时，就会发生勒索软件攻击。

然而，麦德尼克表示，包括北卡罗来纳州在内的多个美国州法规禁止企业支付勒索软件要求，以阻止勒索软件攻击，使攻击者无利可图。

一些企业将赎金支付纳入公司政策中，或与保险公司协商以确定是否涵盖勒索软件攻击，但 Madnick 表示，首席信息官需要考虑“您的公司政策是什么”以及“您的公司政策与各种法规有何关系”那里。”

CIO必须关注数据规则，包括可以收集哪些数据、可以保存多长时间以及如何保护数据。美国多个州已通过数据隐私法律，GDPR是欧盟的主要数据治理立法。

“数据治理存在一系列问题，”麦德尼克说。他补充说，保护数据是每家公司的一个重要问题。

麦德尼克说，所需的网络安全事件报告对于大多数企业来说是一个新的发展。直到最近，除非网络安全事件涉及泄露个人信息，否则这还不是一项要求。他表示，事件报告是“监管非常活跃的领域”。

例如，美国证券交易委员会的新网络安全规则要求企业在事件发生后四天内报告对公司财务状况或业务运营产生重大影响的网络安全事件。

Makenzie Holland 是一位报道大型科技和联邦监管的资深新闻撰稿人。在加入 TechTargetEditor 之前，她曾担任Wilmington StarNews的总任务记者和Wabash Plain Dealer的犯罪和教育记者。

文章来源于www.techtarget.com，由隐私合规交流圈 隐小私整理，转发请备注出处