卡茨写去年秋天说,“通过向美国证券交易委员会监管上市公司和其他实体,其网络安全的管理不善可能违反证券法。”
她指出,《多德-弗兰克法案》设立了美国证券交易委员会(SEC)的举报人项目,该项目虽然没有专门解决网络安全问题,但如果一家公司违反了合规要求,仍可能导致执法行动。
但是,这些暗示伴随着资历——哈默和卡茨都用“可能”和“可能”这样的词来弱化他们的结论,而不是用“将要”。
咨询公司首席安全和隐私官阿里尔·西尔弗斯通(Ariel Silverstone)认为,这些资格没有必要。他说,由于SEC的举报者程序语言没有将网络安全排除在外,因此它也被包括在内。
[MORE ON CSO:改变告密者报复的文化]
不过,所有相关人士都表示,不可能对这一话题做出一针见血的评论,因为它不是一个简单的、非黑即白的问题。
Derek Brink是Aberdeen集团的副总裁兼研究员,他注意到每一位安全专家都说,没有百分之百的安全,因此安全专家的角色是,“帮助公司将安全相关的风险管理到可接受的水平。”
如果一家公司忽视了明确的监管或法律指令——比如R.T. Jones未能执行为保护客户信息制定标准的“安全保障规则”——那就相对容易了。
但是,布林克说,如果把它归结为一个分歧是什么风险管理的水平是可以接受的,它是那么清楚。
“关键是,安全专业人员不承担风险,”他说。商业领袖拥有它。所以提供建议是安全专家的工作,但做决定是商业领袖的工作。”
他说,如果问题归结为对适当的风险管理水平存在意见分歧,那就没有什么正当的理由。
高德纳公司(Gartner)负责技术专业人员安全与风险管理的研究副总裁丘瓦金(Anton Chuvakin)对此表示赞同。他说,犯罪或明显违反监管是一回事,但“在大多数情况下,极度安全并不构成犯罪,因此很难把他或她列为告密者。”
安东Chuvakin他是Gartner公司负责安全与风险管理的研究副总裁
施瓦茨说,任何谨慎的机构都会认真对待网络安全问题,因此会对员工提出的任何担忧进行调查。但他说,重要的是,工人们首先要通过指挥系统表达这些担忧。
如果没有响应,或敌对反应,“他们可以寻求通过其他当局的援助,如果这是必要的,但没有一个放之四海而皆准的这些类型的情况。”
卡茨也不想做一刀切的陈述。她说,要想保护举报人,投诉可能必须是关于没有遵守法律或监管要求的。
“除了美国证券交易委员会,联邦通信委员会(FCC)和联邦贸易委员会(FTC)也在执行宽松的网络安全标准,”她说,并补充说,“最近的网络安全信息共享法案(CISA)的一部分可能是告密者可以信赖的。”
但是,从广义上讲,她说,由举报人,一个网络安全合法的投诉有什么资格“仍在整理出来。”
对于组织,以避免所有这些潜在的麻烦的方法是采取网络安全重视这似乎是显而易见的。
但安全举措可能复杂而昂贵,而在一个高度竞争的世界里,限制开支至关重要,但情况并非总是如此。
它应该是,不过,根据丰富的Mogull,谁是既分析师兼CEO Securosis。他是钝了。“如果出现故障报告你解决它。句号,”他说。“这是安全需要如何处理。如果有人去走一走监事得到的东西的照顾,那么它的时间进行更深层次的调查出了什么问题,为什么有人不得不鸣笛得到一个问题解决了,对通过正常渠道处理它。”
西尔弗斯通说,他鼓励员工报告任何察觉到的安全漏洞,就像他们应该报告安全或骚扰一样。他说,他甚至把它作为员工政策手册的一部分。他说,“我鼓励他们对此要坚定。”他补充说,根据他的经验,几乎所有向他提出担忧的人都是出于好意的。
“很少有人滥用这个制度,”他说。“我只记得有一个人没有说实话。”
不过,对于那些谁不工作,为政府或谁拥有工会的保护,外出管理,以打击对安全问题的哨子是有风险的,即使有申诉维持原判。
更强的法律可能会帮助,说谁辞职,而不是虚假地证明遵守,并没有吹哨匿名专家。“我们的经济是建立在这样一种方式,雇主已占上风。没有什么好会来的,”他说。
这个故事,“网络安全告密者:准备好更多的”最初发表CSO 。