多年來，董事會里流傳著一個笑話：“律師和工程師有什么區(qū)別?律師不認(rèn)為自己是工程師。”

　　這句輕松的調(diào)侃凸顯了這兩個職業(yè)之間的根本差異。工程師，以及由此延伸的CISO，專注于構(gòu)建和修復(fù)事物，學(xué)習(xí)各種技能，有時甚至涉足無人教授的技術(shù)領(lǐng)域。而律師則旨在發(fā)現(xiàn)問題、應(yīng)對灰色地帶并預(yù)測風(fēng)險。

　　盡管這些差異似乎預(yù)示著兩者之間的沖突，但它們往往能促成強(qiáng)大的合作關(guān)系。通過結(jié)合各自的技能，這兩個群體能夠應(yīng)對技術(shù)、創(chuàng)新和法規(guī)之間不斷演變的交集。

　　“網(wǎng)絡(luò)安全和數(shù)據(jù)泄露不僅僅是技術(shù)問題，”摩根富蘭克林咨詢公司(MorganFranklin Consulting)的前CISO兼董事總經(jīng)理邁克爾·韋爾奇(Michael Welch)表示，“它們可能與法律、法規(guī)和聲譽(yù)風(fēng)險交織在一起，需要采取協(xié)作、主動的方法。”

　　盡管CISO與其法律團(tuán)隊之間的關(guān)系至關(guān)重要，但事情并不總是一帆風(fēng)順。不同的優(yōu)先事項(xiàng)和溝通障礙可能會產(chǎn)生緊張關(guān)系，甚至導(dǎo)致沖突，然而，加強(qiáng)這一合作關(guān)系不僅有益，而且對于企業(yè)管理風(fēng)險和應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全和合規(guī)挑戰(zhàn)至關(guān)重要。CISO可以采取一些措施來促成這一合作。

　　CISO必須與法律團(tuán)隊建立聯(lián)系

　　在網(wǎng)絡(luò)安全和隱私方面，全球范圍內(nèi)新法規(guī)層出不窮。對于公司，尤其是那些有國際業(yè)務(wù)的公司來說，了解這些變化以確保合規(guī)是強(qiáng)制性的。CISO與其法律團(tuán)隊之間的持續(xù)溝通可以幫助企業(yè)掌握最新動態(tài)。

　　“最好提前了解企業(yè)運(yùn)營所在司法管轄區(qū)的安全和隱私要求，并為可能違反這些法律的事件準(zhǔn)備應(yīng)對措施，”WithSecure的CISO克里斯汀·貝杰拉斯科(Christine Bejerasco)表示。

　　當(dāng)然，如果雙方已經(jīng)建立了關(guān)系，那么溝通就會更加順暢。如果沒有，那么應(yīng)該建立這種關(guān)系。“聯(lián)系法律專家應(yīng)該像聯(lián)系其他同事一樣直接，”貝杰拉斯科補(bǔ)充道，“直接跟他們談。”

　　當(dāng)關(guān)系剛開始建立時，WithSecure的CISO建議找到一些共同點(diǎn)來建立聯(lián)系。她還指出了清晰溝通和保持簡潔的重要性。“例如，在發(fā)生事件時，最好在對話開始時就把事實(shí)擺在桌面上：問題、司法管轄區(qū)、事件對公司的影響以及你的打算應(yīng)對措施。”她說。

　　韋爾奇補(bǔ)充說，CISO應(yīng)該將與律師的對話框定為以解決方案為導(dǎo)向的討論，專注于短期和長期的風(fēng)險管理。“通過將對話框定為雙方共同努力保護(hù)企業(yè)的伙伴關(guān)系，CISO可以確保法律顧問能夠及時提供符合安全和業(yè)務(wù)目標(biāo)的知情建議。”

　　避免“橡皮圖章”心態(tài)

　　法律團(tuán)隊的存在不是為了簡單地批準(zhǔn)決策，而是為了提供見解、減輕風(fēng)險并幫助公司遵守法規(guī)。“一種肯定會損害與法律團(tuán)隊關(guān)系的方式就是把法律團(tuán)隊當(dāng)作‘橡皮圖章’，”BishopFox的紅隊實(shí)踐總監(jiān)兼前首席安全官特雷文·埃奇沃思(Trevin Edgeworth)表示。

　　當(dāng)律師被期望只是提供批準(zhǔn)時，他們可能會感到沮喪和被低估。未能讓律師參與整個過程的CISO可能會無意中表明他們不尊重這些專業(yè)人士的關(guān)鍵專長。

　　“如果他們覺得自己的角色只是批準(zhǔn)而沒有有意義的參與，他們就不太可能優(yōu)先考慮你的努力或?qū)⑵湟暈楹献鳎?rdquo;埃奇沃思補(bǔ)充道，“成功的合作需要相互尊重、開放溝通和持續(xù)協(xié)作。”

　　不要試圖“自己處理”

　　當(dāng)然，把問題掩蓋起來不是解決辦法。在發(fā)生危機(jī)時，法律部門必須盡早介入，指導(dǎo)技術(shù)團(tuán)隊?wèi)?yīng)對監(jiān)管和合規(guī)的復(fù)雜性，并幫助他們保護(hù)機(jī)密信息。

　　“不要遵循先解決后告知的心態(tài)，”韋爾奇表示，“從一開始就讓法律部門參與進(jìn)來，以確保協(xié)調(diào)一致的響應(yīng)，并記錄一切。”他補(bǔ)充說，在聯(lián)系法律部門之前等待可能會導(dǎo)致錯過強(qiáng)制報告期限，從而給企業(yè)帶來風(fēng)險。

　　透明度也應(yīng)該是心態(tài)的一部分。“CISO需要保持透明，分享相關(guān)信息，同時避免用技術(shù)術(shù)語淹沒法律部門。”韋爾奇表示。

　　在談到完全透明時，貝杰拉斯科建議CISO要坦誠地說明他們知道什么和不知道什么。“這些律師像你這樣的安全人員一樣，都在保護(hù)企業(yè)，”她說，“從高層次上看，你們有相同的使命。如有疑問，提醒自己回到那個共同使命上，這樣工作就能更順暢地進(jìn)行。”

　　堅守自己的領(lǐng)域

　　一些CISO有法律背景或與總法律顧問有大量合作經(jīng)驗(yàn)。然而，這并不意味著他們應(yīng)該充當(dāng)法律顧問或承擔(dān)職責(zé)之外的責(zé)任。“尊重界限，不要越界是很重要的，”Halcyon的CISO斯泰西·卡梅隆(Stacey Cameron)表示，“有不同的意見、解釋或健康的討論沒有錯，但對于法律問題，將由律師代表公司提出論點(diǎn)，因此我們需要尊重彼此的角色，堅守各自的領(lǐng)域。”

　　據(jù)卡梅隆(Stacey Cameron)表示，在嘗試與企業(yè)內(nèi)的律師建立關(guān)系時，越界是CISO可能犯下的最大錯誤之一。“律師們的大部分時間都花在了解適用于企業(yè)的法律、構(gòu)建/審查合同協(xié)議、服務(wù)級別協(xié)議(SLA)、主服務(wù)協(xié)議(MSA)、公司政策、業(yè)務(wù)結(jié)構(gòu)、專利以及其他確保公司成功運(yùn)營和保持良好聲譽(yù)的任務(wù)上，”她說，“當(dāng)CISO開始做出與企業(yè)內(nèi)其他部門相沖突的內(nèi)部/外部決策時，這可能會導(dǎo)致混淆，并可能引發(fā)未來的法律問題。”

　　無論是有意還是無意，這都會給CISO與法律團(tuán)隊之間的關(guān)系帶來緊張——而這種關(guān)系可能難以修復(fù)。“信任的缺失往往難以重建，并可能導(dǎo)致整個企業(yè)的困難，”卡梅隆補(bǔ)充道。

　　企業(yè)交叉培訓(xùn)環(huán)節(jié)

　　兩支團(tuán)隊——律師和安全專家——可以通過分享專業(yè)知識并相互教育來協(xié)作。“進(jìn)行模擬數(shù)據(jù)泄露或安全事件的桌面演練，”韋爾奇(Michael Welch)說，“這將幫助CISO和法律團(tuán)隊了解彼此在這種情況下的角色和責(zé)任。”

　　BreachRx的創(chuàng)始人安迪·倫斯福德(Andy Lunsford)建議每季度在全公司范圍內(nèi)進(jìn)行事件模擬，讓法律專家和安全專家都參與其中。他還建議進(jìn)行現(xiàn)實(shí)培訓(xùn)，讓團(tuán)隊接觸法律場景：“為CISO/安全團(tuán)隊舉辦一次取證工作坊，向他們展示他們團(tuán)隊所做的工作如何在法庭上輕易地被用來對付他們。”

　　盡管安全和法律團(tuán)隊可能大相徑庭，但記住他們之間有共同點(diǎn)是有用的。“兩者都專注于通過識別、評估和減輕風(fēng)險來保護(hù)企業(yè)。兩者都確保遵守外部和內(nèi)部規(guī)則，以避免監(jiān)管或聲譽(yù)損害。兩者都面臨著在保護(hù)企業(yè)與支持戰(zhàn)略業(yè)務(wù)目標(biāo)之間取得平衡的持續(xù)挑戰(zhàn)。”埃奇沃思(Trevin Edgeworth)說。

　　將協(xié)作融入日常習(xí)慣

　　在《摩擦項(xiàng)目》(The Friction Project)一書中，斯坦福大學(xué)教授羅伯特·I·薩頓(Robert I. Sutton)和休吉·拉奧(Huggy Rao)認(rèn)為，偉大的領(lǐng)導(dǎo)者“讓正確的事情變得容易，讓錯誤的事情變得困難”。如果我們遵循這一建議，那么很明顯，促進(jìn)CISO與法律團(tuán)隊之間協(xié)作的一種方法是創(chuàng)建系統(tǒng)和流程來簡化協(xié)作。

　　“實(shí)施一個專門為事件響應(yīng)、危機(jī)管理和持續(xù)安全討論設(shè)計的安全帶外通信平臺，”韋爾奇說，“這將實(shí)現(xiàn)實(shí)時更新、文檔共享和協(xié)作決策。”

　　他還建議企業(yè)設(shè)立一個明確的流程，將安全問題升級給法律團(tuán)隊，以確保在發(fā)現(xiàn)潛在泄露等事件時，法律專家能夠盡早介入。“通過創(chuàng)建一個與電子郵件或非正式消息不同的結(jié)構(gòu)化溝通渠道，你可以在確保對齊的同時，避免遺漏關(guān)鍵細(xì)節(jié)，從而在高壓力情況下做出及時且知情的決策。”他補(bǔ)充道。

　　埃奇沃思建議更進(jìn)一步。他邀請公司的法律專家每月參加一次他所在紅隊的周會。“當(dāng)我第一次提到這個改變時，我的團(tuán)隊瞪大了眼睛，質(zhì)疑我的理智，但他們很快就認(rèn)識到了其價值，”他說，“法律專家?guī)椭覀儽苊饬嗽谝?guī)劃、執(zhí)行和報告對抗性操作中的錯誤，特別是通過鼓勵事實(shí)性、客觀性的報告。”

　　知識傳遞也可以在需要時隨時進(jìn)行，甚至可以在結(jié)構(gòu)化活動之外進(jìn)行。網(wǎng)絡(luò)安全專家通常沒有他們工作的法律方面的正式培訓(xùn)，而他們需要這種培訓(xùn)。“法律條文對他們中的大多數(shù)人來說是陌生的，”貝杰拉斯科(Christine Bejerasco)說。她的建議是保持開放的學(xué)習(xí)態(tài)度，并在需要澄清時提出問題。

　　根據(jù)需要頻繁邀請法律專家參與

　　法律團(tuán)隊可以在各種任務(wù)上提供他們的觀點(diǎn)。他們可以審查與第三方供應(yīng)商或服務(wù)提供商簽訂的合同，以確保其中包含數(shù)據(jù)保護(hù)和泄露通知條款。他們可以幫助進(jìn)行合規(guī)性審查，并在企業(yè)可能面臨潛在風(fēng)險時提供見解。

　　“嘗試讓法律團(tuán)隊參與討論新興風(fēng)險、關(guān)鍵戰(zhàn)略決策和項(xiàng)目，如紅隊操作，如果不小心的話，這些可能會揭露或甚至創(chuàng)造企業(yè)風(fēng)險。”埃奇沃思說。

　　法律團(tuán)隊可以幫助CISO在早期識別風(fēng)險，并在交付給業(yè)務(wù)之前避免運(yùn)營或財務(wù)效率低下。“考慮在開發(fā)和執(zhí)行安全計劃時盡早讓法律團(tuán)隊參與進(jìn)來，”韋爾奇的同事、戰(zhàn)略與風(fēng)險高級總監(jiān)凱文·麥戈文(Kevin McGovern)說，“支持這種伙伴關(guān)系將建立相互信任和共享的機(jī)構(gòu)知識，從而為業(yè)務(wù)帶來更好、更有效的解決方案。”

　　啤酒促情誼

　　不要低估在咖啡或啤酒上的良好交談的力量。有時，協(xié)作會在輕松的環(huán)境中進(jìn)行。“法律人士也是人，”貝杰拉斯科說，“與他們一起喝啤酒、聊天，會讓你看到他們工作的不同視角，以及他們?nèi)绾慰创恍┙o我們其他人帶來合規(guī)痛苦的立法。”

　　在親自嘗試過之后，她驚訝地發(fā)現(xiàn)，法律專家“并沒有像我那樣對增加的要求感到沮喪!簡直難以置信。”

　　卡梅隆也同意這一點(diǎn)，她指出，幫助她的團(tuán)隊與法律專家建立牢固聯(lián)系的一項(xiàng)活動就是卡拉OK之夜。

　　埃奇沃思也看到了非正式活動在建立更牢固關(guān)系方面的潛力：“通過將法律視為重要合作伙伴而不是障礙，與法律建立個人關(guān)系，”他說，“強(qiáng)大的個人聯(lián)系往往使協(xié)作變得更加順暢。”

　　通過走出正式場合，雙方都能獲得新的視角，并建立共同應(yīng)對挑戰(zhàn)所需的信任。有時，僅僅坐下來進(jìn)行輕松的交談就能產(chǎn)生深遠(yuǎn)的影響。