宾夕法尼亚州CISO罗伯特Maley解雇的原因是谈论一个安全事件在最近的RSA会议上没有他的老板的批准。从那时起,他被描述为从烈士充分披露的原因一位粗心的执行应该知道更好。
Maley说他的评论从未把风险状态的数据,他说因为他想促进成功的国家在信息保障的世界。其他人,像社会专栏作家Ira温克勒,教训是,有时,最好保持安静。
全封闭伸向其他安全主管和问他们是否会做什么Maley如果在更大的图景,他罪有应得。大多数人的观点是他的解雇是合理的。这里有五个逐字反应解释为什么人们会有这样的感觉:
杰弗里·Bardin IT安全老兵,全封闭的博主
从纯粹的程序性的角度来看,即。,假设他签署了文件要求许可说等科目,那么他应该被解雇。另一方面,经常CISOs钳制,他们的个人和职业诚信不仅受到攻击,但有望打破。这些成为道德问题,然后需要伟大的思想和灵魂搜索。
他的披露不安全行业视为一件大事;只是一个在我们日常看到的和不允许的。有些人可能认为这是一种大鱼钩或违约行为。另一方面,有多少其他问题PA隐藏的状态(如大多数组织),危及他们选区的信息吗?
在哪里组织规定要求CIO必须交付代码从缺陷是免费的吗?有多少其他网络应用面临完全相同或其他的漏洞吗?我们如何让他们承担责任和问责提供代码缺陷自由?
总的来说,我不认为他应该被开除违规的组织规则,当我看到许多管理者严重违反他们经常无追索权。他解雇只是另一个警告所有CISOs你最好拖行不管你所看到的。现在他解雇,我会感兴趣的所有活动的充分披露PA的状态。哪里有烟有火。
Rafal洛杉矶芝加哥安全专家
除非你是一个告密者你闭上你的嘴,拖行。如果你的工作非常具体的规则你不要抱怨它一旦你把它们,不管你有多么重要。事实是,这家伙应该闭嘴,或者至少不会认为自己是如此重要RSA与会者。
Ron Baklarz CISO美国铁路公司
我不得不同意Maley未被授权讨论事宜进行调查。从我读什么,所谓的“黑客”是一个系统在一个特定的系统异常(例如,把9/9/9999日期默认为今天的日期)。如果这是准确的,Maley的披露没有增加太多,如果任何提醒社区的任何形式的令人发指和普通危险,我们都应该意识到,除了低劣的编码实践。换句话说,没有任何可操作的情报来自他的信息披露。
雁行,前首席执行官鲍勃西CISO Fifth Third银行
这一切都取决于是什么在他的协议。作为一个原则问题,CISO安全漏洞后不应该被解雇,除非有过失CISO的一部分。在社区的法律,一般建议不要解雇他们公司起诉后,同样,他们不能阻止诉讼的发生。他们的责任是创建正确的法律环境和与他们的管理团队合作,他们面临的法律风险最小化。决定接受风险,减轻或转移风险是一个业务决策和法律总顾问从来不接受风险。
同样,CISO不能预防安全漏洞,但可以做商业上合理的公司。CISO应该建议的管理团队和董事会关于他们面临的技术风险。与法律风险,企业应该对吸收决定风险。企业存在赚钱,为了赚钱企业需要承担风险。需要计算的风险,这是CISO的由来。CISO需要教练的业务但业务需要进行通用技术风险的决策。
马丁·费舍尔的经理在达美航空计算机安全应急反应小组
Maley故意透露和讨论的问题涉及他的雇主在一次会议上,他根本不是van buren说话——就是这样。他冒险,丢了工作,就像有人在他的员工。
这不是CISOs钳制、负责违反(他甚至不是一个报告违反——只是一些坏行为代码)的一位高管不遵循规则。
信息安全领导我们* *必须遵守规则。当我们选择违反规则我们*必须*接受后果。
Maley的信用他没有试图逃跑(据我所知)负责他的决定,我赞美他。
这个故事,“Maley混乱:解雇合理吗?五个视角”最初发表的方案 。