和卡兹写了去年秋天,“对于上市公司和受证券交易委员会(Securities and Exchange Commission)监管的其他实体来说,网络安全管理不善可能违反证券法。”
她指出,Dodd-Frank法案建立了SEC举报手续计划,虽然它没有特别解决网络安全,但如果公司不遵守合规要求,仍然可能导致执法行动。
但这些含义都有资格 - 锤子和凯茨都用“五月”和“可以”而不是“意志”的话来锻炼他们的结论。
Ariel Silverstone是一名咨询首席安全和隐私官,并不认为资格是必要的。他说,由于SEC的举报手语言不排除网络安全,因此包括包括网络安全。
[更多关于cso的信息:改变举报人 - 报复文化]
尽管如此,所有参与的人都说,不可能对这个主题制作毯子陈述,因为它不是一个简单,黑白问题。
Aberdeen Group副总裁兼研究人员Derek Brink指出,每个安全专家都说 - 没有100%的安全性 - 因此,安全专业人士的作用是“帮助公司管理其安全相关的风险”可接受的水平。“
如果公司忽略了明确的监管或法律指令 - 例如R.T.琼斯未能强制执行“保障措施规则”,以确定保护客户信息的标准 - 这将使它相对容易的呼叫。
但布林克表示,如果归结为对可接受的风险管理水平存在分歧,那就不太清楚了。
“关键点是安全专业人士不拥有风险,”他说。“商界领袖拥有它。因此,安全专业人士的工作是建议和推荐的,但这是商界领袖的工作。“
如果它归结为对适当风险管理水平的意见差异,他说没有合法的吹口哨。
Anton Chuvakin,Gartner技术专业人员的研究副总裁,安全和风险管理,同意。犯罪或明确的监管违规是一回事,但是,在大多数情况下,Abysmal安全不是犯罪,因此很难将他或她作为举报人,“他说。
安东尼·氯楚,技术专业人员Gartner的研究副总裁,安全和风险管理
施瓦茨表示,任何审慎的组织都将认真对待网络安全,因此调查员工提出的任何疑虑。但他表示,工人首先通过指挥链表示这些问题是重要的。
如果没有回应,或者是敌意回应,“他们可以在有必要的情况下,通过其他部门寻求帮助,但对于这种情况,没有万能的办法。”
凯茨不想制作毯子陈述。她说,对于举行的举报人受到保护,她说,投诉可能会有关于未能遵守法律或监管要求的诉讼。
“除了SEC外,FCC(联邦通信委员会)和FTC(联邦贸易委员会)也在加强LAX网络安全标准,”她说,补充说,“最近可能存在最近的网络安全信息共享法案(CISA举报人可以依赖于此。“
但她说,总的来说,网络安全举报人的合法投诉“仍在解决中”。
很明显,组织避免所有这些潜在麻烦的方法是认真对待网络安全。
但安全措施可以复杂且昂贵,并且在一个对限制开支至关重要的超竞争力世界中,这并不总是如此。
然而,Securosis的分析师兼首席执行官Rich Mogull认为,应该是这样。他对此直言不讳。“如果报告了问题,你就修复它。句号,”他说。“这就是我们需要处理的安全问题。如果有人不得不绕过主管来解决问题,那么是时候深入调查出了什么问题,以及为什么要通过举报来解决问题,而不是通过正常渠道。”
Silverstone表示,他鼓励员工报告任何安全性的缺陷,以同样的方式报告安全或骚扰。他说他甚至可以成为员工政策手册的一部分。“我鼓励他们对它变得坚定,”他说,在他的经验中补充说,几乎所有带给他担心的人都是很好的。
“滥用该系统的人很少有滥用制度。”“我只记得一个没有讲真相的人。”
尽管如此,对于那些不为政府工作或有工会保护的人来说,离开管理层去揭发安全问题是有风险的,即使投诉得到支持。
一位匿名专家说,更有力的法律可能会有所帮助。这位专家辞职,而不是虚假地证明合规,也没有举报。“我们的经济是这样建立起来的:雇主占了上风。这样做不会有什么好结果,”他说。
这篇题为《网络安全揭发者:准备好迎接更多》的文章最初发表于方案 。