既然“网络安全”是一个董事会层面的话题，雇主是否应对员工行为导致的违规行为负责的问题经常被讨论。尽管答案直截了当，但如何应对却要微妙得多。Sharpe Management Consulting LLC的负责人Alex Sharpe讨论了保护、检测和恢复的框架和关键问题，得出了可能产生真正影响的五个步骤。

很难想象雇主对雇员行为导致的违约行为不承担潜在责任的情况。责任是一个法律问题，对事实非常敏感。更相关的问题是，“对企业造成经济损失的潜在来源是什么，我们该怎么做？”

历史表明，根本问题是：

• 组织是否已采取一切实际措施防止违规行为？“是”越强，经济影响就越小。
• 组织是否对违规行为进行了充分规划并做出了响应？“是”越强，经济影响就越小。

您可以考虑以下方面的财务影响：

• 监管机构和司法管辖区的罚款和处罚；
• 赔偿受损害的第三方的财务义务；
• 无法经营造成的业务损失；
• 回收成本；和
• 声誉受损。

声誉损失可能是最大的，并将随着资产变得更加无形而继续增长。

民族国家的损害几乎总是最具破坏性的，特别是从长期来看。噩梦般的情景是一个有合作内部人士的民族国家。他们拥有知识、手段、技能和资源。他们很可能会为他们的公司争夺您的知识产权（“IP”）。国家对企业的威胁的关键区别在于公私伙伴关系的作用和执法的作用。这两个问题将在今后的文章中讨论。你不能独自与民族国家行为者打交道。

这是一个何时而不是是否的问题

套用著名战略家和哲学家孙子的话：

《孙子兵法》教导我们不要依赖于违约的可能性，而要依赖于我们自己的应对能力。

大约五分之二（38%）的网络事件涉及合作的内部人员。1共识是，95%的网络事件都涉及人类做了不应该做的事情。

重要的是要记住，作为合作的内部人员是一种犯罪；做傻事是不可能的。

世界经济论坛（WEF）估计，全球国内生产总值（GDP）的60%是数字的。2全球GDP由数据驱动，通过价值创造产生更多数据。在这样做的同时，涉及员工的数据泄露的可能性和影响随着增长而增加。

与此同时，商业环境变得越来越相互关联，我们越来越依赖第三方，如云。虽然我们可以移交责任，但我们最终仍要承担责任。我们不仅有义务保护我们的数据，而且有义务保护客户和业务合作伙伴的数据。我们也有责任保护我们的业务伙伴向我们传输的数据。

说到云，我们不仅将数据保护移交给第三方，而且还经常将部分业务移交给他们。软件即服务（“SaaS”）就是一个完美的例子。最后，在我们下放责任的同时，我们仍然负有责任。本质上，一个组织不仅要对其员工负责，还要对云提供商员工负责。

经济损失的来源和规模

历史表明，经济损失将由以下因素驱动：

• 数据的类型和数量；
• 被破坏的数据量；
• 原因；
• 管辖权；和
• 响应的质量。

最好的结果是完全不发生违约。没有破坏，没有损坏。你唯一可以控制的时间是在它发生之前，或者当你检测到正在发生的违规行为时，为你提供了干预的机会。当发生违约时，之后的一切都是反应和损害控制。

让我们面对现实吧，我们没有一个人拥有所有的预算或员工来做我们想要做的一切。执行数据清单，最好是业务影响评估（“BIA”），将有助于您确定资本配置（人员和资金）的优先顺序，以实现最大效益。它还将帮助您评估损失并集中恢复工作。

报告要求常常令人困惑

在违约之前，需要了解无数司法管辖区对您提出的要求。你没有时间在违规期间弄清楚。实际上，您最多有72小时报告。一般来说，勒索软件参与者会给你更多的48小时。

管辖权通常需要最多的作业；137个国家有数据隐私和/或数据违规法律。3美国54个司法管辖区有数据泄露通知法4（即所有50个州，加上特区、关岛、波多黎各和维尔京群岛）。每个国家都有自己的报告要求和计算处罚的公式。要注意的不仅是数据所在地或业务所在地，而且如果其中一个组成部分受到影响，这些法律中的许多都适用。例如，2018年《加州消费者隐私法》（“CCPA”）适用于涉及其公民数据的情况，不一定是数据所在地。

监管机构也开始实施报告要求。最近，证券交易委员会（“SEC”）5和欧盟6

可能产生重大影响的五个步骤

还记得英国军队的格言“7个P”

首先，您需要了解您的数字资产及其价值，了解：谁是数据所有者；数据驻留的位置；在那里进行处理；以及如何传输。

了解您的数据后，请确保在三个阶段中的每一个阶段应用控制：保护；发现并恢复。

保护数据的预防性控制是绝对最佳的投资。在实践中，您永远无法消除所有违规行为，但您可以将违规行为的数量降至最低并控制其影响。防御者需要堵住所有的漏洞，而攻击者只需要找到裂缝。

每个预防性控制都需要有检测控制，以便让您知道可能发生了或正在发生的违规行为。你检测得越快，影响就越小，经济影响也就越小。

事故响应（恢复阶段）是最常出错的地方，几乎总是因为规划不当或缺乏排练。

制定事故响应计划。基于不同的场景，然后练习，练习，练习。你不应该经常对重大事件做出反应。请外部第三方帮助您制定计划，并为排练打分。

当你得知有漏洞时，立即修复出问题的控件！听起来很傻，但我无法告诉你，我有多少次遇到从未关闭谷仓大门的组织。这在勒索软件中最为明显。永远不要忘记，一个黑客不在乎另一个黑客是否攻击了你。他们通常使用相同的工具和技术。如果它以前起作用，它将再次起作用。

限制爆破半径

您不仅希望降低违规的可能性，还希望限制影响。最明显的例子是勒索软件。平均而言，每台受感染的机器会影响大约20台其他机器，形成一个几何级数。在两跳内，400台机器被感染。在三跳内，8000台机器被感染。你明白了。关键是通过使用网络分割、防火墙和加密等技术限制爆炸半径来遏制影响。

您还希望限制单个用户可能造成的损害。大多数攻击要求泄露用户帐户。一旦一个帐户被泄露，黑客就会在试图提升权限的同时，在整个企业范围内移动。常见的做法，如职责分离、最低特权的概念和年度审查，有很大的帮助。

当员工改变角色时，让您的流程包括重新访问权限是非常重要的。每当员工更改状态时，都需要关闭帐户。令人震惊的是，由于不在公司工作的前员工的账户仍然存在，出现了许多妥协。

很多时候，组织忘记了他们的合同帮助。合同终止时，他们的帐户应自动禁用。至少，该过程的一部分需要包括在合同完成时关闭账户。

公共关系，包括内部沟通

令人遗憾的是，这是事情可能真的、真的、错的地方。通信必须是内部和外部的。事件最重要的长期影响来自声誉损失和知识产权损失。随着企业价值越来越受到无形因素的驱动，良好的危机沟通的重要性只会不断增加。

对于外部沟通，您需要一个受过危机管理培训的团队（或公司），并且您希望他们成为计划和排练的一部分。

当工作人员不知道正在发生什么或他们应该做什么时，他们就无法为恢复做出贡献。很可能，它们会加剧混乱。

你最不想让你的客户、监管者或董事会在晚间新闻上听到违规行为。确保你有一个树立自信的沟通策略。

执法

一些司法管辖区、监管机构和保险公司要求通知执法部门。除此之外，这将成为一项商业决策。这需要在和平时期决定，而不是在混乱的事件中决定。知道给谁打电话以及如何联系他们是绝对关键的。

并非所有情况都是相同的。例如，当涉及到美国和欧盟的勒索软件，帮助向“坏蛋”名单上的任何人付款时，你将受到罚款和制裁，这将使你处于极端困难的境地。如果你付了赎金，你就会被禁止做生意。如果你不支付赎金，你就不能操作。一般来说，如果您在付款前参与执法，您将被视为受害者，而不是共谋者。联邦调查局（FBI）网络部门负责人公开表示，“即使你付钱，FBI也会继续将你视为受害者。”。

民族国家的知识产权损失正在增加，并将继续增加。当涉及到民族国家时，你几乎没有自己的资源。

eForensics

与事件响应的其他方面一样，一些司法管辖区、监管机构和保险公司要求您收集并保留取证。如果你认为你会追查肇事者，这是绝对必要的。在事件的早期阶段，你不知道未来会发生什么。按你的意愿行事是谨慎的。你需要在和平时期，而不是在事故期间，审查并保留一家埃弗伦西斯公司。

许多组织更愿意让第三方，如eForensics、勒索软件谈判者、危机管理公司等，作为外部顾问的分包商，以保留特权。在聘用这些第三方之前，有两件事需要考虑。

首先，根据我的经验，仅仅通过外部律师与这些公司签约并不能保证特权。这些条件受管辖。在走这条路线之前，一定要充分探索。

第二，许多保险单要求您使用他们首选的提供商。如果需要，请检查您的政策，看看他们是否同意允许您使用您选择的供应商。

结论

我们首先问了一个看似简单的问题：“雇主是否对员工行为导致的违规行为负责？”简言之，很难想象雇主可能不承担责任的情况。它们是否存在是一个法律问题，对事实非常敏感。孙子（如果他活在今天的话）最好地总结了一个更重要的信息：“战争的艺术教导我们不要依赖突破的可能性，而是依赖我们自己的应对能力。”。在实践中，我们没有人拥有我们想要的所有资源，违规行为已经变得太普遍了。最好的投资是预防，但仅仅预防是不够的。历史清楚地表明，我们还必须发现并恢复。恢复和尽量减少经济影响的绝对关键是做好准备。必须在和平时期做好准备并进行实践，以便在战争期间（即在违约期间）采取行动。

本文：