RSAC の最高セキュリティ責任者は、新しい職務に就く際に、万一事態が悪化し、経営陣がネットワーク侵害のスケープゴートに仕立て上げようとした場合に備えて、個人賠償責任保険とゴールデンパラシュートについて交渉する必要があります。
また、内部告発をした場合でも、ブラックリストに載らないように、雇用主を訴えない方がよいでしょう。
これらは、月曜日に開催されたRSAカンファレンスのCISO内部告発に関するパネルディスカッションで示された貴重なアドバイスの一部です。マラソン・オイルの元CISOをはじめ、複数のフォーチュン500企業で役職を務めたD・D・ブディハルト氏は、偽造請求書への署名を拒否したために、ある雇用主(名前は伏せます)から解雇された過去を聴衆に語りました。彼女は、事前の準備、良好な人間関係、そして訴訟を起こさないという選択によって、評判を落とさずにこの状況から抜け出すことができました。
「私は自分の誠実さを曲げるつもりがなかったために解雇されたと誇りに思う」と彼女は語った。
「『今起きていることには全く同意できない。声を上げなければならない。声を上げなければならない。指導部に伝え、そして指導部がどう反応するかを見なければならない』と考えていました。そして、難しい決断を迫られました。養わなければならない家族がいて、頼れるゴールデンパラシュートもありませんでした。でも、本当に大切なのは、自分自身です。」
この件では、彼女はコンサルタントが納品しなかった作業の請求書の承認を拒否しました。この件を経営陣にエスカレーションしたところ、人事部から叱責と調査を受け、直属の上司は数々の虚偽の告発を行いましたが、彼女は他の従業員との強固な関係のおかげで反論することができました。彼女が退職した後、会社は彼女の正当性を知ったと彼女は言います。
彼女は確かに職を失いましたが、訴訟を起こさないことにしました。訴訟は彼女の経歴に「汚点」を残し、雇用主が業界全体に彼女の悪評を広める可能性があるからです。それに、彼女は既に別の仕事も決まっていました。パネルに参加した3人のCISO全員が、訴訟は賢明な判断だったと同意しました。
RSAカンファレンスのCISOパネル。左から、モデレーター兼サイバーセキュリティ・トライブ共同創設者のドリーネ・レタス氏、ハーマン・ブラウン氏、Dd・ブディハルト氏、アンドリュー・ワイルダー氏。
別のパネリストは、セキュリティ担当者は、新しい会社に入社する前に、取締役・役員保険(D&O)と個人賠償責任保険(PLLI)の2つの保険に加入するよう、上司に強く求めるべきだと述べた。これらの保険は数十年にわたり、企業役員にとって標準的なものとなっていると、獣医ネットワークVetcorのCISOであり、米国ワシントン大学のサイバーセキュリティ非常勤教授でもあるアンドリュー・ワイルダー氏は説明した。
「組織の役員である間だけでなく、組織を去った後も適用される個人賠償責任保険に加入する必要があります」とワイルダー氏は述べ、サイバーインシデント発生後にセキュリティ責任者を解雇すれば何とかなると考えている一部の企業にとって、CISOは「最高スケープゴート責任者」を意味すると付け加えた。
「これら2つはCFOにとって当然の義務であり、長年そうでした。内部告発者だったCISO(最高情報セキュリティ責任者)と話をしたことがあります。彼らは後に裁判沙汰になり、裁判費用をすべて個人的に負担しなければなりませんでした。そのような状況にはなりたくないものです。」
ワイルダー氏は、友人でウーバーの元CISO(最高情報セキュリティ責任者)であるジョー・サリバン氏の事例を挙げた。サリバン氏は2016年のセキュリティ侵害を隠蔽し、ランサムウェア攻撃への報奨金をバグバウンティに偽装しようとしたとして、司法妨害と犯罪報告義務違反の罪で有罪判決を受けた。サリバン氏は裁判中にPR会社を雇い、自身の評判を回復させたが、その費用はウーバーが提供したPLLI(個人信用情報機関)が負担したとワイルダー氏は指摘した。
- 北米のCISOの平均給与は現在56万5千ドルだが、これは主に奇妙なトリックによるものだ。
- トランプ大統領が国防総省に指名した最高情報セキュリティ責任者(CISO)は、過去にセキュリティクリアランスの停止に直面していた。
- 元UberのCSO、数百万人分のデータ盗難隠蔽で保護観察処分
- CISOの70%が、組織が重大なサイバー攻撃のリスクにさらされていると懸念している。
ワイルダー氏はまた、ゴールデンパラシュートを交渉することも重要だとコメントした。なぜなら、そうすれば内部告発は金銭的なものではなく、純粋に倫理的な決断になるからだ。
最後に、雇用主を訴えると冷遇されるかもしれませんが、メディアに漏らすのはもっとひどいことです。
「マスコミに訴えれば、ブラックリスト入りする可能性はさらに高まると思う」と彼は語った。
記録し、仲間を見つける
たとえ内部告発の兆候がなくても、CISO は自分たちの行動や会話のすべてを記録しておくべきだと、サンフランシスコ地方検事局の CIO であるハーマン ブラウン氏は警告した。
「電子メールは、単に『電子メール』を意味するだけでなく、『証拠メール』を意味する素晴らしい文書形式です」と彼は意見を述べた。
ブラウン氏は、有意義な電話での会話の後は必ず、参加者に要点をまとめたメールを送ると述べている。これは裏をかくための良い方法であるだけでなく、時には誤解が明らかになることもあったとブラウン氏は語る。
パネリスト全員がこの点に同意しました。この実践は、インシデント発生後の証拠開示につながるだけでなく、業務の進捗状況を監視し、全員の認識を一致させ、取締役に情報を提供するのにも非常に役立ちます。
「文書、ガバナンス、ポリシーの整備、そしてそれを文書に記載することで、リーダーシップ チームにサイバー セキュリティについて教育し、サイバー セキュリティが CISO だけの責任ではなく、組織全体の責任であることを知らせることができます。」
同様に、CISOが取締役会に出席する場合、特にCISOの役割に影響を与えるような物議を醸す話題が取り上げられた場合は、すべての発言が議事録に記録されるよう徹底する必要があります。このような議事録は、万が一訴訟に発展した場合に非常に役立ちます。
ブディハルト氏からの最後のアドバイスは、内部告発をする際には備えておくべきだというものでした。人事部や倫理委員会は、従業員ではなく雇用主の利益のために機能していると彼女は警告しました。もしあなたが警鐘を鳴らせば、あなた自身も徹底的な調査を受けることになるでしょう。®
編集者注:この記事は、Dd Budiharto氏の経歴を訂正しました。彼女はエネルギー会社Phillips 66のCISOとして勤務していたと以前誤って報じていましたが、実際には同社のCISOに報告していたようです。また、当初誤って報じていたように、Budiharto氏がソフトウェア開発者ではなくコンサルタントからの請求書への署名を拒否していた点も訂正しました。さらに、人事部や倫理委員会への助言内容をより正確に記述しました。これらの誤りをお詫び申し上げます。
