新任首席信息安全官手冊:準(zhǔn)備好啃硬骨頭
時(shí)間:2019-03-07
今天的隱私及監(jiān)管需求����、威脅涵蓋范圍��,以及惡意員工行為,都要求首席信息安全官(CISO)往自己的戰(zhàn)術(shù)手冊中再添新招����。
時(shí)代已變�����,過去被認(rèn)為是純技術(shù)職位的CISO一職,如今必須成為業(yè)務(wù)驅(qū)動者�,能夠以業(yè)務(wù)用語闡述和溝通其安全計(jì)劃的價(jià)值。
過去幾年中��,新手CISO快速成長為高效安全領(lǐng)導(dǎo)者所應(yīng)采取的最佳實(shí)踐和基本步驟并沒有太大改變�。首先,他們必須評估安全狀態(tài)�����,然后組建優(yōu)秀的安全團(tuán)隊(duì)��,構(gòu)筑與業(yè)務(wù)主管和公司高管之間的良好關(guān)系與信任���。但如今�,其中一些慣例需要小心行事了�����。
現(xiàn)在的CISO要與多方面的利益相關(guān)者協(xié)作�,構(gòu)建越來越多樣化的團(tuán)隊(duì)以處理不同領(lǐng)域的問題�,包括監(jiān)管與隱私問題����、產(chǎn)品安全與影子IT等。
他們還需要具備商業(yè)敏銳度���,能與董事會溝通���。到2020年,100%的大型企業(yè)至少每年都得向董事會報(bào)告網(wǎng)絡(luò)安全與技術(shù)風(fēng)險(xiǎn)����,2018年這個(gè)報(bào)告比例是40%。
而且����,網(wǎng)絡(luò)安全需求也越來越多樣化,行業(yè)間各不相同�。今天的環(huán)境下�,CISO得花更多時(shí)間了解身處的行業(yè)和公司的戰(zhàn)略方向及業(yè)務(wù)重點(diǎn)。
成功在新公司站穩(wěn)腳跟的CISO偕同行業(yè)專家給新晉CISO提供了5個(gè)實(shí)用新戰(zhàn)術(shù)���。
1. 進(jìn)行安全成熟度評估
告誡:別讓“完美”成了“足夠好”的絆腳石����。
新任CISO的首要任務(wù)之一就是評估公司安全工作的狀況。這需要首先確定公司的網(wǎng)絡(luò)安全狀態(tài)和現(xiàn)有風(fēng)險(xiǎn)����,然后盤點(diǎn)公司關(guān)鍵資產(chǎn)并確定如何保護(hù)這些資產(chǎn)���。
當(dāng)前安全狀態(tài)和安全成熟度評估可能耗時(shí)頗久,但能找出安全漏洞并分出輕重緩急���,令CISO從宏觀上把握公司安全工作走向�����,為后續(xù)工作打好基礎(chǔ)�。
在進(jìn)入新角色的第一年里就想事無巨細(xì)地搞定評估是不現(xiàn)實(shí)的�,千萬別讓“完美”最終成為“足夠好”的阻礙。在可用資源與投資的基礎(chǔ)上理清前面未完成工作的原因�,合理制定并完成今后的計(jì)劃是比較理性的選擇。
2. 快速拿出成績以建立信任
告誡:有時(shí)候甚至在奠定關(guān)系基礎(chǔ)之前就需要拿出成績了�。
新手CISO通常會將就任的前幾個(gè)月花在熟悉同事���、舉行部門會議和“顯示存在感”上?��?梢岳眠@段時(shí)間傾聽同事心聲����、表達(dá)同理心�,最重要的是了解他們的目標(biāo)以幫助他們獲得成功,并以此來積累自己的政治資本�。
但有時(shí)候,除非你能解決“令工作痛苦不堪的主要技術(shù)問題”�,比如讓IT部門手忙腳亂的身份驗(yàn)證或遠(yuǎn)程訪問漏洞,否則你不可能就網(wǎng)絡(luò)安全威脅展開深入對話�。沒人愿意在問題尚未解決時(shí)談?wù)摪踩,F(xiàn)實(shí)就是���,CEO只會問你“為什么問題還沒解決����?”�����,而不會說“講講公司的戰(zhàn)略方向和你這職位的重要性”。盡快拿出能產(chǎn)生價(jià)值的成績��,然后乘勢而上�����,推進(jìn)你的議程��。
3. 與業(yè)務(wù)線和關(guān)鍵利益相關(guān)者搞好關(guān)系
告誡:將人力資源、法務(wù)���、合規(guī)�����、隱私和風(fēng)險(xiǎn)官納入聯(lián)系人列表�。
隨著歐盟和美國新隱私立法與監(jiān)管的成型���,CISO的職能也囊括進(jìn)了隱私�、信息風(fēng)險(xiǎn)和企業(yè)風(fēng)險(xiǎn)�����。人力資源(HR)應(yīng)處在保護(hù)員工隱私的第一線,法律部門盯緊合規(guī)操作��。這兩個(gè)部門是過去看來似乎不那么重要的��,但現(xiàn)在的環(huán)境下已經(jīng)成了主要利益相關(guān)者�,必須與之緊密互動�����,確保能平衡風(fēng)險(xiǎn)�����、安全和隱私�。
新合規(guī)監(jiān)管下,卡巴斯基實(shí)驗(yàn)室調(diào)查過的250名CISO和IT安全主管中有2/3都與法律部門緊密合作��。43%的CISO稱�,與HR的關(guān)系也十分重要,尤其是在身份和訪問管理問題上。少數(shù)公司還設(shè)置了首席隱私官���,這也是CISO應(yīng)維護(hù)好的另一重要關(guān)系�����。
因?yàn)榕c網(wǎng)絡(luò)安全相關(guān)���,這也是CISO成為行業(yè)法律與合規(guī)專家的大好機(jī)會����。若公司有合規(guī)辦公室,務(wù)必要讓他們成為你的好伙伴�。盡可能地多學(xué)東西,然后將所學(xué)合規(guī)知識揉碎成員工�、高管和董事能理解的語言���。拉出一張重要事項(xiàng)表�����,重點(diǎn)解決表上列出的最重要事項(xiàng)����。
4. 尋求外界支持與協(xié)作
告誡:與行業(yè)競爭者共享你的策略。
CISO這個(gè)職位涵蓋非常廣泛�����,事務(wù)繁雜�,工作壓力大。若有人可以提供支持和早期建議����,那將對你的職業(yè)發(fā)展產(chǎn)生不可估量的作用。與競爭公司的CISO組成支持網(wǎng)絡(luò)是個(gè)不錯(cuò)的方法���?��?梢远ㄆ谂e行會議和工作組,共享信息�����,交換知識,合作共贏����。CISO之間不存在真正的競爭,一起討論威脅信息�����、預(yù)算和安全策略比閉門造車有效率得多���。
5. 清楚你在公司中的位置
告誡:準(zhǔn)備好啃硬骨頭��。
作為新上任的CISO�����,了解自己的角色和職權(quán)范圍非常重要���。在CISO的職業(yè)生涯中�,你將不可避免地發(fā)現(xiàn)重要位置上的員工在做壞事,提前做好準(zhǔn)備比較好�����。盡早與管理層和人力資源部門溝通,討論與潛在員工問題相關(guān)的場景�����,一起找出應(yīng)對之策���。
每家公司都有自己獨(dú)特的情況��,實(shí)際場景的學(xué)習(xí)可以促進(jìn)CISO方法論的完善���。
在線咨詢
在線咨詢
0371-63319761