作為負(fù)責(zé)安全的高級(jí)管理人員,安全專家將承受巨大的壓力。網(wǎng)絡(luò)犯罪活動(dòng)近年來(lái)日益猖獗,與2020年相比,2021年每次數(shù)據(jù)泄露事件的平均損失增加了10%,而數(shù)據(jù)泄露事件數(shù)量增加了17%。
對(duì)于一些新任的首席信息安全官來(lái)說(shuō),在其開展工作的前90天內(nèi)對(duì)企業(yè)產(chǎn)生的影響至關(guān)重要。并將為其任期的成功或失敗奠定基礎(chǔ)。
首席信息安全官很容易完成其待辦事項(xiàng)清單上的每一項(xiàng)顯著任務(wù),這樣看起來(lái)就好像正在完成既定任務(wù)一樣。但是,首席信息安全官為其成功鋪平道路的最可靠方法是有條不紊地、深思熟慮地制定一個(gè)90天計(jì)劃并堅(jiān)持完成。
以下九個(gè)步驟的路線圖將指導(dǎo)首席信息安全官制定一個(gè)出色的網(wǎng)絡(luò)安全計(jì)劃,推動(dòng)數(shù)字化轉(zhuǎn)型,并利用SaaS技術(shù)加速業(yè)務(wù)計(jì)劃,并降低運(yùn)營(yíng)成本。
(1)第1~3周:識(shí)別和理解業(yè)務(wù)風(fēng)險(xiǎn)
在首席信息安全官入職的前三周,需要了解其所在公司的整體業(yè)務(wù)。探索業(yè)務(wù)運(yùn)營(yíng)方式、分散的團(tuán)隊(duì)員工所在的位置、企業(yè)如何應(yīng)對(duì)市場(chǎng)、提供的服務(wù)和商品。這是深入了解企業(yè)的上市戰(zhàn)略和供應(yīng)鏈的機(jī)會(huì)。
盡可能多地與其他高管、董事會(huì)和其他公司領(lǐng)導(dǎo)人舉行會(huì)議,以深入了解他們的業(yè)務(wù)職能和職責(zé)。與其他技術(shù)官員會(huì)面也是掌握更大的技術(shù)堆棧的最佳方式。
在最初三周時(shí)間的探索中,評(píng)估企業(yè)領(lǐng)導(dǎo)層在開發(fā)周期中左移的意愿;在開發(fā)生命周期中的開始之初就融入安全性,從而降低成本,并提高可靠性。
(2)第4~5周:感受企業(yè)的技術(shù)流程并開始發(fā)展其團(tuán)隊(duì)
與技術(shù)堆棧相比,定義明確的流程對(duì)網(wǎng)絡(luò)安全的影響更大。在擔(dān)任首席信息安全官的第4~5周,需要熟悉團(tuán)隊(duì)成員,了解現(xiàn)有流程,尤其是圍繞項(xiàng)目、事件和客戶生命周期管理的流程。
首席信息安全官通常了解什么技術(shù)有效,什么技術(shù)無(wú)效。并詢問任何可用的文檔化標(biāo)準(zhǔn),創(chuàng)建一個(gè)列表,列出哪些流程和技術(shù)缺少文檔。接下來(lái),與其他團(tuán)隊(duì)溝通,以確定哪些技術(shù)和流程與其范圍重疊。
現(xiàn)在是開始深入了解團(tuán)隊(duì)的時(shí)候了。首席信息安全官一對(duì)一地確定他們的職業(yè)目標(biāo),并探索如何幫助他們實(shí)現(xiàn)這些目標(biāo)。了解他們感興趣的培訓(xùn)和職業(yè)發(fā)展目標(biāo),企業(yè)在過去提供過哪些類型的培訓(xùn),然后通過人力資源來(lái)了解團(tuán)隊(duì)成長(zhǎng)的職業(yè)道路。
這是首席信息安全官與其團(tuán)隊(duì)成員討論自動(dòng)化的最佳時(shí)機(jī),他們可能有時(shí)間與其團(tuán)隊(duì)成員討論自動(dòng)化的好處。
(3)第6周:制定策略
首席信息安全官在這一階段收集了信息,現(xiàn)在是實(shí)施計(jì)劃的時(shí)候了,可以制定以下戰(zhàn)略:
·滿足企業(yè)的總體業(yè)務(wù)戰(zhàn)略、目標(biāo)、目的。
·滿足員工的職業(yè)目標(biāo)。
·通過減少員工重復(fù)而乏味的任務(wù),提高他們的自動(dòng)化水平。
·將企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估為一個(gè)關(guān)鍵的整體差距。
·在開發(fā)生命周期中左移安全性。
·鼓勵(lì)采用SaaS。
·將所有IT遷移到零信任架構(gòu)。
(4)第7周:完成企業(yè)的戰(zhàn)略并開始實(shí)施計(jì)劃
這是首席信息安全官的第7周,其策略和計(jì)劃都很好。首席信息安全官的下一步是由其團(tuán)隊(duì)員工執(zhí)行其策略,然后獲得和接受反饋,并做出調(diào)整,然后提交給企業(yè)的執(zhí)行委員會(huì)批準(zhǔn)。
在獲得批準(zhǔn)之后,與適當(dāng)?shù)膱F(tuán)隊(duì)合作,確定能夠推動(dòng)成功的策略。合作是關(guān)鍵——這將培養(yǎng)融洽關(guān)系,幫助同事和員建立信任,然后開始實(shí)施戰(zhàn)略。
(5)第8周:獲得敏捷
將企業(yè)的團(tuán)隊(duì)過渡到敏捷項(xiàng)目管理方法將確??焖佾@得功能元素。
如果企業(yè)的團(tuán)隊(duì)規(guī)模很小,Scrums將是適當(dāng)且有效的。如果企業(yè)已經(jīng)在使用sprints,將其團(tuán)隊(duì)的sprints周期與工程團(tuán)隊(duì)的持續(xù)時(shí)間保持一致。如果沒有其他人使用sprints,需要將其周期設(shè)置為三周。
(6)第9周:開始衡量和報(bào)告
首席信息安全官有權(quán)訪問歷史報(bào)告,也可能無(wú)法訪問。無(wú)論哪種方式,第9周都是啟動(dòng)新基準(zhǔn)和定期衡量并向執(zhí)行委員會(huì)報(bào)告的最佳時(shí)機(jī)。
確保對(duì)其團(tuán)隊(duì)員工和與首席信息安全官一起工作的其他部門表示贊賞。通過培養(yǎng)在最初幾周建立的良好意愿,將與同事建立更牢固的關(guān)系——當(dāng)必須指出問題和差距時(shí),這并不是一件壞事。
隨著首席信息安全官的報(bào)告變得定期,開始對(duì)企業(yè)進(jìn)行有關(guān)網(wǎng)絡(luò)安全的教育和交流。鼓勵(lì)合作、參與并慶祝成功,而不是專注于問題。創(chuàng)建跨部門的“安全擁護(hù)者”計(jì)劃,鼓勵(lì)其擁護(hù)者在出現(xiàn)問題時(shí)報(bào)告,并因參與而獲得獎(jiǎng)勵(lì)。
(7)第10周:進(jìn)行徹底的滲透測(cè)試
滲透測(cè)試是如何獲得一些關(guān)于事情到底有多糟糕的數(shù)據(jù)。應(yīng)該計(jì)劃、安排和執(zhí)行對(duì)基礎(chǔ)設(shè)施和應(yīng)用程序的徹底滲透測(cè)試(或紅隊(duì)練習(xí))。
尋找遵循PTES或OSSTMM 3方法進(jìn)行基礎(chǔ)設(shè)施測(cè)試,并為每個(gè)應(yīng)用程序使用OWASP測(cè)試框架的滲透測(cè)試合作伙伴。
(8)第11周:開始使用零信任身份驗(yàn)證框架
過渡到零信任身份驗(yàn)證(ZTA)框架是作為首席信息安全官的任職前90天的關(guān)鍵一步。
在零信任認(rèn)證中,在默認(rèn)情況下不授予用戶訪問權(quán)限,但一旦通過身份驗(yàn)證,他們就會(huì)獲得訪問權(quán)限。零信任認(rèn)證將增強(qiáng)企業(yè)的安全狀況。零信任認(rèn)證的第一步應(yīng)該是開始盡可能地取消密碼,并過渡到安全的多因素身份驗(yàn)證。
(9)第12周:評(píng)估SaaS提供商
通過深入研究購(gòu)買指南和SaaS供應(yīng)商比較來(lái)開始首席信息安全官的角色是很誘人的,一旦掌握了企業(yè)的業(yè)務(wù)、戰(zhàn)略、現(xiàn)有的技術(shù)堆棧和預(yù)算,這樣做會(huì)更有意義。
當(dāng)企業(yè)開始評(píng)估SaaS提供商時(shí),需要證明潛在供應(yīng)商符合CSACCM、在CSASTAR聯(lián)盟中的注冊(cè)。
如果評(píng)估不符合這些標(biāo)準(zhǔn)的供應(yīng)商,將需要開發(fā)一個(gè)全面的程序來(lái)評(píng)估他們的安全性。根據(jù)客觀的第三方評(píng)估來(lái)評(píng)估SaaS供應(yīng)商至關(guān)重要,而不僅僅是供應(yīng)商的營(yíng)銷努力。
遵循這一路線圖將幫助首席信息安全官打下堅(jiān)實(shí)的基礎(chǔ):運(yùn)作良好的網(wǎng)絡(luò)安全團(tuán)隊(duì)、可重復(fù)報(bào)告的數(shù)據(jù)基線、與新同事和團(tuán)隊(duì)的信任和融洽關(guān)系、數(shù)字化轉(zhuǎn)型機(jī)會(huì)清單,以及對(duì)企業(yè)業(yè)務(wù)的深入了解。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。