负责安全的公司高管需要应对巨大压力。网络犯罪分子很猖獗:2021年数据泄露事件数量比2020年增加17%,平均成本增加10%。
无论你刚出任首席信息安全官(CISO),还是一家新组织经验丰富的CISO,上任后的前90天将至关重要。你在这段期间的表现将决定任期内是成功还是失败。
这个分九步的每周路线图将指导你制定一项合适的网络安全计划,推动贵组织的数字化转型,利用SaaS技术来加快业务计划并降低运营成本。
第1周—第3周:识别和了解业务风险
上任后的前三周,要了解业务。摸清业务运作方式和分散的团队的所在位置,以及公司如何应对市场、如何提供服务和商品。可以趁机深入了解本组织的产品上市战略和供应链。
与公司的其他高管、董事会及其他领导人尽量多开会,深入了解他们的业务职能和职责。与其他技术负责人会面也是摸透组织整套技术架构的最佳方式。
在这个摸索阶段的前三周,评估领导层在开发周期过程中安全左移的意愿;开发生命周期中安全左移一开始就融入了安全性,从而可以降低成本,并提高可靠性。
第4周—第5周:了解组织的技术流程,开始设立团队
相比技术架构,定义明确的流程对网络安全带来的影响更大。在你出任CISO的第4和第5周,应与你的团队碰头,了解现有流程,尤其是项目、事件和客户生命周期管理等方面的流程。
找出有效和无效的流程。询问任何适用的文档化标准,并详细列出哪些流程和技术缺少文档。下一步,与其他技术团队会面,以确定哪些技术和流程与你团队的相重叠。
还要开始深入了解你的团队。逐一摸清每个团队成员的职业目标,探究如何帮助他们实现目标。找出他们感兴趣的培训和职业发展、公司过去提供过哪些类型的培训,人力资源随后要跟进,以了解团队成长的职业道路。
这是与团队成员讨论自动化的最佳时机,他们对自动化在哪些方面有利于组织也许有其见解。
第6周:制定策略
收集信息后就可以规划。需要制定这样的策略:满足组织的总体业务战略、目标和目的;满足员工的职业目标;采用自动化,帮助员工摈弃重复乏味的任务;评估组织面临的网络风险;开发生命周期中左移安全;鼓励采用 SaaS;以及让所有IT改用零信任架构。
第7周:敲定策略,开始实施计划
这时候,你的策略和计划准备就绪。下一步是由你的同事执行所定的策略。征求反馈意见,适时调整,然后提交给执行委员会等待批准。
获得批准后,与相应的一个或多个团队合作,确定有助于成功的策略。协作在这里很关键:协作将促进融洽的关系,并帮助新同事对你树立起信任。然后开始实施你的策略。
第8周:力求敏捷
让你的团队改用敏捷项目管理方法将确保项目的某个部分快速成功。
如果团队规模小,Scrum将是适当且有效的。如果贵组织已经在采用迭代开发周期(sprint),应确保团队的迭代开发周期与工程团队的周期相一致。如果别人没使用迭代开发周期,你应设置为为期三周的迭代开发周期。
第9周:开始衡量和报告
你开始出任CISO时,能否查看以往的报告是未知数。无论怎样,第9周都是启动新的衡量基准、定期衡量并向同仁和执行委员会报告结果的最佳时机。
确保对员工和合作的其他部门予以赞赏!只有增强你在最初几周建立起来的信誉,才能与同事建立起更牢固的关系,那样有助于指出问题和不足。
报告成为常态后,开始向整个组织宣讲网络安全知识。鼓励合作和参与,庆祝成功,而不是一味盯着问题。设立跨部门的“安全倡导者”计划,鼓励倡导者及时报告出现的问题,并给予奖励。
第10周:进行全面的渗透测试
可以通过渗透测试获得有关情况到底有多糟的一些数据。应针对组织的基础设施和应用程序,计划、安排和执行全面的渗透测试(或红队演练)。
物色的渗透测试合作伙伴应遵循PTES或OSSTMM 3方法以测试基础设施,并使用OWASP测试框架来测试每个应用程序。
第 11 周:开始使用零信任身份验证框架
改用零信任身份验证(ZTA)框架是你在出任CISO的前90天内迈出的关键一步。
在ZTA中,默认情况下不授予用户访问权限,但一旦用户通过身份验证,就获得访问权限。ZTA将改善贵组织的安全态势。ZTA的第一步应该是开始尽可能取消密码,并改用安全的多因子身份验证(MFA)。
第12周:评估SaaS提供商
你在新上任CISO后忍不住会研究购买指南、横向比较SaaS供应商,但是等全面了解公司、策略、现有技术架构和预算后再这么做要明智得多。
你开始评估SaaS提供商时,应确保潜在供应商符合云安全联盟(CSA)的云控制矩阵(CCM)、已在云安全联盟安全信任保证和风险(STAR)联盟注册,或者至少符合SOC 2类型2认证。
如果你评估的供应商不符合上述标准,你需要制定一项全面的计划来评估其安全性。根据客观的第三方评估体系来评估SaaS供应商至关重要,不能光听信供应商的营销噱头。
参考链接:https://www.eweek.com/security/improve-your-cybersecurity/