查看原文
其他

CISO上任90天内必须要烧透的“六把火”

GoUpSec 2023-11-28

点击蓝字 关注我们            ///

@GoUpSec



过去十年网络安全快速成长为全球企业IT的战略性和支柱性技术,CISO(首席信息安全官)的角色定位也正在发生巨变。


不久前,CISO还只是一个纯粹的技术职位,主要职责是帮助企业应对网络安全威胁的挑战。但是今天,CISO在公司内的责任和地位都在增长。CISO现在是企业执行管理团队的重要成员,除了网络安全以外,还肩负着关联整体风险管理与业务战略和运营的重大责任。


现代企业的CISO参与企业的战略决策,例如确保企业数字化的安全转型,同时向董事会、客户和投资者保证网络防御体系具备足够的能力、弹性和成长速度,能够应对现在和未来的威胁。CISO需要充分利用企业的人员、流程和技术资源,确保企业能够安全地实现其总体业务目标。


鉴于职责的这种演变,CISO上任前90天内需要优先重点关注的几件事与过去相比也有很大不同。


以下,我们整理了多位业界专家的建议,模仿杀伤链模型步骤总结了CISO上任前90天应该下足功夫的六件事(也可以解读为热身运动或者“六把火”):


一、侦察:了解组织的整体使命和文化


虽然许多CISO都希望在新官上任后立刻投入大创意和大项目来快速展示价值,但正如前文所述,除了技术项目和安全框架外,肩负着新的使命和价值定位的CISO首先应该花时间了解公司的使命、价值观和业务,找到能够对企业产生更大的,长期影响的目标。CISO还需要密切关注企业的核心活动,例如产品、服务、研发、知识产权和并购计划,了解所有潜在问题,例如先前的违规行为、监管或外部义务以及现有的技术债务。


CISO上任伊始的第一件事,应该是深入了解企业的业务、目标、优先事项和企业文化。采访你的员工、中层业务领导者和客户,以了解所有的关键利益相关者、最初的痛点以及组织内网络安全文化的成熟程度。最后,询问您的合作伙伴、供应商,确定谁在销售,谁是值得信赖的顾问。完成此过程将打开沟通渠道,发现挑战,并帮助制定90天行动计划和路线图。


二、发现:找到关键问题和关键资产


确定哪些关键数据和系统支撑着公司的战略使命和核心竞争力、主要客户群或收入线,哪些知识产权使企业与竞争对手区分开来。这些都是最有可能成为攻击目标的数字资产,必须优先加快相关网络安全防御措施。如果最高管理层和董事会了解这些关键领域,他们可以告诉您他们的风险偏好,你可以相应地实施安全策略。


三、规划:根据公司当前的IT和业务环境制定计划


一旦资产被识别并确定了优先级,CISO就可以着手制定一份书面风险管理计划,其中包括可交付成果、结构以及关键内部和外部利益相关者之间的沟通的清单。在后一点上,CISO必须始终充当信息经纪人和企业所有关键决策者的合作伙伴。一种有效方法是与这些决策者建立正式和非正式的沟通渠道,保持共同的前进节奏。


四、切入:准备实施“刚需”技术


现代企业的网络安全依赖许多技术,其中有一些是“刚需”技术,如果企业还没有的话需要立即实施,这包括:基线控制、端点的漏洞管理和反恶意软件防御,以及不可协商的控制,包括多因素身份验证、敏感数据加密、应用程序白名单、24/7安全监控、文件完整性监控、特权访问管理、网络分段、数据丢失预防以及与漏洞和修补策略相关的严格评估和审计功能。


五、驻留:实施基准


通过实施基准和成熟度评估,向最高管理层、业务部门高管和董事会证明安全计划、流程和技术的价值,以展示公司如何与竞争对手相抗衡、安全策略如何与行业最佳实践相媲美,以及框架、安全计划如何通过安全运营支持业务。


六、横移:始终将安全视为业务问题


安全事件会给企业带来重大损失甚至灭顶之灾,因此强大的安全能力是企业脱颖而出的核心竞争力,这也是IT和安全团队与业务保持集成如此重要的原因。其中一项重要的工作就是确保企业高管、董事会和安全领导之间的持续沟通和协作。当管理层了解网络安全威胁带来的业务风险时,他们将更倾向于关注并参与安全工作。


在新上任前90天的工作结束时,CISO应该能够回答以下问题:


  • 企业的安全防护水平如何?

  • 针对行业标准框架,我们的能力成熟度如何?

  • 最关键的漏洞和网络风险场景是什么?

  • 哪些数据对企业最重要?

  • 哪些数据风险可能对企业产生最显著的负面影响?

  • 改善企业的安全态势需要怎么做,是否有路线图?


END


相关阅读

CISO必须知道的安全管理五大基线
企业最看重CISO的六种能力

美国CISO平均年收入逼近百万美元


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存