安全資訊

作為負責安全的高級管理人員，安全專(zhuān)家將承受巨大的壓力。網(wǎng)絡(luò )犯罪活動(dòng)近年來(lái)日益猖獗，與2020年相比，2021年每次數據泄露事件的平均損失增加了10%，而數據泄露事件數量增加了17%。對于一些新任的首席信息安全官來(lái)說(shuō)，在其開(kāi)展工作的前90天內對企業(yè)產(chǎn)生的影響至關(guān)重要。并將為其任期的成功或失敗奠定基礎。
首席信息安全官很容易完成其待辦事項清單上的每一項顯著(zhù)任務(wù)，這樣看起來(lái)就好像正在完成既定任務(wù)一樣。但是，首席信息安全官為其成功鋪平道路的最可靠方法是有條不紊地、深思熟慮地制定一個(gè)90天計劃并堅持完成。

以下九個(gè)步驟的路線(xiàn)圖將指導首席信息安全官制定一個(gè)出色的網(wǎng)絡(luò )安全計劃，推動(dòng)數字化轉型，并利用SaaS技術(shù)加速業(yè)務(wù)計劃，并降低運營(yíng)成本。

(1)第1～3周：識別和理解業(yè)務(wù)風(fēng)險
在首席信息安全官入職的前三周，需要了解其所在公司的整體業(yè)務(wù)。探索業(yè)務(wù)運營(yíng)方式、分散的團隊員工所在的位置、企業(yè)如何應對市場(chǎng)、提供的服務(wù)和商品。這是深入了解企業(yè)的上市戰略和供應鏈的機會(huì )。
盡可能多地與其他高管、董事會(huì )和其他公司領(lǐng)導人舉行會(huì )議，以深入了解他們的業(yè)務(wù)職能和職責。與其他技術(shù)官員會(huì )面也是掌握更大的技術(shù)堆棧的最佳方式。
在最初三周時(shí)間的探索中，評估企業(yè)領(lǐng)導層在開(kāi)發(fā)周期中左移的意愿;在開(kāi)發(fā)生命周期中的開(kāi)始之初就融入安全性，從而降低成本，并提高可靠性。
(2)第4～5周：感受企業(yè)的技術(shù)流程并開(kāi)始發(fā)展其團隊
與技術(shù)堆棧相比，定義明確的流程對網(wǎng)絡(luò )安全的影響更大。在擔任首席信息安全官的第4～5周，需要熟悉團隊成員，了解現有流程，尤其是圍繞項目、事件和客戶(hù)生命周期管理的流程。
首席信息安全官通常了解什么技術(shù)有效，什么技術(shù)無(wú)效。并詢(xún)問(wèn)任何可用的文檔化標準，創(chuàng )建一個(gè)列表，列出哪些流程和技術(shù)缺少文檔。接下來(lái)，與其他團隊溝通，以確定哪些技術(shù)和流程與其范圍重疊。
現在是開(kāi)始深入了解團隊的時(shí)候了。首席信息安全官一對一地確定他們的職業(yè)目標，并探索如何幫助他們實(shí)現這些目標。了解他們感興趣的培訓和職業(yè)發(fā)展目標，企業(yè)在過(guò)去提供過(guò)哪些類(lèi)型的培訓，然后通過(guò)人力資源來(lái)了解團隊成長(cháng)的職業(yè)道路。
這是首席信息安全官與其團隊成員討論自動(dòng)化的最佳時(shí)機，他們可能有時(shí)間與其團隊成員討論自動(dòng)化的好處。
(3)第6周：制定策略
首席信息安全官在這一階段收集了信息，現在是實(shí)施計劃的時(shí)候了，可以制定以下戰略：
滿(mǎn)足企業(yè)的總體業(yè)務(wù)戰略、目標、目的。
滿(mǎn)足員工的職業(yè)目標。
通過(guò)減少員工重復而乏味的任務(wù)，提高他們的自動(dòng)化水平。
將企業(yè)面臨的網(wǎng)絡(luò )風(fēng)險評估為一個(gè)關(guān)鍵的整體差距。
在開(kāi)發(fā)生命周期中左移安全性。
鼓勵采用SaaS。
將所有IT遷移到零信任架構。
(4)第7周：完成企業(yè)的戰略并開(kāi)始實(shí)施計劃
這是首席信息安全官的第7周，其策略和計劃都很好。首席信息安全官的下一步是由其團隊員工執行其策略，然后獲得和接受反饋，并做出調整，然后提交給企業(yè)的執行委員會(huì )批準。
在獲得批準之后，與適當的團隊合作，確定能夠推動(dòng)成功的策略。合作是關(guān)鍵——這將培養融洽關(guān)系，幫助同事和員建立信任，然后開(kāi)始實(shí)施戰略。
(5)第8周：獲得敏捷
將企業(yè)的團隊過(guò)渡到敏捷項目管理方法將確?？焖佾@得功能元素。
如果企業(yè)的團隊規模很小，Scrums將是適當且有效的。如果企業(yè)已經(jīng)在使用sprints，將其團隊的sprints周期與工程團隊的持續時(shí)間保持一致。如果沒(méi)有其他人使用sprints，需要將其周期設置為三周。
(6)第9周：開(kāi)始衡量和報告
首席信息安全官有權訪(fǎng)問(wèn)歷史報告，也可能無(wú)法訪(fǎng)問(wèn)。無(wú)論哪種方式，第9周都是啟動(dòng)新基準和定期衡量并向執行委員會(huì )報告的最佳時(shí)機。
確保對其團隊員工和與首席信息安全官一起工作的其他部門(mén)表示贊賞。通過(guò)培養在最初幾周建立的良好意愿，將與同事建立更牢固的關(guān)系——當必須指出問(wèn)題和差距時(shí)，這并不是一件壞事。
隨著(zhù)首席信息安全官的報告變得定期，開(kāi)始對企業(yè)進(jìn)行有關(guān)網(wǎng)絡(luò )安全的教育和交流。鼓勵合作、參與并慶祝成功，而不是專(zhuān)注于問(wèn)題。創(chuàng )建跨部門(mén)的“安全擁護者”計劃，鼓勵其擁護者在出現問(wèn)題時(shí)報告，并因參與而獲得獎勵。
(7)第10周：進(jìn)行徹底的滲透測試
滲透測試是如何獲得一些關(guān)于事情到底有多糟糕的數據。應該計劃、安排和執行對基礎設施和應用程序的徹底滲透測試(或紅隊練習)。
尋找遵循PTES或OSSTMM 3方法進(jìn)行基礎設施測試，并為每個(gè)應用程序使用OWASP測試框架的滲透測試合作伙伴。
(8)第11周：開(kāi)始使用零信任身份驗證框架
過(guò)渡到零信任身份驗證(ZTA)框架是作為首席信息安全官的任職前90天的關(guān)鍵一步。
在零信任認證中，在默認情況下不授予用戶(hù)訪(fǎng)問(wèn)權限，但一旦通過(guò)身份驗證，他們就會(huì )獲得訪(fǎng)問(wèn)權限。零信任認證將增強企業(yè)的安全狀況。零信任認證的第一步應該是開(kāi)始盡可能地取消密碼，并過(guò)渡到安全的多因素身份驗證。
(9)第12周：評估SaaS提供商
通過(guò)深入研究購買(mǎi)指南和SaaS供應商比較來(lái)開(kāi)始首席信息安全官的角色是很誘人的，一旦掌握了企業(yè)的業(yè)務(wù)、戰略、現有的技術(shù)堆棧和預算，這樣做會(huì )更有意義。
當企業(yè)開(kāi)始評估SaaS提供商時(shí)，需要證明潛在供應商符合CSACCM、在CSASTAR聯(lián)盟中的注冊。
如果評估不符合這些標準的供應商，將需要開(kāi)發(fā)一個(gè)全面的程序來(lái)評估他們的安全性。根據客觀(guān)的第三方評估來(lái)評估SaaS供應商至關(guān)重要，而不僅僅是供應商的營(yíng)銷(xiāo)努力。
遵循這一路線(xiàn)圖將幫助首席信息安全官打下堅實(shí)的基礎：運作良好的網(wǎng)絡(luò )安全團隊、可重復報告的數據基線(xiàn)、與新同事和團隊的信任和融洽關(guān)系、數字化轉型機會(huì )清單，以及對企業(yè)業(yè)務(wù)的深入了解。


以上內容（包括圖片及視頻）為創(chuàng )作者平臺"快傳號"用戶(hù)上傳并發(fā)布，本平臺僅提供信息存儲服務(wù)，轉載之目的在于傳遞更多信息，如有侵權，聯(lián)系刪除。