作为负责安全的高级管理人员,安全专业人员承受着巨大的压力。近年来,网络犯罪活动变得更加猖獗。与2020年相比,2021年每起数据泄露事件的平均损失增加了10%,而数据泄露事件的数量增加了17%。对于一些新的CISO来说,在他们上任的头90天内对业务的影响至关重要。并将为其任期的成败奠定基础。CISO很容易完成待办事项清单上的每一项重要任务,这样看起来就像他们正在做一样。但CISO为成功铺平道路的最可靠方法是有条不紊地、深思熟虑地制定一个90天计划并坚持执行。以下九步路线图将指导CISO制定出色的网络安全计划,推动数字化转型,并利用SaaS技术加速业务计划并降低运营成本。(1)第1周到第3周:识别和了解业务风险在首席信息安全官上任的前三周,他需要了解自己公司的整体业务。探索企业如何运作,分散的团队员工所在的位置,企业如何响应市场、提供的服务和商品。这是一个深入了解公司上市战略和供应链的机会。与其他高管、董事会和其他公司领导举行尽可能多的会议,以深入了解他们的业务职能和职责。与其他技术官僚会面也是掌握更大技术堆栈的最佳方式。在最初的三周探索期间,评估业务领导在开发周期中左移的意愿;将安全性纳入开发生命周期的早期,以降低成本并提高可靠性。(2)第4-5周:感受企业的技术流程并开始发展其团队定义明确的流程对网络安全的影响比技术堆栈更大。在成为CISO的第4到第5周,熟悉您的团队成员并了解现有流程,尤其是围绕项目、事件和客户生命周期管理。CISO通常了解哪些技术有效,哪些无效。并询问任何可用的文档标准,创建一个列表,列出哪些流程和技术缺少文档。接下来,与其他团队交谈以确定哪些技术和流程与他们的范围重叠。现在是开始更好地了解您的团队的时候了。CISO一对一地确定他们的职业目标,并探索如何帮助他们实现这些目标。找出他们感兴趣的培训和职业发展目标,公司过去提供了哪些类型的培训,然后通过HR了解团队成长的职业路径。这是CISO与团队成员讨论自动化的最佳时机,他们可能有时间与团队成员讨论自动化的好处。(3)第6周:策略首席信息安全官在这个阶段收集了信息,现在是实施计划的时候了,可以制定以下策略:以满足企业的整体业务战略、目标和目标.满足员工的职业目标。通过减少重复和繁琐的任务来提高员工的自动化水平。评估您的组织面临的网络风险作为关键的整体差距。将安全性转移到开发生命周期中。鼓励采用SaaS。将所有IT迁移到零信任架构。(4)第七周:完成企业战略,开始实施计划这是CISO的第七周,战略和计划都很好。CISO的下一步是让他的团队执行他的战略,然后获取并接受反馈、进行调整,并将它们提交给组织的执行委员会批准。获得批准后,与适当的团队合作确定将推动成功的策略。协作是关键——这将促进融洽关系并帮助同事和员工在开始实施战略之前建立信任。(5)第8周:获得敏捷将组织的团队转变为敏捷项目管理方法将确保快速访问功能元素。如果企业的团队规模较小,Scrums将是合适且有效的。如果企业已经在使用冲刺,请使其团队的冲刺周期与工程团队的持续时间保持一致。如果没有其他人使用冲刺,则需要将其设置为三周。(6)第9周:开始衡量和报告CISO是否有权访问历史报告,可能会也可能不会。无论哪种方式,第9周都是启动新基准和定期测量并向执行委员会报告的最佳时机。确保对与CISO合作的团队员工和其他部门表示赞赏。通过培养最初几周建立的良好意愿,将与同事建立更牢固的关系——当必须指出问题和差距时,这不是一件坏事。随着CISO报告成为常规,开始就网络安全向企业进行教育和沟通。鼓励合作、参与和庆祝成功,而不是专注于问题。创建一个跨部门的“安全冠军”计划,鼓励冠军在出现问题时报告问题,并因他们的参与而获得奖励。(7)第10周:进行彻底的渗透测试渗透测试如何获取一些关于事情到底有多糟糕的数据。应计划、安排和执行基础设施和应用程序的全面渗透测试(或红队练习)。寻找遵循PTES或OSSTMM3基础设施测试方法并对每个应用程序使用OWASP测试框架的渗透测试合作伙伴。(8)第11周:开始使用零信任身份验证框架过渡到零信任身份验证(ZTA)框架是您作为CISO的前90天的关键步骤。在零信任身份验证中,默认情况下不授予用户访问权限,但一旦通过身份验证,他们就可以获得访问权限。零信任认证将增强企业的安全态势。零信任身份验证的第一步应该是开始尽可能取消密码,并过渡到安全的多因素身份验证。(9)第12周:评估SaaS提供商的预算,这样做更有意义。当企业开始评估SaaS提供商时,它需要证明潜在提供商遵守CSACCM,在CSASTAR联盟中注册。如果对不符合这些标准的供应商进行评估,则需要制定综合计划来评估他们的安全性。根据客观的第三方评估评估SaaS供应商至关重要,而不仅仅是供应商的营销努力。遵循此路线图将帮助CISO打下坚实的基础:运作良好的网络安全团队、可重复报告的数据基线、与新同事和团队的信任和融洽关系、数字化转型机会清单以及深入理解。
