作為負(fù)責(zé)安全的高級(jí)管理人員，安全專家將承受巨大的壓力。網(wǎng)絡(luò)犯罪活動(dòng)近年來日益猖獗，與2020年相比，2021年每次數(shù)據(jù)泄露事件的平均損失增加了10%，而數(shù)據(jù)泄露事件數(shù)量增加了17%。對(duì)于一些新任的首席信息安全官來說，在其開展工作的前90天內(nèi)對(duì)企業(yè)產(chǎn)生的影響至關(guān)重要。并將為其任期的成功或失敗奠定基礎(chǔ)。
首席信息安全官很容易完成其待辦事項(xiàng)清單上的每一項(xiàng)顯著任務(wù)，這樣看起來就好像正在完成既定任務(wù)一樣。但是，首席信息安全官為其成功鋪平道路的最可靠方法是有條不紊地、深思熟慮地制定一個(gè)90天計(jì)劃并堅(jiān)持完成。

以下九個(gè)步驟的路線圖將指導(dǎo)首席信息安全官制定一個(gè)出色的網(wǎng)絡(luò)安全計(jì)劃，推動(dòng)數(shù)字化轉(zhuǎn)型，并利用SaaS技術(shù)加速業(yè)務(wù)計(jì)劃，并降低運(yùn)營成本。

(1)第1～3周：識(shí)別和理解業(yè)務(wù)風(fēng)險(xiǎn)
在首席信息安全官入職的前三周，需要了解其所在公司的整體業(yè)務(wù)。探索業(yè)務(wù)運(yùn)營方式、分散的團(tuán)隊(duì)員工所在的位置、企業(yè)如何應(yīng)對(duì)市場(chǎng)、提供的服務(wù)和商品。這是深入了解企業(yè)的上市戰(zhàn)略和供應(yīng)鏈的機(jī)會(huì)。
盡可能多地與其他高管、董事會(huì)和其他公司領(lǐng)導(dǎo)人舉行會(huì)議，以深入了解他們的業(yè)務(wù)職能和職責(zé)。與其他技術(shù)官員會(huì)面也是掌握更大的技術(shù)堆棧的最佳方式。
在最初三周時(shí)間的探索中，評(píng)估企業(yè)領(lǐng)導(dǎo)層在開發(fā)周期中左移的意愿;在開發(fā)生命周期中的開始之初就融入安全性，從而降低成本，并提高可靠性。
(2)第4～5周：感受企業(yè)的技術(shù)流程并開始發(fā)展其團(tuán)隊(duì)
與技術(shù)堆棧相比，定義明確的流程對(duì)網(wǎng)絡(luò)安全的影響更大。在擔(dān)任首席信息安全官的第4～5周，需要熟悉團(tuán)隊(duì)成員，了解現(xiàn)有流程，尤其是圍繞項(xiàng)目、事件和客戶生命周期管理的流程。
首席信息安全官通常了解什么技術(shù)有效，什么技術(shù)無效。并詢問任何可用的文檔化標(biāo)準(zhǔn)，創(chuàng)建一個(gè)列表，列出哪些流程和技術(shù)缺少文檔。接下來，與其他團(tuán)隊(duì)溝通，以確定哪些技術(shù)和流程與其范圍重疊。
現(xiàn)在是開始深入了解團(tuán)隊(duì)的時(shí)候了。首席信息安全官一對(duì)一地確定他們的職業(yè)目標(biāo)，并探索如何幫助他們實(shí)現(xiàn)這些目標(biāo)。了解他們感興趣的培訓(xùn)和職業(yè)發(fā)展目標(biāo)，企業(yè)在過去提供過哪些類型的培訓(xùn)，然后通過人力資源來了解團(tuán)隊(duì)成長的職業(yè)道路。
這是首席信息安全官與其團(tuán)隊(duì)成員討論自動(dòng)化的最佳時(shí)機(jī)，他們可能有時(shí)間與其團(tuán)隊(duì)成員討論自動(dòng)化的好處。
(3)第6周：制定策略
首席信息安全官在這一階段收集了信息，現(xiàn)在是實(shí)施計(jì)劃的時(shí)候了，可以制定以下戰(zhàn)略：
滿足企業(yè)的總體業(yè)務(wù)戰(zhàn)略、目標(biāo)、目的。
滿足員工的職業(yè)目標(biāo)。
通過減少員工重復(fù)而乏味的任務(wù)，提高他們的自動(dòng)化水平。
將企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估為一個(gè)關(guān)鍵的整體差距。
在開發(fā)生命周期中左移安全性。
鼓勵(lì)采用SaaS。
將所有IT遷移到零信任架構(gòu)。
(4)第7周：完成企業(yè)的戰(zhàn)略并開始實(shí)施計(jì)劃
這是首席信息安全官的第7周，其策略和計(jì)劃都很好。首席信息安全官的下一步是由其團(tuán)隊(duì)員工執(zhí)行其策略，然后獲得和接受反饋，并做出調(diào)整，然后提交給企業(yè)的執(zhí)行委員會(huì)批準(zhǔn)。
在獲得批準(zhǔn)之后，與適當(dāng)?shù)膱F(tuán)隊(duì)合作，確定能夠推動(dòng)成功的策略。合作是關(guān)鍵——這將培養(yǎng)融洽關(guān)系，幫助同事和員建立信任，然后開始實(shí)施戰(zhàn)略。
(5)第8周：獲得敏捷
將企業(yè)的團(tuán)隊(duì)過渡到敏捷項(xiàng)目管理方法將確保快速獲得功能元素。
如果企業(yè)的團(tuán)隊(duì)規(guī)模很小，Scrums將是適當(dāng)且有效的。如果企業(yè)已經(jīng)在使用sprints，將其團(tuán)隊(duì)的sprints周期與工程團(tuán)隊(duì)的持續(xù)時(shí)間保持一致。如果沒有其他人使用sprints，需要將其周期設(shè)置為三周。
(6)第9周：開始衡量和報(bào)告
首席信息安全官有權(quán)訪問歷史報(bào)告，也可能無法訪問。無論哪種方式，第9周都是啟動(dòng)新基準(zhǔn)和定期衡量并向執(zhí)行委員會(huì)報(bào)告的最佳時(shí)機(jī)。
確保對(duì)其團(tuán)隊(duì)員工和與首席信息安全官一起工作的其他部門表示贊賞。通過培養(yǎng)在最初幾周建立的良好意愿，將與同事建立更牢固的關(guān)系——當(dāng)必須指出問題和差距時(shí)，這并不是一件壞事。
隨著首席信息安全官的報(bào)告變得定期，開始對(duì)企業(yè)進(jìn)行有關(guān)網(wǎng)絡(luò)安全的教育和交流。鼓勵(lì)合作、參與并慶祝成功，而不是專注于問題。創(chuàng)建跨部門的“安全擁護(hù)者”計(jì)劃，鼓勵(lì)其擁護(hù)者在出現(xiàn)問題時(shí)報(bào)告，并因參與而獲得獎(jiǎng)勵(lì)。
(7)第10周：進(jìn)行徹底的滲透測(cè)試
滲透測(cè)試是如何獲得一些關(guān)于事情到底有多糟糕的數(shù)據(jù)。應(yīng)該計(jì)劃、安排和執(zhí)行對(duì)基礎(chǔ)設(shè)施和應(yīng)用程序的徹底滲透測(cè)試(或紅隊(duì)練習(xí))。
尋找遵循PTES或OSSTMM 3方法進(jìn)行基礎(chǔ)設(shè)施測(cè)試，并為每個(gè)應(yīng)用程序使用OWASP測(cè)試框架的滲透測(cè)試合作伙伴。
(8)第11周：開始使用零信任身份驗(yàn)證框架
過渡到零信任身份驗(yàn)證(ZTA)框架是作為首席信息安全官的任職前90天的關(guān)鍵一步。
在零信任認(rèn)證中，在默認(rèn)情況下不授予用戶訪問權(quán)限，但一旦通過身份驗(yàn)證，他們就會(huì)獲得訪問權(quán)限。零信任認(rèn)證將增強(qiáng)企業(yè)的安全狀況。零信任認(rèn)證的第一步應(yīng)該是開始盡可能地取消密碼，并過渡到安全的多因素身份驗(yàn)證。
(9)第12周：評(píng)估SaaS提供商
通過深入研究購買指南和SaaS供應(yīng)商比較來開始首席信息安全官的角色是很誘人的，一旦掌握了企業(yè)的業(yè)務(wù)、戰(zhàn)略、現(xiàn)有的技術(shù)堆棧和預(yù)算，這樣做會(huì)更有意義。
當(dāng)企業(yè)開始評(píng)估SaaS提供商時(shí)，需要證明潛在供應(yīng)商符合CSACCM、在CSASTAR聯(lián)盟中的注冊(cè)。
如果評(píng)估不符合這些標(biāo)準(zhǔn)的供應(yīng)商，將需要開發(fā)一個(gè)全面的程序來評(píng)估他們的安全性。根據(jù)客觀的第三方評(píng)估來評(píng)估SaaS供應(yīng)商至關(guān)重要，而不僅僅是供應(yīng)商的營銷努力。
遵循這一路線圖將幫助首席信息安全官打下堅(jiān)實(shí)的基礎(chǔ)：運(yùn)作良好的網(wǎng)絡(luò)安全團(tuán)隊(duì)、可重復(fù)報(bào)告的數(shù)據(jù)基線、與新同事和團(tuán)隊(duì)的信任和融洽關(guān)系、數(shù)字化轉(zhuǎn)型機(jī)會(huì)清單，以及對(duì)企業(yè)業(yè)務(wù)的深入了解。


以上內(nèi)容（包括圖片及視頻）為創(chuàng)作者平臺(tái)"快傳號(hào)"用戶上傳并發(fā)布，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)，轉(zhuǎn)載之目的在于傳遞更多信息，如有侵權(quán)，聯(lián)系刪除。