作为负责安全的高级管理人员,安全专家将承受巨大的压力。网络犯罪活动近年来日益猖獗,与2020年相比,2021年每次数据泄露事件的平均损失增加了10%,而数据泄露事件数量增加了17%。
对于一些新任的首席信息安全官来说,在其开展工作的前90天内对企业产生的影响至关重要。并将为其任期的成功或失败奠定基础。
首席信息安全官很容易完成其待办事项清单上的每一项显著任务,这样看起来就好像正在完成既定任务一样。但是,首席信息安全官为其成功铺平道路的最可靠方法是有条不紊地、深思熟虑地制定一个90天计划并坚持完成。
以下九个步骤的路线图将指导首席信息安全官制定一个出色的网络安全计划,推动数字化转型,并利用SaaS技术加速业务计划,并降低运营成本。
(1)第1~3周:识别和理解业务风险
在首席信息安全官入职的前三周,需要了解其所在公司的整体业务。探索业务运营方式、分散的团队员工所在的位置、企业如何应对市场、提供的服务和商品。这是深入了解企业的上市战略和供应链的机会。
尽可能多地与其他高管、董事会和其他公司领导人举行会议,以深入了解他们的业务职能和职责。与其他技术官员会面也是掌握更大的技术堆栈的最佳方式。
在最初三周时间的探索中,评估企业领导层在开发周期中左移的意愿;在开发生命周期中的开始之初就融入安全性,从而降低成本,并提高可靠性。
(2)第4~5周:感受企业的技术流程并开始发展其团队
与技术堆栈相比,定义明确的流程对网络安全的影响更大。在担任首席信息安全官的第4~5周,需要熟悉团队成员,了解现有流程,尤其是围绕项目、事件和客户生命周期管理的流程。
首席信息安全官通常了解什么技术有效,什么技术无效。并询问任何可用的文档化标准,创建一个列表,列出哪些流程和技术缺少文档。接下来,与其他团队沟通,以确定哪些技术和流程与其范围重叠。
现在是开始深入了解团队的时候了。首席信息安全官一对一地确定他们的职业目标,并探索如何帮助他们实现这些目标。了解他们感兴趣的培训和职业发展目标,企业在过去提供过哪些类型的培训,然后通过人力资源来了解团队成长的职业道路。
这是首席信息安全官与其团队成员讨论自动化的最佳时机,他们可能有时间与其团队成员讨论自动化的好处。
(3)第6周:制定策略
首席信息安全官在这一阶段收集了信息,现在是实施计划的时候了,可以制定以下战略:
- 满足企业的总体业务战略、目标、目的。
- 满足员工的职业目标。
- 通过减少员工重复而乏味的任务,提高他们的自动化水平。
- 将企业面临的网络风险评估为一个关键的整体差距。
- 在开发生命周期中左移安全性。
- 鼓励采用SaaS。
- 将所有IT迁移到零信任架构。
(4)第7周:完成企业的战略并开始实施计划
这是首席信息安全官的第7周,其策略和计划都很好。首席信息安全官的下一步是由其团队员工执行其策略,然后获得和接受反馈,并做出调整,然后提交给企业的执行委员会批准。
在获得批准之后,与适当的团队合作,确定能够推动成功的策略。合作是关键——这将培养融洽关系,帮助同事和员建立信任,然后开始实施战略。
(5)第8周:获得敏捷
将企业的团队过渡到敏捷项目管理方法将确保快速获得功能元素。
如果企业的团队规模很小,Scrums将是适当且有效的。如果企业已经在使用sprints,将其团队的sprints周期与工程团队的持续时间保持一致。如果没有其他人使用sprints,需要将其周期设置为三周。
(6)第9周:开始衡量和报告
首席信息安全官有权访问历史报告,也可能无法访问。无论哪种方式,第9周都是启动新基准和定期衡量并向执行委员会报告的最佳时机。
确保对其团队员工和与首席信息安全官一起工作的其他部门表示赞赏。通过培养在最初几周建立的良好意愿,将与同事建立更牢固的关系——当必须指出问题和差距时,这并不是一件坏事。
随着首席信息安全官的报告变得定期,开始对企业进行有关网络安全的教育和交流。鼓励合作、参与并庆祝成功,而不是专注于问题。创建跨部门的“安全拥护者”计划,鼓励其拥护者在出现问题时报告,并因参与而获得奖励。
(7)第10周:进行彻底的渗透测试
渗透测试是如何获得一些关于事情到底有多糟糕的数据。应该计划、安排和执行对基础设施和应用程序的彻底渗透测试(或红队练习)。
寻找遵循PTES或OSSTMM 3方法进行基础设施测试,并为每个应用程序使用OWASP测试框架的渗透测试合作伙伴。
(8)第11周:开始使用零信任身份验证框架
过渡到零信任身份验证(ZTA)框架是作为首席信息安全官的任职前90天的关键一步。
在零信任认证中,在默认情况下不授予用户访问权限,但一旦通过身份验证,他们就会获得访问权限。零信任认证将增强企业的安全状况。零信任认证的第一步应该是开始尽可能地取消密码,并过渡到安全的多因素身份验证。
(9)第12周:评估SaaS提供商
通过深入研究购买指南和SaaS供应商比较来开始首席信息安全官的角色是很诱人的,一旦掌握了企业的业务、战略、现有的技术堆栈和预算,这样做会更有意义。
当企业开始评估SaaS提供商时,需要证明潜在供应商符合CSACCM、在CSASTAR联盟中的注册。
如果评估不符合这些标准的供应商,将需要开发一个全面的程序来评估他们的安全性。根据客观的第三方评估来评估SaaS供应商至关重要,而不仅仅是供应商的营销努力。
遵循这一路线图将帮助首席信息安全官打下坚实的基础:运作良好的网络安全团队、可重复报告的数据基线、与新同事和团队的信任和融洽关系、数字化转型机会清单,以及对企业业务的深入了解。