منذ وقت ليس ببعيد ، كان دور كبير مسؤولي أمن المعلومات منصبًا تقنيًا بحتًا مصممًا لمساعدة مؤسسة على التغلب على تحديات الأمن السيبراني. اليوم ، ومع ذلك ، لقد تطور دور CISO - تنامي المسؤولية والمكانة داخل الشركة. يعد CISO الآن عضوًا مهمًا في الفريق التنفيذي ، وهو مسؤول عن ربط ليس فقط الأمن السيبراني ، ولكن إدارة المخاطر الشاملة ، باستراتيجية وعمليات الشركة التجارية.
CISO الحديث يشارك في صنع القرار الاستراتيجي ، على سبيل المثال ، ضمان احتضان الأعمال التجارية بشكل آمن للتحول الرقمي مع التأكيد لمجلس الإدارة والعملاء والمستثمرين أن القدرات والدفاعات السيبرانية نشطة ومتطورة مع التهديدات الحالية. وهم مسؤولون عن الاستفادة من الأشخاص والعمليات والتقنيات لتمكين مؤسستهم من تحقيق أهداف أعمالها الشاملة بشكل آمن.
بالنظر إلى هذا التطور في المسؤوليات ، يجب أن تبدو الأيام التسعين الأولى من عمل CISO مختلفة كثيرًا اليوم عما كانت عليه قبل عدة سنوات.
أول 90 يومًا
بينما يرغب العديد من CISOs في إظهار القيمة على الفور من خلال القفز بالأفكار والمشاريع الكبيرة في اليوم الأول ، سيكونون قادرين على إحداث تأثير طويل المدى إذا أخذوا الوقت الكافي لفهم مهمة الشركة وقيمها وأعمالها. الأهداف. كما يحتاجون أيضًا إلى التعجيل بالأنشطة الأساسية والمنتجات والخدمات والبحث والتطوير والملكية الفكرية وخطط الدمج والاستحواذ. ويحتاجون إلى فهم جميع المشكلات المحتملة ، والانتهاكات السابقة ، والالتزامات التنظيمية أو الخارجية ، والديون الفنية القائمة.
مع وضع ذلك في الاعتبار ، إليك بعض التوصيات حول ما يجب أن يكون عليه تركيز CISO خلال أول 90 يومًا من العمل.
اكتساب فهم لرسالة وثقافة المنظمة الأكبر
في اليوم الأول ، ابدأ في نشر مجموعة من تقنيات المقابلة والاستجواب بهدف فهم الأعمال التجارية وأغراضها وأولوياتها. قم بإجراء مقابلة مع موظفيك وقادة الأعمال من المستوى المتوسط والعملاء للتعرف على جميع أصحاب المصلحة الرئيسيين ، ونقاط الألم الأولية ، ومدى نضج ثقافة الأمن السيبراني داخل المؤسسة. أخيرًا ، استفسر بلطف عن شركائك ومورديك ومورديك لتحديد من يبيع للتو ومن هو مستشار موثوق به. سيؤدي إجراء هذه العملية إلى فتح خطوط اتصال ، وكشف التحديات ، والمساعدة في بناء خطة عمل وخريطة طريق لمدة 90 يومًا.
التعرف على جواهر التاج
حدد البيانات والأنظمة التي تدعم مهمة الشركة الاستراتيجية والكفاءات الأساسية ، أو تمثل الملكية الفكرية ، أو تميز المؤسسة عن منافسيها ، أو تدعم قطاعات العملاء الرئيسية أو خطوط الإيرادات. جواهر التاج هذه هي الأصول الرقمية التي من المرجح أن تكون مستهدفة من قبل الجهات الفاعلة في التهديد ، وبالتالي يجب تسريع جهودهم في مجال حفظ الصحة الإلكترونية. إذا كان C-suite والمجلس يفهمان هذه المجالات الحرجة، يمكنهم إخبارك عن مدى استعدادهم للمخاطرة ، ويمكنك تنفيذ استراتيجيات الأمان وفقًا لذلك.
وضع خطة بناءً على تكنولوجيا المعلومات الحالية للشركة ومشهد الأعمال
بمجرد تحديد الأصول وتحديد أولوياتها ، قم بتطوير خطة مكتوبة لإدارة المخاطر مع قوائم مراجعة للنواتج والهيكل والتواصل بين أصحاب المصلحة الداخليين والخارجيين الرئيسيين. فيما يتعلق بهذه النقطة الأخيرة ، يجب أن يعمل CISO دائمًا كوسيط معلومات وكشريك لجميع صانعي القرار التنظيميين الرئيسيين. تتمثل إحدى الطرق الفعالة للقيام بذلك في إنشاء اتصال رسمي وغير رسمي مع هذه الأدوار ، حتى تتمكن المنظمة من المضي قدمًا بشكل استراتيجي.
إتقان الأساسيات
هناك العديد من التقنيات اللازمة لتأمين الشركة الحديثة ، ولكن هناك عدد قليل من العناصر الضرورية التي يجب تنفيذها على الفور ، إذا لم تكن كذلك بالفعل. هذه عناصر تحكم أساسية ، بما في ذلك إدارة نقاط الضعف ودفاعات مكافحة البرامج الضارة لنقطة النهاية ، وعناصر التحكم غير القابلة للتفاوض ، بما في ذلك المصادقة متعددة العوامل ، وتشفير البيانات الحساسة ، والقائمة البيضاء للتطبيق ، ومراقبة الأمان على مدار الساعة طوال أيام الأسبوع ، ومراقبة سلامة الملفات ، وإدارة الوصول المميز ، وتجزئة الشبكة ، ومنع فقدان البيانات ، وتقييم صارم ووظيفة التدقيق المرتبطة باستراتيجيات الضعف والتصحيح.
تنفيذ المعايير
إثبات قيمة الخطط والعمليات والتقنيات الأمنية للجناح C والمديرين التنفيذيين لوحدة الأعمال والمجلس من خلال تنفيذ المعايير وتقييمات النضج تُظهر كيف تتراكم الشركة ضد المنافسين ، وكيف تتراكم استراتيجيات الأمان مع أفضل الممارسات والأطر في الصناعة ، وكيف تعمل مبادرات الأمان على تمكين الأعمال من خلال عمليات آمنة.
تعامل دائمًا مع الأمن باعتباره مشكلة عمل
يمكن أن تؤدي الحوادث الأمنية إلى عواقب لا تعد ولا تحصى على الأعمال التجارية ، وعلى العكس من ذلك ، يمكن أن يساعد الأمان القوي الشركة على النجاح بطريقة آمنة. هذا هو السبب في أنه من المهم جدًا أن تظل فرق تكنولوجيا المعلومات والأمان دائمًا متكاملة مع الجانب التجاري للمؤسسة. كجزء من هذا ، تأكد من التواصل والتعاون المستمر بين القادة التنفيذيين ومجلس الإدارة وقادة الأمن. عندما تفهم الإدارة مخاطر العمل التي تشكلها تهديدات الأمن السيبراني ، ستكون أكثر استعدادًا للانتباه والمشاركة في الجهود الأمنية.
في نهاية التسعين يومًا الأولى ، يجب أن يكون CISO قادرًا على الإجابة على أسئلة مثل: ما مدى حماية المنظمة؟ ما هو نضج قدراتنا مقابل أطر العمل القياسية في الصناعة؟ ما هي أهم سيناريوهات نقاط الضعف والمخاطر الإلكترونية لدينا؟ ما هي البيانات الأكثر أهمية بالنسبة للمنظمة؟ ما هي مخاطر البيانات التي يمكن أن يكون لها أكبر تأثير سلبي على المنظمة؟ وما الذي يتطلبه الأمر لتحسين الوضع الأمني للمنظمة ، وهل لدينا خريطة طريق؟
في حين أن هذا قد يبدو كثيرًا للوصول إلى الحضيض في فترة زمنية مدتها ثلاثة أشهر ، فإن اتباع هذه الخطوات الست سيؤهل شركتك للأمن على المدى القصير والطويل ونجاح الأعمال.
