چندی پیش، نقش افسر ارشد امنیت اطلاعات یک موقعیت کاملاً فنی بود که برای کمک به سازمان برای غلبه بر چالشهای امنیت سایبری طراحی شده بود. امروز اما نقش CISO تکامل یافته است - رشد هم از نظر مسئولیت و هم از نظر قد در یک شرکت. CISO اکنون یکی از اعضای مهم تیم اجرایی است که نه تنها امنیت سایبری، بلکه مدیریت ریسک کلی را به استراتژی تجاری و عملیات شرکت مرتبط میکند.
CISO مدرن در تصمیم گیری استراتژیک دخیل است، برای مثال، اطمینان از اینکه کسب و کار به طور ایمن تحول دیجیتال را در بر می گیرد و در عین حال به هیئت مدیره، مشتریان و سرمایه گذاران اطمینان می دهد که قابلیت ها و دفاع سایبری فعال و در حال تکامل با تهدیدات فعلی هستند. و آنها مسئول اعمال نفوذ از افراد، فرآیندها و فناوریها هستند تا سازمانشان را قادر سازند تا اهداف کلان تجاری خود را به طور ایمن انجام دهند.
با توجه به این تحول در مسئولیت ها، 90 روز اول کار یک CISO باید امروز بسیار متفاوت از چندین سال پیش به نظر برسد.
90 روز اول
در حالی که بسیاری از CISO میخواهند بلافاصله ارزش خود را با ایدهها و پروژههای بزرگ در روز اول نشان دهند، اگر ابتدا برای درک ماموریت، ارزشها و تجارت شرکت وقت بگذارند، میتوانند تأثیر طولانیمدتی بیشتری داشته باشند. اهداف. آنها همچنین باید در زمینه فعالیتهای اصلی، محصولات، خدمات، تحقیق و توسعه، مالکیت معنوی و طرحهای ادغام و اکتساب به سرعت عمل کنند. و آنها باید تمام مسائل بالقوه، نقض های قبلی، تعهدات نظارتی یا خارجی و بدهی های فنی موجود را درک کنند.
با در نظر گرفتن این موضوع، در اینجا چند توصیه در مورد تمرکز CISO در طول 90 روز اول کارشان وجود دارد.
درکی از ماموریت و فرهنگ بزرگتر سازمان به دست آورید
از همان روز اول، مجموعه ای از تکنیک های مصاحبه و بازجویی را با هدف درک کسب و کار، اهداف و اولویت های آن شروع کنید. با کارمندان، رهبران کسب و کار در سطح متوسط و مشتریان خود مصاحبه کنید تا درک درستی از همه سهامداران کلیدی، نکات اولیه دردناک و میزان رشد فرهنگ امنیت سایبری در سازمان پیدا کنید. در نهایت، به آرامی از شرکا، تامین کنندگان و فروشندگان خود بازجویی کنید تا مشخص کنید چه کسی فقط می فروشد و چه کسی یک مشاور قابل اعتماد است. گذراندن این فرآیند خطوط ارتباطی را باز می کند، چالش ها را آشکار می کند و به ایجاد یک برنامه عملیاتی 90 روزه و نقشه راه کمک می کند.
جواهرات تاج را شناسایی کنید
تعیین کنید کدام دادهها و سیستمها زیربنای مأموریت استراتژیک و شایستگیهای اصلی شرکت هستند، مالکیت معنوی را نشان میدهند، شرکت را از رقبای خود متمایز میکنند، یا از بخشهای عمده مشتریان یا خطوط درآمد پشتیبانی میکنند. این تاج جواهرات دارایی های دیجیتالی هستند که به احتمال زیاد توسط عوامل تهدید مورد هدف قرار می گیرند و بنابراین باید تلاش های بهداشت سایبری آنها تسریع شود. اگر C-suite و هیئت مدیره این مناطق حیاتی را درک کنند، آنها می توانند ریسک پذیری خود را به شما بگویند و شما می توانید استراتژی های امنیتی را بر این اساس پیاده سازی کنید.
بر اساس چشم انداز فعلی فناوری اطلاعات و کسب و کار شرکت، یک برنامه توسعه دهید
هنگامی که دارایی ها شناسایی و اولویت بندی شدند، یک برنامه مدیریت ریسک مکتوب با چک لیست هایی برای قابل تحویل، ساختار و ارتباط بین ذینفعان کلیدی داخلی و خارجی تهیه کنید. در این مورد اخیر، CISO همیشه باید به عنوان یک کارگزار اطلاعات و به عنوان شریک برای همه تصمیم گیرندگان کلیدی سازمانی عمل کند. یکی از راههای مؤثر برای انجام این کار، برقراری ارتباط رسمی و غیررسمی با این نقشها است، تا سازمان بتواند از نظر استراتژیک به جلو حرکت کند.
اصول را تسلط داشته باشید
فن آوری های زیادی برای ایمن سازی شرکت مدرن مورد نیاز است، اما چند مورد ضروری وجود دارد که باید فوراً اجرا شوند، اگر قبلاً وجود نداشته اند. اینها کنترلهای پایه، از جمله مدیریت آسیبپذیری و دفاع ضد بدافزار برای نقطه پایانی، و کنترلهای غیرقابل مذاکره، از جمله احراز هویت چندعاملی، رمزگذاری دادههای حساس، لیست سفید برنامه، نظارت بر امنیت 24 ساعته، نظارت بر یکپارچگی فایل، مدیریت دسترسی ممتاز، تقسیمبندی شبکه هستند. ، پیشگیری از از دست دادن داده ها، و ارزیابی دقیق و عملکرد حسابرسی مرتبط با آسیب پذیری و استراتژی های وصله.
پیاده سازی معیارها
ارزش طرح ها، فرآیندها و فناوری های امنیتی را به C-suite، مدیران واحد تجاری و هیئت مدیره ثابت کنید. اجرای معیارها و ارزیابی های بلوغ این نشان میدهد که چگونه شرکت در برابر رقبا قرار میگیرد، چگونه استراتژیهای امنیتی در برابر بهترین شیوهها و چارچوبهای صنعت قرار میگیرد، و چگونه ابتکارات امنیتی کسبوکار را قادر به انجام عملیات امن میکند.
همیشه امنیت را به عنوان یک مشکل تجاری در نظر بگیرید
حوادث امنیتی می تواند عواقب بی شماری را برای کسب و کار به همراه داشته باشد و برعکس، امنیت قوی می تواند به موفقیت کسب و کار به شکل ایمن کمک کند. به همین دلیل بسیار مهم است که تیم های فناوری اطلاعات و امنیت همیشه با بخش تجاری سازمان یکپارچه بمانند. به عنوان بخشی از این، ارتباط و همکاری مداوم بین رهبران اجرایی، هیئت مدیره و رهبران امنیتی را تضمین کنید. وقتی مدیریت ریسکهای تجاری ناشی از تهدیدات امنیت سایبری را درک میکند، تمایل بیشتری به توجه و مشارکت در تلاشهای امنیتی دارند.
در پایان 90 روز اول، یک CISO باید بتواند به سؤالاتی مانند: سازمان تا چه حد محافظت می شود؟ بلوغ توانایی ما در برابر چارچوب های استاندارد صنعتی چیست؟ مهم ترین آسیب پذیری ها و سناریوهای خطر سایبری ما چیست؟ چه داده هایی برای سازمان مهم است؟ چه خطرات داده ای می تواند بیشترین تأثیر منفی را بر سازمان داشته باشد؟ و برای بهبود وضعیت امنیتی سازمان چه چیزی لازم است و آیا نقشه راه داریم؟
در حالی که ممکن است در یک بازه زمانی سه ماهه کار زیادی به نظر برسد، پیروی از این شش مرحله شرکت شما را برای امنیت کوتاهمدت و بلندمدت و موفقیت تجاری آماده میکند.