6 کاری که هر CISO باید در 90 روز اول کار در هوش داده پلاتو بلاک چین انجام دهد. جستجوی عمودی Ai.

6 کاری که هر CISO باید در 90 روز اول کار انجام دهد

تمبر زمان: 10 اکتبر 2022، 10:00 صبح

چندی پیش، نقش افسر ارشد امنیت اطلاعات یک موقعیت کاملاً فنی بود که برای کمک به سازمان برای غلبه بر چالش‌های امنیت سایبری طراحی شده بود. امروز اما نقش CISO تکامل یافته است - رشد هم از نظر مسئولیت و هم از نظر قد در یک شرکت. CISO اکنون یکی از اعضای مهم تیم اجرایی است که نه تنها امنیت سایبری، بلکه مدیریت ریسک کلی را به استراتژی تجاری و عملیات شرکت مرتبط می‌کند.

CISO مدرن در تصمیم گیری استراتژیک دخیل است، برای مثال، اطمینان از اینکه کسب و کار به طور ایمن تحول دیجیتال را در بر می گیرد و در عین حال به هیئت مدیره، مشتریان و سرمایه گذاران اطمینان می دهد که قابلیت ها و دفاع سایبری فعال و در حال تکامل با تهدیدات فعلی هستند. و آنها مسئول اعمال نفوذ از افراد، فرآیندها و فناوری‌ها هستند تا سازمانشان را قادر سازند تا اهداف کلان تجاری خود را به طور ایمن انجام دهند.

با توجه به این تحول در مسئولیت ها، 90 روز اول کار یک CISO باید امروز بسیار متفاوت از چندین سال پیش به نظر برسد.

90 روز اول

در حالی که بسیاری از CISO می‌خواهند بلافاصله ارزش خود را با ایده‌ها و پروژه‌های بزرگ در روز اول نشان دهند، اگر ابتدا برای درک ماموریت، ارزش‌ها و تجارت شرکت وقت بگذارند، می‌توانند تأثیر طولانی‌مدتی بیشتری داشته باشند. اهداف. آنها همچنین باید در زمینه فعالیت‌های اصلی، محصولات، خدمات، تحقیق و توسعه، مالکیت معنوی و طرح‌های ادغام و اکتساب به سرعت عمل کنند. و آنها باید تمام مسائل بالقوه، نقض های قبلی، تعهدات نظارتی یا خارجی و بدهی های فنی موجود را درک کنند.

با در نظر گرفتن این موضوع، در اینجا چند توصیه در مورد تمرکز CISO در طول 90 روز اول کارشان وجود دارد.

درکی از ماموریت و فرهنگ بزرگتر سازمان به دست آورید

از همان روز اول، مجموعه ای از تکنیک های مصاحبه و بازجویی را با هدف درک کسب و کار، اهداف و اولویت های آن شروع کنید. با کارمندان، رهبران کسب و کار در سطح متوسط ​​و مشتریان خود مصاحبه کنید تا درک درستی از همه سهامداران کلیدی، نکات اولیه دردناک و میزان رشد فرهنگ امنیت سایبری در سازمان پیدا کنید. در نهایت، به آرامی از شرکا، تامین کنندگان و فروشندگان خود بازجویی کنید تا مشخص کنید چه کسی فقط می فروشد و چه کسی یک مشاور قابل اعتماد است. گذراندن این فرآیند خطوط ارتباطی را باز می کند، چالش ها را آشکار می کند و به ایجاد یک برنامه عملیاتی 90 روزه و نقشه راه کمک می کند.

جواهرات تاج را شناسایی کنید

تعیین کنید کدام داده‌ها و سیستم‌ها زیربنای مأموریت استراتژیک و شایستگی‌های اصلی شرکت هستند، مالکیت معنوی را نشان می‌دهند، شرکت را از رقبای خود متمایز می‌کنند، یا از بخش‌های عمده مشتریان یا خطوط درآمد پشتیبانی می‌کنند. این تاج جواهرات دارایی های دیجیتالی هستند که به احتمال زیاد توسط عوامل تهدید مورد هدف قرار می گیرند و بنابراین باید تلاش های بهداشت سایبری آنها تسریع شود. اگر C-suite و هیئت مدیره این مناطق حیاتی را درک کنند، آنها می توانند ریسک پذیری خود را به شما بگویند و شما می توانید استراتژی های امنیتی را بر این اساس پیاده سازی کنید.

بر اساس چشم انداز فعلی فناوری اطلاعات و کسب و کار شرکت، یک برنامه توسعه دهید

هنگامی که دارایی ها شناسایی و اولویت بندی شدند، یک برنامه مدیریت ریسک مکتوب با چک لیست هایی برای قابل تحویل، ساختار و ارتباط بین ذینفعان کلیدی داخلی و خارجی تهیه کنید. در این مورد اخیر، CISO همیشه باید به عنوان یک کارگزار اطلاعات و به عنوان شریک برای همه تصمیم گیرندگان کلیدی سازمانی عمل کند. یکی از راه‌های مؤثر برای انجام این کار، برقراری ارتباط رسمی و غیررسمی با این نقش‌ها است، تا سازمان بتواند از نظر استراتژیک به جلو حرکت کند.

اصول را تسلط داشته باشید

فن آوری های زیادی برای ایمن سازی شرکت مدرن مورد نیاز است، اما چند مورد ضروری وجود دارد که باید فوراً اجرا شوند، اگر قبلاً وجود نداشته اند. اینها کنترل‌های پایه، از جمله مدیریت آسیب‌پذیری و دفاع ضد بدافزار برای نقطه پایانی، و کنترل‌های غیرقابل مذاکره، از جمله احراز هویت چندعاملی، رمزگذاری داده‌های حساس، لیست سفید برنامه، نظارت بر امنیت 24 ساعته، نظارت بر یکپارچگی فایل، مدیریت دسترسی ممتاز، تقسیم‌بندی شبکه هستند. ، پیشگیری از از دست دادن داده ها، و ارزیابی دقیق و عملکرد حسابرسی مرتبط با آسیب پذیری و استراتژی های وصله.

پیاده سازی معیارها

ارزش طرح ها، فرآیندها و فناوری های امنیتی را به C-suite، مدیران واحد تجاری و هیئت مدیره ثابت کنید. اجرای معیارها و ارزیابی های بلوغ این نشان می‌دهد که چگونه شرکت در برابر رقبا قرار می‌گیرد، چگونه استراتژی‌های امنیتی در برابر بهترین شیوه‌ها و چارچوب‌های صنعت قرار می‌گیرد، و چگونه ابتکارات امنیتی کسب‌وکار را قادر به انجام عملیات امن می‌کند.

همیشه امنیت را به عنوان یک مشکل تجاری در نظر بگیرید

حوادث امنیتی می تواند عواقب بی شماری را برای کسب و کار به همراه داشته باشد و برعکس، امنیت قوی می تواند به موفقیت کسب و کار به شکل ایمن کمک کند. به همین دلیل بسیار مهم است که تیم های فناوری اطلاعات و امنیت همیشه با بخش تجاری سازمان یکپارچه بمانند. به عنوان بخشی از این، ارتباط و همکاری مداوم بین رهبران اجرایی، هیئت مدیره و رهبران امنیتی را تضمین کنید. وقتی مدیریت ریسک‌های تجاری ناشی از تهدیدات امنیت سایبری را درک می‌کند، تمایل بیشتری به توجه و مشارکت در تلاش‌های امنیتی دارند.

در پایان 90 روز اول، یک CISO باید بتواند به سؤالاتی مانند: سازمان تا چه حد محافظت می شود؟ بلوغ توانایی ما در برابر چارچوب های استاندارد صنعتی چیست؟ مهم ترین آسیب پذیری ها و سناریوهای خطر سایبری ما چیست؟ چه داده هایی برای سازمان مهم است؟ چه خطرات داده ای می تواند بیشترین تأثیر منفی را بر سازمان داشته باشد؟ و برای بهبود وضعیت امنیتی سازمان چه چیزی لازم است و آیا نقشه راه داریم؟

در حالی که ممکن است در یک بازه زمانی سه ماهه کار زیادی به نظر برسد، پیروی از این شش مرحله شرکت شما را برای امنیت کوتاه‌مدت و بلندمدت و موفقیت تجاری آماده می‌کند.

تمبر زمان:

بیشتر از تاریک خواندن