情况往往决定如何处理一份新工作。公司是不是有过一次羞辱性的经历数据泄露?难道他们没有一个CSO以前,这就是为什么他们正在寻找安全的帮助来锁定自己的网络?
如果在面试过程中,有人直言不讳地请求帮助,那么大多数新员工都会带着枪来,尽快把事情控制住。但在大多数情况下,接受采访的公民社会组织表示,通常会有一段时间来检查公司的文化,以帮助掌握需要做什么。
“首先需要检讨资讯安全政策的现状。深入了解这份文件,以及在创建它的过程中获得的经验教训,对成功是有帮助的。要做到这一点,您必须与部门领导、利益相关者和业务主管会面,以了解其背景和历史。我在Bugcrowd的主要利益相关者是IT和工程团队,所以舒适地与他们一起工作是第一优先事项。”Bugcrowd。
从这里,他开始注意到任何“挂断”的举措,不完整的政策和零散的责任。一旦他包裹着他周围的公司是如何成立的头,他创造了一个计划,以解决各30,60,90天后取出。在Bugcrowd,确定了速赢与业务支持和安全架构。
“有可能是在每个CISO的角色不同层层落实责任,但一个永远不能认为没有足够的做,“ 他说。“一旦你有你的作战计划,审查了预算,等,凝聚你的直接下属,告诉他们你的计划。诚实和透明工作重点和责任。以建设性的批评和妥协必要,但最终打破这些计划将季度目标作为一个组织“。
Haddix说,下一步是推出了以结构化方式的举措。在启动工作,他在Bugcrowd角色是业务支持,安全体系结构,以及一些合规和审计沉重。其他角色将与风险管理和安全操作更紧密地合作。
Alvaro Hoyos,在他作为首席信息安全官到达白宫时,采取了和哈迪克丝差不多的方法来召集军队OneLogin。“我向所有员工做了自我介绍,描述了我的职责,以及短期内我们想要完成的任务。CISO的角色在某种程度上仍然不太常见,并且在过去的几年里一直在演变。此角色与所有部门一起工作,您将在推出各种项目时获得不同团队成员的帮助,更不用说您还要负责改进组织的安全文化,这可能是您的待办事项列表中最困难的项目之一。因此,从一开始就得到组织的支持是至关重要的,因为你自己团队之外的人员将会在你很多活动的关键路径上,而你的成功将与他们息息相关。”
下一步是确保信息资产的库存。他说知道你的任务是保护什么是你需要采取旨在向良好的基础框架放下建立的第一个步骤之一。这就需要与信息拥有者会议,能说流利的所有数据来和组织的外出。在知道数据的部分是确定必须满足哪些合规和法律要求,这样你就可以建立一个安全的程序,是适当的风险相称,更重要的是,你可以有效地集中你的资源来解决这些问题。
霍约斯指出,安全数据是一个持续的战略。“安全计划是一个持续的旅程。一旦你有了土地的外行,你需要确定你将如何维护和有效成长该程序。一旦您确定将立足什么框架(S)程序上,你必须拿出一个战略,你需要什么,更重要的是,可以在短期和长期切实解决,”他说。
在这个过程中的一个关键步骤是进行风险评估,以使用为指导,以帮助你优先考虑你解决各种疑难问题。从管理层获得买入并确定您的预算需求将是什么时,这是非常有用的。
“就像是知道什么,你可以在短期内解决,能够计划长期重要的是同样重要的,”他说。
知道风险
“作为一个民间组织,这一切的开始和结束的风险 - 在这一天结束时,你必须了解风险和如何管理和降低风险,”马尔科姆·哈金斯,首席安全和信任的军官说,Cylance。
他说:“具体来说,我们必须面对两个战场:一个是外部的,一个是内部的。外部战场是由我们每天在媒体上看到的威胁因素和因素构成的,而内部战场是由预算、官僚作风和行为构成的。”
哈金斯指出,这是一种双轨制的评估方法,公民社会组织需要了解外部的风险和控制,以及如何在内部建立关系、融洽关系和影响。
黎明 - 玛丽·哈钦森,常务理事,CSIO,Optiv的办公室,采取了谨慎的态度,以及当她第一次落户。
“我会见了IT部门的各位领导,以了解他们的具体数据安全考虑,哪些数据存储,处理或通过其划分传输。前30天只花了学习的总体布局IT;喜欢的东西通过数据是如何移动,并获得安全他们的观点。角色的头几个月正要学习有关公司文化和业务,”她说。