她不相信它是安全的工作进来,告诉其他人的工作如何完成他们的工作。相反,安全团队应建议管理信息和技术风险。
“我与考虑到这一新角色,并对组织相对于他人的地方进行了评估。在后古,了解风险相对于其他人可能是一个很好的基准锻炼,但它与业务或风险耐受性不一致。她希望我希望能够沟通这些风险如何影响本组织的业务目标,而不是确定相对于其他组织的改进领域。“
当她到达时,有很多“在飞行中”项目,而IT组织非常灵活。业务繁荣为一个快速移动的IT组织,但这种情况会增加数据机密性和系统可用性的风险。
第一天开始在采访中
戴夫马刚,CSO,Centurylink,当你在面试工作时,你就是在作业的第一天开始做什么。您首先开始评估您将领导的组织和团队。“使用求职面试进程开始评估本组织。侧重于最重要的问题,“他说。“问:为什么他们雇用我,”而且,在这个组织中取得成功将需要什么,这些问题开始发展你应该为这个职位选择你会做的事情。“
Shawn Burke,全球CSOSungard As.,回应马刚的陈述。“你绝对需要在你的第一天开始研究这项业务。为了帮助我优先考虑我的时间,我船上创建了一个前10名列表(请参阅侧栏)。它包括从理解业务和文化的一切,以评估当前的技术状态,要求,政策,程序等等。在我看来,安全问责制是解决方案最重要的主题之一。一个新的CSO不应该假设基本面就到位并找出谁拥有所有系统的安全律法。“
一旦您在工作中,您需要的最直接的事情包括与您的新老板会面并开发路线图以评估公司。然后,与组织中的其他关键领导者达成磋商,并获得他们对观点所需的内容的评估。“您成功的关键将完全了解董事会,CEO和领导团队其他成员批准的公司战略。记住,你的工作是CSO是为了实现这些目标的实现,“马洪说。
一旦您拥有策略和其他领导者的角度,就开始对您将领导的团队的战术评估。评估人才,回顾过去三年的成就和这些团队制定的未来举措,然后问自己,如果这些成就和举措是支持公司战略。
“当你和你的团队见面时,让他们知道你是谁,你的价值是谁,你不想要任何政治,你尊重直射手。在评估团队时,寻找那些有遗嘱和技巧的人在CSO组织中,“他说。
[更多关于CSO:信息安全支付的15个最佳城市]
完成评估后,将在接下来的30到90天内完成纸张,这是第一年,并开始发展长期。
斯坦黑,CSO在Citrix.,虽然希望不是一种策略。通常,CSO被聘用,因为安全被认为是重要的业务风险。这种潜在风险的关键指标是招聘经理的标题或角色。他说,拥有物质安全风险的公司不应聘请CSO,向CIO汇报。
减轻这种风险的最佳方法是提供100天计划,概述管理公司的安全风险所需的人,流程和技术。“如果招聘公司无法内化,申请和承诺该计划,请不要采取工作,”他说。
将安全性转换为收入启动器。在今天的世界,产品和服务不可接受或足够的质量,除非他们是安全的。他补充说,这通常是外国概念,需要参与包括法律,销售,营销,公关,内部审计,研发,研发和BOD的跨职能团队,以便将安全性转变为业务推动者的交付障碍。
供应商VS非供应商的角度
Gunter Ollmann,CSO,Vectra网络,从两个角度提供第一天答案:供应商和非卖方。
来自非卖方CSO视角:
- 衡量组织的当前安全基准。使用漏洞扫描服务以获得首先过度的理解,并与想到的策略进行比较。获取初始基线有助于定义规模并识别需要解决的关键问题区域。后来,将进度与该基线的进展比较非常宝贵,以便向执行团队展示进展,并建立整体信心。
- 与所有利益相关者的身份证明和会议,并在他们自己的话语中聆听他们的主要风险和威胁的影响。这允许剪裁消息传递和寻找可以解决的常见问题,以便为安全变化构建势头和更广泛的支持。
从供应商的角度来看:
- 审查SDLC遵守与工程和产品管理团队安全成熟度评价。对SDLC方法和结构的开发过程的勾选框审计 - 寻找弱点并建立优先级规划。
- 产品安全基线 - 从软件编码和部署硬化角度。理解和能够回答“我向客户网络介绍了什么风险”是关键。
这个故事,“如何接近你的第一天,因为CSO”最初是发表的CSO 。