最后更新于2023年4月12日(星期三)22:48:53 GMT
当你计划未来一年的网络安全, 你内心总有一部分想要算命. 你现在知道什么风险很重要了, 以及应对这些挑战所需的流程和资源, 但在未来12个月或12周内,可能会出现哪些威胁, 就此而言? 如果在你有机会做出反应之前,环境就改变了怎么办?
现在, 想象一下,你在担任领导职位的头6个月里,正在做水晶球凝视练习. 这就是第一年担任首席信息安全官的情况——虽然有点不稳定, 机遇也同样成熟.
周四, 11月17日, Rapid7首席安全数据科学家Bob Rudis接受了Katie Ledoux的采访, 短信营销初创公司细心的首席信息安全官, 深入了解她如何应对挑战,为她的安全团队规划2022年的需求,同时驾驭她的新角色.
从头开始建设的自由
截至2021年11月,她在细心任职仅4个月, 凯蒂在从头开始的过程中找到了一种自由和清晰的感觉.
“去 编写程序 从零开始其实挺神奇的... 特别是因为我以前犯过很多错误,”她说. 她在风险较小的职位上(包括在Rapid7的5年任期)从错误中吸取教训,并更有效地重建,这帮助她理解了作为一名新的首席信息安全官,应该优先考虑什么. 现在, 她有机会从她知道她和她的前几名雇员可以做得很好的事情开始, 解决lower-complexity, 高风险地区,进展迅速.
“我一开始就很受信任——除非我搞砸了,否则我不会失去这种信任,”她打趣道.
导师的重要性
对于凯蒂, 她自己的经历只是保持领导信任和避免非受迫性错误的一部分. 获得他人的见解和专业知识是至关重要的.
“我有最棒的导师,她说, 她还指出,在听了他在网络安全播客上的演讲后,她给他发了冷领英信息. 他回应了,他们联系上了,剩下的就是历史了. 在她逐步进入新职位的过程中,他在帮助她驾驭执行规划流程方面发挥了特别重要的作用. 虽然她刚开始的时候并不是很精通这个领域, 在需要的时候,她会听取导师和队友的建议.
“我认为我愿意大声地分享我不知道如何做的事情是我最大的优点之一,凯蒂说。. “我一直在寻求帮助,我认为这会带来更好的结果,”她继续说道.
创建风险和预算优先级的一致性
凯蒂的导师告诉她的第一件事就是,重新思考自己确定最优先风险的方式.
“实际上,我并没有规定我们的最大风险是什么,”凯蒂说. 相反,她领导并促进了一个安全委员会,并坚持合作投入.
头 我们的 2022规划系列 pagE为更全面的重播可很快!
“你基本上列出事实,让人们决定公司的风险偏好是什么,她解释道. “他们会试图让你告诉他们最大的风险是什么,”她接着说. 但如果你只是单方面规定风险优先级, 随着时间的推移,很容易失去买入.
“他们并不觉得自己是工作的主人,凯蒂指出, 一旦有其他重要的事情发生,你知道的, 他们被雇佣来做的工作描述——他们放弃了安全和风险补救工作."
这种设置的关键之一是保持委员会的规模小——6到8人,凯蒂建议. 合适的利益相关者会比一个人做得更好.
此外,通过集体购买,为您的安全优先级获得预算变得更加容易. 例如,在细心,凯蒂与工程团队分享预算. 如果工程主管帮助决定最大的风险是什么, 这就大大降低了凯蒂与他们争夺资源的可能性.
新任首席信息安全官2022年的三大优先事项
具有协作风险优先级的坚实结构, 首席信息安全官在他们的2022年计划中应该包括哪些核心组件? Katie强调了3个重点领域.
1. 招聘
这已经不是什么秘密了 网络安全技能短缺在美国,建立人才输送渠道对未来一年至关重要. 在凯蒂的例子中, 她带着一张要招聘的职能图进来了, 工作描述, 还有在网站上发布的申请——结果她意识到自己不得不重新考虑自己的做法. 她的导师建议她花25%的时间面试一般保安候选人, 不管她现在是否为他们提供了一个具体的职位空缺.
有几个原因可以解释为什么这种方法是有意义的. 正如鲍勃指出的, 当人才很难找到的时候, 你可能无法引进那些在职业上足够成熟的人来填补一个特定的空缺. +, 在初创公司和其他快速发展的公司, 当你发布招聘启事时,你脑子里的问题可能在你招人的时候就已经解决了.
现在, 凯蒂有几棵常青树。, 一般的网络安全职位都特别指出,没有必要列出所有的技能. 而不是, 她优先招聘那些能够在对组织有意义的关键领域提供有意义帮助的人才.
2. 合规
而 合规 在一些安全圈已经成为一个肮脏的词了吗, 凯蒂相信它可以为安全项目提供一个很好的平台. 关键是要深思熟虑.
毕竟, 朝着像SOC 2这样的合规性认证努力提供了一个明确的优先级,您可以采取行动并显示进展. 如果你围绕这个框架仔细设计你正在使用的组件和控件——并避开那些告诉你他们可以在一个月内让你的SOC 2兼容的公司——你将避免一堆复选框,而是建立一个坚实的问责基础.
例如,您的所有资产在静止状态下是否真的加密了? 如果你在吹捧SOC 2合规性并积极控制这些要求, 你会知道的——如果需要的话,你也能快速修复.
3. 识别最大风险
让我们面对现实吧:如果你是一个新的首席信息安全官, 你很快就需要召开一次董事会会议(如果你还没有),并解释你的组织最紧迫的风险是什么——以及你正在做什么来解决它们.
建立一个初始风险矩阵, 把你的发现提交给安全委员会,让他们提供意见并确定优先顺序. 从那里, 你会有一个坚实的基础,这将有助于你展示董事会, 领导, 以及你和你的团队如何朝着2022年的目标前进.
衡量成功
而其他人则倾向于在绘制安全计划进展图时采用定量指标, 凯蒂建议再上一级. 对安全专家来说有意义的分数和数字可能不会与CTO或其他领导产生共鸣.
她说:“对我来说,衡量进展的最佳方式可能是考察风险管理。. “我的工作是将风险降低到可接受的水平."
你确定的2022年的主要风险应该会随着时间的推移而改善——到2023年, 你应该买新的. 如果你能把去年的风险抛在脑后,转向新的风险, 这是你取得进步的好迹象. 如果你在规划过程中需要帮助,不要害怕依赖别人的专业知识.
“在领英上随便找个人发信息,问他们‘我该怎么做我的工作?’”凯蒂半开玩笑地建议道. “别害羞,”她继续坚持. “没有人知道一切."
到目前为止,这种合作、寻求建议的策略对凯蒂来说很有效. 用不了多久,她自己领英(LinkedIn)的收件箱里就会满是希望学习经验丰富的专业人士如何完成工作的第一年首席信息安全官.