这种情况往往决定如何对待新的工作。难道公司,我们必须用一种屈辱经验数据泄露?难道他们没有一个CSO以前,这就是为什么他们正在寻找安全的帮助来锁定自己的网络?
如果面试时,有需要帮助的钝恳求那么大多数新员工会进来枪支blazin’迅速得到控制的事情。但在大多数情况下,民间组织接受采访说,有一种普遍的时间来审视公司,以帮助培养得到的需要做什么把握。
“首先需要的是回顾信息安全策略的当前状态。获取亲密的这个文件,以及在创建它的经验教训,是取得成功的工具。要做到这一点,你必须与部门领导,相关人士见面,和企业高管,找出它的背景和历史。我在Bugcrowd主要利益相关者是IT和工程组,以便让他们舒适的工作为优先级#1,”贾森Haddix,信任和安全的负责人,Bugcrowd。
从这里,他开始注意到任何“挂断”的举措,不完整的政策和零散的责任。一旦他包裹着他周围的公司是如何成立的头,他创造了一个计划,以解决各30,60,90天后取出。在Bugcrowd,确定了速赢与业务支持和安全架构。
“有可能是在每个CISO的角色不同层层落实责任,但一个永远不能认为没有足够的做,“ 他说。“一旦你有你的作战计划,审查了预算,等,凝聚你的直接下属,告诉他们你的计划。诚实和透明工作重点和责任。以建设性的批评和妥协必要,但最终打破这些计划将季度目标作为一个组织“。
Haddix说,下一步是推出了以结构化方式的举措。在启动工作,他在Bugcrowd角色是业务支持,安全体系结构,以及一些合规和审计沉重。其他角色将与风险管理和安全操作更紧密地合作。
阿尔瓦罗·霍约斯,采取大致相同的方式作为Haddix在他的到来为首席信息安全官在召集部队OneLogin。“我伸手所有人员介绍自己,介绍我的角色所包含的内容,而我们希望在短期内完成。首席信息安全官的角色还是有点少见,已演变在过去的几年里。这个角色与所有部门,你会争取不同的团队成员的帮助下,你推出各种项目,更何况,你也有责任为提高企业的安全文化,这可能是对你在最艰难的项目之一-DO名单。因此,关键是从一开始就得到了组织你的身后,因为人员自己的团队以外会在你的很多活动的关键路径,你的成功将依赖于他们。”
下一步是确保信息资产清单。他说知道你的任务是保护什么是你需要采取旨在向良好的基础框架放下建立的第一个步骤之一。这就需要与信息拥有者会议,能说流利的所有数据来和组织的外出。在知道数据的部分是确定必须满足哪些合规和法律要求,这样你就可以建立一个安全的程序,是适当的风险相称,更重要的是,你可以有效地集中你的资源来解决这些问题。
霍约斯指出,安全数据是一个持续的战略。“安全计划是一个持续的旅程。一旦你有了土地的外行,你需要确定你将如何维护和有效成长该程序。一旦您确定将立足什么框架(S)程序上,你必须拿出一个战略,你需要什么,更重要的是,可以在短期和长期切实解决,”他说。
在这个过程中的一个关键步骤是进行风险评估,以使用为指导,以帮助你优先考虑你解决各种疑难问题。从管理层获得买入并确定您的预算需求将是什么时,这是非常有用的。
“就像是知道什么,你可以在短期内解决,能够计划长期重要的是同样重要的,”他说。
了解风险
“作为一个民间组织,这一切的开始和结束的风险 - 在这一天结束时,你必须了解风险和如何管理和降低风险,”马尔科姆·哈金斯,首席安全和信任的军官说,Cylance。
“具体来说,有两个战场,我们必须面对:一个是外部的,一个是内部的。外部战场由威胁因素和代理商,我们的新闻每天在阅读和内部战场由预算,官僚作风和行为高达起来,”他说。
哈金斯指出,它是评价的双管齐下,和民间社会组织需要了解风险和控制是在外部,如何建立关系,融洽和内部影响。
黎明 - 玛丽·哈钦森,常务理事,CSIO,Optiv的办公室,采取了谨慎的态度,以及当她第一次落户。
“我会见了IT部门的各位领导,以了解他们的具体数据安全考虑,哪些数据存储,处理或通过其划分传输。前30天只花了学习的总体布局IT;喜欢的东西通过数据是如何移动,并获得安全他们的观点。角色的头几个月正要学习有关公司文化和业务,”她说。