CISO如何在100天内取得成功 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

观点

CISO如何在100天内取得成功

2022-12-02 18:28:30

所属地上海

在当今数据普遍泄露和网络安全威胁加剧的环境中，首席信息安全官（CISO）或任何负责网络弹性的高管的角色极具挑战性。研究显示，首席信息安全官的平均任期往往是 26 个月，不到其他最高管理层同事任期（4.9年）的一半。为什么会这样？

根据Heidrick & Struggles 2022年全球CISO调查，全球59%的CISO表示压力是与其角色相关的最重要的个人风险，而48%的人认为工作倦怠，21%的人感到薪酬过低。此外还有职位的压力：1/4的CISO认为，如果他们的企业受到违规行为的影响，他们的就业将受影响。

事实是，没有一家公司可以免受网络攻击。2022年上半年，全球发生了28亿次恶意软件攻击和2.361亿次勒索软件攻击。到2022年结束，预计将发起60亿次网络钓鱼攻击。

CISO的角色更具战略性，超越了合规性和技术指标监控，以创建和倡导共享网络风险所有权的文化。CISO必须制定一个计划，平衡利益相关者，并对网络威胁采取坚定的立场。

那么CISO在上任最初的100天内可以做些什么来为成功奠定基础呢？

虽然在网络或商业战略方面没有一刀切的方法，但Cyber Leadership Institute提供了一个很好的框架，随着时间的推移，通过行业资深人士在战壕中吸取的惨痛教训，该框架得到了完善。在这里，我们将在此基础上进一步扩展，以帮助新的CISO和网络高管更好地了解需要发生的关键活动，以最大限度地提高成功率。

关键考虑因素

除了技术知识之外，成功的网络安全领导者还需要掌握两项主要技能。首先是了解业务。从这个意义上说，准备是关键。CISO应该在第一天之前尽可能多地了解组织。该公司的年度报告是一个很好的起点，但是，它也允许有时间研究其客户是谁以及产生收入的业务线。最重要的是，确保了解组织正在努力实现的关键业务目标。公司的发展方向及其先前的业绩的清晰图景将决定获得多少财务支持。

明智的做法是了解该企业最近是否发布了新闻，以及他们是否经历了任何违规行为。

要掌握的第二套技能包括强大的沟通能力和信誉。根据德勤的一篇文章，“大多数必须投入大量时间来获得对安全计划的支持。换句话说，清楚地传达网络风险对业务成果的影响已经成为CISO成功的关键因素。”

CISO的角色任务是艰巨的。然而，如果没有高层的支持，很难成功。因此，了解组织的目标和利益相关者的痛点必须成为优先事项，以便您可以将网络战略与关键业务目标战略性地联系起来。

在担任新的 CISO 角色之前需要考虑的另一个情况是，您无法保证您的公司在前 100 天内不会遭受成功的网络攻击。因此在需要快速与外部事件响应团队接洽之前，要事先与他们建立关系。

启动阶段：第 0 – 15 天

为了有一个良好的开端，请花时间与您的直接下属经理就关键挑战和机遇达成一致，并讨论信息安全的愿景。熟悉组织结构和汇报线，尤其是在法律、安全、风险、合规、人力资源、运营和治理团队中。现在是时候开始与关键利益相关者建立关系，以协调构建和管理业务信息安全计划的努力。

在最初的几周内，分析网络策略以了解当前的成熟度。这意味着分析以前的风险评估、威胁搜寻报告、差距分析和安全路线图（如果存在）。还应请求组织安全策略和审核报告，以及访问任何风险管理工具的权限。

在深入了解公司的网络成熟度状态的同时，请花时间安排会议并向主要利益相关者介绍自己。与适当的利益相关者定期举行风险管理会议，讨论业务的风险状况，为讨论任何未公开或未处理的风险的状态奠定基础。

在此时间范围内，确定您的关键安全供应商并建立沟通。您的主要安全供应商可以协助进行差距分析。

网络不存在于泡沫中。您可以寻找志同道合的人，即那些与您遇到相同挑战的人，找到您的“部落”。很可能有人已经处理过或正在处理您面临的挑战。与行业同行合作可能是一种强有力的方法。

了解阶段：第 0-45 天

人们常说，如果你不知道你要去哪里，你就不会知道你什么时候到达。没有战略，就不可能制定有意义的行动计划，企业将继续实施阻碍整体整合的临时解决方案。

在第一个半月，专注于了解特定于安全性和合规性的项目和计划。根据当前的总体状态成熟度、现有安全计划、关键控制手段部署和主要风险，确定需要确定哪些任务的优先级。花时间了解企业的事件响应能力、前 10 大业务关键型应用程序及其各自的威胁模型。

健全的网络安全计划以有效的信息安全治理为基础，因此首先要了解组织信息安全治理的角色和责任。请务必清楚地了解哪些角色负责决策，应该随时了解哪些角色以及应该咨询网络中的哪些角色。

非常关键的一点是，验证是否制定了合理的安全实践来支持战略组织目标和风险管理，验证企业是否能够有效和高效地防止攻击。

查看公司的信息安全章程，了解其安全愿景、安全使命和网络安全范围，以及哪些部门必须遵守。

您的重要任务之一必须是识别企业的关键业务数据或“皇冠珠宝”（例如有关客户、知识产权、产品设计和财务的信息）以及当前的安全控制措施。保留登记册，并确定不可协商控制的优先级，以确保所有关键资产的安全（例如，确保所有数据库都已加密）。

由于供应链和第三方风险是近期许多违规行为的核心，请花时间了解第三方是否托管组织的关键资产，并审查合同以熟悉其职责及其履行安全义务的程度。

要对您的方法有一个新视角，请确定并与至少一名内部和外部高管导师建立关系。来自不同行业的外部导师可以提供无偏见的建议和开箱即用的思维。

CISO的主要职责之一是信息安全风险管理，因此了解风险在公司内部的传播方式应该是第一个月内的首要任务。花时间了解如何对风险进行分类（风险分类）和排名。

优先级阶段：第 15-60 天

现在是时候专注于确定活动的优先级，制定与您的经理、团队和关键利益相关者共享的愿景，并获得反馈以完善您的计划。

首先构建一个与业务一致、风险意识强且全面的信息安全策略，使您能够清楚地传达公司的信息安全风险概况。考虑通过测试单个控件来组合满足多个合规性要求的控件框架。

从控制的角度来看，使用整合的安全架构可以更好地执行整体方法，该架构包括对云、网络和端点的保护，并且还允许全面的用户访问，所有这些都由单一管理和安全运营平台提供支持。这意味着让所有日志使用相同的语言，通过一个以自动方式生成报告的单个仪表板提供可见性和态势感知。这种方法改变了游戏规则，解决了CISO和安全团队面临的许多障碍。

在接下来两个月内，与您的直接下属和利益相关者就至少三个关键问题保持一致，。这些将是您的速赢——以最小的努力对网络安全计划产生重大影响的项目。速赢将有助于尽早获得信誉，确保CISO的计划获得上级的支持。

另一个速赢是在整个企业中优先考虑定制的安全意识和教育培训。这项活动可以很容易地外包，这是打造意识驱动型文化的重要第一步，在这种文化中，公司中的每个人都明白网络安全是每个人的责任。请务必使用安全意识培训的结果来证明网络安全意识文化的成熟度。

要执行信息安全计划，您将需要资金。在此阶段，计划未来几个月的运营安全预算，并尽早了解所需的人员编制。

执行阶段：第30-80天

到目前为止，您应该在实现速赢方面积极取得进展——专注于最重要的三个紧迫问题，通过既定的企业安全架构原则解决这些问题——通过设计而非堆砌的方式集成。

这是执行桌面练习的时候了。作为桌面练习的一部分，确保所有关键利益相关者的参与，包括高管、公关团队、人力资源团队、法律团队和SOC团队。这是一个向高管展示和教育成功网络攻击的潜在影响的机会。桌面练习最好通过经验丰富的第三方事件响应团队进行，该团队具有处理复杂APT案例的记录。

在此阶段，您还应该领导与安全相关的治理论坛和网络指导委员会，专注于消除浪费、解决关键盲点、最大化网络安全投资的价值，并确保快速实现价值。网络指导委员会应由具有领域专业知识和业务利益相关者的跨职能团队组成，所有团队都有明确定义的角色、职责和范围。

完成对当前状态和差距分析的充分理解后，专注于执行游戏计划以实现预期状态，同时考虑必须优先考虑的控制和流程，以应对具有高可能性和业务影响的当前和新出现的风险。

结果阶段：第45-100天

100天即将结束，如果实施，该框架将开始取得成果并显示进展。最好的方法是使用与业务目标相关的指标。没有必要立即跳入高度技术性的指标。从跟踪行为的指标中可以获得很多好处，例如完成安全意识培训的员工百分比。

根据100天计划的前五项结果衡量进度，因为这将帮助您和企业确定哪些策略有效，哪些策略无效，以便快速解决效率低下的问题。

在向高管和董事会报告时，请记住，坏消息不会随着时间的推移而好转。作为日常练习的一部分，请务必强调任何项目风险，因为高管们不喜欢意外。清楚地概述风险情景、可能性、影响、风险缓解计划和潜在的额外成本。

在 100 天结束时，目标是报告以下问题：

我们目前的能力成熟度是多少？
组织面临的最大威胁是什么？
安全态势的哪一部分需要最迫切的关注？
需要哪些资源来应对会对组织造成最大伤害的威胁？
执行团队希望如何报告网络安全投资的有效性？
如果没有任何变化，组织的风险是什么？

最后，请记住，要成功成为CISO，您必须赢得关键利益相关者的心。塞讯安全度量验证平台能够充分为您提供助力，通过还原真实的APT攻击，用可视化的图表让高管直观地了解网络安全防御能力，清晰认识到安全带来的价值和投资回报率，对公司当前的防护水平有量化认知。同时您也能够有效认识到安全建设规划及预期与实际效果之间的差距，为未来决策提供量化依据。安全运营团队也能够持续评估关键基础设施及应用部署的防御能力，优化防护配置和事件响应流程，提升防御效果。

| 参考来源

https://www.cybertalk.org/2022/11/18/a-cisos-100-day-run-to-cyber-success/