最近的波耐蒙研究所 报告预测 首席信息安全官(CISO)的重要性将继续上升. 高管们越来越意识到,仅仅一次严重的安全事件或数据泄露就可能破坏公司的增长和盈利能力,因为这会影响到品牌和补救成本, 罚款和法律费用的产生, 和/或客户流失.
但许多首席信息安全官可以证明, 这一战略角色并不像许多人想象的那么美好——它充满了挑战. 2019年的一项研究证实了这一观点 报告发现 首席信息安全官的平均任期只有18到24个月, 将持续的压力和工作的紧迫性作为核心推动因素. 相比之下,首席财务官和首席执行官的平均寿命为6年.2和8.分别4年. 是什么让新任首席信息安全官的角色如此强大? 我们与同行首席信息安全官的互动发现了三个关键挑战,这些挑战使新首席信息安全官的角色具有挑战性.
第一个, the majority of CISOs are hired to salvage serious problems: clean up messes following damaging data breaches; restore dented customer trust; respond to pressure from major shareholders or the board to ramp up cyber resilience capabilities; replace a fired CISO; or to address serious regulatory compliance matters. 因此,一些新的ciso从一开始就陷入困境. 首席信息安全官面临着巨大压力,必须迅速制定新议程并取得成果.
第二个, 澳门赌场官方下载高管往往低估了网络转型项目的复杂性和强度. 创造持久的改变, 首席信息安全官必须推动文化变革, 选择能够与现有架构无缝地工作和集成的技术解决方案, 驾驭和生存不可避免的公司政治, 建立一个高绩效的团队, 与首席信息官建立协作和尊重的关系,并遵守无数复杂和不连贯的数据保护法律. 当首席信息安全官被聘用时, 澳门赌场官方下载高管对这一战略角色的看法往往很狭隘,他们认为这是一个乌托邦式的结局. 可以预见的是, 一旦首席信息安全官完全理解了任务的重要性, 确保适当的预算是一项艰巨的任务.
第三, 大多数ciso来自解决方案工程师, 操作或架构背景, 只有很少的策略设计经验, 影响, 战略沟通和风险管理. 缺乏这些技能往往会给新任首席信息安全官带来灾难, 导致早期的挫折, 精神疲劳或完全无法克服惯性和推动变革.
This is not counsel of despair; these pitfalls can certainly be evaded. 从一开始就建立和保持势头的一个行之有效的方法是制定一个100天计划. 在最初的100天里可以做很多事情, 如果你考虑这个被广泛接受的概念的起源. 100天的周期可以追溯到 回到拿破仑·波拿巴那里因为他从流放中回来花了这么长时间, 在滑铁卢战役中战败之前,他恢复了法国统治者的地位,并对英国和普鲁士军队发动了战争. 在100天内可以完成很多事情,但这需要从一开始就仔细规划. 然而,如果没有明确的计划,100天就像是昙花一现.
对于新任首席信息安全官来说,这100天的时间是一个重要的窗口,可以巩固他们在高管中的可信度,并在议程的形成阶段获得支持. 在我们的 CISO剧本 系列, 我们为首席信息安全官提供全面的指导,帮助他们制定第一个100天计划, 最大化他们在这个高压力和高回报的角色中成功的机会. 考虑的一些关键领域包括:
- 首席信息安全官首先是一名网络风险管理高管. 首席信息安全官的主要责任是有效和高效地分配稀缺资源, 最大化每一分钱的价值,以降低澳门赌场官方下载网络风险. 为了实现这个目标, 首席信息安全官必须抵制急于进入执行模式的冲动, 而是要深入了解业务价值链, 数码皇冠珠宝, 客户群体, 最赚钱的业务线和最高管理优先级. 首席信息安全官还必须深入研究审计报告, 穿透测试结果, 红队演习, 桌面执行练习, 第三方鉴证报告, 数据泄露根本原因分析报告, 风险登记和董事会报告,以掌握最关键的网络风险暴露.
- 第二个, 也许是最重要的, 首席信息安全官必须从一开始就争取战略利益相关者的支持. 在过去几年中,首席信息安全官的角色发生了深刻的变化. 成功更多地取决于商业头脑而不是技术能力. 新任首席信息安全官如果忽视这一现实,后果自负. 就相关利益相关者而言,没有放之四海而皆准的办法, 但这里有四位首席信息安全官需要站在他们这边.
- 首席执行官-对业务战略有深入的了解, 组织文化, 近期和长期优先事项, 计划中的扩张或收购,以及CEO最大的担忧和期望. 如果你的角色直接向CEO汇报, 一个罕见, 讨论首选的参与模式和成功的关键属性.
- 首席信息官-讨论IT战略以及它如何支持公司目标, 技术环境(例如公共云的使用), 外包活动和供应商治理模型, 项目管理方法, IT治理模型, 技术债务, 关键IT人员, 以及与前任首席信息安全官的互动模式(哪些有效,哪些无效).
- 首席财务官-了解预算流程和时间表, 周期外支出, 授权和对固定或可变成本的偏好.
- 首席风险官-确定网络风险概况, 风险承受力, 风险管理文化, 框架, 治理论坛, 接触模型, 董事会报告, 主要合规义务, 网络风险保险和实施三道防线.
- 一旦你对组织路线图有了深入的了解, 数字战略, 现有能力和主要风险, 制定一个战略计划,优先考虑风险最高和快速获胜的领域. 你的首要任务自然会告知所需的预算和额外的资源,以支持现有的团队.
随着监管机构收紧监管,首席信息安全官的角色将继续演变, 随着越来越多的澳门赌场官方下载数字化,消费者会因为数据保护方面的失误而惩罚品牌. 网络安全设计和领导方面缺乏最佳实践,加剧了新兴首席信息安全官面临的压力. 这就是为什么我们制作了《澳门赌场官方软件》, 这是一份基于我们自身经验以及与CISO同行广泛互动的综合指南.
