Editor’s note: The following is a sponsored blog post from A-LIGN:
在 “Great Resignation,” 各行各业的员工——无论经验水平如何——都在重新考虑自己与工作的关系. People are leaving their jobs to spend more time with family, 追求更灵活的其他职业机会, or to just try something completely new.
When members of a senior leadership team leave, specifically, 组织意识到他们需要做的不仅仅是填补一个座位. They need to find ways to replace institutional knowledge, 重新制定战略,在剩下的员工中建立强大的文化. 这一活动凸显了一个被严重忽视的人事变动的意外后果:管理网络安全和合规战略.
在合规和网络安全领域,人员流动可能是一个特别棘手的负担. As employees come and go, 合规和网络安全团队需要更新访问凭证并管理与数据泄露相关的风险,同时执行组织更大的合规和网络安全计划.
如果你正在处理合规和网络安全团队的人员流动问题 which is incredibly common ——这会对你推出新产品和新服务的能力产生严重影响. 下面, 我们探讨了当首席信息安全官(CISO)级别出现人员变动时,您的组织可以维持其合规策略的几种方法.
CISO Turnover is Inevitable
Research has shown that CISOs rarely stay in their roles for more than two years. 这些顶级的信息安全专业人员可能会离开,因为他们正在处理高压力和倦怠, 有 suffered a security incident,或者是因为他们选择在供应商方面寻求机会.
To deal with this inevitability, 谨慎的做法是依赖通常由首席信息安全官自己管理的工具——业务连续性计划. 业务连续性计划通常被认为与影响数据中心的重大破坏或自然灾害有关, but in reality, 这些计划有助于建立协议和流程,以导航其他业务变更, like employee turnover. Existing standards like ISO 22301 是否可以作为您的业务指南,以确保您的连续性计划是一流的,因为它为组织提供了一个计划框架, 建立, 实现, 监控, 审查, 维护并持续改进其业务连续性管理体系.
在您的业务连续性计划中包括合规优先级——从项目的角度和员工流动的角度——您可以确保您的合规策略在CISO过渡期间保持正轨.
Be Careful with Pauses
CISOs are particularly in demand at the moment, 特别是随着违规风险的增加和组织实施新的安全策略和程序来 accommodate a hybrid workplace structure. With all that's at stake, 首席信息安全官离职后的一段时间尤为关键. 事实上, 在此期间,当您按下关键信息安全项目的暂停按钮时,您的组织可能会遇到一些功能障碍.
但是要小心这些停顿——这段时间会给您的组织带来重大风险,因为不良行为者可能会利用安全漏洞. When that happens, 您的组织可能正在处理一个复杂的问题——新的和增加的威胁风险变得比填补CISO角色的需求更重要.
再一次。, in these situations, 我们建议依靠业务连续性计划来指导您的团队度过暂停期. 事实上, 您的业务连续性计划的一个组成部分可以包括临时解决方案,以填补需要填补的高级角色的空缺. Consider, for example, virtual CISOs 这是一种为你的业务弥补差距的方法,并限制这些暂停时间的长度. This can be beneficial for organizations that need immediate assistance without the burden of paying a full-time salary.
Find a Strategic Partner to Lead You Through CISO Turnover
如果你发现自己处于需要填补高级管理人员空缺的情况, like a CISO, 你的主要目标之一应该是尽可能顺利地有效地弥合新旧政权之间的差距.
考虑寻求一个长期的第三方供应商的帮助,他们可以帮助你满足所有的合规性和网络安全需求——不管你公司的首席信息安全官是谁. 协助执行各种网络安全和合规任务的合作伙伴(例如, 您的年度合规认证)可以帮助您存储并每年与新员工分享机构知识和背景. 这些供应商合作伙伴通常与组织中的多个参与者合作并建立牢固的关系. The benefit? When one person leaves your organization, 与供应商的关系在很大程度上保持不变,您先前的项目计划将按计划进行.
与战略合作伙伴合作可确保您的关键项目继续向前推进, regardless of who is at the helm within your business.
The Bottom Line
It’s impossible to shield your organization from turnover. 提前为不可避免的情况做好计划,并制定流程和结构,以确保人员流动不会破坏关键的业务实践和战略目标. By bolstering your business continuity plan, utilizing creative solutions to limit pauses, and enlisting the help of long-term partners, 您可以维持您的合规策略,并在CISO发生变动时坚持到底.
