ciso做’s and don’ts: Lessons learned

让业务安全免受网络威胁的同时让它茁壮成长是每个CISO’s goal.

任务不容易:a Ciso. 必须在空中保持许多球,同时被越来越复杂的,并且总是转移威胁景观。因此,不应低估了良好的CISO的重要性。

Ciso.经验教训

避免犯罪,实施实践

弗朗切斯科CIPOLLONE,CIPOLONE和总部位于英国网络安全咨询咨询法院NSC42的总监表示,他已经看到了他的公平份额,他认为他们只关注网络安全的一个特定方面,他们将安全团队从工程中隔离。团队和组织的其余部分,谁谁’T同情业务方面。

他说,没有ciso是无可救药的–重要的是快速失败并更快地恢复。

此外,CISO和安全团队需要 理解 该组织在那里尽可能快地提供产品和服务,并且他们必须找到一种方法来使工作更容易,同时保持业务安全。

拍摄的目标是安全产品和可接受的时间框架之间的快乐媒介。此外:通过在应用程序的生命周期中尽快引入务实安全性,将秒带入Devops。

没有人喜欢被告知“No”

“作为安全专业人士,我迅速学会了停止说‘No’并开始回复选项。这是我对Cisos的一个主要建议之一,” Cipollone advises.

与此同时,如果董事会一直在说,CISO应该找到一种不沮丧的方法“No”.

“作为安全专业人员,我们的任务是确保公司受到最佳能力的保护。如果这些能力受到破坏或有限的,我们需要足够好地对董事会进行沟通,以便他们了解他们正在采取的风险‘no’对一些事情。最终,他们对股东负责股东进行履行和安全,” he explains.

找到一种方法来让您的安全信息遍及董事会和业务 ’S领导人是必不可少的:消息必须明确,它必须吸引他们的情绪,并且必须明确量化每种安全风险。

“The best way I’ve设法使具体情况 安全改进 一直将他们与财务损失联系起来。简单的公式是:攻击可能会降低多少个应用程序?估计可能的时间跨度。应用程序生成多少钱?然后通过显示安全控制将保护应用程序总值的数小时,展示您可以节省多少钱。” he explains.

“为了计算每天的总货币损失,汇总每个申请的损失因子。这导致董事会考虑对安全风险(也金钱)的业务风险(金钱),有效地允许他们将苹果与苹果进行比较。”

但有时逻辑和数字不是董事会心脏的最佳策略。

“有时安全专业人士需要聪明,并与董事会一起玩’使用媒体的情感。如果是CISO 努力获得资金 对于特定的改进,他们应该考虑使用行业/全球新闻流,并确定可以帮助他们履行案例的关键新闻。沟通团队和营销团队一般都说,他们最好的朋友和盟友,” he says.

CisoS还应在制定特定控制或安全改进计划时使用商务讲故事和类比。专家沟通团队可以帮助校对校对并简化他们试图制作的情况。

他们应该始终使用有关成本和最新统计数据的信息。“数据是国王。难以与之争辩的事实,而意见是始终是个人的,因此,有争议的,” he points out.

He’如果他们能够建议Cisos退出Cisos,也不是不利’T与董事会和主要利益相关者一起寻找一个通用语言。不断失败的合作对公司并不好,也不适合被任命的CISO。

领导课程

如前所述,企业同理心和强大的沟通技巧是必须的。但是Cisos在处理工程方面也必须有同理心。

无论公司经营的国家和它开发的产品,这些公司都是一家工程和数据公司,所以CISO角色需要接近工程师,CIPOLLONE Opines。

“在美国,我已经看到Cisos定位了更接近工程心态和产品和交付。尽管第三方管理和治理是CISO的重要作用,但以美国为中心的CISO通常受到工程问题的影响,”他讲述了帮助净安全。

“欧洲各国的一些组织可能会通过规定和礼仪驾驶更多,因此CISO需要更接近供应商管理和治理而不是产品方面。”

他在职业生涯中学到的其他主要领导课程包括:

  • 指导–形成下一代信息安全专业人员的关键
  • 开源协作–有助于推动下一代产品,并帮助塑造行业
  • 合作–合作与类似的行业合作伙伴更接近,信息越可靠。

照顾你的团队

It’s no secret that 安全团队过度劳累。他们预计将保持一致,注意到这一切’在一个组织中发生并了解关于安全的所有内容。那’在一个人和团队上放弃了很多压力。

为了缓解它,CIPOLLONE建议维护一个动态,不断扩大和缔约的团队。

“我们需要一致地将新成员从组织的另一部分或使用毕业生计划或指导方面添加到团队中。我们必须促进文化和性别多样性和开放性。这使得团队能够保持严重的心态并保持对安全问题的新观点,” he says.

与此同时,团队成员必须启用重点和放松:应使用和鼓励团队建设活动,研究和行业范围的聚会。

“我们需要通过鼓励研究(工作时间)和参加云安全联盟,OWASP,ISSA Meetups等行业活动,保证兴趣的安全团队,并参加行业活动,” he advises.

“我们还应该鼓励回馈。在会议和聚会上发言将允许这一点,参与这些活动,有助于团队在没有昂贵的培训的情况下保持行业局势的最新情况。它还允许团队成为‘injected’ with new ideas.”

分享这个