压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

今天的隱私及監管需求、威脅涵蓋范圍，以及惡意員工行為，都要求首席信息安全官(CISO)往自己的戰術手冊中再添新招。

時代已變，過去被認為是純技術職位的CISO一職，如今必須成為業務驅動者，能夠以業務用語闡述和溝通其安全計劃的價值。

過去幾年中，新手CISO快速成長為高效安全領導者所應采取的最佳實踐和基本步驟并沒有太大改變。首先，他們必須評估安全狀態，然后組建優秀的安全團隊，構筑與業務主管和公司高管之間的良好關系與信任。但如今，其中一些慣例需要小心行事了。

現在的CISO要與多方面的利益相關者協作，構建越來越多樣化的團隊以處理不同領域的問題，包括監管與隱私問題、產品安全與影子IT等。

他們還需要具備商業敏銳度，能與董事會溝通。到2020年，100%的大型企業至少每年都得向董事會報告網絡安全與技術風險，2018年這個報告比例是40%。

而且，網絡安全需求也越來越多樣化，行業間各不相同。今天的環境下，CISO得花更多時間了解身處的行業和公司的戰略方向及業務重點。

成功在新公司站穩腳跟的CISO偕同行業專家給新晉CISO提供了5個實用新戰術。

1. 進行安全成熟度評估

• 告誡：別讓“完美”成了“足夠好”的絆腳石。

新任CISO的首要任務之一就是評估公司安全工作的狀況。這需要首先確定公司的網絡安全狀態和現有風險，然后盤點公司關鍵資產并確定如何保護這些資產。

當前安全狀態和安全成熟度評估可能耗時頗久，但能找出安全漏洞并分出輕重緩急，令CISO從宏觀上把握公司安全工作走向，為后續工作打好基礎。

在進入新角色的第一年里就想事無巨細地搞定評估是不現實的，千萬別讓“完美”最終成為“足夠好”的阻礙。在可用資源與投資的基礎上理清前面未完成工作的原因，合理制定并完成今后的計劃是比較理性的選擇。

2. 快速拿出成績以建立信任

• 告誡：有時候甚至在奠定關系基礎之前就需要拿出成績了。

新手CISO通常會將就任的前幾個月花在熟悉同事、舉行部門會議和“顯示存在感”上。可以利用這段時間傾聽同事心聲、表達同理心，最重要的是了解他們的目標以幫助他們獲得成功，并以此來積累自己的政治資本。

但有時候，除非你能解決“令工作痛苦不堪的主要技術問題”，比如讓IT部門手忙腳亂的身份驗證或遠程訪問漏洞，否則你不可能就網絡安全威脅展開深入對話。沒人愿意在問題尚未解決時談論安全。現實就是，CEO只會問你“為什么問題還沒解決？”，而不會說“講講公司的戰略方向和你這職位的重要性”。盡快拿出能產生價值的成績，然后乘勢而上，推進你的議程。

3. 與業務線和關鍵利益相關者搞好關系

• 告誡：將人力資源、法務、合規、隱私和風險官納入聯系人列表。

隨著歐盟和美國新隱私立法與監管的成型，CISO的職能也囊括進了隱私、信息風險和企業風險。人力資源(HR)應處在保護員工隱私的第一線，法律部門盯緊合規操作。這兩個部門是過去看來似乎不那么重要的，但現在的環境下已經成了主要利益相關者，必須與之緊密互動，確保能平衡風險、安全和隱私。

新合規監管下，卡巴斯基實驗室調查過的250名CISO和IT安全主管中有2/3都與法律部門緊密合作。43%的CISO稱，與HR的關系也十分重要，尤其是在身份和訪問管理問題上。少數公司還設置了首席隱私官，這也是CISO應維護好的另一重要關系。

因為與網絡安全相關，這也是CISO成為行業法律與合規專家的大好機會。若公司有合規辦公室，務必要讓他們成為你的好伙伴。盡可能地多學東西，然后將所學合規知識揉碎成員工、高管和董事能理解的語言。拉出一張重要事項表，重點解決表上列出的最重要事項。

4. 尋求外界支持與協作

• 告誡：與行業競爭者共享你的策略。

CISO這個職位涵蓋非常廣泛，事務繁雜，工作壓力大。若有人可以提供支持和早期建議，那將對你的職業發展產生不可估量的作用。與競爭公司的CISO組成支持網絡是個不錯的方法?？梢远ㄆ谂e行會議和工作組，共享信息，交換知識，合作共贏。CISO之間不存在真正的競爭，一起討論威脅信息、預算和安全策略比閉門造車有效率得多。

5. 清楚你在公司中的位置

• 告誡：準備好啃硬骨頭。

作為新上任的CISO，了解自己的角色和職權范圍非常重要。在CISO的職業生涯中，你將不可避免地發現重要位置上的員工在做壞事，提前做好準備比較好。盡早與管理層和人力資源部門溝通，討論與潛在員工問題相關的場景，一起找出應對之策。

每家公司都有自己獨特的情況，實際場景的學習可以促進CISO方法論的完善。