作為負(fù)責(zé)安全的高級管理人員，安全專家將承受巨大的壓力。網(wǎng)絡(luò)犯罪活動近年來日益猖獗，與2020年相比，2021年每次數(shù)據(jù)泄露事件的平均損失增加了10%，而數(shù)據(jù)泄露事件數(shù)量增加了17%。

對于一些新任的首席信息安全官來說，在其開展工作的前90天內(nèi)對企業(yè)產(chǎn)生的影響至關(guān)重要。并將為其任期的成功或失敗奠定基礎(chǔ)。

首席信息安全官很容易完成其待辦事項清單上的每一項顯著任務(wù)，這樣看起來就好像正在完成既定任務(wù)一樣。但是，首席信息安全官為其成功鋪平道路的最可靠方法是有條不紊地、深思熟慮地制定一個90天計劃并堅持完成。

以下九個步驟的路線圖將指導(dǎo)首席信息安全官制定一個出色的網(wǎng)絡(luò)安全計劃，推動數(shù)字化轉(zhuǎn)型，并利用SaaS技術(shù)加速業(yè)務(wù)計劃，并降低運(yùn)營成本。

(1)第1～3周：識別和理解業(yè)務(wù)風(fēng)險

在首席信息安全官入職的前三周，需要了解其所在公司的整體業(yè)務(wù)。探索業(yè)務(wù)運(yùn)營方式、分散的團(tuán)隊員工所在的位置、企業(yè)如何應(yīng)對市場、提供的服務(wù)和商品。這是深入了解企業(yè)的上市戰(zhàn)略和供應(yīng)鏈的機(jī)會。

盡可能多地與其他高管、董事會和其他公司領(lǐng)導(dǎo)人舉行會議，以深入了解他們的業(yè)務(wù)職能和職責(zé)。與其他技術(shù)官員會面也是掌握更大的技術(shù)堆棧的最佳方式。

在最初三周時間的探索中，評估企業(yè)領(lǐng)導(dǎo)層在開發(fā)周期中左移的意愿;在開發(fā)生命周期中的開始之初就融入安全性，從而降低成本，并提高可靠性。

(2)第4～5周：感受企業(yè)的技術(shù)流程并開始發(fā)展其團(tuán)隊

與技術(shù)堆棧相比，定義明確的流程對網(wǎng)絡(luò)安全的影響更大。在擔(dān)任首席信息安全官的第4～5周，需要熟悉團(tuán)隊成員，了解現(xiàn)有流程，尤其是圍繞項目、事件和客戶生命周期管理的流程。

首席信息安全官通常了解什么技術(shù)有效，什么技術(shù)無效。并詢問任何可用的文檔化標(biāo)準(zhǔn)，創(chuàng)建一個列表，列出哪些流程和技術(shù)缺少文檔。接下來，與其他團(tuán)隊溝通，以確定哪些技術(shù)和流程與其范圍重疊。

現(xiàn)在是開始深入了解團(tuán)隊的時候了。首席信息安全官一對一地確定他們的職業(yè)目標(biāo)，并探索如何幫助他們實現(xiàn)這些目標(biāo)。了解他們感興趣的培訓(xùn)和職業(yè)發(fā)展目標(biāo)，企業(yè)在過去提供過哪些類型的培訓(xùn)，然后通過人力資源來了解團(tuán)隊成長的職業(yè)道路。

這是首席信息安全官與其團(tuán)隊成員討論自動化的最佳時機(jī)，他們可能有時間與其團(tuán)隊成員討論自動化的好處。

(3)第6周：制定策略

首席信息安全官在這一階段收集了信息，現(xiàn)在是實施計劃的時候了，可以制定以下戰(zhàn)略：

• 滿足企業(yè)的總體業(yè)務(wù)戰(zhàn)略、目標(biāo)、目的。
• 滿足員工的職業(yè)目標(biāo)。
• 通過減少員工重復(fù)而乏味的任務(wù)，提高他們的自動化水平。
• 將企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險評估為一個關(guān)鍵的整體差距。
• 在開發(fā)生命周期中左移安全性。
• 鼓勵采用SaaS。
• 將所有IT遷移到零信任架構(gòu)。

(4)第7周：完成企業(yè)的戰(zhàn)略并開始實施計劃

這是首席信息安全官的第7周，其策略和計劃都很好。首席信息安全官的下一步是由其團(tuán)隊員工執(zhí)行其策略，然后獲得和接受反饋，并做出調(diào)整，然后提交給企業(yè)的執(zhí)行委員會批準(zhǔn)。

在獲得批準(zhǔn)之后，與適當(dāng)?shù)膱F(tuán)隊合作，確定能夠推動成功的策略。合作是關(guān)鍵——這將培養(yǎng)融洽關(guān)系，幫助同事和員建立信任，然后開始實施戰(zhàn)略。

(5)第8周：獲得敏捷

將企業(yè)的團(tuán)隊過渡到敏捷項目管理方法將確?？焖佾@得功能元素。

如果企業(yè)的團(tuán)隊規(guī)模很小，Scrums將是適當(dāng)且有效的。如果企業(yè)已經(jīng)在使用sprints，將其團(tuán)隊的sprints周期與工程團(tuán)隊的持續(xù)時間保持一致。如果沒有其他人使用sprints，需要將其周期設(shè)置為三周。

(6)第9周：開始衡量和報告

首席信息安全官有權(quán)訪問歷史報告，也可能無法訪問。無論哪種方式，第9周都是啟動新基準(zhǔn)和定期衡量并向執(zhí)行委員會報告的最佳時機(jī)。

確保對其團(tuán)隊員工和與首席信息安全官一起工作的其他部門表示贊賞。通過培養(yǎng)在最初幾周建立的良好意愿，將與同事建立更牢固的關(guān)系——當(dāng)必須指出問題和差距時，這并不是一件壞事。

隨著首席信息安全官的報告變得定期，開始對企業(yè)進(jìn)行有關(guān)網(wǎng)絡(luò)安全的教育和交流。鼓勵合作、參與并慶祝成功，而不是專注于問題。創(chuàng)建跨部門的“安全擁護(hù)者”計劃，鼓勵其擁護(hù)者在出現(xiàn)問題時報告，并因參與而獲得獎勵。

(7)第10周：進(jìn)行徹底的滲透測試

滲透測試是如何獲得一些關(guān)于事情到底有多糟糕的數(shù)據(jù)。應(yīng)該計劃、安排和執(zhí)行對基礎(chǔ)設(shè)施和應(yīng)用程序的徹底滲透測試(或紅隊練習(xí))。

尋找遵循PTES或OSSTMM 3方法進(jìn)行基礎(chǔ)設(shè)施測試，并為每個應(yīng)用程序使用OWASP測試框架的滲透測試合作伙伴。

(8)第11周：開始使用零信任身份驗證框架

過渡到零信任身份驗證(ZTA)框架是作為首席信息安全官的任職前90天的關(guān)鍵一步。

在零信任認(rèn)證中，在默認(rèn)情況下不授予用戶訪問權(quán)限，但一旦通過身份驗證，他們就會獲得訪問權(quán)限。零信任認(rèn)證將增強(qiáng)企業(yè)的安全狀況。零信任認(rèn)證的第一步應(yīng)該是開始盡可能地取消密碼，并過渡到安全的多因素身份驗證。

(9)第12周：評估SaaS提供商

通過深入研究購買指南和SaaS供應(yīng)商比較來開始首席信息安全官的角色是很誘人的，一旦掌握了企業(yè)的業(yè)務(wù)、戰(zhàn)略、現(xiàn)有的技術(shù)堆棧和預(yù)算，這樣做會更有意義。

當(dāng)企業(yè)開始評估SaaS提供商時，需要證明潛在供應(yīng)商符合CSACCM、在CSASTAR聯(lián)盟中的注冊。

如果評估不符合這些標(biāo)準(zhǔn)的供應(yīng)商，將需要開發(fā)一個全面的程序來評估他們的安全性。根據(jù)客觀的第三方評估來評估SaaS供應(yīng)商至關(guān)重要，而不僅僅是供應(yīng)商的營銷努力。

遵循這一路線圖將幫助首席信息安全官打下堅實的基礎(chǔ)：運(yùn)作良好的網(wǎng)絡(luò)安全團(tuán)隊、可重復(fù)報告的數(shù)據(jù)基線、與新同事和團(tuán)隊的信任和融洽關(guān)系、數(shù)字化轉(zhuǎn)型機(jī)會清單，以及對企業(yè)業(yè)務(wù)的深入了解。