作者马尔科-图里奥-莫赖斯,CISSP, OITI信息安全总监,CISO。 马可是一名高管,在技术、风险和信息安全方面拥有超过20年的经验,并拥有10年的国际经验。他在金融、科技、卫生、零售/市场、初创企业和公用事业等方面拥有多行业背景。马可开发了巴西最早的网络安全项目之一,并担任职业导师、演讲者、安全宣讲员和董事会顾问。
制定一个安全项目,有时感觉就像要完成一个3000块的拼图,而有些人正试图扰乱你的注意力,同时时间在流逝。而让挑战更难的是,你所要反映的大局是不断变化的。
首席信息安全官(CISO)面临的共同挑战远不止应用主题专业知识,还要求我们运用领导力、战略和沟通技能来引导组织文化,促进业务繁荣。了解业务,管理利益相关者的期望,以及在整个公司设置相同的风险意识水平,这只是CISO需要解决的挑战的一部分。对于中小企业,我们通常从风险评估和差距分析开始,然后是正式的网络安全项目。
无论我们付出多少努力来创建项目,总有那么一刻,你会意识到你所反映的大局不再为企业带来价值。兼并和收购、新的竞争、新的技术应用和内部业务的策略调整会打破业务格局,因此,项目必须具有适应性和可持续性。除了不断变化的商业环境,新的网络事件、新出现的高风险、新的法规到期日或全球事件如COVID-19,都让位于不断变化的安全项目。
如何制定一个可持续和适应性强的安全项目?
第一件事是建立正确的基础支柱。既然我们知道变化是CISO生态系统中的一个常态,我们就应该将其视为比赛计划的一部分,并制定策略以帮助尽早发现和响应。我建议安全管理人员将他们的战略集中在一些特定的角度上。
1.商业意识
了解业务不应该是一次性的活动,而是CISO工作中的一个常态。了解业务目标、产品、服务、挑战和战略有助于安全团队在支持业务目标的同时完成其传统任务。然而,也应该允许CISO将自己定位为业务的一部分,使组织能够评估风险并根据业务和网络安全形势做出明智的决定。
2.战略定位
了解信息安全项目能够为企业提供的价值,这对于接受和支持你的计划至关重要。鉴于数字业务转型运动,网络和信息安全现在开始被视为重要的业务组成部分,这有助于CISO超越维持和保护的角色,成为业务发展者和推动者。要达到这个成熟度水平,需要CISO保持战略思维。
3.参与
安全项目不应该是一个人的挑战。该部门应该让每个能够为在整个组织内传播安全文化做出贡献的人参与进来。与关键的利益相关者一起定义战略,并引导企业采取一些这样的举措,除了构建风险所有权和责任文化外,还有助于建立认同感和项目有效性。
4.建立一个强大的团队
拥有一个有挑战、有激情、有技能的团队将帮助组织推动任何应该解决的技术变革,同时使利益相关者和整个组织同步了解审查后的策略。一个具有指导性、自主性和持续反馈的团队是安全项目在技术专长和领导力、影响力以及向公司提出变革建议两方面取得成功的重要支柱。一个强大的团队也代表着组织为更好地管理风险所需要的必备的技术知识。
5.沟通
领导一个安全项目远不止是为实现特定的目标确定正确的工具、流程和管理方法。它是在安全方面指导一种组织文化。很多时候,它是为了转变公司的思维方式,领导组织变革。沟通是发出正确信息和倾听所传达内容之间的关键环节。变化需要时间,需要持续的互动,才可持续。
将信息安全学科从纯粹的技术角度转变为业务的一部分,要求CISO承担多种角色。这意味着降低风险将不是唯一的选择,说到底,安全部门不应作为公司的监护人,而应作为一个重要的业务单位,具有弹性和适应变化的能力。这样一来,无论业务或风险形势发生什么变化,安全将持续发挥促进业务发展的作用。