CISO上任90天内必须要烧透的“六把火”

2022年10月12日作者：GoUpSec

过去十年网络安全快速成长为全球企业IT的战略性和支柱性技术，CISO（首席信息安全官）的角色定位也正在发生巨变。

不久前，CISO还只是一个纯粹的技术职位，主要职责是帮助企业应对网络安全威胁的挑战。但是今天，CISO在公司内的责任和地位都在增长。CISO现在是企业执行管理团队的重要成员，除了网络安全以外，还肩负着关联整体风险管理与业务战略和运营的重大责任。

现代企业的CISO参与企业的战略决策，例如确保企业数字化的安全转型，同时向董事会、客户和投资者保证网络防御体系具备足够的能力、弹性和成长速度，能够应对现在和未来的威胁。CISO需要充分利用企业的人员、流程和技术资源，确保企业能够安全地实现其总体业务目标。

鉴于职责的这种演变，CISO上任前90天内需要优先重点关注的几件事与过去相比也有很大不同。

以下，我们整理了多位业界专家的建议，模仿杀伤链模型步骤总结了CISO上任前90天应该下足功夫的六件事（也可以解读为热身运动或者“六把火”）：

一、侦察：了解组织的整体使命和文化

虽然许多CISO都希望在新官上任后立刻投入大创意和大项目来快速展示价值，但正如前文所述，除了技术项目和安全框架外，肩负着新的使命和价值定位的CISO首先应该花时间了解公司的使命、价值观和业务，找到能够对企业产生更大的，长期影响的目标。CISO还需要密切关注企业的核心活动，例如产品、服务、研发、知识产权和并购计划，了解所有潜在问题，例如先前的违规行为、监管或外部义务以及现有的技术债务。

CISO上任伊始的第一件事，应该是深入了解企业的业务、目标、优先事项和企业文化。采访你的员工、中层业务领导者和客户，以了解所有的关键利益相关者、最初的痛点以及组织内网络安全文化的成熟程度。最后，询问您的合作伙伴、供应商，确定谁在销售，谁是值得信赖的顾问。完成此过程将打开沟通渠道，发现挑战，并帮助制定90天行动计划和路线图。

二、发现：找到关键问题和关键资产

确定哪些关键数据和系统支撑着公司的战略使命和核心竞争力、主要客户群或收入线，哪些知识产权使企业与竞争对手区分开来。这些都是最有可能成为攻击目标的数字资产，必须优先加快相关网络安全防御措施。如果最高管理层和董事会了解这些关键领域，他们可以告诉您他们的风险偏好，你可以相应地实施安全策略。

三、规划：根据公司当前的IT和业务环境制定计划

一旦资产被识别并确定了优先级，CISO就可以着手制定一份书面风险管理计划，其中包括可交付成果、结构以及关键内部和外部利益相关者之间的沟通的清单。在后一点上，CISO必须始终充当信息经纪人和企业所有关键决策者的合作伙伴。一种有效方法是与这些决策者建立正式和非正式的沟通渠道，保持共同的前进节奏。

四、切入：准备实施“刚需”技术

现代企业的网络安全依赖许多技术，其中有一些是“刚需”技术，如果企业还没有的话需要立即实施，这包括：基线控制、端点的漏洞管理和反恶意软件防御，以及不可协商的控制，包括多因素身份验证、敏感数据加密、应用程序白名单、24/7安全监控、文件完整性监控、特权访问管理、网络分段、数据丢失预防以及与漏洞和修补策略相关的严格评估和审计功能。

五、驻留：实施基准

通过实施基准和成熟度评估，向最高管理层、业务部门高管和董事会证明安全计划、流程和技术的价值，以展示公司如何与竞争对手相抗衡、安全策略如何与行业最佳实践相媲美，以及框架、安全计划如何通过安全运营支持业务。

六、横移：始终将安全视为业务问题

安全事件会给企业带来重大损失甚至灭顶之灾，因此强大的安全能力是企业脱颖而出的核心竞争力，这也是IT和安全团队与业务保持集成如此重要的原因。其中一项重要的工作就是确保企业高管、董事会和安全领导之间的持续沟通和协作。当管理层了解网络安全威胁带来的业务风险时，他们将更倾向于关注并参与安全工作。

在新上任前90天的工作结束时，CISO应该能够回答以下问题：