在雇用CISO之前,请阅读这一点
在一个理想的世界中,每个组织,大或小,都会优先考虑安全性,以确保它有必要的员工和资源有效地管理。当然,实际上,这不是这种情况。在途中站立的一个大问题是它很少清楚第一个地方是什么 - 我需要拥有安全性的人吗?如果是这样,那个人是否需要成为一名首席信息保安人员?
没有一个正确的答案,没有一个正确的答案,“有效的安全性”可以根据业务和你的情况来意味着完全不同的东西。
那个帖子的重点是,何时应该在寻找安全领袖,或者你是否应该雇用CISO。相反,它可以帮助您退后一步,占据公司的特定安全需求,并使自己决定。
第一件事首先:安全是一个函数,而不是一个人
在很多小(有时大的)组织斗争的情况下,努力认为安全是一个人甚至是一群人。
安全并不像为大型游戏买电视。当您想要电视时,购买过程非常简单。您可以在互联网上的任何地方搜索“新电视”,并与各种电视型号进行淹没,购买哪些功能,以及满足您需求的最优惠价格。
当您搜索安全性时,您会得到......好,请尝试一下您获得多远。雇用某人自己的安全可以被视为许多公司的一步,但让我们不要忘记拥有CISO,本身并没有使组织固有更安全(一些Cisos会争辩它只会给予组织当一个不好的事情发生时,指向手指)。我们不应该忽视更好的安全需要四件事的事实:
在现实中的一切往往是什么是常规的实践是,在一些大型安全事件和公开披露之后,一个CISO被带来了。众所周知的安全猎犬进来,点指出了很多手指,喘息于你没有CISO(仿佛单独将阻止事件),第二天宣布了CISO搜索。
这种方法的问题是您可能不会招聘成功。当业务着火时,带来消防员有道理,但下次你意识到它实际上是一个管道问题,你认为你需要一个水管工?或者屋顶吹掉?等一下,现在你需要一个屋顶。而在它上。
现实是,陷入危机模式,经常偏见你清楚地思考的能力,了解企业真正需要的东西。你最终寻找最快的方法来让立即问题消失。
3个问题之前,你甚至想想雇用CISO
为了拯救您和任何潜在的CISO,您雇用了很多时间,资源和心痛,您需要确保您了解安全性如何适合您的组织,更重要的是,该功能如何赋予有时会产生任何不舒服的组织变化。
如果没有你正在踢的目标帖子的感觉,我几乎可以保证你会错过。您需要为该功能做好准备,否则您将不会与该人成功。
回答以下三个问题将帮助您了解对您的特定安全需求的基本了解:
1.你想保护什么?询问,这似乎几乎愚蠢,但许多组织并不真正了解他们的关键资产是什么。是客户数据吗?或者是妈妈的烧烤酱的秘密食谱吗?它存储在云中还是保存在保险库中?无论哪种方式,在不知道你想要保护的东西,你无法雇用合适的人,以确保以最有效和最经济的方式为您的业务完成。
2.你愿意接受多少风险?这与理解你试图保护的东西携手共进。由于没有完美的安全性,您必须了解您愿意采取的风险。你愿意信任谁?
3.你愿意花多少钱?没有预算的安全不是一个纪律。最终,您的预算将反映并告知您有关风险的决定,但为了确定适当高效的支出水平,您还需要回复您对问题#1的答案 - 您试图保护什么以及有多重要它保护?如果您没有对这些问题的答案,如果您获得消防员,请不要惊讶,只能在后面找出你真正需要的是水管工。
你不想做的一件事
你应该做的最后一件事是雇用一个CISO,因为其他人都有一个。是的,你将成为俱乐部的一部分,但没有保证你会更接近安全,而不是你没有一个。也就是说,你也不应该等待思考一个CISO,直到你发现自己处于危机模式并感受到你的董事会的热量。
关键是花点时间了解角色对你的组织意味着什么(希望你现在这样做,在你有一个关键的安全事件之前),所以你可以确保你正在寻找合适的人,赋予他们正确的方式,并预算成功,具有可接受的风险耐受性。
事实是,即使您决定您的组织不需要专用的人或团队管理安全性,这并不意味着没有安全需求,或者这些需求不是(充分的,或不可取的)。许多创始人和小企业主通常会发现自己作为“首席一切官员”,但我们倾向于忘记的是,除了销售,营销,产品和服务之外,安全性是始终存在的函数之一。真正的问题是它是否正在积极(有效地)管理与否。
Ryan Berg是Barkly的首席科学家。他拥有多项专利,是发言者,教练和作者在安全,风险管理和安全应用程序开发领域。在加入Barkly之前,他是SONATYPE和首席科学家和盎司实验室的首席科学家和Cofounder的首席安全官,该公司于2009年被IBM收购。您可以在Twitter @ Ryanberg00和他的博客上与他联系。