90天网络安全指南

2022-09-22 20:39:21 常丽涛

导读作为负责安全的高级管理人员需要承受巨大的压力。网络分子猖獗;与 2020 年相比，2021 年数据泄露的平均成本增加了10% ，数据泄露事件增

作为负责安全的高级管理人员需要承受巨大的压力。网络分子猖獗;与 2020 年相比，2021 年数据泄露的平均成本增加了10% ，数据泄露事件增加了 17%。

无论您是首席信息安全官 (CISO) 职位的新手，还是新组织中经验丰富的 CISO，在工作的前 90 天内产生影响都至关重要。您在前 90 天内的行为将为您的任期或失败奠定基础。

很容易成为Shiny Object Syndrome的牺牲品，并且很容易将待办事项清单上的每一项高能见度的任务都打掉，这样你看起来(和感觉)就好像你正在完成任务一样。但是，为成功铺平道路的最可靠方法是有条不紊地、深思熟虑地制定一个 90 天计划并坚持下去。

这个九步、每周的路线图将指导您制定一个称职的网络安全计划，推动您组织的数字化转型，并利用 SaaS 技术加速业务计划并降低运营成本。

第 1-3 周：识别和理解业务风险

在您工作的前三周，了解业务——整个业务。探索它的运作方式、分散的团队所在的位置、公司如何应对市场并提供服务和商品。这是您深入了解组织的上市战略和供应链的机会。

尽可能多地与其他高管、董事会和其他公司领导人举行会议，以深入了解他们的业务职能和职责。与其他技术官员会面也是掌握更大的组织技术堆栈的最佳方式。

在这前三周的探索中，评估领导层在开发周期中左移的意愿;在开发生命周期中转移安全性，从一开始就融入安全性，从而降低成本并提高可靠性。

第 4-5 周：感受组织的技术流程并开始发展您的团队

与技术堆栈相比，定义明确的流程对网络安全的影响更大。在您担任新 CISO 角色的第四周和第五周，与您的团队会面，了解现有流程，尤其是围绕项目、事件和客户生命周期管理的流程。

找出什么有效，什么无效。询问任何可用的文档化标准，并创建一个列表，列出哪些流程和技术缺少文档。接下来，与其他技术团队会面，以确定哪些技术和流程与您的范围重叠。重复您对自己的团队所做的相同练习。

现在也是开始深入了解您的团队的时候了。一对一地确定他们的职业目标，并探索如何帮助他们实现这些目标。找出他们感兴趣的培训和职业发展，公司过去提供过哪些类型的培训，然后跟进人力资源，了解团队成长的职业道路。

这是与您的团队成员讨论自动化的最佳时机——他们可能对自动化可以在哪些方面使组织受益有想法。

第 6 周：制定策略

现在您已经收集了信息，是时候进行计划了。制定以下战略：

满足组织的总体业务战略、目标和目的。

满足员工的职业目标和目标。

通过减轻他们重复、乏味的任务来增加员工的自动化。

将组织面临的网络风险评估为一个关键的整体差距。

在开发生命周期中左移安全性。

鼓励采用 SaaS。

将所有 IT 迁移到零信任架构。

第 7 周：完成您的战略并开始实施计划

这是你的第七周，你的策略和计划都很好。您的下一步是由您的同行执行您的策略。获得反馈，接受反馈，做出调整，然后提交给你的执行委员会批准。

获得批准后，与适当的团队合作，确定能够推动成功的策略。协作是这里的关键——它将培养融洽的关系并帮助您的新同事建立对您的信任。然后，开始实施您的策略。

第 8 周：获得敏捷

将您的团队过渡到敏捷项目管理方法将确保快速获得功能元素。

如果您的团队很小，Scrums 将是适当且有效的。如果您的组织已经在进行冲刺，请将您团队的冲刺周期与工程团队的持续时间保持一致。如果没有其他人使用冲刺，请将您的周期设置为三周冲刺。

第 9 周：开始衡量和报告

当您开始担任 CISO 时，您可能有权访问历史报告，也可能无法访问。无论哪种方式，第 9 周都是启动新基准和定期衡量并向同行和执行委员会报告的最佳时机。

确保对您的员工和与您一起工作的其他部门表示赞赏!通过培养你在最初几周建立的良好意愿，你将与同事建立更牢固的关系——当你必须指出问题和差距时，这并不是一件坏事。

随着您的报告变得定期，开始对整个组织进行有关网络安全的教育和交流。鼓励合作、参与并庆祝成功，而不是专注于问题。创建跨部门的“安全拥护者”计划，鼓励您的拥护者在出现问题时报告并因参与而获得奖励。

第 10 周：进行彻底的笔测试

渗透测试是你如何获得一些关于事情到底有多糟糕的数据。您应该计划、安排和执行对基础设施和应用程序的彻底渗透测试(或红队练习)。

寻找遵循PTES或OSSTMM 3方法进行基础设施测试并为每个应用程序使用OWASP测试框架的渗透测试合作伙伴。

第 11 周：开始使用零信任身份验证框架

过渡到零信任身份验证(ZTA) 框架是您作为 CISO 的前 90 天的关键一步。

在 ZTA 中，默认情况下不会授予用户访问权限，但一旦通过身份验证，他们就会获得访问权限。ZTA 将增强您组织的安全状况。ZTA 的第一步应该是开始尽可能地取消密码并过渡到安全的多因素身份验证 (MFA)。

第 12 周：评估 SaaS 提供商

通过深入研究购买指南和 SaaS 供应商比较来开始你的新 CISO 角色是很诱人的，但是一旦你掌握了公司、你的战略、现有的技术堆栈和预算，这样做会更有意义。

当您开始评估 SaaS 提供商时，请证明潜在供应商符合 CSA CCM、在 CSA STAR 联盟中的注册，或者至少是 SOC 2 类型 2 证明。

如果您评估不符合这些标准的供应商，您将需要开发一个全面的程序来评估他们的安全性。根据客观的第三方评估来评估 SaaS 供应商至关重要，而不仅仅是供应商最闪亮的营销努力。

90 天下来

遵循此路线图将帮助您打下坚实的第 90 天：运作良好的网络安全团队、可重复报告的数据基线、与新同事和团队的信任和融洽关系、数字化转型机会列表以及对大多数方面的深入了解的组织。

祝贺您的第一个 90 天!

标签：