Руководство по навигации в первые 90 дней в качестве нового директора по информационной безопасности
Хизер Гант-Эванс Автор
Хизер Гант-Эванс, MS, CISSP, директор по информационной безопасности в SailPoint.
Выполнение мандата директора по информационной безопасности (CISO) никогда не было легким, но современный цифровой ландшафт делает его еще более сложным. Кроме того, новые сложные требования соответствия открыли двери для потенциальной личной уголовной ответственности в случае утечки данных или другого кибер-инцидента.
Это большая работа, которая затрагивает практически все области организации, и способность сразу приступить к работе может иметь большое значение. Но когда так много дел, сложно понять, с чего начать.
То, как новый директор по информационной безопасности работает в течение первых 90 дней, задает тон и прецедент на весь оставшийся срок его пребывания в должности. Когда я впервые вступил в должность директора по информационной безопасности, я поставил перед собой четкие цели на 30, 60 и 90 дней, потому что знал, что важно действовать с планом и четким видением того, что будет залогом успеха.
Это был полезный опыт, и, несмотря на то, что не все шло по плану, я с гордостью и эмоциями оглядываюсь на те первые 90 дней. Вот чему я научился за первые три месяца работы:
Хватай землю, но не пытайся бежатьПодготовка имеет ключевое значение. Еще до того, как вы переступите порог своего нового офиса, вам следует тщательно изучить ландшафт угроз в вашей отрасли.
Самое худшее, что вы можете сделать, это услышать о риске и не задокументировать его.
Какие недавние угрозы попали в заголовки? Какие крупные (и мелкие) инциденты произошли за последний год? Вы также должны знать соответствующие затраты, связанные с нарушением безопасности в вашей отрасли, исходя из активности атак, выявленной вашим исследованием. Важно знать, каковы опасности и цена бездействия.
Один совет всегда оставался со мной: вы никогда не вернете эти первые 90 дней. Больше никогда не будет времени, когда вы сможете просто сосредоточиться на исследованиях и открытиях. Когда вы освоитесь с этой ролью, вы станете более сосредоточенными на повседневных делах и начнете реализовывать свое видение. Но в течение этих первых 90 дней важно не поддаваться желанию погрузиться в работу, начать работать над результатами или с головой окунуться в новые инициативы. Сейчас самое время посмотреть и послушать.
Знайте, кто может дать вам ответы, которые вам нужныКак можно скорее определите внутренних и внешних заинтересованных лиц, о которых вам необходимо знать, и начните планировать встречи с ними.
Прежде чем я начал, я разослал всем полный запрос на сбор документов, запрашивая последние оценки зрелости, блок-схемы, последние презентации и документацию всех соответствующих процессов. Благодаря этому у меня была вся необходимая документация в первый же день.
Хизер Гант-Эванс Автор
Хизер Гант-Эванс, MS, CISSP, директор по информационной безопасности в SailPoint.
Выполнение мандата директора по информационной безопасности (CISO) никогда не было легким, но современный цифровой ландшафт делает его еще более сложным. Кроме того, новые сложные требования соответствия открыли двери для потенциальной личной уголовной ответственности в случае утечки данных или другого кибер-инцидента.
Это большая работа, которая затрагивает практически все области организации, и способность сразу приступить к работе может иметь большое значение. Но когда так много дел, сложно понять, с чего начать.
То, как новый директор по информационной безопасности работает в течение первых 90 дней, задает тон и прецедент на весь оставшийся срок его пребывания в должности. Когда я впервые вступил в должность директора по информационной безопасности, я поставил перед собой четкие цели на 30, 60 и 90 дней, потому что знал, что важно действовать с планом и четким видением того, что будет залогом успеха.
Это был полезный опыт, и, несмотря на то, что не все шло по плану, я с гордостью и эмоциями оглядываюсь на те первые 90 дней. Вот чему я научился за первые три месяца работы:
Хватай землю, но не пытайся бежатьПодготовка имеет ключевое значение. Еще до того, как вы переступите порог своего нового офиса, вам следует тщательно изучить ландшафт угроз в вашей отрасли.
Самое худшее, что вы можете сделать, это услышать о риске и не задокументировать его.
Какие недавние угрозы попали в заголовки? Какие крупные (и мелкие) инциденты произошли за последний год? Вы также должны знать соответствующие затраты, связанные с нарушением безопасности в вашей отрасли, исходя из активности атак, выявленной вашим исследованием. Важно знать, каковы опасности и цена бездействия.
Один совет всегда оставался со мной: вы никогда не вернете эти первые 90 дней. Больше никогда не будет времени, когда вы сможете просто сосредоточиться на исследованиях и открытиях. Когда вы освоитесь с этой ролью, вы станете более сосредоточенными на повседневных делах и начнете реализовывать свое видение. Но в течение этих первых 90 дней важно не поддаваться желанию погрузиться в работу, начать работать над результатами или с головой окунуться в новые инициативы. Сейчас самое время посмотреть и послушать.
Знайте, кто может дать вам ответы, которые вам нужныКак можно скорее определите внутренних и внешних заинтересованных лиц, о которых вам необходимо знать, и начните планировать встречи с ними.
Прежде чем я начал, я разослал всем полный запрос на сбор документов, запрашивая последние оценки зрелости, блок-схемы, последние презентации и документацию всех соответствующих процессов. Благодаря этому у меня была вся необходимая документация в первый же день.
What's Your Reaction?
