Che cos'è il lavoro di CISO, esattamente?

Naviga le tue risposte
5

La società per cui lavoro (una sorta di startup) non può permettersi un chief security officer officer a tempo pieno (CISO). Quindi il capo chiede alle persone con la sicurezza del team di lavorare insieme per fare un lavoro CISO. E non penso che avremo un budget per questo.

Il fatto è che tutti abbiamo uno sfondo legato alla sicurezza e conosciamo alcune cose, ma non sappiamo da dove cominciare, né dove andare dopo.

Sappiamo che dovremmo:

  1. Documenta noi stessi per metodi e best practice, fissa obiettivi
  2. Valuta le esigenze della nostra organizzazione e i rischi
  3. Definisci una politica di sicurezza
  4. Applica la politica di sicurezza
  5. Promuovi la consapevolezza della sicurezza in tutta l'azienda
  6. Controlla che la politica sia rispettata
  7. Segnala direttamente al CEO (e non, tradizionalmente, al CIO)
  8. Adeguare la politica con la crescita e il business: torna al punto 2.

Ciò di cui abbiamo bisogno sono i passi, i contenuti, le cose da cercare, le cose alle quali potremmo non pensare. Fondamentalmente una guida completa per fare un lavoro CISO.

Abbiamo trovato e letto diverse risorse, spesso complementari, a volte contraddittorie, ma mai complete. Quindi non sappiamo davvero cosa ci manchi. E sembra un sacco di lavoro, ma crediamo che se la conoscenza viene correttamente raccolta e i metodi definiti, saremo in grado di farlo, rimanendo motivati e, soprattutto, facendo ciò che è giusto.

Forse è molto da chiedere, ma qualcuno può aiutarmi con quello?

    
posta Math 09.06.2018 - 21:23
fonte

2 risposte

5

Come qualcuno che ha supervisionato un numero di CISO condivisi e ha venduto organizzazioni sulla necessità di qualcuno in questo ruolo, posso dirti che il problema è che ciascuna organizzazione ha esigenze e aspettative diverse di un CISO. Alcuni si aspettano un supporto operativo, alcuni richiedono un esperto di rischio dedicato, alcuni vogliono solo un rappresentante a livello di Consiglio della funzione di sicurezza che agisca come traduttore.

L'obiettivo principale per l'organizzazione è conoscere i rischi, gestire e monitorare i rischi e comunicare i rischi alle organizzazioni e agli stakeholder. Il CISO deve pensare ai rischi che l'organizzazione non può.

Inoltre, il CISO dovrebbe essere in grado di guidare la funzione di sicurezza, la funzione di rischio e / o la funzione normativa dell'azienda. Ma le aspettative qui dipendono dall'organizzazione.

Deloitte ha il suo " Four Faces of the CISO "che è una buona guida per ciò che dovrebbe essere un CISO.

CISOs continue to serve the vital functions of managing security technologies (technologist) and protecting enterprise assets (guardian). At the same time, they are increasingly expected to focus more on setting security strategy (strategist) and advising business leaders on security’s importance (advisor).

Quindi, non esiste una lista di "cose da fare" per un CISO. C'è una lunga lista di cose che devono essere fatte, ma non è necessario un CISO per farle. Per questo, prendi un framework (ISO 27001, NIST CSF, Cyber Essentials, ecc.) E avvia il lavoro. La tua lista nella tua domanda è un piccolo insieme di cose da affrontare, ma una buona lista.

    
risposta data 09.06.2018 - 21:46
fonte
2

Il requisito di livello base del CISO varierebbe l'organizzazione per l'organizzazione, ma seguire sarebbe una guida di alto livello sullo scopo.

Lo scopo del CISO è fornire visione e leadership per lo sviluppo e il supporto delle iniziative di sicurezza. Il CISO governa la pianificazione e l'implementazione di sistemi IT aziendali, operazioni aziendali e meccanismi di difesa da attacchi di sicurezza, violazioni e vulnerabilità. Questo CISO è anche responsabile del controllo dei sistemi esistenti, mentre dirige l'amministrazione delle politiche, delle attività e degli standard di sicurezza. Il CISO è anche responsabile dell'implementazione degli standard di sicurezza richiesti, dei sistemi di conformità, degli audit, ecc.

L'ambito di lavoro di CISO può essere definito sotto i principali domini:

Pianificazione e gestione della strategia di sicurezza: Ad esempio: condurre la pianificazione strategica della sicurezza per raggiungere gli obiettivi aziendali dando la priorità alle iniziative di difesa e coordinando la valutazione, l'implementazione e la gestione delle tecnologie di sicurezza attuali e future utilizzando una metodologia di valutazione basata sul rischio.

Pianificazione e implementazione della sicurezza: Ad esempio: identificare le esigenze di sicurezza dell'organizzazione e pianificare l'implementazione dei necessari meccanismi di sicurezza, standard, pratiche operative, ecc.

Operazioni di sicurezza: Es .: Gestisci l'amministrazione di tutti i sistemi di sicurezza del computer e il loro software corrispondente o associato, inclusi firewall, sistemi di rilevamento delle intrusioni, sistemi di crittografia e software antivirus.

Rapporti sulla gestione: Ad esempio: agire come punto di partenza per la reportistica di gestione in termini di report relativi alla sicurezza, dashboard, registro dei rischi, ecc.

    
risposta data 11.06.2018 - 03:43
fonte

Leggi altre domande sui tag

Restituisce un errore 401 da una perdita di informazioni API? È sicuro condividere un Master Segreto TLS?