Su primer mes como CISO: formando una información …



Es fácil sentirse abrumado en su nuevo puesto, pero estos consejos y recursos lo ayudarán a comenzar.

Acaba de ser contratado como el nuevo CISO de su empresa, e inmediatamente, tiene la tarea de formar el programa de seguridad de la información de la empresa. ¿Entonces cómo comienzas? Cuando terminé mi primer mes como director de seguridad de la información en Axonius, me encontré reflexionando sobre lo que aprendí y hice cuando se trata de esa pregunta, y aquí hay algunos consejos basados ​​en mis experiencias hasta ahora.

Al igual que con cualquier empresa importante, tiene sentido comenzar por comprender el estado actual del programa de seguridad y el contexto en el que lo administrará. Comience cubriendo lo siguiente:

  • Riesgos: ¿Qué preocupaciones de seguridad tienen usted, sus colegas y sus clientes? ¿Qué brechas existen y cómo podrían afectar al negocio? A veces, resolver esto requiere una evaluación official. Otras veces, puede requerir una encuesta casual, conversaciones con colegas y análisis para llegar a un punto de partida suficiente. Tuve la suerte de convertirme en el CISO después de ocupar otro puesto en Axonius, pero hubo muchas preguntas que mi nuevo puesto me exigió que no hubiera hecho antes.
  • Esperanzas de heredar: ¿Qué expectativas tiene la organización sobre el programa de seguridad y su rol? Tenga en cuenta sus propias ideas y, por supuesto, obtenga aportes de su gerente y otras partes interesadas. Al delinear los objetivos, comprenda las necesidades comerciales y técnicas que influirán en el programa de seguridad. Puedes ver mis objetivos en AxoniusSi tienes curiosidad.
  • Situación: Conozca el entorno técnico y comercial en el que operará. Esto a menudo comienza con un inventario de activos de TI para comprender los dispositivos, los usuarios y el program que conforman el ecosistema de su empresa. Además, incluir en su conciencia situacional componentes no técnicos, como la dinámica del equipo, la política y la cultura.

Su evaluación inicial del estado actual lo ayudará a definir no solo la estrategia a largo plazo para el programa de seguridad, sino también los proyectos tácticos que puede comenzar de inmediato. Busque victorias relativamente fáciles que:

  • Mitigar algunos de sus riesgos de alta gravedad, por lo que comienza a mejorar la postura de seguridad de la empresa.
  • Implementar medidas de seguridad esenciales, por lo que sienta las bases para el resto de su programa de seguridad.
  • Dirección los desafíos importantes para sus colegas o clientes, por lo que comienza a construir buena voluntad y a mostrar valor.

Equilibre la necesidad de trabajar en estos proyectos tácticos con la necesidad de un enfoque estratégico más formalizado para establecer un programa de seguridad. Varios marcos de manage pueden ayudarlo a combinar su propia experiencia previa con la de otros profesionales para lograr esto.

Si bien no faltan las metodologías que puede utilizar, estas son las que he encontrado más útiles hasta ahora:

  • Lista de manage de seguridad Security4Startups: Esta lista de verificación de código abierto, inicialmente compilada por varios CISO, ofrece un punto de partida conveniente para las empresas jóvenes que no están seguras de dónde comenzar. Ayuda a confirmar que implementa medidas esenciales relacionadas con la gestión de identidad y acceso, seguridad de infraestructura, seguridad de aplicaciones, resistencia y gobernanza. La lista de verificación me pareció útil para confirmar que no me perdí ninguna categoría importante de medidas de seguridad.
  • Matriz de defensa de ciberseguridad: Esta práctica tabla outline una estructura para organizar sus capacidades de seguridad relacionadas con dispositivos, aplicaciones, redes, datos y usuarios. La matriz lo ayuda a capturar las medidas que tiene (o quiere tener) en todas las funciones mencionadas en el Marco de Seguridad Cibernética del NIST: Identificar, proteger, detectar, responder y recuperarse. Utilicé la matriz para identificar los roles que podrían desempeñar diversas tecnologías de seguridad en Axonius, pero ese es solo un enfoque para usarlo.
  • Controles CIS: Esta guía práctica cataloga las medidas de seguridad que pueden defenderse contra los ciberataques comunes. El marco, que ha tenido la oportunidad de madurar durante varios años, acumula el asesoramiento de muchos profesionales de la seguridad. Incluye sugerencias para seleccionar los controles de acuerdo con la madurez de su programa de seguridad y propone métricas para medir su progreso. Para una asignación entre CIS y otros marcos, consulte la publicación AuditScripts Mapeo maestro de controles de seguridad críticos hoja de cálculo.
  • Marco de Ciberseguridad NIST: Este marco detallado ofrece un enfoque para estructurar un programa de seguridad formal. Incluye una larga lista de categorías de medidas de seguridad junto con las subcategorías correspondientes. Incluso proporciona punteros a los detalles relevantes que puede obtener de otros marcos, incluidos los controles CIS, NIST SP 800-53 y el poderoso ISO / IEC 27001. Encontré el marco NIST abrumador cuando lo vi por primera vez, así que estoy cuidando de perseguirlo en porciones, no todas a la vez.

Si se encuentra en una industria regulada o tiene compromisos específicos con los clientes, es possible que deba tener en cuenta otros marcos, pero eso es evidente.

Su primer mes como CISO puede (y probablemente debería) enfocarse en comprender el estado real y sentar las bases para el programa formal de seguridad. Sin embargo, no pase todo su tiempo simplemente planeando y elaborando estrategias. Use la energía del nuevo rol para comenzar a ajustar los procesos apropiados y desplegar las tecnologías necesarias para respaldar su visión.

Contenido relacionado:

Lenny Zeltser es Director de Seguridad de la Información y anteriormente fue Vicepresidente de Producto en Axonius. Antes de Axonius, Zeltser dirigió la gestión de productos de seguridad en Minerva Labs y NCR. Antes de eso, encabezó la práctica de consultoría de seguridad de EE. UU. En uno de los principales servicios en la nube … Ver biografía completa

Más concepts





Enlace a la noticia initial