如何跳槽至【百万年薪】甲方安全CISO首席信息安全官+入职成功后工作思路分享

与同行和关键利益相关者建立信任和信誉

无论您是晋升为 CISO 或 IT 风险管理领导者角色，还是新加入组织担任此职位，与同事和关键利益相关者建立信任和信誉都至关重要。

新员工入职培训后，您的第一个行动应该是确定您的同事和关键利益相关者，并与他们单独会面。一些关键利益相关者可能不需要持续的会议安排（例如首席执行官或管理机构成员），但您的 IT 同事和与您同级的关键利益相关者（可能是合规或内部审计领导）应该在您的日历上安排每月一对一会议。您可以将这些会议控制在 30 分钟内，当然，如果没有新内容要讨论，也可以取消，但这些联系点可以为您创造稳定的节奏和受众，让您了解计划的有效性。它还为您提供了提出想法并听取他们正在做什么以及您的团队如何支持他们的工作的机会。

你可能会发现，如果你与这些同事合作实现类似的目标和目的，你可以与共同的利益相关者创造协同效应和善意。例如，在一个职位上，我意识到我们的内部审计副总裁每年都会与整个组织的高层领导进行一系列访谈。这些会议的目的是为下一年的审计和评估计划收集意见。我知道我需要为我的第一次年度企业 IT 风险评估收集有关 IT 风险的信息，所以我问她我是否可以和她合作，参加这些会议，并提出一些高级别的 IT 风险问题。我自愿对她的面试问卷进行现代化改造，使其更具视觉吸引力，更容易理解，从而为她锦上添花。她接受了我的提议，我们“一举两得”。我们采访的领导者我们很高兴我们将两次会议浓缩为一次，我们都为会议带来了新信息，并且精简了采访材料。我得到了什么回报？我得到了有关高级 IT 风险评估问题的答案，我从团队的努力中积累了许多有助于业务发展的想法，最后但同样重要的是，我结识了许多我通常不会在这样的活动之外遇到的领导者。

除了您将获得的合作伙伴关系优势之外，您还必须不断向同事和关键利益相关者展示您正在解决（或至少考虑）他们的 IT 风险和安全问题。这是您赢得信任和信誉的方式。

接下来的这一部分适用于您生活中所做的一切，但肯定也与您的新领导角色有关。说到做到，按时完成，并做好？没有什么比未能兑现承诺更能损害您的信誉了。抓住那些唾手可得的果实、解决人们的痛点并尽早兑现您的承诺非常重要。还记得这句话吗：“第一印象是持久的印象？”在这个领域确实如此。您在头 90 天里所做的一切，包括从人们身边拔出刺，表明您关心使用您的计划帮助他们取得成功，并成为一名优秀的团队成员，将为您在这个角色中的职业生涯定下基调。

为你的同事和关键利益相关者做一些“出色”的事情。我想讲另一件轶事：在我担任 CISO 的头 90 天里，我与一位高级业务领导会面，他对我们的传真政策表示了极大的痛苦和沮丧。很明显，IT 部门的某个人告诉他（当然是几年前），传真敏感信息是纸质表格唯一可接受的传输方式。这与理想的传输方式相反，理想的传输方式是扫描和发送电子邮件或使用电子传真应用程序。这位领导进一步解释说，他的多名员工把所有时间都花在了使用过时的传真流程上，士气和生产力都很低。我自愿调查这个决定，看看我是否能“拔出那根刺”。我花了不到一周的时间审查了决策历史，与我们的合规和 IT 运营部门合作，并提出了一个完全满足他们需求的解决方案。我交了一个朋友，并赢得了这个业务部门的信任和信誉，而我几乎不用付出任何努力。

投入时间建立这些关系，就个人而言，将带来超出短期内想象的回报。在头 90 天，赢得同事和关键利益相关者的信任和信誉至关重要。行动起来！

事先评估/审计报告审查

如果你非常幸运，你可能会接手一个新交付的项目评估职位。我最近担任的 CISO 职位之一和我的主管职位是根据管理层对第三方 IT 风险和安全项目评估的回应而创建的。评估明确指出缺乏经验丰富的项目领导，当前项目成熟度级别为 5 分中的 1.8 分。

除了领导力方面的差距，报告还指出了几个不成熟和风险的领域。该计划缺乏正式的风险评估能力、事件响应流程和文档、培训和意识覆盖范围，以及同行已经实施的某些技术保障措施。评估是由一家信誉良好的大型咨询公司进行的，所以我对结果信以为真。

为了补充我收到的评估报告，我要求内部审计部门提供过去两年 IT 审计结果的摘要。这个客观的窗口有助于了解 IT 组织和安全团队的表现，有助于了解他们眼中存在哪些差距，以及我们在解决问题的管理行动计划方面处于什么位置。例如，这些报告证实了我已经怀疑的事情：临床/生物医学设备的库存和管理非常不成熟，管理层正在努力寻找解决方案来减轻这种情况带来的风险。当你刚上任时，了解这些信息是件好事！你可能会像我一样，发现你正在接手几项审计结果，并期望在近期内得到补救——这也是你在上任初期了解的好事。你会希望与你的内部审计团队交朋友，并将他们视为推进项目目标的战略合作伙伴。要做到这一点，一定要把解决他们的审计结果放在首位。你不会想在高级管理层或管理机构的名单上出现一个未能执行管理行动计划的领导者。

进行/更新项目差距分析

您已担任新职务并已审查了现有的项目评估（如果有）。您还仔细阅读了与 IT 和/或安全相关的内部审计结果摘要。现在，您已经了解了其他人对您的项目的看法。在最初的 90 天内，您应该进行自己的评估（如果没有），或者根据您的知识和经验更新评估。

进行或更新项目差距分析可实现多个目标。首先，它可以让您的老板和同事知道您在自己的领域知识渊博，并希望将自己的见解带入项目可以改进的领域。其次，这是一种了解现有 IT 和安全架构、组织、优势和劣势的宝贵机制。最后，您的评估（结合之前的评估和审计）将构成您的项目业务案例和三年计划的基础。

如果您从未进行过自己的项目差距评估，请不要害怕！本章包含您可以用来评估的所有相关信息，以及一些可用于传达结果的示例和模板。完成其中一些之后，您将成为专业人士，并拥有足够多的工件来有效地进行这些工作。警告：不要急于聘请顾问代表您完成这项工作。您进行评估的部分原因是自己了解环境并表明您对要关注的领域有自己的看法。您的同事不想与您的顾问打交道；他们想直接与您打交道。回想一下之前关于建立和维护同行关系的建议。这项活动是该过程的一部分。

尽管如此，如果你已经担任了团队的领导，你当然应该让他们参与这个过程，因为他们可能拥有你需要的大部分历史信息。例如，过去有人尝试过一个解决方案但失败了吗？为什么？你应该在评估的早期阶段利用这些知识产权。如果你在您的计划中提出风险缓解策略，但却发现根据您独特的 IT 架构，该策略显然是不可行的。

让我们开始吧。您如何组织您的评估？我喜欢把事情简单化，就像任何有商业头脑的 CISO 一样。组织成人员、流程和技术组件。这些是 CIO 和其他高级领导可以联系并轻松理解的类别。

人们

无论技术有多先进，或者您拥有多少安全工具，您都需要技术精湛、聪明睿智的人员来帮助您管理项目。事实上，技术的不断获取往往需要更多人来管理。您需要仔细权衡招聘、联合采购、外包和自动化方面的建议。

我曾亲眼目睹 IT 同事犯下严重错误，他们创建了组织结构图，雇用了很多人，然后试图弄清楚这些人将要做什么或如何让他们忙碌起来。这种做法对他们不利，而且会让你看起来像个“帝国建造者”。具有商业头脑的 CISO 会像商人一样思考，做出花钱和雇用员工的决定，就好像这是他或她自己的钱一样。只有在绝对有需要时才雇用员工，而且只有当雇用员工比聘请顾问或托管服务提供商更具成本效益时才雇用员工。与吹嘘你的组织有多大以及有多少员工向你汇报相比，用更少的资源实现更多的目标并经营精益企业，你将在老板和其他高级领导面前赢得重要支持。

下文解释了如何进行人员评估。

由于组织在规模、行业、文化和 IT 风险和信息安全计划的重点方面都有所不同，因此您需要了解对团队的期望。简单示例：在某些组织中，IT 风险和信息安全部门负责该计划的所有方面，这意味着他们执行安全操作功能（配置、取消访问配置）、事件管理和响应、IT 风险评估、培训和意识、防火墙和端点管理等等。相反，有些项目的重点比较狭窄，其他 IT 运营团队负责管理网络和安全服务台功能。您需要确定您的团队目前在所有这些方面扮演什么角色，以及您的团队未来的期望是什么。可能是其他团队一直在为您代班，并希望将事情交还给您。在其他情况下，您可能会确定您正在负责的职能不属于您的团队。

您应该在服务目录中列出当前和所需的功能。我过去使用过 Microsoft Excel 或 SharePoint，但任何可以帮助您列出和记录这些功能的工具都可以。除了每个功能或产品之外，您还应该列出现有团队中的负责人、每周需要多少小时、间隔时间和其他重要统计数据。图 2.1是 SharePoint 中一个示例的屏幕截图。

请注意，本例中的服务所有者被屏蔽以保护其隐私，但其他所有信息实际上都存储在由安全运营团队执行的入侵检测系统 (IDS) 警报功能中。每周工作时间指标在工作量栏下列为 10.0。这个数据点是最重要的，因为一旦您完成了当前和所需的服务目录，您就可以执行一个简单的除法方程，以定量和客观地传达您的人员配备需求。下面是它的工作原理。

为简单起见，我们假设您的团队当前有 10 项代表组织执行的职能或服务。

现在假设您的团队目前有两名全职员工。您目前的 FTE 缺口为 1.5，除非您有 0.5 名闲置员工，否则您的 FTE 缺口将达到 2.0。在这种情况下，您可以提出以下论点：您要么需要雇用两名全职员工，要么找到服务提供商来承担您预期执行的一些功能/服务。这是业务案例分析的开始。

这是当前状态分析。如果在您的功能/服务目录清点工作期间，您被要求或被期望承担五项额外功能，该怎么办？您被要求添加：

你的未来状态方程现在看起来像这样：

140 当前 + 234 未来 = 每周 374 小时/每周 40 小时 = 9.35 FTE

乐趣就从这里开始！您很乐意承担这些额外的责任，但您现有的两个 FTE 无法胜任。当您与老板和管理机构交谈时，此分析（以及替代方案）将成为您进行有意义讨论的载体。您可以询问并获得额外的 FTE，特别是如果您的团队是新组建的或围绕您组建的。或者，您可以询问您的高级利益相关者您应该删除哪些功能或服务以满足您未来的 FTE 状态分配。最后，您可能能够外包其中一些功能并实现它们，而无需雇用额外的员工。

我提醒你，如果你没有为组织提供实现预期结果所需的人员，就不要代表组织承担大量额外的职能或责任。现在不是试图成为英雄的时候。你应该有足够的勇气向你的领导层传达你的需要和/或与他们合作，达成妥协，让你拥有足够数量的资源来取得成功。

上述数值方程只是人们评价的一部分。

在管理中，你常常有幸与我所说的“运动员”共事。运动员是几乎无所不能、热爱学习、几乎不需要监督、自我激励、总体上让你的生活变得轻松的员工。在担任 IT 风险主管或 CISO 角色的第一周内，你应该与团队成员单独会面，开始确定你是否有运动员。运动员有时可以做两到三个 FTE 的工作。相反，表现不佳的员工有时只能做 0.25 个员工的工作。你需要评估现有团队，以确定最终需要多少团队成员才能实现项目预期。

显然，你希望拥有一支由运动员组成的小团队，没有表现不佳的运动员，但你很少会那么幸运。你应该尝试“指导”表现不佳的人，并支持和鼓励你的运动员。最终，你可能不得不接受你继承的员工，但要慢慢地、一次雇用一个，并围绕你建立一支运动队。

最后，您团队中可能拥有合适的人数和技能，但他们是否处于正确的报告结构中，拥有合适的职位，并获得了适当的报酬？这是您在团队内部以及在进入工作过程中做出重大改变的机会。在担任一个新的 CISO 职位时，我立即重组了报告关系，将团队划分给我和主管，以便我们能够更加关注每个团队成员，并让他们专注于特定职能。我还重新分类了他们的几个角色，并成功为他们加薪。虽然我们团队之外没有人知道或关心这些变化，但这对我们的团队意义重大，我能够迅速赢得他们的尊重。

过程

建立和维护可持续 IT 风险和信息安全计划的最佳方法是确保您拥有记录和实践的流程。根据Merriam-Webster 在线词典，流程被定义为“一系列导致目的的行动或操作”。在 IT 风险和信息安全领域，拥有标准化、记录、培训和实践的流程对于管理成熟的计划至关重要，该计划可以在危机中按预期做出响应并产生预期结果。

流程是您团队中的某个人或某项技术为您操作或执行的某件事，目的是实现预期结果。“安全警报和事件管理”是大多数安全运营团队的流程。此流程通常由您团队中的人员使用各种技术进行管理。您可能会在头 90 天发现，此流程和许多其他流程可能正在发生，但不会明确记录，您的员工可能接受过适当的培训，也可能没有接受过适当的培训。

以下是您应该评估的流程的示例列表。

•企业IT风险评估与管理

•安全警报和事件监控

•安全事件响应与恢复

•威胁和漏洞管理

•身份和访问管理

•数据丢失预防

•IT供应商风险评估

•培训和意识

•政策和程序制定/修订

•IT风险和安全治理

•应用程序安全和 DevSecOps

•云安全态势管理（CSPM）

以下是每个过程的简要说明，以及与每个过程相关的关键评估点。

企业IT风险评估与管理

无论您是否知道或承认，您都从事风险管理业务。您需要评估的最重要和最有意义的过程是您如何进行 IT 风险评估并持续管理 IT 风险。风险评估应收集整个企业各个来源的输入。美国国家标准与技术研究所 (NIST) 特别出版物 800-30是制定风险评估方法并向他人保证您不是自己编造方法的有用指南。该指南可在线访问：http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf

无论您是否使用 NIST 作为参考，您都应该根据行业和组织量身定制方法。在医疗保健行业，1996 年《健康保险流通与责任法案》（HIPAA）安全规则要求定期对受保护的健康信息 (PHI) 环境进行风险评估。对于该行业的许多人来说，HIPAA 监管和有意义的使用证明要求必须融入团队的风险评估和风险管理工作中。

风险评估报告应推动组织的风险管理活动。由于大多数组织的财务、技术和人力资源 (HR) 有限，因此您必须设计和运营根据风险制定计划。大多数组织都有足够多的关键或高风险发现，因此使用风险评估流程来识别这些发现至关重要。为了持续管理 IT 风险，许多组织正在转向电子治理、风险和合规 (e-GRC) 平台，以登记册形式协助跟踪和监控风险。

评估要点：

•您是否定期进行 IT 风险评估？

•风险评估输入是否包括事件报告、访谈、内部审计报告、漏洞扫描结果以及其他可提供企业范围内 IT 风险视角的输入？

•您的风险评估框架是否考虑了特定的监管或业务流程要求（例如，支付卡行业数据安全标准 (PCI DSS)）？

•所识别的风险是否有相关的有意义的风险缓解计划？

•所识别的关键风险是否有负责制定风险缓解计划的负责人？

•您是否有 e-GRC 平台来帮助您实现 IT 风险管理功能的自动化？

安全警报和事件监控

安全运营团队的关键职能之一是设计环境中的警报功能并监控触发这些功能的安全事件。应在端点、内部网络和外围设备上配置安全工具，以便在发生某些操作或达到阈值时发出警报。例如，如果您仅在美国运营，则可以配置警报或规则，以便在有人从国外登录您的网络时向您的分析师发送电子邮件。您的安全警报和事件监控流程应确定这些警报和关联规则的设计，建立对其严重性和优先级进行排序的方法，并确定分析师需要采取的后续行动。

评估要点：

•您是否有现有的、记录的安全警报和事件监控流程？

•它是否包括角色、职责、流程和期望结果？

•该流程是否已在桌面演习中测试过，或者是否在安全运营团队会议期间例行练习过？

•工艺文件是否根据测试结果和任何技术变化进行修改？

•如果此功能/流程外包给第三方，您如何了解他们监控您的警报和事件的能力？

安全事件响应和恢复

安全事件响应和恢复流程位于前面所述流程之后。它被视为一个单独的流程，因为警报和事件通常不会上升到需要调用响应和恢复操作的级别。如果事件警报确实引起了重大担忧，则此安全事件响应和恢复流程将是您管理的最重要的流程。此流程确定并记录安全运营和其他 IT 运营团队在此关键时刻应采取的具体角色和行动。与 IT 事件的目标是尽快从中断中恢复系统不同，安全事件响应和恢复流程可能要求您保留某些系统内存（取证图像）、断开系统或完全断开与互联网的连接。响应和恢复程序的设计应包括利用网络分段策略（如果有）、隔离某些主机或子网、保留取证数据和图像以及从备份媒体恢复。

响应可能包括启动紧急响应保留、与执法部门合作或主要供应商的参与。恢复可能需要主要供应商或顾问的参与，以重建受损系统和/或修复关键数据集。

评估要点：

•您是否有现有的、记录的安全事件响应和恢复流程？

•它是否包括角色、职责、流程和期望结果？

•该流程是否已作为桌面练习进行测试，或者是否在安全运营团队会议期间定期练习（与安全警报和事件监控流程协调）？

•流程文档是否根据测试结果、真实事件和任何技术变化进行修改？

•如果此功能/流程外包给第三方，您如何了解他们响应和恢复关键系统和数据存储的能力？

威胁和漏洞管理

威胁和漏洞管理是您的团队每天实时执行的极其重要的功能。了解您所在行业和公司可能遭受攻击的威胁载体将有助于您设计正确的主动和侦查防护措施。您无法始终保护一切，因此拥有一个完善的流程来识别和评估威胁以及定期开展漏洞管理活动对于基于风险的计划至关重要。

联邦调查局 (FBI)、司法部 (DOJ) 和国家信息共享与分析中心 (ISAC) 等组织正在与私营公司合作共享威胁情报。除了这些组织之外，许多下一代安全工具都配备了开放威胁交换 (OTX) 或收费威胁情报功能。在某些情况下，利用 MSSP 非常有意义，因为对于许多组织来说，拥有威胁情报或恶意软件研究人员并不可行。问问自己：您的团队真的会在专门从事这项工作的大型 MSSP 全天候工作之前知道来自东欧的下一次零日攻击吗？

漏洞管理可以通过确保有一个流程来定期扫描您的网络和设备（无论是在它们配置到环境中时还是在连接后）。市场上有许多用于漏洞扫描的工具和服务提供商 - 只需确保他们生成的报告是可操作的且基于风险。仅仅拥有包含 10,000 行漏洞的漏洞扫描结果既没有意义，也无法采取行动。

评估要点：

•您的行业和公司可能面临的威胁载体是否已知？

•如何在您的网络中识别危害指标 (IOC)？

•是否记录并监控安全事件？是否明确标识要记录的事件？

•如何识别、分类和缓解威胁？

•如何管理补丁？你们对关键和重要安全补丁有具体的阈值吗？

•采取了哪些措施来保护系统免受恶意软件侵害？系统范围和恶意软件范围是否明确定义并更新？

身份和访问管理

贵公司的身份和访问管理 (IAM) 流程是全面保护网络基础设施和敏感数据的重要组成部分。对于您环境中的特权用户或“超级用户”来说尤其如此。IAM 流程控制如何配置、修改、终止和升级访问权限。

良好的流程可以在安全性需求与用户社区可用的易用性和功能之间取得平衡。根据您所在的行业，您可能通过在此领域实施更严格的控制获得更大的成功，或者您可能不得不更多地倾向于“易用性”。例如，在医疗保健行业，在临床环境中，在登录过程中添加点击或步骤可能很难实现。医疗保健专业人员时间紧迫，专注于提供护理和图表。要求他们使用军用级登录不会让您受到这群利益相关者的欢迎。不过，通过设计和实施安全单点登录 (SSO)、感应徽章登录/注销或生物识别登录，您可能会成为英雄。这些解决方案不仅安全，而且使登录和注销更加容易。

特权用户（例如数据库管理员）可以访问大量数据缓存，并且通常会出于测试、报告和其他正当业务原因移动这些数据。如果您要保护公司最有价值的信息资产，则必须严格管理他们的身份和访问权限。网络管理员通常会尝试使用共享凭据来管理网络设备、防火墙等。不要允许这种做法。寻求实施特权访问解决方案或密码库解决方案来管理、监控和审计这些帐户。

评估要点：

•您是否有针对您的环境中的所有用户授予、修改和撤销应用程序及支持基础设施访问权限的政策和程序？

•该政策和程序是否识别特权账户以及针对它们的特殊管理措施？

•您的 IAM 策略是否考虑了针对各种利益相关者群体的 SSO 或联合访问模型？例如，您可能希望客户或一线员工拥有简化的登录和应用程序到应用程序的凭证传递，以提供更高效的用户体验。

数据丢失预防

数据丢失预防 (DLP) 只是利用人员、流程和技术来防止未经授权的各方从内部或外部访问敏感数据的做法。如果您有幸拥有数据分类方案，那么根据分类应用 DLP 工具就很简单。例如，您的组织归类为“机密”的信息可能会被完全阻止在公司网络之外传输。DLP 工具可以扫描端点设备、电子邮件消息和其他存储库以及网络流量，并根据预定义的规则集采取行动。

如果您没有企业范围的数据分类方案（许多企业都没有），那么您的主要评估活动之一应该是了解您的环境中有哪些类型的数据，以及最敏感的信息存储/传输的位置。某些业务部门可能有正当的商业理由与组织中的其他人或参与您运营的外部合作伙伴共享敏感信息。如果没有明确的数据分类策略，您将需要确定这些业务部门并与其管理层合作应用 DLP 控制，以便在功能和安全性之间取得平衡。

评估要点：

•您的组织是否有数据分类方案？

•您是否有考虑静态数据、传输中数据和端点数据的数据保护政策？

•您是否有 DLP 策略，包括使用主动处理政策违规行为的 DLP 工具？

•您是否正在处理组织中的所有敏感数据存储和传输媒体（例如，个人云存储上传、个人电子邮件和网络邮件帐户的使用、不安全的电子数据交换（EDI）如文件传输协议（FTP）等）？

IT 供应商风险评估

随着时间的推移，IT 供应商已成为组织供应商的一大组成部分。很少有业务项目不受 IT 影响。一切都在信息系统上运行，IT 供应商是实现组织目标和宗旨的重要合作伙伴。

与 IT 供应商合作既可以带来战略优势，又会给管理带来噩梦。您需要他们提供 IT 功能，但他们会带来风险和复杂性，而这些风险和复杂性在与内部 IT 团队合作时通常不会出现。要确定 IT 供应商带来的风险级别，并确定收益是否大于风险，您应该有一个标准的 IT 供应商风险评估流程。该流程应在采购流程的早期启动这样供应商的选择就可以根据评估结果进行。我经常看到 IT 供应商风险评估是在供应商选定并签订合同之后进行的，甚至在供应商交付产品前一周进行。这种延迟参与使得风险评估过程变得毫无意义。

您应确保拥有一份标准评估标准清单，用于评估供应商与您的 IT 环境的兼容性、其信息安全保障和控制、其服务水平协议 (SLA)、法规和合规性以及其他因素，以帮助顺利融入您的环境。确保 IT 风险评估事实和决策有据可查，以便日后参考。

评估要点：

•现有 IT 供应商是否已清点？是否已与现有 IT 供应商签订了现行且经法律部门批准的合同（例如 SLA、业务伙伴协议 (BAA) 和保密协议 (NDA)）？

•新的 IT 供应商是否需要经过 IT 内部各个团队的审核？

•是否有一个定期的、常设的技术审查委员会，遵循标准清单或程序来评估新 IT 供应商的风险？

•企业范围内的采购职能是否接受过有关技术审查委员会流程的培训，并被要求在做出采购决定之前考虑委员会的审查？

培训与意识

无论您对流程进行了多少改进或实施了多少新奇的技术，维护一个安全且相对低风险的环境都需要您的员工和用户社区的帮助。网络钓鱼电子邮件就是一个很好的例子。世界上所有的网络过滤器都无法阻止某些恶意电子邮件到达您的用户社区。我的团队发起的一项网络钓鱼活动旨在收集公司的基线统计数据，结果发送的模拟网络钓鱼电子邮件的点击率为 36%。

降低这一惊人失败率的唯一方法是增加相关培训和意识活动。除了网络钓鱼之外，还有许多其他主题需要技术用户定期接受培训和意识。想想物理安全、移动设备保护、安全密码管理实践以及社交媒体的可接受使用。您必须在信息风险和安全培训和意识活动之间取得平衡。如果您在用户社区中投入过多，他们就会开始失去兴趣。投入不够，他们就会忘记。我一直认为，每季度一次的培训计划是最佳平衡。

培训和意识计划的首要活动应该是评估哪些方面的风险或问题最大，并制定培训和意识活动计划，首先解决这些方面的问题。要有创意。我一直使用 30 秒和 60 秒的视频来传递关键信息，在休息室和公共区域张贴有趣的海报，在我们的内部网站上进行测验和博客，等等。如果您构建有趣的内容并在有用的内部网页上向所有人提供，那么您将看到您开展的活动取得成功。

评估要点：

•除了年度强制性合规培训之外，您是否还有其他培训和意识计划？

•您是否评估了组织中最薄弱的安全知识领域并制定了解决这些问题的活动计划？

•您是否正在创建针对各种组织受众量身定制的有趣内容？对银行出纳员的培训可能与对银行应用程序开发人员的培训截然不同。

•您是否拥有一个可供员工访问内容、新闻和其他信息安全学习材料的内部网站？

•您是否有明确的指标来评估培训和意识计划的有效性？

政策和程序的制定和维护

虽然政策和程序不是最令人兴奋的安全话题，但它是我们传达对行为对用户的影响。大多数信息安全政策和程序都植根于法律或监管要求、行业标准或领先实践。这几乎总是对您的计划进行评估或审计的首要关注点，其次是您的组织遵守这些政策和程序的情况。

政策应该简短、易懂，并定期审查。没有人会阅读或试图理解长达 70 页的信息安全政策。我最喜欢的政策和程序方法是创建简短、具体的文档，内容涉及远程访问、IT 系统的可接受使用等细粒度主题。如果可以将政策控制在几页之内，人们就可以快速访问和阅读他们有疑问的内容，而不是翻阅一本小说。

确保您的政策放在您的内部网站上，以便于查找和查看。我无法表达我曾有多少次咨询过一家非常重视其信息安全政策和程序的公司；然而当我询问日常用户时，他们既没有看到这些政策，也不知道如果有问题该向谁求助。

评估要点：

•您有信息安全政策和程序吗？

•上次修订是什么时候？超过一至两年的政策很可能已经过时，或者由于技术和业务变化，其中某些部分不再适用。

•您的政策和程序文件是否简短且易于普通最终用户理解？

•您的政策和程序是否存储在用户可以轻松访问的内部网上？

IT 风险和安全治理

虽然这本身不是一个流程，但你应该评估整个组织如何讨论和支持 IT 风险和安全决策。我说的不是日常决策，而是影响广泛利益相关者的重大决策。例如，如果你要解雇在您的公司访问个人云存储之前，您最好与利益相关者进行广泛的讨论，以确定此类决定的影响和接受度。

正如开篇所讨论的，我发现设立一个专门的 IT 风险和信息安全治理委员会非常有价值。成员应代表贵组织的广泛部门，并由能够真正代表其业务部门发言的经验丰富的领导者组成。这个治理团队将为您提供有关任何重大 IT 风险和安全提案的宝贵反馈，并成为您在该领域工作的倡导者/宣传者。善待这些人，他们会支持你；让他们蒙在鼓里，他们会在每一步都与你作对。

评估要点：

•您是否至少有一个管理团队为您的计划提供反馈和指导？

•他们是否经常开会来支持您推动关键举措？

•会员范围和领导层是否具有适当的水平，以帮助您快速做出关键决策？

•您对他们的价值主张是什么？您是否让他们了解关键计划、提案和绩效指标？

应用程序安全和 DevSecOps

并非每个组织都会开发自己的应用程序，因此如果您是一家外包此功能的小公司，本节可能与您不太相关。话虽如此，大多数规模较大的组织都有某种应用程序开发活动，鉴于我们今天所处的“一切都是应用程序”的概念，这些内部开发的应用程序的安全性比以往任何时候都更为重要。

如果您确实在内部设有此功能，则它很可能在与安全团队不同的 IT 部门中运行。有时它们是 IT 内部的独立功能，而其他时候，应用程序是在完全不同的业务部门（如营销或数字存在团队）中开发的。与这些人建立关系至关重要，因为他们主要关注提供生产应用程序以向客户提供功能和访问权限，而不是可能存在的任何风险。了解他们的开发周期和流程以及他们如何评估代码中的错误、暴露和其他潜在漏洞对于拥有完整的安全程序至关重要。

您可能永远不会直接管理这些开发团队，但您应该以顾问的身份介入，并要求他们进行监督，以确保不安全的应用程序代码不会进入生产环境并暴露给组织的其他部门。当然，如今有许多工具可以帮助开发人员创建和推广安全的代码/应用程序，您应该考虑为这些解决方案提供建议。过去，开发人员很难接触到它们，因此他们经常不惜一切代价避免使用它们。现在情况已经不同了。这些现代工具对开发人员友好，可以无缝融入您采用的任何开发方法，并且可以有效地帮助保护代码在整个生命周期中的安全。

评估要点：

•您的应用程序开发团队位于组织中的什么位置？请确保将其与关键联系人和应用程序一起盘点。

•在开发生命周期中，开发人员使用什么流程或工具来识别缺陷、错误和漏洞？在将缺陷和漏洞提升到生产环境后才发现它们是最糟糕的情况，因为它会在补救过程中暴露组织，而且比在开发过程中解决这些问题更昂贵、更耗时。

•在部署到生产环境后，您是否有一个流程来持续或至少定期测试应用程序的安全性？

云安全态势管理 (CSPM)

CSPM 是指组织用于监控和保护基于云的基础设施、系统和数据的技术工具和流程的实践。CSPM 程序的目的和价值在于它有助于识别和防止配置错误、任何合规性控制或可能被违反的要求，以及可能导致云中的数据被泄露或无意泄露的任何暴露。

公共云基础设施的使用现在已完全成为主流。利用云资源的诸多优势众所周知，但这些环境的安全性仍在不断完善。CSPM 是一种帮助确保持续自动监控这些环境的方法，以便自动检测和纠正错误几乎实时发生。云环境可能会迅速变化且不会提前通知，因此制定解决方案和流程来确保您对其进行监控至关重要。

评估要点：

•贵组织的云基础设施覆盖范围是多少？

•这些环境中存储了什么数据？

•您现在是否正在使用 CSPM 解决方案？如果是，谁来管理它？如果没有，您如何监控这些环境的安全性？

•谁在为云解决方案的正确配置和控制环境提供建议？这些特定的监管或合规考虑因素是否应该适用于公共云基础设施？

技术

IT 风险管理和信息安全技术是您计划的重要组成部分。话虽如此，不要被这个领域成千上万的供应商大肆宣扬的“它能做所有事情”或“单一管理平台”的诱惑所吸引。毫无疑问，我们作为从业者可以使用的下一代技术正在帮助实现 IT 风险管理和安全操作的部分自动化，但您必须警惕购买“现成产品”或只能使用部分功能的多点解决方案。

评估技术能力的一种方法是使用洛克希德马丁网络杀伤链框架作为映射工具，可在线找到：https: //lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

网络杀伤链框架是情报驱动防御模型的一部分，用于识别和预防网络入侵活动。该模型确定了对手必须完成哪些任务才能实现其目标。在任何阶段阻止对手都会打破攻击链，最好是在最早的阶段。对手必须完全完成所有阶段才能取得成功；这为我们带来了优势，因为我们只需在任何阶段阻止他们即可获得成功。

杀伤链模型设计分为七个步骤：

•防御者的目标：了解侵略者的行动。

•理解就是智慧。

•当且仅当入侵者能够完成步骤 1 至 6 并进入网络杀伤链的最后阶段时，入侵者才算成功。

图 2.2显示了如何以图形方式表示当前技术能力与期望技术能力的示例。请注意，映射与供应商无关；重点在于您希望该技术能够为您做什么。我发现这种直观地描绘当前与期望技术能力的方法非常有效。您还可以使用单独的地图来说明您何时能够实施这项技术——稍后我们将讨论您的业务案例和三年计划时对此进行详细介绍。

构建此地图将需要您在评估期间花费一些时间。您的团队可能甚至不拥有或运营其中的一些技术，因此您需要走出去与网络、基础设施、应用程序和 Web 服务团队交谈，以确定这些技术能力存在于何处。话虽如此，尽量不要纠结于谁拥有什么。作为新的 IT 风险管理或 CISO 领导者，与这些团队建立关系远比在您担任该职位的初期尝试“抢占地盘”更为重要。随着时间的推移，由您的团队管理其中一些技术可能是有意义的，但在您评估自己的计划和团队的技能时，让现有团队继续管理它们要安全得多。

有一种令人信服的论点是，成为这些不同来源的数据的消费者（进入您的日志聚合器或 SIEM 解决方案）比自己管理和操作每个解决方案要好得多。换句话说，不要对礼物吹毛求疵。如果某人或其他团体愿意为您管理这些，您可能会从该结构中受益，因为您可以将您的团队部署到更具战略性、风险管理和安全运营类型的职能中。

来源：https ://lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

建筑学

作为技术评估的一部分，您应该花一些时间与您的网络和/或安全架构师讨论。由于您的网络架构方式独特，您可能已经购买并安装了某些安全技术解决方案。同样，您独特的网络架构可能会限制您实施某些安全技术的能力。作为评估和技术规划的一部分，您应该了解这些早期的决策和未来的限制。

例如，零售组织通常具有高度分散的网络架构。他们可能有数千个销售点，这些销售点需要网络架构和安全技术以同样的方式在分散的同时运行。另一方面，单个医院提供商组织可能只有一个互联网连接和一个位于地下室的数据中心。了解现有架构和未来几年的架构计划将在您有关安全技术的决策中发挥重要作用。

最后，您可能正在继承您不希望拥有的技术。我曾经开始担任一个职位，基础架构团队与一家端点安全供应商签订了一份为期五年的合同，而我被迫与之共事了四年半。“拆除和替换”这个解决方案的成本和精力当然不值得采用我首选的技术，但这个早期的决定严重限制了我在端点上可以尝试的安全技术解决方案。我转向基于网络和边界的安全技术评估，这样我可以灵活地合理化和替换许可证即将到期或现有解决方案不存在的技术。

定价、供应商评估和概念验证

你现在是公司里最受欢迎的人了！你会被邀请参加尽可能多的欢乐时光、豪华晚宴和体育赛事。安全供应商在过去的几年里呈指数级增长过去五年。如果你回想一下当时 RSA（Rivest–Shamir–Adleman）大会上供应商展厅与现在的对比，你就会明白我的意思。虽然我没有统计数据来证明这一点，但确实感觉大多数初创公司都处于安全技术领域，或者将重要的安全组件嵌入其中作为卖点。

首先，要意识到你处于有利的谈判地位。安全技术——尤其是初创供应商——在许可证、设备和/或服务收费方面具有极大的灵活性。做一个强有力的谈判者。当然，不要支付标价。如果你在非营利组织或学术机构工作，请根据你的纳税状况要求降低价格。如果你的公司愿意让供应商公开使用你作为参考客户，或在他们的网站或营销宣传中使用你的标识，通常供应商也会给你一个价格折扣。每次——是的，每次——我拒绝供应商对其技术的第一次报价，他们都会以低得多的价格追着我。你必须讨价还价，因为你在供应商身上花的每一美元都是你没有的预算，用于流程改进或人力资源。

供应商评估始终是一项有趣的活动。您向安全工具供应商提出的第一个问题应该是：“您要替换、合并或增强哪些现有的安全功能？”如果他们不能给您令人信服的答案，您可能会选择快速离开他们。大多数供应商都可以在其领域执行类似的安全功能，但他们是否比竞争对手更擅长？这就是概念验证 (POC) 的作用所在。

POC 是了解安全技术与您的基础设施的配合程度以及与同类产品相比的表现的好方法。如果您正在评估恶意软件沙盒解决方案，请尝试同时插入它们并查看它们的并发性能。我做了这个 POC，发现一家技术供应商的产品表现明显优于另一家。POC 应由供应商免费提供，并持续至少 30 天。如果您能说服供应商让您对其解决方案进行 60 或 90 天的 POC，那就更好了。在开始 POC 之前，请确保您确定 POC 的目的、预期结果以及这些解决方案的成功标准。在编制预算和规划这些解决方案的实施时，拥有这些成绩单将有助于构建您的业务案例（将在下一章中介绍）。

我曾多次遇到过这样的情况：技术看起来很棒，但在我们的环境中却不起作用。同样，很多时候，它工作得很好，解决了一个问题，但我买不起。如果你从以下前提开始，你就可以很快地与供应商切入正题。我对每个向我推销新产品的供应商都说（请随意窃取这些话）：

我是世界上最容易推销产品的人。如果我们需要你的产品，如果它适合我们的环境，而且我们负担得起，我就会买。我控制前两个，你控制最后一个。

最后，您可能会发现您的架构、预算、人员配备水平和经验或其他因素都有助于考虑 MSSP。MSSP 全职从事这项业务，提供 SIEM、网络威胁搜寻、恶意软件沙盒以及您想要自行购买和维护的几乎所有其他服务或功能。首先进行此评估，确定您管理这些技术的能力和成本是否较低，然后致电 MSSP 进行讨论。完成此评估后，您将知道您可能需要他们的服务做什么，然后可以请求投标以填补您自己无法填补的空白。

评估要点：

•您是否拥有企业范围的安全技术和功能清单？

•就增强的安全工具而言，您现有的架构支持什么？

•您是否评估了现有的技术合同和承诺，以了解您在现有更新生命周期中所处的位置？

•您是否能够使用洛克希德马丁网络安全杀伤链之类的工具来规划现有技术能力与所需技术能力？

•您是否有能力进行并发技术的 POC 来比较性能？

•您是否已经与 MSSP 建立关系，或者您是否能够阐明建立 MSSP 关系的潜在用例？

成熟度与风险衡量

评估一个项目通常是一个非常主观的过程。很难用李克特量表等来量化您的员工经验或您的流程或技术在降低风险方面的有效性。话虽如此，为项目的每个功能的成熟度和风险分配一个数值将有助于建立一个基准，以便您可以根据该基准衡量一段时间内的进展。

到目前为止，我们已经讨论了评估人员、流程和技术组件的关键点，但下一章将概述更详细的方法（以及示例输出），作为制定业务案例和三年计划的一部分。现在，让我们讨论技术风险的来源以及技术风险是如何产生的。

风险来源大致可分为两类：“内部人员”和“外部人员”。内部风险通常是善意员工在与外部方通信时泄露敏感信息的结果。也可能是由于不知情或不知情的员工有意或无意地从事危险行为。外部风险是大多数安全团队关注的重点，包括恶意的外部人员，他们试图窃取敏感信息供自己使用或在日益增长的信息黑市上出售。最常见的外部人员包括国家支持的有组织犯罪和黑客活动分子。尽管大部分注意力和安全支出都集中在解决外部风险源上，但超过 40% 的数据泄露是内部人员行为的结果（一半是故意的，一半是意外的）^。1

什么是技术风险？ 简单的定义是：当漏洞可被威胁源利用时，即存在风险。

在对您的技术环境中的风险进行排名时，有很多框架可供参考，但选择哪一个并不重要，重要的是将该选择应用于您的所有风险评估活动，以便随着时间的推移进行同类比较。如果您在一年内使用 5×5 风险排名量表，然后在第二年切换到 3×3 量表，那么您将花费更多时间来转换风险排名，而不是解决风险。

使用这种方法，可能性和影响量表上的最高分将为 25 [5（可能性）× 5（影响）]。在图 2.4中，这将导致严重风险，并在最右上角表示出来。当然，在这个一到五的量表上对可能性和影响进行排名是主观的，但你可以在组织上制定和调整非常低而非严重的含义。同样，使用能力成熟度模型作为参考，在一到五的量表上讨论了成熟度评级。使用这种成熟度与风险的比较有助于优先考虑项目中成熟度最低/风险最高的领域的资源。

在您的组织中完成类似的分析后，您将拥有与 CIO 和其他高级领导讨论人员、流程和技术需求的基础沟通工具。记住要像商人一样思考。保持简单，并使用本章中的示例作为参考，以制定其他业务领导者可以理解的评估。

要点总结

1.上任后的前 90 天对于您作为新任 CISO 或 IT 风险管理主管的长期成功至关重要。您必须尽早建立关系并赢得信誉，为您的计划举措铺平成功之路。

2.利用 IT 风险管理和信息安全计划的先前评估、审计或审查，因为它可以实现两个目标。首先，它通过利用其他人已经完成的工作来加速您对环境的了解。其次，它表明您考虑到同事和利益相关者的时间，并且您不会拜访他们并询问审计员两个月前提出的相同问题。

3.使用简单易懂的标准（如人员、流程和技术）进行自己的评估，并根据风险和成熟度进行评估。如果您以业务术语对您的计划进行实用、合理的评估，那么您成功推销业务案例和三年计划（第 3 章中讨论）的可能性将大大提高。