青藤云安全:新任CSO关键的前100天
2021-12-14 14:41:24 来源:
(原标题:青藤云安全:新任CSO关键的前100天)
一位曾在3家大型企业机构任职的CSO,同事们都叫他老曾。老曾已经在安全领域工作了十五年,从基础安全技术人员一路成长为CSO。凭借多年的工作经历,老曾形成了一套切实可行的安全管理实践。
第一期:《新任CSO关键的前100天》
第二期:《CSO如何实现信息安全的业务价值》
第三期:《CSO如何申请安全预算》
第四期:《CSO如何建立符合业务需求的安全战略》
希望老曾的经验之谈对同行CSO或从事安全管理工作的人员有帮助。以下是第一期内容。
对于新任的CSO,最初的100天是一个关键时期。新任CSO需要在这一时期制定好战略、建立好人际关系、确定自己的管理风格,并在这关键的100天内有所作为,给企业留下深刻印象。为了让新任CSO在这关键的100天内,做出有效的工作成果,获得领导认可。根据CSO老曾分享的经验,本文详细总结了新任CSO在前100天开展安全管理工作的重要步骤。新任CSO遵循这些步骤开展工作,更有可能取得成功。
第一周
清点资源
第一周,CSO要花大部分时间盘点建立安全部门需要的资源,包括人员、报告、业务指标和财务预算等。在这一阶段,CSO要尽可能多地整理信息,并做好详细的笔记,但这时不要试图去解决问题。
了解同事和上级
如果CSO是从外部聘请的,这段时间是给人留下良好第一印象的机会。如果CSO是从企业内部提拔的,可以利用这段时间与那些平时很少接触的同事建立联系。这段时间,CSO会被介绍给许多人,要尽量记住每个人的一些细节,例如最喜欢的运动,或者家庭成员的情况,这有助于日后的闲谈和加强了解。
召开第一次部门会议
在第一周前几天,CSO需要召集第一次部门全体人员会议。这个会议有两个主要目的:一是让CSO介绍自己,表明自己平易近人;二是让参加会议的人员介绍自己。CSO要让新下属相信,自己是为他们服务,为他们提供帮助的。这段时间,即使有人要求你提供意见,也不要答应,可以解释说,目前仍在收集信息,还没有准备好做出决定或改变。
第二周
与团队管理者举行一对一会议
现在,CSO需要与各团队管理者进行一对一的沟通,向他们了解、确定各自的职责范围,并了解哪些任务是最紧迫需要完成的,以及如何完成这些任务。CSO应该利用这些沟通机会向下属表示,自己无法独自完成任何事情,他们的意见和支持非常重要。
与业务部门领导举行一对一会议
CSO工作中最重要的一个伙伴就是各业务部门的领导。CSO需要让他们知道,在制定和执行安全计划时,将把他们的业务需求放在首位。当然,有些业务职能比其他业务职能需要更多的保护。但是,CSO要让每一个业务部门领导觉得,他们是第一优先级。在制定和执行安全计划的过程中,安全保护的优先级是就现实的业务需求确定的。为了成功地平衡业务部门的需求,CSO需要了解各业务部门领导的主要工作目标和对信息安全的关注点,最重要的是要征求他们对安全工作的意见。在这个过程中,CSO可以确定哪些高影响力人物将成为支持自己的亲密伙伴,从而在未来发布工作计划时,能获得更多的支持。
第三周
传播安全计划目标
CSO需要通过一个简单的方法向团队成员、管理人员、业务部门及所有用户传达需要通过安全计划实现的目标。安全计划的主要目标是建立一个持续有效的、符合业务需求的安全组织流程和技术解决方案。
进行安全评估
第三周,CSO可以开始评估公司安全业务哪些部分运行良好,哪些部分需要进行改进。这可以通过四种方式来衡量:通过技术成就(是否发生了破坏性的安全事件);通过与财务或满意度相关的绩效指标;通过评估当前安全流程的成熟度;或通过对照行业标准或基准来确定。安全评估可以由一个了解安全计划,并能将目前情况与计划目标进行比较的外部专家组织完成。
撰写/审查安全章程
从这周开始,CSO需要编写或审查安全章程,安全章程通常只写一次,并保留使用多年。因此,安全章程应该用通俗易懂的语言编写,并提出一个可行的安全策略。安全章程的受众包括公司员工、合作伙伴、客户及其他利益相关者。该章程必须至少要得到 CEO 级别领导的批准。CSO想要制定适合受众的安全章程,可以参考下图所列的这些最佳实践。
第四周
与高管层面对面沟通
现在,新任CSO工作将近一个月了,需要与高管层进行面对面的沟通。在沟通中CSO可以介绍安全评估情况和安全计划目标,并说明现阶段的工作安排以及所需高管层哪些支持等内容。要注意的是,CSO在与高管层沟通时,要使用他们能理解的商业术语而不是技术术语,避免出现分歧。
审查第一个月的安全预算
CSO应该对每月的安全预算有一个相当准确的了解。一个月后,新任CSO应该能够对来自CFO、CEO和其他高管的任何有关安全资金去向的问题提供相当具体的答案。在讨论这些财务问题时,CSO可以开诚布公地阐明安全预算的合理性,但注意不要严厉批评前任的财务规划和运营方法,这其中可能存在自己不了解的决策因素,这样新任CSO更容易得到老板的认可。
积极参与现有安全项目
新任CSO到岗时,可能就有几个正在进行的安全项目。在对安全组织的工作方式有了一定的了解后,CSO需要参与到这些占据团队时间的项目中。在这个过程中,CSO应该关注两个方面:让团队成员专注于安全项目的商业价值,并在必要时提示团队成员保持高效的执行力。
完善团队并提升团队成员能力
对于新任CSO来说最重要的工作之一是完善团队,把关键团队管理者安排就位,并确定各自的职能范围。由于资源限制,可能无法实现每一个职能由一个具体的人负责。事实上,许多非常成功的安全组织是由某一个人负责几个具体的职能,并通过简单高效的RACI管理模型,来定义某一项活动参与人员的角色和责任。这种管理模式为未来建立完整的团队职能奠定了很好的基础。
新任CSO要明白高绩效团队是靠人为打造出来的,而不是天生的。团队组织中可能有一些没有发挥作用的成员,但大多数情况下,他们只是需要帮助和指导,找到能够发挥自己特长的领域。作为CSO请记住,衡量合格领导者的标准,不是自己解决了哪些技术问题,而是通过制定技能改进计划,提高员工水平,让自己获得更多可用的人力资源。
第二个月
获得安全章程批准
第一个月制定的安全章程需要得到高管层的批准,现在CSO可以将其发送给适当的高管人员审阅,并安排与其面对面沟通。新任CSO可以通过这种沟通,了解公司高管层对安全职能的要求。至关重要的是,在第三个月开始之前,CSO需要确认高管层对安全工作的期望要求。
确定各团队目标并跟进工作进展
现在,各安全运营团队的工作职责已经非常清楚,需要开始考虑各自的绩效指标。各个团队需要有非常明确且切实可行的绩效目标。CSO需要做的就是提供必要的支持帮助他们取得成功。而且作为管理者,CSO要向团队成员表明各个团队要相互支持,而不是相互竞争。制定目标后,CSO要定期跟踪团队的工作进展,并让每个人都了解他们的同事在做什么。通过工作进展跟踪,将使团队朝着既定的目标前进,更可能取得成功。
组建安全意识宣传团队
作为CSO,面临最困难的任务可能是让企业人员理解、遵守甚至倡导安全计划。因为企业人员会有一些根深蒂固的观念,例如,安全会降低业务效率;安全只是IT专家的问题;或者安全就像是一个游戏,安全人员制定策略预防某些事件的发生,而员工会寻找各种方法来绕过策略控制。作为CSO,可能没有接受过宣传方面的培训。为了更快地获得这个技能,新任CSO可以请教掌握这些技能的人员,在制定安全意识计划方面他们会提供非常有价值的帮助。
第三个月
定期召开团队管理人员工作会议
作为CSO,最有价值的会议是了解和沟通执行团队的工作状态和工作难点。在会议上,倾听执行团队的问题并帮助他们解决这些问题。为了保持每次会议的内容聚焦,可以创建统一的议程,内容如下:
说明在这期间要做什么?
说明在这期间做了什么?
在这期间所做事情的业务价值是什么?
执行团队希望CSO提供哪些支持和帮助?
执行团队成员需要将CSO的安全计划整合到他们的工作中,而且必须给出一定阶段的工作进展和结果衡量标准,这将提供下一次会议的明确目标。
跟进计划和项目进度
新任CSO需要定期了解安全计划和项目进度。项目的定期进度报告应该简单明了,CSO只需要关注与业务部门领导和财务管理人员讨论的项目信息。CSO可以向项目经理了解具体的项目成果,而不是他们是如何做的,偶尔提出更详细的问题,以确保自己能阐明项目团队工作的业务价值。
完善安全流程
信息安全工作的主要目标之一是建立完善的安全流程。现在是新任CSO评估现有安全流程成熟度,并进行优化改进的合理时间。完善的安全流程需要的不仅仅是安全报告和预算编制,它最主要的是建立有效的决策权与适当的问责制,将责任和权力结构相关联。关于安全流程更具体的内容可参见《2021安全规划:安全流程成熟度的“定级、评审、整改”》。
审查第三个月的安全预算
新任CSO工作到第三个月需要再次查看安全运营预算,并突出显示与前两个月相比发生的变化趋势,找到最高成本的项目,并在适当的时候制定降低成本的计划。在第三个月结束时,新任CSO可以将编制、审查和报告预算的工作交给一位团队管理人员。从那时起,CSO在该领域的职能应仅限于出现额外预算时进行管理和评估。
在初步战略得到巩固后,CSO就可以开始考虑中期和长期的项目和目标了,包括正式制定安全计划;启动提升安全流程成熟度项目;建立一个正式的安全架构功能等等。
写在最后
新任CSO的前100天非常重要,因为这是将企业的安全流程和安全能力推向有效路线的第一个,也可能是最后一个机会。根据CSO老曾的实践经验总结的上述内容,很好地说明了为使新的安全组织有一个好的开始,并取得有效成果所需的行动步骤。所有新任CSO都可以借鉴这些步骤,并结合具体的企业需求进行调整,更好地迈出安全管理的第一步。
人类首次登月50周年重返月球之日何时到来?
(原标题:人类首次登月50周年 重返月球之日何时到来?) 中新网7月20日电(刘丹忆)休斯顿,这里是静海基地,‘鹰’舱已经着
2022-11-06 09:49
美股周五:三大股指终止四连阴,热门中概股普遍大涨,B站涨超22%
美国时间周五,美股收盘主要股指全线上涨,结束了连续四天的下跌,但本周累计仍然均为下跌,其中纳指创下今年2月以来最大单周百分比跌
2022-11-05 10:38
探寻人类智慧“最先一公里”密码打造世界级的新时代重大前沿科学
10月27日,中建二局投资建造的上海临港世界顶尖科学家社区项目全面冲出正负零,进入主体结构施工阶段。 该项目位于中国(上海)自由贸易
2022-11-03 14:39
华为全新小折叠机华为PocketS发布售价5988元起
11月2日消息,在华为Pocket S及全场景新品发布会上,华为推出了全新小折叠——华为Pocket S。搭载RYYB超感知影像系统,采用业界首创多维
2022-11-02 20:29
小熊电器榜上有名,电热水瓶稳坐抖音电商口碑榜TOP1
一年一度的双11 进入首轮爆发期,各大品牌交出亮眼成绩单,小熊电器迎来开门红,仅仅两小时销售额便破亿,多款热门单品表现亮眼,强势领
2022-11-02 17:51
小米12SUltra概念机发布配备两颗1英寸传感器
11月2日,小米手机今天正式通过微博发布小米12S Ultra 概念机,从官宣图上可以看出,其将配备两颗1英寸的传感器。 小米创办人、董事
2022-11-02 15:49