Logo bg.businessdailytoday.com
Какво е CISO и как да станем такъв
Какво е CISO и как да станем такъв

Видео: Какво е CISO и как да станем такъв

Отличия серверных жестких дисков от десктопных
Видео: 14 съвета да се справите с раздялата 2023, Февруари
Anonim

Броят и видът "ръководители на ниво С", както хората, които докладват на главния изпълнителен директор (главен изпълнителен директор) в големите корпорации, се наричат ​​като група, изглежда нараства късно. Главен служител по сигурността на информацията или CISO е изпълнителен директор на ниво С, който е отговорен за сигурността на информацията за цял бизнес или организация.

Разбиране на ролята на CISO

Има повече за пълнене на обувките на CISO, отколкото просто притежаване на дълбоко разбиране на информационната сигурност. В изпълнителния пакет изпълнението на тези задачи на ниво С означава свързване на специфични аспекти на бизнеса или технологията с цялостната визия, която ръководи и задвижва всяка добре управлявана организация. Това означава, че CISO трябва също да разбере всеобхватната визия и стратегия на предприятието за организацията и след това да предприеме всички необходими стъпки, за да се увери, че нейните информационни активи и технологии са защитени правилно.

По този начин работата на CISO обхваща множество жизненоважни области на знанието, които той или тя трябва да виждат в предприятието. Те включват следните елементи:

  • Оценка на риска, смекчаване и избягване - Това означава да се извърши задълбочено проучване и инвентаризация на информационните активи, интелектуалната собственост и други цифрови ценности, да се разберат заплахите, пред които са изправени, и да се решат какви стъпки да се защитят от тези щети, загуба или вреда, В крайна сметка това се вписва и в политиката за сигурност на предприятието, която определя какви нива на защита и реакция трябва да бъдат свързани с информационните активи и дигиталните фондове.
  • Спазване на правните и регулаторни норми - Това включва разбиране как информационните активи и дигиталните фондове на предприятието попадат в обхвата на приложимите закони и разпоредби и отговарят на съответните изисквания, като оценки, одити, докладване, поверителност, конфиденциалност и други. Това също означава да бъдете готови и способни да поемете тежестта от нарушаване на сигурността и да оцените и да се справите с всякакви потенциални правни, бизнес и финансови последици от нарушението.
  • Архитектура на предприятията и сигурността - Като формална дисциплина в рамките на информационните технологии, архитектурата се стреми да гарантира, че придобиването и използването на технологии позволява и засилва способността на организацията да постига бизнес цели, да постига цели и резултати и да остане конкурентоспособна на избрания от тях пазар (и). Корпоративната архитектура приема това мнение от гледна точка на цялата инфраструктура, докато архитектурата на сигурността го прави от по-тесен фокус върху инструментите и технологиите, необходими за осигуряване на видовете и нивата на защита, които диктуват оценките на риска и изискванията за съответствие.

Най-простият начин за разбиране на всичко това е да се признае, че задачата на CISO е да гарантира, че позицията и политиката за сигурност на организацията са в съответствие с бизнес визията; осигуряват защитата и подкрепата, необходими за успешното й прилагане; и да предприеме усилия за смекчаване и възстановяване от нарушения на сигурността, неприкосновеност на личния живот или регулаторни норми или провали в политиката за сигурност, които понякога се появяват.

CISO Образователна подготовка

Всеки, който се стреми към работа на ниво С, трябва да получи минимум бакалавърска степен и има вероятност да спечели и една или повече магистърски степени. Повечето служители на ниво С комбинират дълбоко разбиране на общите принципи и практики на бизнеса, както и в каквато и област да бъдат специализирани. По този начин е много вероятно CISO да е спечелил MBA (магистър по бизнес администрация), както и по-специализирана магистърска степен по компютърни науки, ориентирана към сигурността или някаква свързана дисциплина.

Магистърските степени, включени под егидата на Националните центрове за академични постижения, сътрудничество между Министерството на вътрешната сигурност (DHS) и Националната агенция за сигурност (NSA), предназначено да насърчи развитието на квалифицирани специалисти по киберсигурност, предоставят добър набор от потенциал примери за такива програми.

ИТ сертификати

Съществуват много сертификати за сигурност на информацията, които вероятно ще бъдат както ценни, така и използвани за амбициозни CISO. Потърсете по-големи данни за сигурността на информационната сигурност (infosec), като например:

  • Сертифициран мениджър за информационна сигурност (CISM)
  • Специалист за нападателна сигурност (OSCP)
  • Сертифициран специалист по сигурността на информационните системи (CISSP)

В допълнение, силно препоръчваме амбициозните CISO да спечелят сертификатите ISACA в управлението на ИТ на предприятията (CGEIT). Това е така, защото този акредитив се фокусира върху разбирането и прилагането на индивидите от принципите и практиките на управление на ИТ в предприятието. Такъв фокус е съществен компонент за гарантиране, че предприятието е запознато и спазва всички приложими закони и разпоредби, по-специално що се отнася до сигурността на информацията.

Опит в работата

Изпълнителният свят на ниво С се фокусира върху бизнеса и някои други технически области. За CISO това е сигурността на информацията. Повечето амбициозни CISO излизат от ролята на операциите за информационна сигурност на предприятието, обикновено такава, която включва отпечатъци както като технически експерт или отделен сътрудник, така и от различни прогресивно отговорни мениджърски позиции (мениджър, директор, вицепрезидент и т.н.). Важното в този трудов опит е, че той показва дълбок и постоянен интерес и опит в областта на информационната сигурност в комбинация с реално разбиране за проектирането, прилагането, поддържането и прилагането на политиките за сигурност в бизнес контекст.

Важното при предишния опит в търсенето на звездите (или така или иначе на ниво С) е, че той е подходящ и практичен. Това означава, че ще искате да поставите известно време в една или повече позиции, където трябва да въведете или внедрите, и след това да формулирате политики за сигурност.

По същия начин е важно да имате известен опит със стратегии за реагиране на инциденти и отстраняване на сигурността след нарушение, пробив или някакъв друг вид „хакерска атака“. Работата чрез множество регулаторни и / или законови упражнения за спазване на закона, включително одити на сигурността, разследвания и дори правни действия също ще ви помогне да разберете детайлните детайли на тази част от работата.

Предвид нарастващия брой заплахи и експлоатации в днешния пейзаж на сигурността, важно е да се създаде отношение „не ако, а кога“към бъдещи инциденти със сигурността. Ако сте готови да се справите с подобни предизвикателства, е много по-вероятно да демонстрирате на висшето ръководство, че можете да вършите CISO работата с умения, елан и изпращане.

За всеки изпълнителен директор на ниво С, задължителните умения за устни и писмени комуникации са задължителни. Такива ръководители трябва да са удобни и умели да се обръщат към своите връстници, но също така да разговарят с голям брой служители, акционери или инвеститори или специалисти по сигурността (може би в контекста на фирмено изложение или някакво търговско събитие в бранша).

Като ръководители на висши нива, ръководителите на ниво С трябва да разберат нещата и потоците от хора и идеи в политическо измерение и да знаят как да убедят заинтересованите страни и колегите си ръководители да възприемат или разберат конкретни гледни точки или специфични техники за изпълнение, необходими за реализиране предприятия или архитектурни цели за сигурност.

Необходимо е обучение

Обучението да стане главен служител по сигурността на информацията включва подготовка за множество сертификати и натрупване на години на подходящ опит, да не говорим за подходящо образование. Някои от най-добрите места за получаване на инфосек знания включват SANS Institute, ISACA, (ISC) 2, Институтът Infosec и Съвета на ЕО.

Сред тези сайтове, фокусирани върху инфосек, ще намерите множество възможности за обучение за тези, които ги търсят, включително обучение, ръководено от инструктори, компютърни видеоклипове, книги, лаборатории и други материали, в допълнение към обучение на място, на място.

Точно както другите ИТ специалисти трябва да продължат образованието си, за да бъдат в крак с новите идеи и стратегии, CISO трябва да бъде в крак с технологичните тенденции и да се учи постоянно, за да изпревари кривата на технологиите.

CISO трябва непрекъснато да разделя вниманието си между текущото състояние на инфосек технологията в своето предприятие и нововъзникващите или водещи разработки в областта на инфосек. Това е деликатен балансиращ акт, тъй като поддържането на подходяща поза за сигурност все повече е необходимо за успех на бизнеса, но възприемането на нови платформи и технологии също остава жизнеспособен метод за поддържане или увеличаване на конкурентното предимство на организацията. Тази дихотомия неизбежно поставя опасения за сигурността на нови или неопитни инструменти или технологии срещу конкурентното предимство, което биха могли да предоставят. CISO е човекът, който в крайна сметка трябва да реши дали рисковете надвишават потенциалните награди или обратно.

Популярни по теми

Избор На Редактора

Най-добри работни места за интроверти

Странни истории за интервю за работа

Намирането на щастие по време на работа има различни фактори

Трябва ли да получите лазерен принтер или мастиленоструен принтер?

Как да получите достъпно образование в колеж

Как корпорацията IdInfo усъвършенства изкуството на разстройството

Как да решите дали имате нужда от помощ относно данъците си

Бизнес приложения за HoloLens 2

Трябва ли вашият бизнес да получи машина за цветно копиране или многофункционален принтер?

Присъединявайки се към други основни играчи, Google приключва принудителния арбитраж

Ръководство за купуване на принтер с широк формат

Автоматизацията на работното място е навсякъде и не става въпрос само за роботи

Предизвикателство за стартиране на жените се завръща този май

Борба с изгарянето чрез тези 4 стратегии

Как да създадем ефективен бизнес сайт