Logo bg.businessdailytoday.com

Какво е CISO и как да станем такъв

Съдържание:

Какво е CISO и как да станем такъв
Какво е CISO и как да станем такъв

Видео: Какво е CISO и как да станем такъв

Видео: Какво е CISO и как да станем такъв
Видео: 14 съвета да се справите с раздялата 2023, Декември
Anonim

Броят и видът "ръководители на ниво С", както хората, които докладват на главния изпълнителен директор (главен изпълнителен директор) в големите корпорации, се наричат като група, изглежда нараства късно. Главен служител по сигурността на информацията или CISO е изпълнителен директор на ниво С, който е отговорен за сигурността на информацията за цял бизнес или организация.

Разбиране на ролята на CISO

Има повече за пълнене на обувките на CISO, отколкото просто притежаване на дълбоко разбиране на информационната сигурност. В изпълнителния пакет изпълнението на тези задачи на ниво С означава свързване на специфични аспекти на бизнеса или технологията с цялостната визия, която ръководи и задвижва всяка добре управлявана организация. Това означава, че CISO трябва също да разбере всеобхватната визия и стратегия на предприятието за организацията и след това да предприеме всички необходими стъпки, за да се увери, че нейните информационни активи и технологии са защитени правилно.

По този начин работата на CISO обхваща множество жизненоважни области на знанието, които той или тя трябва да виждат в предприятието. Те включват следните елементи:

  • Оценка на риска, смекчаване и избягване - Това означава да се извърши задълбочено проучване и инвентаризация на информационните активи, интелектуалната собственост и други цифрови ценности, да се разберат заплахите, пред които са изправени, и да се решат какви стъпки да се защитят от тези щети, загуба или вреда, В крайна сметка това се вписва и в политиката за сигурност на предприятието, която определя какви нива на защита и реакция трябва да бъдат свързани с информационните активи и дигиталните фондове.
  • Спазване на правните и регулаторни норми - Това включва разбиране как информационните активи и дигиталните фондове на предприятието попадат в обхвата на приложимите закони и разпоредби и отговарят на съответните изисквания, като оценки, одити, докладване, поверителност, конфиденциалност и други. Това също означава да бъдете готови и способни да поемете тежестта от нарушаване на сигурността и да оцените и да се справите с всякакви потенциални правни, бизнес и финансови последици от нарушението.
  • Архитектура на предприятията и сигурността - Като формална дисциплина в рамките на информационните технологии, архитектурата се стреми да гарантира, че придобиването и използването на технологии позволява и засилва способността на организацията да постига бизнес цели, да постига цели и резултати и да остане конкурентоспособна на избрания от тях пазар (и). Корпоративната архитектура приема това мнение от гледна точка на цялата инфраструктура, докато архитектурата на сигурността го прави от по-тесен фокус върху инструментите и технологиите, необходими за осигуряване на видовете и нивата на защита, които диктуват оценките на риска и изискванията за съответствие.

Най-простият начин за разбиране на всичко това е да се признае, че задачата на CISO е да гарантира, че позицията и политиката за сигурност на организацията са в съответствие с бизнес визията; осигуряват защитата и подкрепата, необходими за успешното й прилагане; и да предприеме усилия за смекчаване и възстановяване от нарушения на сигурността, неприкосновеност на личния живот или регулаторни норми или провали в политиката за сигурност, които понякога се появяват.

CISO Образователна подготовка

Всеки, който се стреми към работа на ниво С, трябва да получи минимум бакалавърска степен и има вероятност да спечели и една или повече магистърски степени. Повечето служители на ниво С комбинират дълбоко разбиране на общите принципи и практики на бизнеса, както и в каквато и област да бъдат специализирани. По този начин е много вероятно CISO да е спечелил MBA (магистър по бизнес администрация), както и по-специализирана магистърска степен по компютърни науки, ориентирана към сигурността или някаква свързана дисциплина.

Магистърските степени, включени под егидата на Националните центрове за академични постижения, сътрудничество между Министерството на вътрешната сигурност (DHS) и Националната агенция за сигурност (NSA), предназначено да насърчи развитието на квалифицирани специалисти по киберсигурност, предоставят добър набор от потенциал примери за такива програми.

ИТ сертификати

Съществуват много сертификати за сигурност на информацията, които вероятно ще бъдат както ценни, така и използвани за амбициозни CISO. Потърсете по-големи данни за сигурността на информационната сигурност (infosec), като например:

  • Сертифициран мениджър за информационна сигурност (CISM)
  • Специалист за нападателна сигурност (OSCP)
  • Сертифициран специалист по сигурността на информационните системи (CISSP)

В допълнение, силно препоръчваме амбициозните CISO да спечелят сертификатите ISACA в управлението на ИТ на предприятията (CGEIT). Това е така, защото този акредитив се фокусира върху разбирането и прилагането на индивидите от принципите и практиките на управление на ИТ в предприятието. Такъв фокус е съществен компонент за гарантиране, че предприятието е запознато и спазва всички приложими закони и разпоредби, по-специално що се отнася до сигурността на информацията.

Опит в работата

Изпълнителният свят на ниво С се фокусира върху бизнеса и някои други технически области. За CISO това е сигурността на информацията. Повечето амбициозни CISO излизат от ролята на операциите за информационна сигурност на предприятието, обикновено такава, която включва отпечатъци както като технически експерт или отделен сътрудник, така и от различни прогресивно отговорни мениджърски позиции (мениджър, директор, вицепрезидент и т.н.). Важното в този трудов опит е, че той показва дълбок и постоянен интерес и опит в областта на информационната сигурност в комбинация с реално разбиране за проектирането, прилагането, поддържането и прилагането на политиките за сигурност в бизнес контекст.

Важното при предишния опит в търсенето на звездите (или така или иначе на ниво С) е, че той е подходящ и практичен. Това означава, че ще искате да поставите известно време в една или повече позиции, където трябва да въведете или внедрите, и след това да формулирате политики за сигурност.

По същия начин е важно да имате известен опит със стратегии за реагиране на инциденти и отстраняване на сигурността след нарушение, пробив или някакъв друг вид „хакерска атака“. Работата чрез множество регулаторни и / или законови упражнения за спазване на закона, включително одити на сигурността, разследвания и дори правни действия също ще ви помогне да разберете детайлните детайли на тази част от работата.

Предвид нарастващия брой заплахи и експлоатации в днешния пейзаж на сигурността, важно е да се създаде отношение „не ако, а кога“към бъдещи инциденти със сигурността. Ако сте готови да се справите с подобни предизвикателства, е много по-вероятно да демонстрирате на висшето ръководство, че можете да вършите CISO работата с умения, елан и изпращане.

За всеки изпълнителен директор на ниво С, задължителните умения за устни и писмени комуникации са задължителни. Такива ръководители трябва да са удобни и умели да се обръщат към своите връстници, но също така да разговарят с голям брой служители, акционери или инвеститори или специалисти по сигурността (може би в контекста на фирмено изложение или някакво търговско събитие в бранша).

Като ръководители на висши нива, ръководителите на ниво С трябва да разберат нещата и потоците от хора и идеи в политическо измерение и да знаят как да убедят заинтересованите страни и колегите си ръководители да възприемат или разберат конкретни гледни точки или специфични техники за изпълнение, необходими за реализиране предприятия или архитектурни цели за сигурност.

Необходимо е обучение

Обучението да стане главен служител по сигурността на информацията включва подготовка за множество сертификати и натрупване на години на подходящ опит, да не говорим за подходящо образование. Някои от най-добрите места за получаване на инфосек знания включват SANS Institute, ISACA, (ISC) 2, Институтът Infosec и Съвета на ЕО.

Сред тези сайтове, фокусирани върху инфосек, ще намерите множество възможности за обучение за тези, които ги търсят, включително обучение, ръководено от инструктори, компютърни видеоклипове, книги, лаборатории и други материали, в допълнение към обучение на място, на място.

Точно както другите ИТ специалисти трябва да продължат образованието си, за да бъдат в крак с новите идеи и стратегии, CISO трябва да бъде в крак с технологичните тенденции и да се учи постоянно, за да изпревари кривата на технологиите.

CISO трябва непрекъснато да разделя вниманието си между текущото състояние на инфосек технологията в своето предприятие и нововъзникващите или водещи разработки в областта на инфосек. Това е деликатен балансиращ акт, тъй като поддържането на подходяща поза за сигурност все повече е необходимо за успех на бизнеса, но възприемането на нови платформи и технологии също остава жизнеспособен метод за поддържане или увеличаване на конкурентното предимство на организацията. Тази дихотомия неизбежно поставя опасения за сигурността на нови или неопитни инструменти или технологии срещу конкурентното предимство, което биха могли да предоставят. CISO е човекът, който в крайна сметка трябва да реши дали рисковете надвишават потенциалните награди или обратно.

Препоръчано:

Как да станем сертифицирани за справедлива търговия

Как да станем сертифицирани за справедлива търговия

Става сертифициран сигнал за клиенти и служители, че вашата марка е ангажирана с устойчивостта и справедливите бизнес практики

Кариерен треньор: Кога и защо трябва да наемете такъв

Кариерен треньор: Кога и защо трябва да наемете такъв

Ето всичко, което трябва да знаете за кариерните треньори и кога трябва да наемете такъв

Филтри за поверителност на лаптопа: какво да търсите и защо имате нужда от такъв

Филтри за поверителност на лаптопа: какво да търсите и защо имате нужда от такъв

Филтрите за поверителност на лаптопа могат да пазят поверителните данни на фирмата в безопасност от блуждаещи очи. Ето какво трябва да знаете, преди да купите

Няма промоция? Въпроси, които трябва да зададете, за да си вземете такъв

Няма промоция? Въпроси, които трябва да зададете, за да си вземете такъв

Макар че може да си мислят, че правят всичко необходимо, за да получат повишение, много служители все още се прехвърлят

Какво представлява балансът и защо ми трябва такъв?

Какво представлява балансът и защо ми трябва такъв?

Това е инструмент за търсене на вашия бизнес, за да очертаете какво наистина си струва

Избор На Редактора

Lenovo ThinkPad L460: Добре ли е за бизнеса?

4 Стартъпи, които променят разговора за здравето на жените

По-интелигентни места за сядане? Как вашият съседен офис влияе върху работата ви

Родителските стилове имат дългосрочно влияние върху успеха в кариерата

Humblebragging? Не се страхувайте да споделите вашите успехи

„Семейна отстъпка“? Кога и как да кажете "Не" на заявки за халати

Готови ли сте да продължите? Как да кажете, че е време да прекратите работата си

Най-добрият софтуер за фактуриране и фактуриране за фрилансери: Нашите най-добри снимки

8 добри причини да напуснете ужасната си работа

Колко здрави са вашите служители?

Вашите служители вероятно не разбират вашата култура на компанията

Преглед на Dell Inspiron 17 7000 2 в 1: Добре ли е за бизнеса?

Държавата на малкия бизнес: Индиана

Излязохме далеч от сделка с танк за акули и бизнесът ни расте

Защо служителите оценяват оценката над бонусите