CISO 新手指南(CISO Stressbusters)：新任CISO上任半年步上正軌的四個技巧

在您擔任新任 CISO 的六個月內，通常會需要建立資安計劃。這工作對我們部份的人來說是最令人興奮的階段，但同時也伴隨著壓力。其中可能的原因是因為需在期限內完成工作，並且在您習慣公司的文化之前很難做出實質的改變。

擔任 Mainstay Technologies CISO 期間，我負責管理處理客戶資安的團隊。在過程中，我學到了很多，例如：如何讓資安計劃在不同的組織，規模和產業中都持續進行。本篇學習內容將精簡成四大技巧，讓這些技巧同樣也能應用於您的組織。

技巧一：您的團隊動力是什麼？

要達到有效的資安計劃需要組織內所有人的參與。了解組織決策的動力可以幫助制定具有成長性的永續計劃別並且能更快的融入公司文化。與組織的各個層級、部門的團隊成員訪談，了解推動公司發展的共同價值觀。找出組織的協作、決策方式以及公司的風險承受能力。

技巧二：您知道所有數據在哪嗎？如何確定？

執行一項新計畫前，要先了解組織目前狀態和想要達到的目標之間有多少的差距。要達到目標可能需要降低實質風險、符合規定，也有可能兩者都要兼顧。

首先，從找出須遵守的資安隱私法開始，例如：加州隱私權保護法或馬薩諸塞州 201 CMR 17 ，以及您必須遵守的法規、義務，例如： DFARS NIST 800-171 或 CMMC 。或是直接遵循一套公定標準，例如：在 NIST 網絡安全框架。首要任務是去辨別這些是哪一類的數據，是機密數據嗎？受控管的非機密數據？病患數據？個人數據等？分類後，先確定資料的流通方式和位置，再建立防護網來保護資料。

應先完成風險評估，其中包括要遵循的法規，同時找出內、外部威脅與漏洞（不管是針對技術或組織）並詳細分析。這些資訊可以幫助風險評估：風險等於可能發生機率乘上影響。(Risk equals probability multiplied by impact.)

當 Mainstay 與新客戶接觸時，會先與利害關係人溝通，了解他們如何保管數據再進行驗證。評估完成後，採取降低風險和補救策略的方案，這些方案可以弭平技術、行政、或實際上的差距。如果手邊沒有書面資安法規或系統化的資安計畫，評估後的資料就可作為制定補救策略時的書面參考資料。如果不確定在同一棟大樓中是否會有外人可以進入到您的網際網路，則應該建立一套系統控管您的網路以及實體資源。我們經常會發現資料控管沒有想像中那麼安全，因此在做評估時，必須確保評估可信但要記得驗證。(approach is trust but verify.)

Microsoft Advanced Threat Protection （ATP） 軟體可以完美示範如何幫助公司辨識和控管網路環境中的威脅和漏洞。

技巧三：留意差距

進行全面性的風險評估可以提供數據幫助建構資安系統，找到與目標之間的差距，建立有計劃的措施具有來達到里程碑。讓每一次的資安都更上一層樓，並且持續監控、設定資安系統在六個月以及兩年之間能達到什麼程度，同時，與利害關係人方向一致能幫助創造出更多動力。選擇先著手於您可以快速解決並且馬上就能降低風險的那些問題。

技巧四：所有事情先從「為什麼」開始

當需要建立新的安全性規範和訓練時，事先了解公司文化能帶給您極大的幫助。想要達到為組織帶來全新的改變的這個目標，需要公司全體的支持和參與。

向高層和主管傳達風險管理的概念，讓他們知道新的改變將如何提高投資報酬率。建立一個跨領域的團隊負責向高層報告所做過的風險管理。定期回報、培訓，確保過程順利進行。平均分配責任能降低您和團隊的壓力，同時幫助於您建立資安文化，達到雙贏的局面！

展望未來

擔任 CISO 的工作壓力很大，不要獨挑大梁，找尋組織中有共同價值觀，且能幫助您達到目標者一起合作。與其他公司的 CISO 建立關係，互相交流想法和分享建議。敬請期待下一篇 CISO 新手指南，我們將會帶來更多不同公司 CISO 和資安專業人員的更多建議。

這些資訊對您來說有用嗎？您會怎麼建議其他 CISO 如何克服困難？什麼建議對您有幫助？如果您有興趣接受我們的訪問，討論有關於首席安全長的深入內容和上任難題，請在 LinkedIn 上與 Diana Kelley 聯繫。

將資安部落格添加至書籤關注資安方面專業報導。除此之外，想獲得有關網絡安全的最新新聞和更新都可以透過 @MSFTSecurity 關注我們。

延伸資料：CISO series、網路安全、數據隱私權、Microsoft Defender Advanced Threat Protection