¿Qué es exactamente un trabajo de CISOs?

5

La empresa para la que trabajo (una especie de startup) no puede permitirse un director de seguridad de la información (CISO) a tiempo completo. Así que el jefe les está pidiendo a las personas conscientes del equipo de seguridad que trabajen juntas para hacer un trabajo de CISO. Y no creo que tengamos presupuesto para eso.

La cuestión es que todos tenemos antecedentes relacionados con la seguridad y sabemos algo, pero no sabemos por dónde empezar ni a dónde ir después de eso.

Sabemos que deberíamos:

  1. Documentemos los métodos y las mejores prácticas, establezca objetivos
  2. Evalúe las necesidades de nuestra organización y los riesgos
  3. Definir una política de seguridad
  4. Aplicar la política de seguridad
  5. Promover la conciencia de seguridad en toda la empresa
  6. Controle que la política se esté respetando
  7. Informe directamente al CEO (y no, tradicionalmente, al CIO)
  8. Adapte la política con crecimiento y negocio: vuelva al punto 2.

Lo que necesitamos son los pasos exactos, los contenidos, las cosas que debemos buscar y las cosas en las que quizás no pensemos. Básicamente, una guía completa para realizar un trabajo de CISO.

Hemos encontrado y leído varios recursos, a menudo complementarios, a veces contradictorios, pero nunca completos. Así que realmente no sabemos lo que nos estamos perdiendo. Y parece mucho trabajo, pero creemos que si el conocimiento se recopila correctamente y los métodos se definen, podremos tener éxito en esto, al mismo tiempo que nos mantenemos motivados y, sobre todo, haciéndolo bien. fuerte>

Tal vez sea mucho pedir, pero ¿puede alguien ayudarme con eso?

    
pregunta Math 09.06.2018 - 21:23
fuente

2 respuestas

5

Como alguien que ha supervisado una cantidad de CISOs compartidos y organizaciones vendidas sobre la necesidad de alguien en este rol, puedo decirle que el problema es que cada organización tiene diferentes necesidades y diferentes expectativas de un ciso. Algunos esperan soporte operativo, algunos requieren un experto en riesgos dedicado, otros solo quieren un representante de la Junta de la función de seguridad que actúe como traductor.

El objetivo principal de la organización es conocer los riesgos, administrar y monitorear los riesgos, y comunicar los riesgos a las organizaciones y a las partes interesadas. El CISO debe pensar en los riesgos que la organización no puede.

Además, el CISO debe ser capaz de liderar la función de seguridad, la función de riesgo y / o la función reguladora del negocio. Pero las expectativas aquí dependen de la organización.

Deloitte tiene su " Cuatro caras del CISO "que es una guía bastante buena para lo que debería ser un CISO.

  

Los CISO siguen cumpliendo las funciones vitales de la gestión de la seguridad   Tecnologías ( tecnólogo ) y protección de activos empresariales   ( tutor ). Al mismo tiempo, cada vez se espera que se centren   más información sobre cómo establecer una estrategia de seguridad ( estratega ) y asesorar a las empresas   líderes sobre la importancia de la seguridad ( asesor ).

Por lo tanto, no hay una lista establecida de "cosas que hacer" para un CISO. Hay una larga lista de cosas que deben hacerse, pero no necesita un CISO para hacerlo. Para eso, tome un marco (ISO 27001, NIST CSF, Cyber Essentials, etc.) y comience el trabajo. Su lista en su pregunta es un pequeño conjunto de cosas para abordar, pero una buena lista.

    
respondido por el schroeder 09.06.2018 - 21:46
fuente
2

El requisito de nivel básico de CISO variaría de organización a organización, pero seguir una guía de alto nivel sobre el alcance.

El alcance del CISO es proporcionar visión y liderazgo para desarrollar y apoyar iniciativas de seguridad. El CISO rige la planificación y la implementación del sistema de TI empresarial, la operación comercial y los mecanismos de defensa contra ataques de seguridad, violaciones y problemas de vulnerabilidad. Este CISO también es responsable de auditar los sistemas existentes, mientras dirige la administración de políticas, actividades y estándares de seguridad. El CISO también es responsable de la implementación de los estándares de seguridad, sistemas de cumplimiento, auditorías, etc. requeridos.

El alcance del trabajo de CISO se puede definir debajo de los dominios principales:

Planificación y gestión de la estrategia de seguridad: Ej .: Dirigir la planificación de la seguridad estratégica para lograr los objetivos comerciales al priorizar las iniciativas de defensa y coordinar la evaluación, implementación y administración de las tecnologías de seguridad actuales y futuras utilizando una metodología de evaluación basada en el riesgo.

Planificación y despliegue de seguridad: Por ejemplo: identifique las necesidades de seguridad de la organización y planifique el despliegue de los mecanismos de seguridad, estándares, prácticas operativas, etc. requeridos.

Operaciones de seguridad: Por ejemplo: administre la administración de todos los sistemas de seguridad informática y su software correspondiente o asociado, incluidos los cortafuegos, los sistemas de detección de intrusos, los sistemas de criptografía y el software antivirus.

Informes de gestión: Ej .: Actuar como el punto de origen de los informes de gestión en términos de informes de seguridad, tableros, registro de riesgos, etc.

    
respondido por el Sayan 11.06.2018 - 03:43
fuente

Lea otras preguntas en las etiquetas