La empresa para la que trabajo (una especie de startup) no puede permitirse un director de seguridad de la información (CISO) a tiempo completo. Así que el jefe les está pidiendo a las personas conscientes del equipo de seguridad que trabajen juntas para hacer un trabajo de CISO. Y no creo que tengamos presupuesto para eso.
La cuestión es que todos tenemos antecedentes relacionados con la seguridad y sabemos algo, pero no sabemos por dónde empezar ni a dónde ir después de eso.
Sabemos que deberíamos:
- Documentemos los métodos y las mejores prácticas, establezca objetivos
- Evalúe las necesidades de nuestra organización y los riesgos
- Definir una política de seguridad
- Aplicar la política de seguridad
- Promover la conciencia de seguridad en toda la empresa
- Controle que la política se esté respetando
- Informe directamente al CEO (y no, tradicionalmente, al CIO)
- Adapte la política con crecimiento y negocio: vuelva al punto 2.
Lo que necesitamos son los pasos exactos, los contenidos, las cosas que debemos buscar y las cosas en las que quizás no pensemos. Básicamente, una guía completa para realizar un trabajo de CISO.
Hemos encontrado y leído varios recursos, a menudo complementarios, a veces contradictorios, pero nunca completos. Así que realmente no sabemos lo que nos estamos perdiendo. Y parece mucho trabajo, pero creemos que si el conocimiento se recopila correctamente y los métodos se definen, podremos tener éxito en esto, al mismo tiempo que nos mantenemos motivados y, sobre todo, haciéndolo bien. fuerte>
Tal vez sea mucho pedir, pero ¿puede alguien ayudarme con eso?