這篇"How to achieve CISO success in the first year: essential strategies"是由Brian DePersiis所寫、2025年8月22日在EY網站刊出。本篇為最後一個行動事項及彙整後的五個建議。
五、溝通你的願景與議程
身為資安長,對網路安全計畫定義明確的願景,對於建立組織內的可信度、方向很重要。重要的是,讓願景和組織整體營運目標一致,強調網路安全在創新、產品發展、保護資產、促進遵循並培育客戶信任上的重要性。這或許也包括,從一開始就在現有流程與計畫內納入關鍵的安全控制,在設計時就培養信任,而非認為安全是事後的。此願景應該兼具企圖心和可行性,提供網路安全未來的路徑圖。精心計畫的變革,會發出強烈的訊號,同時指出預期變動之處,以及確認你的行動不會太激進。
在定義願景後,有效溝通議程,對於讓所有層級的利害關係人接納很重要。不要讓預算限制你提出需求。
資安長應該發展策略溝通計畫,說明關鍵措施、優先事項及時間表,包括網路營運模式路徑圖。此計畫應該針對不同聽眾量身訂做,包括經營團隊、董事會和員工。確認每群人都瞭解他們在支持網路安全策略執行上的角色。定期更新、報告及教育會議,可協助讓利害關係人資訊充足及投入。藉由培養一個開放的對話和鼓勵回饋意見,資安長可創造對網路安全合作、共同承擔的文化,最終強化組織韌性而對抗新威脅。
資安長確認清單
一、審視組織目前的整體安全局勢
*評估政策、程序、技術及事件回應計畫,並確認長處與落差。
*考慮第三方評估,判斷網路功能之成熟度而協助需投資的優先領域。
*與長字輩主管、業務單位主管及網路團隊進行傾聽之旅,蒐集問題和近期可做事項。
*深度探討政策例外狀況—風險背後有什麼?
*瞭解當前技術工具涵蓋範圍,並尋求可能存在重疊與差距的合理化機會。
*審視今日投入預算之處—像承包商、許可證等。
*發展策略路徑圖,以說明改善和達成所追求的網路功能未來狀態。
二、建立受利害關係人信任的關係
*盡快展現你對業務之掌握:價值推手、績效、策略和優先事項。
*與各長字輩的業務單位、部門主管會面,瞭解他們對網路安全的坦誠見解。
*與負責網路安全監督的委員會召集人,建立一個受信任的關係,並利用此關係來指引—如何最能與整個董事會互動。
*比對你的網路優先事項和其他高階經理人的議題,以確認支持者和阻礙者。
三、強化文化和意識
*在整個三道防線上發展與落實量身訂做的訓練計畫,處理組織內不同職位在管理及減緩網路風險上的特殊需求。
*透過各式管道,包括時事通訊、全員大會以及內部溝通,持續溝通網路安全重要性。
*培育一個開放的文化,其中討論網路安全是受到鼓勵的,而員工對討論安全問題可以感覺安心。
*落實一個讓員工可直接報告可疑活動或潛在威脅的流程;確保員工瞭解,報告不會有後續影響。
*認可及獎勵可展現安全實務範例的個人或團隊。
*將網路安全納入組織核心價值與任務,確認所有員工都瞭解網路安全是共同的責任,不只是IT或安全團隊的事。
四、提升網路部門的角色與績效
*瞭解網路運作模式及基準比較之成熟度與能力。設定目標與計畫,提升你的網路部門。
*在就任前90天內,與所有關鍵網路領導人、團隊的關鍵網路主管會面,並評估你的領導團隊是否準備好執行你的願景、你所定義的改變。
*詢問在董事會報告工具裡資訊的有用性,並判斷是否需要改變。
*審視稽核與內控發現,瞭解流程與績效上的落差。
*確保你與團隊會運用產業團體、同業網路、外部課程/訓練以及網路會議/論壇,瞭解最新產業趨勢。
*考慮AI與機器學習對於管理、達成部門任務的影響。
*接觸監理機關,發展一個技術導向的流程,以瞭解監理、產業標準上的變化。
五、溝通你的願景與議程
*公布你的願景及承諾;與組織分享並推動信心。
*採取具體行動,展現短期效益及實現長期的組織安全。
*具體化你所評估的目標,以及你如何衡量成功。
*瞭解你的盲點、制定計畫發展專業知識,並再花時間走出你的舒適圈。
*定義你的長期職涯目標,並制定你的個人發展計畫,這可能會包含你個人在該公司以外擔任資安長的目標。
*善用內外部領導發展機會,持續提升你的技能組合;致力於持續學習並維持知識上的好奇心。
*尋找導師、產業專家及公司內外部領導人,還有加入資安長網路。
沒有留言:
張貼留言