CISO上任后首个100天的行动指南

GartnerIT领导者 CISO上任首个 100天的行动指南 分析师：WilliamCandrick、SamOlyaei、TomScholtz CISO上任首个100天的行动指南 发布日期：2021年5月24日-IDG00747118-阅读全文约需20分钟分析师：WilliamCandrick、SamOlyaei、TomScholtz 项目：安全与风险管理领导者 担任首席信息安全官（或同等职务）的前100天，将决定你是否可以作为安全与风险管理领导者取得成功。为此，Gartner将通过本研究提供相关的指导和支持，帮助新任CISO在这个关键的过渡阶段取得最大的成功。 概述 主要发现 ■成功的首席信息安全官（CISO）是领导者、管理者和沟通者，而不是技术人员。 ■CISO的成功取决于是否能够实现以下两个重要成就：（1）建立个人信誉和领导力品牌，以及（2）为防御安全项目奠定基础。 ■如果新任CISO不能理解领导层的期望或不能有效传达安全项目如何支持业务成果时，他们就会陷入困境。 建议 任期内的首个100天，CISO应该： ■将你的领导要务与业务成果及目标联系起来，加强网络安全项目与业务项目的关系。 ■在深入研究技术细节和进行技术决策之前，先制定一个安全战略。 ■确定你可以在CISO任期内前100天完成两到五个优先事项，这将最大限度地提高你的成功机会。 ■在不可预测的安全事件发生之前，为其留出更多处理时间，避免延误战略项目。 ■分享战略愿景，展示员工融入该愿景的方式并避免公开批评前任CISO，从而赢得安全团队的支持。 导语 在担任CISO的前100天，你将有机会确定自己的角色和职业关系。你可以在这段短暂的“蜜月期”内制定战略、与其他高管建立关系、获得领导层的支持、与新团队建立信任以及展现你的领导风格。如果这时贵企业需要对网络风险治理开展重大改革，或者需要大幅提高安全项目的成熟度，那么这个机会就显得尤为宝贵。 本研究将主要探讨杰出的CISO充分利用这100天的具体方法。另外，我们将这100天分成了六个阶段，它们分别是：准备阶段、评估阶段、规划阶段、行动阶段、衡量阶段和沟通阶段 （图1）。 图1：CISO上任后首个100天的路线图 CISO上任后首个100天的路线图 沟通 来源：Gartner747118_C 在上任前，对你的角色进行规划 证明安全部门取得 的进展 5.衡量 （第11-14周） 采取行动，大幅提高成熟度 为首个100天制定路线图 了解安全部门的当前成熟度 4.行动 （第5-12周） 3.规划 （第3-6周） 2.评估 （第1-4周） 1.准备 （上任前） 在整个任期内让利益相关者参与进来 阶段 目标 准备 在上任前，对你的角色进行规划。 评估 了解安全部门的当前成熟度。 规划 为首个100天制定路线图。 行动 采取行动，大幅提高成熟度。 衡量 证明安全部门取得的进展。 首个100天计划 简而言之，成功的前100天计划安排应该： ■建立你作为CISO的信誉，提升安全部门在企业中的内部品牌和形象。 ■确定安全部门当前的成熟度（见安全与风险管理ITScore评价模型）。 ■重点关注各战略项目下的细分项目，细分项目应通过合理的方法（如成熟度评估、风险评估等方法）选择并确定优先等级。 ■缩短卓越安全运营和业务价值（如高管的优先事项）之间的差距。 ■确定现实、可衡量、有时限的目标，并设定衡量标准来跟踪这些目标的进展。下面，本研究将为实现这些目标提供易于操作的指导。 准备阶段（上任前） 在上任前，为你的新角色做好准备，制定好初步规划，从而为成功的开始奠定基础，并为你的 CISO任期建立需要的职业关系。准备阶段需要实现的目标成果 在准备阶段，你要以实现下列成果为目标： ■大致了解你的角色和你的员工、高层利益相关者和领导团队的期望。 ■制定基本的会面计划，去认识领导层利益相关者和安全工作人员。 这个阶段的重点是倾听和学习，而不是做决定。在你担任CISO的前几周，你应该避免做出大范围的声明或决定。 准备阶段需要采取的行动 在上任之前，你要采取以下行动： 评估贵企业需要的CISO类型：在文化、行业、政治挑战和其他因素的影响下，不同的企业对CISO有不同的要求。有些企业需要运营型CISO，有些企业则需要业务型CISO。为此，Gartner建议安全与风险管理领导者查阅“CISO有效性指数”，并根据企业的需求来确定CISO类型。 了解贵企业的组织结构：获取组织结构图和运营文件（如流程图），了解安全部门、IT部门和整个企业的结构，从而了解安全部门在企业中目前的管理和运营角色。 确定关键利益相关者：创建一个你将与之合作的领导层利益相关者名单。这份名单可包括（但不限于）首席执行官（CEO）、首席财务官（CFO）、首席信息官（CIO）、法律总顾问、人力资源（HR）主管、首席隐私官（CPO）和首席风险官（CRO）。 建立新的联系：最好是在你上任前，与领导层的利益相关者和安全人员接触，如发送面试后的感谢信和关注他们的LinkedIn账号（带有个性化备注）。 安排首次会议：与行政助理（或企业内部友好联系的人）合作，安排你的首轮会议：计划在第一天召开安全团队全体成员会议，并在第一周与整个企业的关键利益相关者开展一系列会见和会谈。最初几周是一个在企业内进行自我介绍和建立良好形象的好机会。 准备阶段需要开展的沟通 上任前，你的重点应该是了解企业的情况，准备与利益相关者和团队的沟通信息。可以说，最初几周的成功取决于有效的沟通，而不是决策。 上任前，以及上任后的最初几周，你应该关注以下内容： 了解其他高管的优先事项：杰出的CISO明白，他们是企业高管，而不仅仅是运营经理或技术专家。因此，要充分发挥你作为CISO的潜力，你需要了解企业业务以及高管和董事会最关心的优先事项。所以在上任前，请参考以下信息来源： ■从企业官网“关于我们”页面上了解公司的使命宣言。 ■阅读最近的公开财务报告（例如，美国上市公司的季报或年报），了解领导层的优先事项和关注点。 ■阅读并观看领导层最近的报道和访谈（并可以关注领导层的社交媒体账户）。 ■确定高管内部的竞争要点，并做好准备带领安全部门应对这些复杂的领导层关系。 自我介绍：准备简短版的简历，涵盖你的个人背景、工作经验以及你对加入该企业的一些想法。然后在介绍和会面时使用这一简历，让所有人都能了解你是谁，来自哪里。但要注意，你在这个过程中，应避免宣布大胆且具有破坏性的决定。相反，你的首要目标应该是赢得同事和团队成员的欢迎。 讲故事：讲故事是改变人们观点、获得认同的一个有效方法。例如，新任CISO可以讲一个故事，说明安全部门如何帮助企业快速、安全地发展，而不会为了最大限度地降低风险而拖慢工作进展。另外，你还可以从过去的经验或新闻事件中举例，帮助利益相关者了解安全部门及其领导CISO，是一种资源而不是障碍。 创建讨论指南：在第一轮见面会之前，准备好相关的问题和谈话要点。例如，你可以考虑使用以下内容： ■与利益相关者的讨论：对于这类会议，你的重点应该放在利益相关者对安全部门和CISO角色的看法上。在最初的100天里收集这些信息将有助于你计划要在未来几个月里实现的变化，包括改变领导层的观点和（重新）定义CISO的角色。可以提问的问题包括： ■你最紧迫的业务是什么？ ■你目前对安全部门的看法是什么？ ■你在与安全部门合作时的最大痛点是什么？ ■你与安全部门的合作进展顺利吗？ ■与团队成员的讨论：你可以准备一些问题，从而了解（1）安全治理和运营工作的现状，以及（2）团队成员对团队和工作环境的看法。可以提问的问题包括： ■你的大部分工作时间都在做什么？ ■怎样才能使你的工作更容易完成？ ■对你最有挑战性的事情是什么？ ■我怎样才能更好地支持你和你的团队？ ■你认为安全部门的首要优先事项应该是什么？ ■你认为企业的首要目标是什么？ 准备阶段需要使用的资源 你可以从阅读以下Gartner资源开始。 Gartner研究与工具 《CISO有效性路线图》——根据杰出CISO所提供的经过验证的最佳实践来定制你的领导方法。 《培养当代CISO技能》——确定和培养技能，发展成为一位全面、有能力的CISO。 《CISO有效性：影响CISO有效性的行为和思维方式报告》——确定与CISO有效性最密切相关的行为和思维方式。 评估阶段（第1-4周） 评估安全项目当前的成熟度和表现。高质量的安全评估会展现出安全项目的差距，为战略规划提供信息。因此，成功的CISO应该依靠客观评估，而不是直觉，做出合理、可重复且经过验证的安全决策。 评估阶段需要实现的目标成果 评估阶段，你要以实现下列成果为目标： ■找到一位帮助你深入了解企业文化的高管导师。 ■了解你的可用资源，包括资金、人员和技术。 ■开展正式的成熟度评估、团队对话和利益相关者互动，找出一系列安全差距。 ■确定三到五个战略优先事项，解决安全差距问题并与业务成果保持一致。 评估阶段需要采取的行动 在任职的第一个月，你要采取以下行动： 寻找一位高管导师：在这个阶段，你最珍贵的一份资产就是一位高级别的导师。这位导师需要深入了解企业高级管理人员的内部运作，但可以不必了解安全领域的相关知识。因为如果他/她对安全领域所知不多，那么他/她就能切实客观地评估你的提案和领导能否被接受，也就能更好地服务于你。 确定安全部门的角色和责任：你担任CISO的首要任务就是说明和确定安全部门的角色和责任。为此，你需要与你的经理进行讨论，全面了解安全部门以及你的角色。你可以考虑阐明在以下领域的角色和责任： ■物理安全 ■业务连续性和灾难恢复（BC/DR） ■隐私 ■合规 ■IT风险 ■风险治理 ■安全运营 对于安全职权范围以外的领域，你需要与其他高管和领导者（例如，企业风险管理主管、首席隐私官、法律总顾问）建立工作关系。 清点你的信息来源：迅速清点你管理的安全部门所需的信息来源。例如，找到任何现有的政策、组织结构图、战略计划、当前项目、技术路线图和指标。然后，你可以使用这些信息来说明你对安全部门的现状和近期计划的理解。 开展成熟度评估：为安全部门的工作人员创造一个安全的环境，让他们坦诚地评估本部门的成熟度。这些评估会展现出差距，为前瞻性的战略制定提供信息，且不会“秋后算账”。作为新任CISO，你至少应该开展以下核心评估，如果可能的话，还可以考虑增加其他评估。 首个100天应该开展的核心评估： ■职能部门成熟度评估：评估安全部门的能力和流程成熟度。为此，你可以使用Gartner安全与风险管理ITScore评价模型。 ■控制措施成熟度评估：评估安全控制措施的成熟度。为此，你可以使用Gartner控制措施成熟度基准服务。 ■风险评估：评估与整个企业的应用程序和基础设施相关的信息风险。风险评估应优先考虑风险最高的领域，在任何现有风险登记册中收集到的信息都有可能帮助你评估贵企业的风险状况。 其他评估： ■审计结果 ■漏洞评估 ■威胁评估 ■人才评估 ■监管结果 ■渗透测试 ■网络钓鱼测试 确定你的首要战略要务：评估后将揭示安全项目中存在的差距。因此，你可以利用这些差距来确定能够在最初的100天里解决的三到五个战略要务。这些要务应解决基本的挑战，并给安全团队和高级领导层留下积极印象。 这些要务可以包括： ■使安全项目成功所需的基本要求 ■与业务成果建立明确的联系 ■为长期的成熟度改进工作奠定基础 ■建立你作为高效CISO和公司管理者的可信度 评估阶段需要开展的沟通 评估安全部门的现状非常具有挑战性。例如，一些安全部门工作人员可能会把差距降到最低，因为他们处于戒备状态，或者喜欢以最好的方式呈现事情。还有一些安全部门工作人员可能会夸大差距，以便为他们所谓的重要任务获得投资和支持。但你要记住，这些都是人们的正常倾向行为，可以通过创造一个开放、安全和透明的沟通环境来防止其发