RSA KONFERANSI – San Francisco – Üç güçlü CISO, görevlerindeki ilk 90 gün hakkında konuştular ve amacın yönetim kurulunun katılımını sağlamak mı yoksa sıradan bir güvenilirlik oluşturmak mı olduğunu anlattılar. en önemli şey iletişimdi.
bu RSAC paneli Reddit’in CISO’su ve Güvenden Sorumlu Başkan Yardımcısı Allison Miller; Amplitude’ün CISO’su ve BT Başkan Yardımcısı Olivia Rose; ve Robin Hood’un CISO’su Caleb Sima. Tartışmayı Rain Capital risk sermayesi fonunun kurucusu Chenxi Wang yönetti.
Pratik olarak Sima, Robin Hood’la geçirdiği ilk birkaç gün boyunca “en önemli zorluklar” ve “beni korkutan şeyler” olarak etiketlediği basit veri noktalarını nasıl topladığını açıklayarak başladı.
Ancak Rose, birçok durumda bu tür açık sözlü ifadelerin, kritik mühendislik ve BT ekiplerini rahatsız edip yabancılaştırabileceğini ve bunun da bir CISO’nun işini çok daha zor hale getirebileceğini söyleyerek araya girdi.
Dahili İletişim “Dans”
Bu bir dans, dedi Rose. “Sen oraya varmadan önce bu işi yapanları gücendirmemeye dikkat etmelisin.”
Rose, diğer departmanların üyeleriyle bulundukları yerde buluşmayı önerir.
“Altyapısı veya yürütmesi olsun, onların dilini konuşun” dedi. “Ve çok açık ve ısrarcı ol.”
Sima aynı fikirde değildi ve biraz kıkırdayarak ekledi, “Eğer nefret edenleriniz yoksa, doğru şeyi yapmıyorsunuzdur.”
Yaklaşımdan bağımsız olarak, hem Miller hem de ikisi de pozisyonlarının başlarında, genellikle stratejilerine uygun olmayan dahili ekiplere bir güvenlik programı satmaya çalışarak zaman harcadılar. Miller ve Rose, yasal ve uyumun iş içindeki en doğal ortakları olduğunu söyledi.
“Müttefiklerin olmalı,” dedi Rose. Mühendislik, altyapı, BT, ürün, müşteri hizmetleri ve diğerleri arasında genellikle sürtüşmeler olur, ancak hukuk ve uyum ekipleri bir güvenlik olayının sonuçlarına ilişkin daha net bir vizyona sahiptir ve bunları daha geniş kuruluşa iletmede çok değerli olabilir.
Yönetim Kurulu ile İletişim
Günlük iç çekişmelerin ötesinde, bu CISO’lar kendi şirketlerinin yönetim kurullarıyla iletişim yaklaşımlarını ortaya çıkardı. Sima, ekibinin şu anda nerede olduğu ve nereye gittiğiyle ilgili hikayeyi anlatmak için büyük ölçüde anlatıya güvendiğini açıkladı. Birisi daha fazla ayrıntı isterse diye eke bıraktığı teknik bilgiler.
Panolara sindirebilecekleri ve kullanabilecekleri veriler sağlamaya gelince Rose, CMMI Siber Olgunluk Modeline güvendiğini ve Sima ve Miller, NIST CSF çerçevesine dayandıklarını söyledi.
Rose, “Güvenliği anlamayan insanlara nerede ve neden olmanız gerektiğini görsel olarak göstermenin kolay bir yolu” dedi.
Moderatör Wang, bir şirketin yönetim kurulunda oturuyor ve kurulların, CISO’nun sağladığı bilgilerin doğru olduğundan emin olabilmeleri için bir üçüncü taraf doğrulama değerlendirmesi talep etmelerini önerdi.
Sima, “İlk yönetim kurulu toplantısı beklentileri belirlemekle ilgili olmalı,” diye ekledi.
Ancak tüm rakip mesajlar ve izleyiciler için CISO’lar düzenli olarak hokkabazlık yapıyor, CISO başkanlığındaki ilk 90 gün boyunca, mümkün olduğunca az konuşmanın en iyi seçenek olduğunu açıkladı Rose.
Rose, “İlk 90 gün sadece susmalısın” dedi. “Neler olduğunu dinlemek zorundasın.”