Plano de 90/100 dias para novos CISOs (e líderes executivos)

Estrutura do plano de 100 dias: orientação de integração para CISOs (e líderes)

Cristina S.

CIO da KIK Consumer Products | 4x CISO

1 artigo 

28 de agosto de 2022

Parabéns, você conseguiu a posição CISO? E agora?

Você desenvolveu um plano de integração de 100 dias?

Isenção(ões) de responsabilidade: Esta é uma linha de base e pode não se adequar à sua organização. Ajuste os cronogramas para corresponder ao tamanho e à cultura da empresa.

Fontes: experiências, mentores, Gartner , CISOs e líderes.

Estrutura do plano de 100 dias para novos CISOs (e líderes):

Metas:

1. Defina o papel e as responsabilidades do CISO

2. Construir relacionamento e estabelecer confiança

4. Avalie o Programa de Segurança (Hoje)

5. Desenvolva o Plano de Segurança (Amanhã)

6. Apresente o Plano de Segurança

7. Obtenha liderança e apoio das partes interessadas

8. Execute o Plano

9. Meça e melhore continuamente

Estratégia para alcançar o plano de 100 dias:

1. Reunião com a Liderança: Semanas 1 – 4

*Alinhe o tempo à sua organização*

• Reúna-se com patrocinadores: (por exemplo, CTO, COO, CEO, CFO, C, CAO)
• Perguntas para obter insights:
• Quem são meus 5 principais relacionamentos?
• Você tem 1-2 prioridades principais?
• Critérios de sucesso para o programa de segurança?

1a. Reúna-se com a equipe de segurança: semanas 1 a 4

*Alinhe o tempo à sua organização*

• Reúna-se com a equipe de segurança
• Perguntas para obter insights:
• As 3 principais coisas que você deve saber sobre a equipe?
• O que você espera que eu não mude?
• Onde você concentra a maior parte do seu tempo?
• O que há de desafiador em sua função?
• Como posso apoiar você e a equipe?
• Quais são as principais prioridades da segurança?
• Quais são os principais objetivos da empresa?

1b. Reunião com Parceiros: Semanas 1 a 12 (Conheça Parceiros Críticos semanas 1 a 4)

*Alinhe o tempo à sua organização*

• Reúna-se com parceiros
• Perguntas para obter insights:
• Quais são suas 1 a 3 principais prioridades de negócios?
• Como você vê a função de segurança?
• Quais são algumas oportunidades?
• Quais são 1-2 áreas nas quais podemos fazer parceria?

1c. Avalie a maturidade do programa de segurança: semanas 1 a 8

*Alinhe o tempo à sua organização*

1. Identifique recursos, orçamento, processos de risco e tecnologia.
2. Realizar análise de lacunas  (entrevistas, avaliações, etc.)
3. Reúna-se com parceiros fornecedores essenciais
4. Validar a prontidão para ransomware  (risco de interrupção nas operações comerciais)
5. Revise os controles técnicos de segurança  (identificar, proteger, detectar, responder, recuperar)
6. Identifique os três principais riscos e opções a serem abordados (  componentes do plano de negócios)

• Escopo das Avaliações:
• Registro de riscos
• Auditorias, relatórios de conformidade e regulatórios
• Controla estruturas de maturidade - por exemplo, ISO, NIST, CIS
• Avaliações de ameaças e vulnerabilidades
• Testes de penetração e outras avaliações de risco
• Testes de phishing

2. Revise as descobertas com a(s) equipe(s): TBD

*Alinhe o tempo à sua organização*

3. Desenvolver Plano Estratégico de Segurança: A ser definido

*Alinhe o tempo à sua organização*

Escopo do Plano Estratégico:

1. Visão e estratégia do programa de segurança
2. Benchmarks regulatórios e industriais
3. Scorecard de segurança e principais riscos
4. Análise de lacunas, recomendações quantificadas, orçamento, pessoas, habilidades, investimentos (às vezes chamado de "Plano de Negócios")
5. Roteiro de entrega
6. Métricas de desempenho

4. Implementar melhorias para lidar com o risco (TBD)

5. Medir e melhorar continuamente (TBD)

Parte 2:  LinkedIn Adicional

Feedback da comunidade:

* Uma série de postagens destacando orientações de CISOs, líderes empresariais, tecnólogos e parceiros sobre dicas para planejar e executar um plano de integração de 100 dias.

Plano de integração de 100 dias - dicas e orientações:

1. Jamie Thingelstad - CTO, SPS Commerce , - "Plano de ação de 100 dias dos novos líderes, por: George Bradt, Jayme Check, John Lawler"

2. Johnny Collins - Líder de segurança cibernética e respondedor de incidentes, KPMG - "Excelente artigo. Algumas peças que encontrei trabalhando como CISO e com CISOs são as seguintes que complementam o que você escreveu para Christina:

• Entenda o lado comercial da casa e o ponto de contato, pois isso ajudará no caso de um incidente de segurança, como recuperação de ransomware, comprometimento de e-mail comercial, servidores de aplicativos da web comprometidos e outros
• Esteja preparado para enfrentar um incidente; às vezes você é contratado por causa de um incidente anterior que pode não ter sido totalmente solucionado
• Dê uma olhada no histórico e nas avaliações de incidentes anteriores, pois isso pode ajudar a focar no fechamento de lacunas
• Leve em consideração o processo de integração para fusões e aquisições, pois você pode herdar rapidamente problemas de segurança e de TI
• Certifique-se de ter um bom contratante de resposta a incidentes (recomendo vários US$ 0 para cobertura) e advogado externo disponível, pois você desejará ter certeza de que tem suporte pronto para uso e não terá que trabalhar com burocracia
• Financiamento em caso de incidente, certifique-se de saber quem gerencia e aprova essas faturas de produtos e serviços para que não haja interrupções"

3. Michala Liavaag 💙 - Conselheira CISO | vCISO | Cybility Consulting Ltd – " Christina S. obrigada por compartilhar. O meu é bem parecido com o seu, então deve estar fazendo algo certo 😊.

• Algumas perguntas adicionais que faço como parte do encontro com novas partes interessadas desde o início me ajudam a medir a temperatura da organização, incluindo a identificação de onde estão os apoiadores e os pessimistas.
• Você já teve alguma experiência de trabalho com profissionais de segurança dedicados? Se sim, o que eles fizeram que funcionou bem para você? O que eles fizeram que te frustrou?
• Se não houver uma pesquisa de base para fornecer informações sobre como a população mais ampla de funcionários percebe a segurança, realize uma pesquisa de diagnóstico para criar uma linha de base a partir da qual medir as melhorias.
• Outra é fazer com que as pessoas compartilhem o que elas acham que são as “vacas sagradas” na organização, pois isso pode ajudar a evitar erros não intencionais como CISO entrante.”

4. Respostas à postagem de Michala Liavaag 💙 :

• Kurby Brown Jr  - Diretor Sênior de Segurança e Conformidade da Turnitin - " Michala Liavaag 💙 Adorei a ideia de medir a temperatura da organização."
• Girish Ahir  - Otimização de custos da AWS | DevOps | Arquitetura AWS | Monitoramento e suporte em nuvem | Serviços gerenciados da AWS - " Michala L. Excelentes sugestões. Acho que isso é algo que pode ser adotado por todos. Não é uma função específica."

5. Steve Hindle - CISO, Mad Mobile - "Obrigado pela tag, Christina Shannon . Este é um post e tópico de comentários incríveis.

• O LinkedIn  deveria colocar isso no topo do feed da comunidade.
• Você repetiu muitos dos itens que evangelizamos e sobre os quais falamos abertamente em vários ambientes.
• Eu ampliaria e acrescentaria os itens acima que sugerem solicitar contribuições e construir o mapa em torno do que suas partes interessadas e colegas esperam de você, ou o que eles percebem/acreditam hashtag# cibernético hashtag# segurança  significa para eles. Essas duas últimas palavras devem definir sua narrativa e qualquer CISO precisa ser um contador de histórias para o público empresarial, elaborando essa narrativa para eles.
• Qualquer equipe executiva perguntará como você pode resolver seus problemas ou lidar com os riscos percebidos. A menos que você consiga adaptar sua mensagem de maneira adequada e começar com _seu_ "porquê", o papel do CISO como consultor e parceiro de negócios se tornará exponencialmente mais difícil.

6. Shawn M Bowen - CISO, World Fuel Services - "Definitivamente, cheguei tarde demais para esta postagem, mas há muitas coisas boas aqui... Vou apenas dar duas outras referências que não vi em minha rápida revisão de a longa lista de comentários:

• Blog de Yael N .: https://yasspartners.medium.com/ciso-guide-to-onboard-yourself-d6c8b39e140b
• Podcast de George Finne : https://open.spotify.com/episode/3t27Kc478Rv0vQjKbjIQIR?si=bf03881e36ea44e5 "

7. Jerich Beason - CISO, Banco Comercial, Capital One - "Muitas pepitas de sabedoria arduamente conquistadas nesta postagem e nos comentários. O livro em que me apoio para qualquer nova função de liderança é" First 90 Days ", da Harvard Revisão de negócios.

• https://www.amazon.com/First-90-Days-Strategies-Expanded/dp/1422188612  "

8. Nick Ryan - Diretor, Diretor de Segurança da Informação (CISO), Baker Tilly EUA - "

• Isso é fantástico, Cristina ! Isso cobre muitas bases, mas se eu tivesse que acrescentar alguma coisa, consideraria:
• Estabeleça uma compreensão básica dos termos. É incrível como você e eu podemos pensar em uma coisa quando ouvimos a palavra “risco”, enquanto um executivo financeiro pode tomar outra direção. Risco Crítico = X, Risco Moderado = Y, por exemplo. Isso vale para a equipe de liderança e segurança.
• Para a equipe de liderança, o que importa para cada um deles? Podemos fazer suposições, mas as suposições nem sempre dão certo. Pontos de bônus se eles puderem destacar o que gostam do ponto de vista da apresentação. Você precisa concentrar seu tempo em tabelas/gráficos bonitos ou eles gostam de resumos detalhados?
• Um final significativo para a sua análise inicial de lacunas é responder: “Qual é o valor daquilo que estamos tentando proteger e quão seguro é isso para o que estamos gastando atualmente?”
• Por último, não se sinta mal por trazer fornecedores que foram parceiros de confiança ao longo dos anos e fazer com que os parceiros existentes provem seu valor agregado para você... Olho para trás e há alguns fornecedores com os quais gostaria de não continuar no meu nova função (me senti obrigado) e há outros que eu gostaria de não confiar na história deles com a minha organização como o único propósito de fazer negócios com eles."

9. Donna Ross (ela/dela) - CISO, Radian - "Ótima lista!

• A única coisa a acrescentar é enxaguar e repetir, pois é um processo que você forma, tempestade e norma.
• E continue com os encontros e cumprimentos nas reuniões trimestrais com as partes interessadas.
• Mapeie também os controles existentes em relação a um padrão para identificar os frutos mais fáceis de alcançar, lacunas, etc., juntamente com uma revisão completa dos planos e retentores de seguros e IR "

10. Rich Mason - Presidente, Diretor de Segurança da Critical Infrastructure, LLC - "

• Uma partilha muito generosa. Parabéns para você, Cristina . Boa sorte na execução do plano, embora isso pareça mais habilidade no seu caso."

11. Resposta à postagem de Rich Mason : "

• Yael N.  Escritório do CISO, Yass Partners - "Muitos elogios. A execução é complicada. Ter um modelo mental é um ponto de partida fundamental. Gostei disso. Mantenha-nos informados"

12. Anatoly Chikanov - Diretor de Segurança da Informação, vCISO, Enel X , - "

• Uma lista boa e interessante Christina S., mas estou curioso porque não vi nada sobre orçamento. Como você aborda essa área, por exemplo, se ingressar no meio do ano, quando os orçamentos são definidos, etc.? Você tenta trabalhar dentro do prazo estabelecido ou busca novidades? Muitos resultados mencionados no item 3 também seriam baseados nos recursos que você possui. Gary Hayslip , esta pode ser uma discussão interessante para você acompanhar também."

13. Resposta à postagem de Anatoly Chikanov por Gary Hayslip - CISO global da SoftBank Investment Advisers e SoftBank Group Corp .:

• " Anatoly Chikanov, obrigado pela menção, meu amigo, sim, escrevi sobre esse assunto e postei artigos e mapas mentais sobre os planos de 30-60-90 dias. Gosto do que Christina S. fez, especialmente a parceria com o negócio. Para que um CISO seja eficaz, ele deve construir parcerias com a empresa para construir confiança e ajustar seu plano/programa ao que a organização precisa para ter sucesso. Você não pode fazer isso bem a menos que se reúna com colegas, parceiros, partes interessadas e liderança. , etc. e ela faz um ótimo trabalho documentando como ela adota essa abordagem."

14. Idris Odutoye - Conselheiro de Tecnologia, Líder, na ATA Trusted Advisors - "Reúna-se com meu Trusted Advisor para discutir quaisquer lacunas na estratégia e quais provedores de soluções estão no mercado para ajudar a preencher essas lacunas. Se você não tiver um Trusted Advisor , recomendo entrevistar alguns para ver se eles podem agregar valor a você e, portanto, à sua organização."

15. Resposta à postagem de Idris Odutoye :

Ryan O'Mara  - VP de Finanças e Operações Atlas7 - "Sabia que se eu lesse os comentários alguém teria me vencido também. Como parte da reunião com consultores externos, eu incluiria aprender a estratégia de compras atual e analisar alternativas. Sentado no O mercado intermediário superior permite que você decida uma estratégia mais corporativa (principalmente direta) ou uma estratégia mais intermediária de mercado (aproveitando revendedores/parceiros de TI. A escolha correta pode estender seu orçamento em 20% e economizar muito tempo na verificação ou implementação do). tecnologia errada."

16. Walter Haydock - "Incrível - obrigado por compartilhar. Isso é muito útil e útil para aspirantes a CISOs!"

17 Michael Baker – Vice-Presidente, Diretor de Segurança da Informação de TI (CISO), DXC Technology – “Adorei isso.

• Começar pode ser assustador para muitas pessoas! É ótimo como você documentou seu compromisso com a escuta ativa desde o início. Não há pressa para transformar se você não gastar tempo ouvindo e aprendendo"

18. Dr. Tom Chebib, PMP, PMI-ACP, CSM, SAFe®, CMMC-PA-PI -VP, Security Controls, no Citi - "Abordagem muito estruturada, obrigado por compartilhar.

• Eu também consideraria o apetite e a tolerância ao risco da empresa como parte do seu roteiro estratégico. Eles também podem fazer parte dos seus principais riscos/projetos priorizados de curto prazo."

19. Mark Potter - CISO, Backblaze - "Excelente plano de 90 dias. Obrigado por compartilhar!

• Outra coisa que gosto de incorporar nas minhas reuniões com as partes interessadas é se há pontos problemáticos nos quais possamos ajudar."

20. Chase Valentine – Consultor de Segurança II, ExtraHop – “Parece realmente sólido e pode ser adaptado em todos os setores.

• Sou grande em garantir que as estruturas sejam seguidas. Os scorecards de segurança e os principais riscos são ótimos e subestimados."
• Os relatórios de higiene de segurança e os resumos executivos de ameaças também são muito importantes para a empresa."

21. Lester Chng, CISSP, PMP 🟢 - Lester Chng, Conselheiro Sênior, Exercícios da Unidade de Crimes Financeiros, BMO - "Aprenda como executar exercícios de segurança cibernética e gerenciamento de crises!"

22. Matthew Chiodi - Diretor de confiança Cerby , ex-CSO da Palo Alto Networks: "

• Isso ilustra por que as semanas 1 a 4 são provavelmente as semanas mais importantes da carreira de um CISO. Se bem feito, você estará preparado para o sucesso pelo resto de seu tempo lá. Muito bem Cristina ! Agora vamos colocar você no podcast Cloud Security Today para falar sobre isso!”

23. Dr.-ing Shrinivas Kulkarni (PhD - Segurança Cibernética) - Governança, Risco e Conformidade de Segurança Cibernética, Bombardier - "Postagem incrível Christina S. - Muito obrigado. Na minha humilde opinião -

• O primeiro passo do plano de 100 dias é: Siga o dinheiro.
• Saiba como o dinheiro é ganho na empresa. Desta forma, é extremamente fácil compreender os processos de negócio e sistemas associados.
• Além disso, obter controle sobre as operações de segurança atuais?
• O ex-CISO pode estar conduzindo as operações de uma maneira diferente da que você esperava.
• O plano de 100 dias começa no primeiro dia - Obtenha controle sobre SecOps em ativos de controle de missão."

24. Terrance Cooley Diretor de Pessoal | CISO | Pai do recurso SSYAF | Cibersegurança | Conselheiro de Crise l DEI | Entusiasta do Vinil - Força Aérea dos Estados Unidos - "

• Um excelente enquadramento. A única etapa que adiciono é uma verificação do clima - tenho funcionários de alto desempenho que são abrasivos, com baixo moral, qual é o nível de confiança versus microgerenciamento no ambiente, todos se sentem incluídos, etc.?
• Normalmente, na semana 4, tenho uma forte noção de onde preciso fazer ajustes e agir de acordo. "

25. Parker Brissette – Consultor confiável de segurança cibernética, GRSee Consulting – “Muito perspicaz.

• Tenho certeza de que isso está implícito em seu plano das primeiras 1 a 4 semanas, mas gostaria de destacar que a primeira coisa a entender é onde o programa de segurança permite o negócio. São vendas e clientes, conformidade com regulamentos, etc.? Muitos se envolvem em crescer e esquecem que a maturidade chega no estágio 5. Vá ao básico no estágio 1. "

26. Steve Weltman, CISSP - Equipe Global CISO, Estratégia de Segurança e Conformidade, Imperva - "

• Este é um plano dourado e sólido que cabe em qualquer lugar, com um pequeno ajuste aqui ou ali para se adequar à organização atual. Obrigado por postar isso; Concordo plenamente com o valor da estratégia e com a adaptação do programa atual ao estado futuro."

27. Will Nanse @North Georgia Organics - "mais focado no plano do primeiro dia:" Olá, equipe de operações, algum evento ativo, incidente ou violação?

28. Jordan Wigley – Diretor de Alianças Tecnológicas, SimSpace “Vejo alguns pontos muito importantes na seção “Avaliar a maturidade do programa de segurança”, que gostaria que todo CISO incluísse em seu período inicial de pesquisa de integração.

29. Sheri Lilley, BRMP, CSPO, CSM - Diretora, Parceiros de Negócios de TI, Epiq - "

• Se houver uma função de Gerente de Relacionamento Comercial, envolva esses parceiros antecipadamente. O hashtag#BRM  ou​ hashtag# ITBusinessPartner  integrado às partes interessadas do seu negócio pode fornecer informações sobre pontos problemáticos e desafios."

30. Nathaniel Morris - Coach Executivo de Tecnologia, EQ Digital - "Ótima lista de" Início Rápido "! Cada função de liderança deve ter esse tipo de diretriz para ajudar a definir expectativas, aclimatar-se rapidamente e criar valor imediato."

31. Nick Reva - Engenharia de Segurança, Snap Inc.

• Eu aumentaria de 2 a 3 vezes os prazos em uma grande organização e mais para empresas que criam software de alto risco.
• Para empresas de engenharia, a profundidade dos detalhes e das nuances será muito alta, portanto, reserve bastante tempo para perguntar e analisar. Acho que isso é dimensionado para empresas menores com menos de 500 pessoas. Isso seria um pouco diferente em uma empresa de engenharia com 5.000 pessoas. "

32. Jamison Nesbitt – Fundador Cyber ​​Senate & Climate Senate – “Assumir que uma dessas categorias seria “Identificar os ativos mais críticos?”

• Resposta de Christina - "Sim, concordo Jamison Nesbitt 😊 Inicialmente tinha “Identificar, Proteger, Detectar, Responder, Recuperar” ao lado de Controles técnicos. Concordo, “a identificação de ativos críticos é a etapa 1”

33. William Klusovsky - Líder Executivo de Segurança Cibernética, Avanade - "Dia 1: começa a avaliação de risco (ou recebo os resultados da atual) para saber o que acabei de inscrever"

34. Nafis Muhammad - CISO e consultor de segurança, na Security Journey - "Plano incrível Christina Shannon , adorei. Você é um visionário. Continue com o trabalho incrível.

• Gostaria de acrescentar como penso em construir um plano de segurança. Eu vivo e respiro isso e posto sobre isso. Pense em construir uma segurança como uma cultura e construí-la a partir de dentro. A segurança não é apenas um problema da equipe de segurança, é algo em que todos na empresa deveriam pensar. Se todos na empresa tiverem conhecimento básico de segurança, a comunicação será mais fácil. Trata-se de construir camadas de segurança. É como a linha de montagem da Ford. Eu adoraria ter uma conversa mais detalhada sobre isso em um futuro próximo."

35. Timothy Harris - Gestão de Tecnologia da Informação | Gestão de Segurança da Informação | Profissional de segurança cibernética na Micro Netz Inc. - "

• Gostei muito deste post e dos comentários que contribuíram. É revigorante saber que outras pessoas fornecerão orientação e compartilharão ideias para ajudar a melhorar uma comunidade (segurança cibernética nesta postagem) de seus pares. Manterei esses pontos de postagem (e comentários dos colaboradores) guardados e continuarei a usá-los sempre que obtiver minha primeira função de CISO. Obrigado por seus insights. Ótimo post!!! "

36. George Johnson, CISSP - vCISO Independent - "Eu acrescentaria um elemento adicional como resultado da reunião com patrocinadores:

• O desenvolvimento da carta de segurança (um documento vivo que outros apontaram corretamente pode/deve mudar ao longo do tempo através de revisões do programa). A análise de lacunas identifica o que você não está fazendo, mas não faz dentro do contexto do programa geral. A carta serve para identificar o que o programa fará e o que não fará. Onde afeta a organização e onde não afeta. É fundamental que os executivos saibam quais as áreas que não estão/são subfinanciadas, conforme identificado numa carta (que identifica todas as práticas que devem ser realizadas) e quais as áreas que são bem praticadas.
• Infelizmente, não há muito acordo sobre a nomenclatura de todas as práticas (muitas listas para escolher) e as convenções de nomenclatura da equipe que executa as tarefas. O estatuto pode ajudar a estruturar o orçamento e unir a discussão de risco em $$$ com o CFO, a fim de mover a discussão de um cenário técnico para um cenário financeiro/de negócios."

37. Ulf Wollenweber - CISO, Deutsche Börse - “Excelentes insights e conselhos altamente valiosos, Christina ! Muito obrigado! 👏🙏 Acrescentarei:

• Liderar pelo exemplo, com gentileza e empatia.
• Focar na construção da cultura de segurança desde o início (pois ela estabelece as bases para muitas outras coisas; leva mais de 100 dias, eu sei...)
• Sempre tendo uma mentalidade de entrega de valor agregado em termos de permitir que o negócio opere com tranquilidade. "
• Christina S.  Resposta - "Estou analisando os comentários e perdi este… Obrigado por destacar a necessidade de liderar com empatia e gentileza, e a importância da cultura. Há muita sabedoria nesta resposta, e obrigado Ulf Wollenweber "

37. Vice-presidente da Chip Block e arquiteto-chefe de soluções, CSS (Soluções de segurança convergentes) -

• "Isso é muito bom, mas deveria ir mais para o CEO do que para o CISO. Quase todas as novas situações de CISO que tenho visto começam com uma simulação de incêndio e as principais coisas que você tem aqui são adiadas e, infelizmente, nunca parecem ser alcançadas ."

38. Karen Tulloh PMP, CISSP, CISM, ITIL , AT&T Cibersegurança – “Isso é maravilhoso.”

• Christina S.  Resposta:" Karen Tulloh PMP, CISSP, CISM, ITIL - " Você é um dos meus contribuidores favoritos de LI que cobrem segurança. Obrigado pelo envolvimento 😊☀️ Alguma orientação adicional que devemos adicionar à lista? "
• Karen Tulloh PMP, CISSP, CISM, ITIL - "humilhada, obrigada! Acho isso ótimo - as pessoas podem consultar sua postagem."

39. Andy Ellis , CISO Consultivo, Orca Security - "Oportunamente - estou escrevendo um guia prático para os primeiros 90 dias e com certeza farei referência cruzada de sua lista com o que tenho já redigido. Acho que as coisas que me interessam adicionar à sua lista são:

• Reunião e preparação para o conselho
• Compreender a empresa (acho que você a tem implicitamente, mas é importante aprender quais movimentos você pode tomar e que a empresa simplesmente rejeitaria)
• Mapeie os ativos da sua empresa e compare seu programa de segurança com os ativos (para identificar onde as soluções que parecem ótimas não estão realmente cobrindo os ativos) "

40. Uilson Souza - MBA - Especialista em Governança de Segurança da Informação, Mars - "Não tenho certeza se a privacidade entra no escopo, mas entender o que a equipe de privacidade de dados está fazendo também é importante para medir a maturidade da segurança."

41. Dan Didier - VP, Engenharia de Soluções, GreyCastle Security - "Gostaria de saber se você considerou reunir-se com os clientes para obter seus insights. Isso pode ser uma verdadeira revelação e um grande elogio ao que você ouve internamente "

42. Monty Santiago, PMP - Executivo de Segurança da Informação, Avertium - "Nem todas as empresas são criadas iguais, portanto, compreender seus negócios, ativos mais importantes, tolerância ao risco, tomadores de decisão, cultura de segurança, etc. irá ajudá-lo a desenvolver uma estratégia de segurança adequada suas necessidades."

43. Sanjay Deo - Presidente e Fundador, 24By7Security, Inc. - "Com todos os itens iguais, voto no item 2 como o mais crítico!"

44. Mor Asher - CISO, 1ProTech IT, Segurança Cibernética e Serviços Regulatórios - "A cultura come a estratégia no café da manhã. Nenhuma menção a uma melhor compreensão da cultura, portanto, embora todas as coisas boas estejam escritas, esta parte crucial está faltando. Forte sugestão :-)"

45. Christopher Montgomery - Transformação Digital e Estratégia, VMware - "Agradeço que você tenha convocado reuniões com parceiros e fornecedores estratégicos. Em minha primeira função de CISO, avaliar o risco de terceiros foi vital, mas também difícil porque não havia uma estrutura em vigor , e a cultura não era madura o suficiente para compreender a sua importância. O papel do CISO como agente de mudança não pode ser subestimado."

46. ​​Azeem Alvi – Consultor de segurança de endpoint @Axe Security Group UK – “Isso é ótimo.

• Em Metas, você também pode adicionar Planejamento Financeiro que inclui ROI. As partes interessadas gostam de apoiar, mas subestimam os recursos financeiros necessários. Uma função de segurança deve ter orçamentos adequados antecipadamente e não fornecidos retroativamente após circunstâncias terríveis. Na minha opinião, já vi isso muitas vezes.
• Acredito que é melhor ter uma visão mais ampla com uma mentalidade empresarial que também seja válida para profissionais de segurança nos mais altos níveis. "
• Resposta de Christina Shannon  : "Tão verdadeiro quanto à necessidade de planejar um orçamento. Interpreto sua postagem como “administre seu departamento como uma empresa”, bem dito e obrigado 😊"
• Resposta de Azeem Alvi  : "De fato. Acredito que adotar uma visão mais ampla com uma mentalidade empresarial também seja válido para profissionais de segurança nos mais altos níveis."

47. Dhruv Lakhotia - Diretor Associado, Continuidade de Negócios e Resiliência, Segurança Cibernética e Privacidade de Dados PwC - "Também podemos considerar:

• Sobre os negócios em andamento, projetos de operações de TI e seu roteiro para ter uma visão geral das tecnologias ou decisões de negócios atuais e futuras que podem impactar a postura de TI e segurança cibernética. Também para determinar se o painel de TI e segurança cibernética (CISO) está envolvido em discussões e decisões antes da adoção de novas tecnologias e também em decisões de negócios que possam impactar a segurança geral da informação e cibersegurança.
• Modelo organizacional e de governança alvo atual versus futuro da função CISO
• Projetos de segurança em andamento e seus pontos cegos (cobertura inadequada ou incompleta)
• Discussões com a empresa para compreender a extensão e a amplitude da TI, ou seja, se há pegadas de IoT, OT, adoção ou uso de tecnologia emergente, para que possam ser evitadas situações em que a empresa toma decisões independentes sobre a adoção de tecnologia sem compreender a TI, a informação, e riscos cibernéticos. "

48. Kenneth "Matt" Hirzel - Diretor, CGI líder de oportunidades e buscas - "Ótima estrutura inicial e muitos bons comentários adicionados também. Embora eu não seja um CISO, acho que a justificativa que você forneceu na estrutura faz sentido. Olhando ansioso para ver sua segunda versão da estrutura com comentários adicionais. Obrigado por compartilhar!"

49. Jan Billiet - Diretor, Diretor de Proteção de Dados, Booking.com - "

• Meus (reconhecidamente contundentes) 5 centavos (e talvez eu tenha perdido isso na postagem e nos muitos comentários): proponho adicionar 'realmente entender (e ajudar a equipe de segurança a entender) o processo de negócios, tecnologia e arquitetura de segurança' (o que é facilmente um Curva de aprendizado de mais de 100 dias, aliás, com muito 'ir ver' recomendado). Sem ela, a base informacional pode ser apenas uma “projecção de mercado”…
• Leva tempo (e mais do que um P&L) para entender como uma empresa realmente ganha e gasta dinheiro, como o fluxo de bens/serviços, pessoas e dados é realmente organizado e como a pilha de segurança (pessoas, processos, tecnologia) é realmente (ser) organizado E alinhado para apoiar tudo isso, tanto estratégica quanto operacionalmente. Sem isso, é provável que existam pontos cegos que podem rapidamente inviabilizar várias etapas (apresentar o plano, executar o plano, etc.), investimentos estratégicos necessários ou mesmo atrasados ​​e decisões práticas que são evitadas, questões de empatia (por exemplo, com clientes reais ), tempo de qualidade de melhoria contínua de processos em recursos essenciais que não têm o rigor necessário e pior. Consegue alcançar qualquer um muito rapidamente...”

50. Henrique Guapo - Diretor de Segurança da Informação, Generali Seguros - " Publicação sólida Christina S. !

• Acrescentaria um ponto muito importante: um programa de sensibilização para, em primeiro lugar, avaliar a maturidade da cultura de segurança e, em segundo lugar, envolver o elemento mais fraco que pode comprometer um programa de segurança: as pessoas."

51. Eliot Baker - Anfitrião do CISO Sandbox | Comissário da Liga do CISO Phish Bowl Diretor de Marketing de Conteúdo Hoxhunt - "

• Eu simplesmente amo essa série! Este é realmente um projeto ambicioso que você empreendeu com suas colegas CISOs, Christina Shannon ! E não posso deixar de acenar com a cabeça e sorrir diante da resposta de Henrique Guapo : "Henrique Guapo - Diretor de Segurança da Informação da Generali Seguros -" Acrescentaria um ponto muito importante: um programa de conscientização para, em primeiro lugar, avaliar o maturidade da cultura de segurança e, em segundo lugar, envolver o elemento mais fraco que pode comprometer um programa de segurança: as pessoas”.
• Também adoro sua nota de rodapé *Recursos 😊 Este é um manual altamente valioso que você está divulgando ao público, Christina Shannon . Bravo! Sinto que pode haver uma ligação entre segurança cibernética e esportes no desenvolvimento de manuais eficazes dignos de um show ao vivo"

52. George Kamide - Diretor Sênior, da SafeGuard Cyber ​​- "

• 💯 ao ponto de Henrique Guapo de que o programa de conscientização não é apenas uma ✔️ caixa, mas um parâmetro para medir a “cultura de segurança” e sua maturidade em uma organização
• 💰 e Dr.-ing Srinivas Kulkarni (PhD - Segurança Cibernética) ponto fundamental “seguir o dinheiro”. Os controles são tão eficazes quanto a forma como estão conectados ao negócio principal e com o que o CEO/COO/CFO se preocupa"

53. Mark Gil Mercado, CEH, CISM - Líder Sênior de Segurança da Informação na Primeira Vantagem - "Com a implementação do plano de 100 dias que você compartilhou, quanto tempo normalmente leva para uma organização ver algumas melhorias?"

• Christina S.  Resposta: Obrigado Mark Gil Mercado, CEH, CISM 😊 - "Pessoalmente, acho que o momento para obter benefícios é situacional e está diretamente ligado à cultura e ao foco do seu negócio. Também depende da estratégia para lidar com o risco. Por exemplo, você primeiro busque “ganhos rápidos”, pouco esforço ou você está implementando um ano + projeto de microssegmentação (brincadeira 😅)"

Mark Gil Mercado, CEH, CISM  Resposta: "Provavelmente está relacionado à cultura e ao suporte do negócio. Obrigado pela sua resposta e tudo de bom em sua função de CISO em @SPS Commerce , @Christina S. 🙂"

54. John Donahue, profissional de segurança cibernética do CISSP | CISSP | Marinheiro de Transição - Marinha dos EUA -

• "Ler isso da perspectiva de um aspirante a CISO é muito esclarecedor. Eu li muitas perspectivas diferentes sobre o que é “certo” e estou aqui de acordo com seus objetivos. Gosto especialmente dos objetivos 2 a 5. Construir confiança como líder é essencial e você faz isso mostrando o valor que pode agregar a uma organização, ou seja, fornecendo a análise de lacunas das metas 4 e 5."

55. Angel Cruz - CISM, CRISC Ex-CISO público e privado / Chefe sênior aposentado da Marinha dos EUA / Interessado em fazer a transição para uma função de Consultor de Segurança/Auditoria/GRC. -

• "Eu gosto bastante disso - você capturou todos os principais temas que precisam ser desenvolvidos. Talvez haja um lugar para articular "compreender o apetite ao risco da organização e os limites de dor em relação ao investimento em segurança", mas isso pode ser inferido ."

56. Keyaan Williams Membro do Conselho | Executivo de Risco | Estrategista | Coach Executivo | Consultor | O homem mais engraçado da segurança cibernética - Diretor administrativo da CLASS-LLC - "

• Para o número 5, recomendo o NIST SP 800-55. É o melhor guia que já vi para desenvolver e monitorar métricas de segurança adaptadas a uma organização específica."

57. Kurby Brown Jr - Diretor de Segurança da Informação da @Sourcepoint - "Isso é incrível. Vejo alguns itens aqui que posso usar para incorporar em meus planos existentes. Eu acrescentaria a revisão do BIA mais recente para identificar esses sistemas e processos críticos que são mais importantes para o negócio, obrigado novamente."

58. Uttam Jha - Arquiteto Corporativo, Defense Australia of Defense - "Aliás, adorei sua isenção de responsabilidade. Sim, não podemos ter um tamanho que sirva para todos, no entanto, uma linha de base é sempre boa. Meus 2 centavos são a postura do estado atual também é muito importante. nós precisamos revisar a conformidade e as verificações em vigor, pois podemos lidar com ameaças percebidas, mas o principal assassino são as "ameaças desconhecidas", as sorrateiras, que sempre podem nos pegar desprevenidos. :)"

59. Austin Stubbs - Diretor e Consultor Principal, Cyres Solutions - "

• Os prazos mencionados dependeriam enormemente do nível de maturidade em que você está entrando. Entenda que alguns lugares podem ter poucos itens disponíveis.
• Em alguns lugares, a tarefa “Avaliar a maturidade do programa de segurança” pode levar alguns meses para ser realmente aprofundada, especialmente se alguns dos controles estiverem incorporados em um negócio do qual você “ainda” não tem visibilidade.
• O plano dos primeiros 100 dias trata do relacionamento com sua equipe, administração, direção e indústria para ter uma ideia do terreno e entender como seu novo negócio realmente funciona.

60. Baskar Maruthai – Gerente Sênior, na HCLTech – “Parece bom, acredito que esses planos seriam adequados para a maioria dos CISOs que realmente desejam melhorar a segurança e proteger ativos valiosos de uma organização”

61. Pete MacKay - Engenharia e Segurança Cibernética | Incorporado à nuvem | Construindo Pessoas e Produtos - "Estaria interessado em saber a diferença entre a prontidão para ransomware e a resposta geral a incidentes, especialmente a revalidação (revisão? de mesa?)? "

• Resposta de Christina Shannon  - Para "prontidão para ransomware", falando sobre a necessidade de classificar os ataques de ransomware como um "perigo", que requer um tratamento separado dos riscos normalmente abordados em reuniões de ERM. o primeiro foco. Especialmente em organizações com sistemas legados (a maioria). Em termos de diferença, acho que ambos os exercícios (de mesa) são uma parte importante de estratégias eficazes de RI e gerenciamento de crises.
• Quero saber se, no caso de um ataque de ransomware, se os controles de proteção/detecção/resposta falharem, minha empresa poderá se recuperar? Quero saber se um invasor pode explorar uma configuração incorreta da nuvem para obter escalonamento de privilégios e passar lateralmente para backups e armazenamento de dados. Quero saber se os backups de dados são segmentados (e/ou fora da rede periodicamente) e, principalmente, quero testar para evitar um desastre para os negócios."
• Pete MacKay  – A razão pela qual pergunto é que costumo usar ransomware para educar sobre o risco mais amplo de malware. Na IMO, o aspecto do 'resgate' é uma distração, porque o risco de malware é o mesmo que o risco de ransomware, apenas com uma manifestação diferente, então a discussão sobre o 'resgate' é apenas um passo na porta. Separadamente, há uma conversa sobre “devemos pagar resgate?”, e essa é a oportunidade de educar que o risco e o problema não se resolvem com um mero pagamento. Acredito que a exfiltração é um risco (e impacto) muito maior do que a exigência de resgate... especialmente se for feita sem uma exigência de resgate visível.
• Resposta de Christina Shannon  - Pete MacKay Obrigado. Acho que estamos dizendo coisas um pouco diferentes e nenhuma delas errada. Apenas preferência :) Eu me concentro em compreender o risco de impacto comercial do ransomware de forma holística para uma organização como prioridade máxima antes de divulgar a apresentação do conselho de riscos de TI e a revisão dos controles. O ransomware, na minha opinião, nos levou de pequenos ataques de malware de adware, a “piada do dia”, ao simples fechamento de empresas.
• Acho que ainda vivemos numa época em que muitas empresas não classificam os dados (especialmente pequenas e médias empresas) e concordo que a exfiltração tem um grande impacto na reputação e pode ser grave. Uma empresa não pode gerar receita se as operações também forem interrompidas. Se eu for encarregado de executar um programa de segurança, o ransomware será minha primeira prioridade para entender a exposição ao risco em ambientes híbridos com legado. Se for um ambiente que vive 100% na nuvem, eu não colocaria o ransomware no topo da lista de prioridades, pois os ataques de ransomware não acontecem tanto na nuvem.”

62. Martin O'Neal / CEO / CTO - "

• Eu diria que foi uma visão geral muito boa, mas minha observação 2p seria dizer que, com base no que tenho visto nas trincheiras, em vários shows, é que a maioria dos programas de segurança paralisa ou falha devido à falta de adesão. ou falta de recursos em departamentos pares.
• O que quero dizer com isso? Na verdade, novos programas de segurança tendem a dar um pouco de trabalho para o departamento de segurança, mas muuuito trabalho para colegas, como operações de TI. E não é como se eles estivessem parados: a equipe de operações de TI geralmente já está ocupada, então, iniciar um enorme programa de trabalho de segurança significa que algo mais será interrompido ou simplesmente entrará na fila e acontecerá a qualquer momento.
• Quando estou propondo um trabalho de CISO (ou como consultor de um), muitas vezes pergunto sobre o orçamento geral, como se não houvesse um aumento suficiente para cobrir o trabalho provável, então não importa o quão entusiasmado ou solidário os marinheiros estão, porque o programa vai estagnar e ser frustrante para todos os envolvidos."

63. Daniel Desages CyberOps TL na Aqua Security - "

• Ótima fonte! Outro elemento é que você provavelmente não é o primeiro CISO lá.
• O que você acha da transferência do CISO, olhando para o programa existente? A maioria dos CISOs com quem trabalhei tendem a começar do zero sempre"

64. Naveen Vasudeva Fundador e CEO da The CyberTree Paradox - "

• Este é realmente um ótimo conselho, Christina S. para aqueles que estão assumindo sua primeira função de CISO, será muito útil.
• Se eu puder acrescentar isso e ajudar a simplificar um pouco, na minha experiência, uma das coisas principais que um CISO precisa fazer ao iniciar uma nova função é ouvir! Em um sentido básico, como ensinamos as crianças a atravessar a rua, Pare! Olhar! E ouça!
• Os planos de 100 dias funcionam bem se estiverem alinhados apenas com a estratégia de negócios da empresa. Compreender o estado atual e o futuro é importante, mas basear a compreensão dos patrocinadores executivos sobre o que precisa ser alcançado é algo diferente. É claro que isso funciona para grandes corporações ou empresas. Não se aplicaria à maioria das PME/PME - e mesmo a algumas empresas também. Eles podem não ter equipes preparadas para apoiar alguns deles, podem não ter os orçamentos definidos e podem não ter apoio desde o início - então o que motivou essa empresa a contratar um CISO em primeira instância - precisa evoluir e a compreensão do risco comercial ou da reação a uma violação., os motivadores impactam a forma como o CISO é colocado para trabalhar e a atividade é priorizada.
• A única conclusão importante da sua lista, que considero uma mensagem excelente, é sobre colaboração! "

65. Iain Kane - Diretor de Risco da UWorld - " “ Independentemente de ser seu primeiro ou quarto CISO, ou qualquer outra função do C Suite, há muito o que aprender com seus pensamentos. Li sua postagem com muita concordância e reflexão, independentemente do papel.”

66. Jamison Nesbitt - Fundador Cyber ​​Senate & Climate Senate - "Assumir que uma dessas categorias seria" Identificar os ativos mais críticos?

Resposta de Christina Shannon - "Sim, concordo Jamison Nesbitt 😊 Inicialmente tinha “Identificar, Proteger, Detectar, Responder, Recuperar” ao lado de Controles técnicos. Concordo, “a identificação de ativos críticos é a etapa 1”

67. Alex Christophe Diretor de vendas da AuthN by IDEE - "

• Em francês falamos de “segredo de Polichinelle” para algo que não é segredo para ninguém, mas normalmente não se fala sobre esse conhecimento.
• Aqui está uma: o phishing é a causa raiz de 80% ou mais dos incidentes cibernéticos.
• Aqui está uma segunda: propagação de ransomware 7/10 usando credenciais de phishing.
• Não sendo um CISO, mas feliz em aprender com você, existe uma razão pela qual uma das etapas anteriores não é "avaliar cada fornecedor com base em sua eficácia factual (por exemplo, uma análise completa através do MITRE) na eliminação de phishing?
• Ou será que gerir o “tal como está” ou o status quo é uma prerrogativa dominante do papel do CISO?

68. Joel Dixon Vendas para contas grandes, empresariais e estratégicas! - "Essa linha de base é incrível para executivos de contas que estão genuinamente interessados ​​em ajudar a pegada de segurança das organizações. E agora podemos entender a psicologia de um CISO e seu mundo."

68. Valerie Darling CEO | CBO | CCO | Diretor do Conselho | Executivo Bilíngue de Biotecnologia | Oncologia | Diagnóstico | Capital de risco | Vice-presidente sênior de vendas e marketing | Receita | Estratégia | Desenvolvimento de Negócios | Diversidade | Espanhol | Digital | Capital cibernética - "

• Este é um excelente plano dos primeiros 90-100 dias para um novo CISO, hashtag# especialista em segurança cibernética  ou risco, ou qualquer executivo novo em uma função (adaptado ao seu departamento: Tecnologia, Marketing, Vendas, BD, etc), Christina.
• Os complementos de vários que comentaram são sólidos para serem adicionados ao plano. (ou seja, Nick Ryan )
• Ótima fonte também - "O Plano de Ação de 100 Dias dos Novos Líderes, de George Bradt, Jayme A., John Lawler."

69. Ray Vazquez Vertex11 - "Quando você se reúne com a liderança, é importante entender desde o início qual é o verdadeiro apetite de risco da organização. Não apenas ouça o que eles dizem, mas observe as métricas em torno do Gerenciamento de Patches em particular para fornecer uma visão independente sobre a quantidade de risco que a organização gosta de assumir. A visão de risco é a causa raiz das respostas às outras perguntas que você tem para sua equipe."

70. Mike Stead - Vice-presidente de soluções para clientes da Optiv - "

• Não se esqueça, primeiro você precisa entender o negócio. O que faz sua empresa ganhar dinheiro? Como você protege isso versus as respostas fáceis de “dados” ou “cartões de crédito” – isso é apenas metade da batalha. Quem são seus clientes e como você os protege e faz com que sintam que sua empresa valoriza sua segurança e privacidade?
• Quais processos de negócios são críticos para o sucesso da empresa e das interações com os clientes? Serão estes resilientes e seguros o suficiente para resistir ao adversário de hoje? Se você não sabe disso, então o que você está protegendo, por que, e você está realmente priorizando os aspectos mais críticos do seu negócio ou favorecendo a “proteção dos dados?”
• Muitos CISOs não sabem verdadeiramente como a sua empresa opera, ou como a receita é realmente gerada, eles apenas se concentram na conformidade e nos chavões básicos de “segurança de dados”. Tudo bem, mas quando você puder realmente interagir com seu CEO, Conselho ou qualquer outro executivo de alto escalão de uma forma que expresse por que sua necessidade/programa/mudança é fundamental para o sucesso DELES na linguagem e de uma maneira que ilustre como sua iniciativa terá sucesso eles tiveram sucesso... agora você ganhou."

71. Daman Talwar - Gerente de Relacionamento com o Cliente da Cognizant - " Govind Prabhu Este é um excelente exemplo de planos de 30-60-90 dias que discutimos há alguns meses."

72. Phillip Kittelson, CISSP - "Lista incrível, e parece ser impulsionada por sua experiência no mundo real como CISO. Uma coisa que ouvi: é que os CISOs ruins não sabem como a organização ganha dinheiro e recomendariam uma estratégia que elimina vantagens sobre a concorrência. O que você acha?

• Resposta de Christina Shannon  : "Acho que você acertou em cheio, Phillip Kittelson, CISSP . Um bom CISO saberá como seu negócio gera receita :)"

73. Yehuda Cagen - Diretor Sênior de Marketing da Ostendio , - "Que tal criar um plano para operacionalizar a segurança em torno de seu pessoal?"

74. Colleen Kranz – Diretora Sênior da Demand Gen Renodis – “Ok, essa colaboração e compartilhamento de conhecimento é simplesmente incrível!”

75. Tony Sadder , vendas de segurança em nuvem, da Lacework , - "

• Andreas Schneider  também teve algumas boas dicas para acrescentar a essas postagens, talvez para a Parte 4! https://www.linkedin.com/posts/ciso-andreas-schneider_ciso-agileciso-informationsecurity-activity-6968479972734754816-ez2A?utm_source=share&utm_medium=member_ios "

76. Leland Cogburn Diretor, Segurança da Informação | Gestão de Vulnerabilidades | Proteção contra perda de dados | Estratégia Cibernética - "

• É um ótimo começo e gostaria de ver um pouco da realidade incorporada para focar um pouco na execução. Muitas vezes planejamos, fazemos planos e apresentamos planos, mas as discussões sobre execução, como fazer acontecer ou como nos saímos para executar e atingir nossos objetivos… não são muito comentadas.
• Trinta anos de experiência ajudam a adaptar-se e a ter recursos sobre o que funciona e o que não funciona, já que cada empresa é diferente. Temos que avaliar a maturidade organizacional e o apetite ao risco e a dependência da informação. Os incômodos são reais e farão ou destruirão um novo líder.
• Percebi que medições e relatórios foram rapidamente resolvidos. Eu acrescentaria: meça o que você precisa saber, mas relate o que deseja mudar - e depois vincule isso aos objetivos gerais da empresa.
• O Conselho também está presente na maioria das empresas e certamente deseja envolver alguns esforços colaborativos com a liderança. Se já existem estruturas em vigor ou a empresa é ISO ou alguma outra estrutura, você provavelmente só precisará entender as perspectivas. Considero que o relacionamento único com os membros do Conselho é imperativo, pois eles fornecem informações sobre coisas como efeitos na estratégia, reputação pública e receios de escrutínio (ou não). "

77. Dmitriy Sokolovskiy, VP e CISO da Avid - "Em algum lugar desses grandes pontos, deve haver um que diga algo como:

• Mantenha horários recorrentes em seu calendário para reavaliar seu progresso em relação a este plano e redefinir prioridades conforme necessário. Muitas vezes mergulhamos no TRABALHO e esquecemos o que o TRABALHO deveria ter sido em primeiro lugar"

78. Percy MacDonald , especialista em transformação digital, no Workspace 365 - "

• +1 na parte 4. A Marks & Spencers tinha um diretor que disse (esqueci o nome) "os clientes não são leais. Devemos conquistar sua lealdade todos os dias".

79. Borislava Althea Tatchev, arquiteto e consultor sênior de TI, diretor e fundador , da Alqubit - "Sem saber ainda os níveis de ineficiências, o nível de resistência à mudança, o nível de patrocínio real de liderança que você recebeu, qualquer plano é inútil."

80. David Ethington - Gerente de Segurança de Tecnologia da Informação da 3Degrees Group, Inc. - "Você deveria pelo menos pensar nisso durante o processo de entrevista. À medida que eles explicam as coisas, comece a pensar em algumas ideias preliminares. Claro, talvez nenhuma se concretize devido a não ter conhecimento suficiente, mas talvez alguns tenham. Além disso, não faz mal pensar (a menos que você esteja com dor de cabeça, então dói)."

81. Troy Fine - Gerente Sênior de Gerenciamento e Conformidade de Riscos de Segurança Cibernética na Drata -

• "Acho que isso foi mencionado acima, mas acho que entender a “cultura de segurança” é um primeiro passo importante. Converse com a equipe de segurança, converse com a liderança e tenha uma ideia de como a segurança é vista. É um “centro de custo” ou a empresa entende que a segurança é um investimento no negócio e um facilitador de negócios? Na minha opinião, este será o aspecto mais importante para o sucesso de um CISO.
• Nunca fui um CISO, então apenas meus 2 centavos, e gosto de adicionar meus 2 centavos sem que me perguntem 🙂."

82. Schuyler Purdy , Desenvolvimento de Vendas na CSPi Technology Solutions - "Ótimo material, Christina. Adoro os exemplos de Michala Liavaag 💙 de algumas perguntas úteis a serem feitas. As organizações mais bem-sucedidas estão em sincronia em todos os níveis e entendem seus objetivos/limites, por isso é crucial ter uma ideia do que as partes interessadas podem esperar ver."

83. Brian Waltermire - CEO / Diretor da Asgard Managed Services - "Adoro o esboço. quando você atingir a prontidão para ransomware, me avise. Inovamos no topo do Veeam, quadrante mágico nº 1 do Gartner, para incluir DNS seguro para proteger a rede e todas as conexões VCSP não. hashtag# ddos  ​​ou pessoal desonesto."

84. Jay Ribeiro - Diretor de Segurança da Informação (CISO) do US DOT e CIO Associado, Professor SCS da Universidade de Georgetown, - "

• Incrível e super útil. Obrigado Cristina Shannon !!! E quanto ao T menos o primeiro dia? Algo que você possa recomendar além dos já mencionados, como conhecer o negócio de fora? Alguma ideia de entrar em contato com os principais jogadores antes do primeiro dia? Isso é recomendado e, se for, o que você pergunta e o que faz com as respostas? Mal posso esperar pela sua nova e consolidada postagem! Obrigado novamente."
• Resposta de Christina Shannon  - "Adoro como você mudou o ciclo de planejamento antes da data de início. 😊 você tem dicas específicas de suas experiências, Jay Ribeiro ? Comunidade do LinkedIn ? Eu fiz isso e acho que é uma boa ideia. Não fiz aproveitar a oportunidade de “pré-planejamento” nas minhas duas últimas paradas (situacional) e dizer que posso não ser o melhor para fornecer orientação, mas acho que temos um grupo incrível de colaboradores aqui para ajudar 😊"
• Jay Ribeiro  - " Christina Shannon Eu leio e assisto tudo o que está disponível publicamente sobre a organização. Aprenda sobre minha liderança, bem como sobre meus subordinados diretos, se eu receber seus nomes de alguma forma. Conhecer minha liderança, especificamente o que fazer e o que não fazer, pode ajudar um muito quando você está tentando construir relacionamento e credibilidade nas primeiras semanas de trabalho.

85. Krishna C. Katragadda – Fundador e CEO da @DaXlens, – “ Christina Shannon , ótimo roteiro 👍 Que tal entender a cultura, práticas/normas da empresa?”

86. Dra. Carol Quillen, CISSP, CISA, CBCP - Engenheira Sênior de InfoSec, Líder da Equipe de Consultoria de Segurança Principal Grupo Financeiro - “

• Além disso, o que devemos 1) Parar de fazer, 2) Começar a fazer 3) Continuar fazendo?”

87. 𝐀𝐫𝐭 𝐑𝐞𝐛𝐮𝐥𝐭𝐚𝐧 (MsIT/GrDp-Forensics) - Autor: 𝐀𝐜𝐜𝐢𝐝𝐞𝐧𝐭𝐚𝐥 𝐂𝐈𝐒 𝐎 (𝘴𝘶𝘳𝘷𝘪𝘷𝘢𝘭 𝘬𝘪𝘵) e Resposta a Emergências (CERT - IT/OT) – "

• Brilhante e perspicaz 👏 Só por curiosidade, seria relevante realizar uma análise SWOT para todo o programa de segurança e para a equipe para aprender sobre Pessoas, Processos e Ferramentas?
• Além disso, que tal fazer uma modelagem de ameaças com a estrutura MITRE ATT&CK em relação às ferramentas de segurança atuais/existentes para uma defesa profunda? Obrigado. Só pensando em voz alta.”
• Christina S.  Resposta: "Adoro realizar análise SWOT e adicionar modelagem de ameaças ao plano. Obrigado 𝐀𝐫𝐭 𝐑𝐞𝐛𝐮𝐥𝐭𝐚𝐧 (MsIT/GrDp-Forensics) :)"

88. Lyall M. - Chefe de Segurança da Informação @NZX – “

• Na seção Avaliar a maturidade do programa de segurança, algo que sempre repito para mim mesmo é resistir ao impulso de “fazer alguma coisa”. A menos que você tenha sido contratado para lidar com um incêndio específico (por exemplo, pós-violação), o incêndio que você tentar apagar no dia 5 pode não estar classificado entre os 10 maiores incêndios que você tem em mãos no momento em que chegar. dia 50.”

89. Robert J. Dorney - Diretor Sênior da Cybersixgill - "Parabéns por sua nova função, Christina. Como parte do processo de revisão do fornecedor, se a informação sobre ameaças tiver lacunas em casos de uso, riscos de terceiros ou informações gerais automatizadas da dark web. Estou Fico feliz em explicar como preenchemos essas lacunas na Cybersixgill. Boa sorte com tudo!"

90. Brent S Allen - Vice-presidente regional Rubrik - "

• Eu amo essa colaboração. Espetacular. Não sou um especialista em segurança de forma alguma. No entanto, uma coisa que me serviu bem considerar é: anotar minhas noções preconcebidas sobre o negócio, a organização e as partes interessadas. Isso ajuda a obter autenticidade ao revisar as respostas anotadas nas perguntas que você postou. Entrevistas contínuas serão úteis para você.
• A maioria das pessoas usa a parte pensante do cérebro apenas até reconhecer um padrão e então começar a teorizar com base nesse reconhecimento de padrão. Entrevistar continuamente e anotar suas noções preconcebidas irá lembrá-lo de fazer uma pausa e pensar, e não apenas teorizar a partir de interações mínimas."

91. Jan Schreuder - Estratégia e transformação de segurança cibernética, cofundador do Cyber ​​Leadership Institute - " Christina S. por compartilhar isso tão generosamente - a maior parte do seu plano ressoa com a nossa experiência. Para aqueles que procuram orientação adicional, consulte."

92. Robin Nicholson - Engenheiro Sênior de Segurança de TI @TheSalkInstitute - "Você vai se matar com tudo o que listou para fazer apenas nas semanas 1 a 4. Você precisa de tempo para entender o negócio: como sua organização ganha $$ $; Como você cumpre seu orçamento? Como sua organização determina o sucesso?

93. Dane W - CISO do Grupo na Intertek - “Mapeamento de partes interessadas”

94. Boris Berganza - gerente de contas sênior, SLED na Proofpoint - "Etapa 6. Ligue para a Proofpoint :) parabéns pela função, Chrissy!!! Estou animado por você!"

95. Dossy Shiobara - Consultor da ButcherBox (+ funções adicionais) - "Meu Deus, adoro perguntar" o que você espera que eu não mude?

• Quer dizer, na verdade adoro toda a estrutura que você descreveu, não há literalmente nada de que eu discorde e tudo na lista agrega valor real, em vez de simplesmente ser um teatro de segurança cerimonial... mas adoro especialmente essa pergunta, isso não acontece. Não sou questionado com bastante frequência na minha experiência.

96. Peter Doyle - Gerente Sênior SAP e Segurança Cibernética da Accenture - “Em primeiro lugar, acho que me apaixonei. Uma abordagem maravilhosamente estruturada.

• Em segundo lugar, eu acrescentaria algum tempo para trabalhar um pouco mais com sua equipe direta (relatórios), conectar-se com eles pessoalmente. Construir e “manter” uma equipa de classe mundial (ou mesmo aceitável) no clima actual é um desafio que não deve ser encarado levianamente.
• Lembrando que você é tão forte quanto a equipe ao seu redor, você precisará do apoio deles. Então eles vão confiar no seu. Se você publicar um livro, eu o comprarei.”

97. Kyle Weckman – VP, CISO da Kestra Financial “Onde está o plano de negócios para solicitar os recursos necessários para preencher as lacunas?”

Resposta de Christina Shannon  - "Gosto do foco granular e obrigado, Kyle Weckman . “Investimentos” cobre amplamente “número de funcionários, software, hardware, serviços”, necessidades de financiamento. O plano estratégico descreve os principais riscos, recomendações, implicações orçamentárias, ROI ou Risco / análise de custos. Ou seja, acho que estamos dizendo algo semelhante?"

98. Jason Szot - Gerente, Sistemas de Informação Metrea Special Aerospace - "

• Isso é incrível. Obrigado por compartilhar isso. Mesmo em um nível inferior ao de um CISO, tento seguir estágios semelhantes nos primeiros 3 a 6 meses. Muito bem definido - posso pegar um pouco disso e incorporar em meus planos"

99. Darren Ritch, CISSP – Diretor - Segurança Cibernética - Diretor de Segurança da AT&T - "

• Obrigado Christina Shannon por sua postagem incrível e toda a colaboração. Há mais ouro aqui do que a corrida do ouro na Califórnia naquela época!”

100. Donald Mackert - Diretor Técnico da Research Innovations Incorporated - "“Ótima estrutura para um plano que pode ser adaptado a uma organização específica”

101.Radek Havlis - Diretor de segurança da @Telifonica -

• "Se você fosse um robô. O tempo é totalmente irrealista - a menos que seu dia tenha 48 horas ou mais e você não coma, durma, cuide de sua família, tenha algum tempo para recarregar as energias. Dobre ou até triplique o tempo para se conectar na cultura da organização, inclua as iterações necessárias das partes interessadas, a cocriação para envolver sua equipe, adicione alguma qualidade e então você poderá ter sucesso. Mas, de fato, uma boa estrutura para começar.”
• Resposta de Christina Shannon  - "Obrigada, Radek Havlis. Estou começando a me perguntar se devo remover os colchetes de tempo ou adicionar mais à isenção de responsabilidade? Concordo definitivamente que os cronogramas e marcos são situacionais e a postagem é uma linha de base. 😊"

102. Avraham Gestetner – Avaliação de Segurança, Quantificação de Riscos de Negócios CYE -“ Christina Shannon Isso é ótimo e relevante para qualquer função de liderança (eu uso uma estrutura semelhante para todas as minhas funções de CISO:)”

103. Sanusi Mutuwa – Gerente de nuvem e segurança de TI da Lincoln International – “Isso é muito oportuno para mim enquanto navego em minha nova função. Obrigado por compartilhar sua experiência e traçar um caminho para outros que virão depois de você. Por favor, continue este trabalho de “mentoria”. Eu, pelo menos, sou abençoado por isso.

104. 👨🏻 💻 Matthew Williams - Diretor de Vendas da Transmit Security - "Uma postagem de acompanhamento em sua jornada em torno das Metas 7 a 9 pode ser interessante em 6 a 12 meses, se não for pedir muito.

• Não é incomum que CISOs que conheço adquiram seu plano “sim, parece bom, vá em frente”, e então o plano requer uma atualização onde é necessária uma colaboração significativa entre departamentos - “esses são seus objetivos que não tenho os recursos para apoiar.
• Seria interessante se você se deparasse com algo semelhante, se você os abordasse proativamente antes que isso acontecesse e como você lida com os desafios que não prevê."

Resposta de Christina Shannon : " 👨🏻‍💻 Matthew Williams , obrigado pelo envolvimento. Sim, escreverei um acompanhamento em 6 a 12 meses. 😊☀️Concordo com seu ponto de vista e é uma frase de destaque justa dizer que às vezes seus melhores planos não dá certo. Em uma de minhas funções, fomos direto para uma investigação de incidente grave nas primeiras semanas. Meu plano de integração foi modificado para um “plano de gerenciamento de crise”.

106. Joel Krooswyk - Gerente Sênior de Arquitetura de Soluções, CTO de Campo em exercício (Setor Público) GitLab -

• "Incrível transparência no compartilhamento do seu plano. Gosto especialmente das perguntas sobre relacionamentos importantes e parceiros fornecedores críticos. Obrigado por esta postagem!"

107. ♠️ Daniel Luechtefeld, CISSP ♠️ – Líder da equipe de engenharia de segurança da AlgoSec - “Obrigado por compartilhar sua experiência como forma de mentoria virtual.”

108. Analista de ameaças Amirul Iman , Maxis - "Ótimo plano proativo! A menos que você seja contratado como CISO de combate a incêndios após uma violação grave"

109. Mitchell Gorham - Gerente de BizOps da Deloitte - "Guardando isso para quando eu me tornar um! Ótimas informações aqui!"

110. Norm DuBow, CISSP, CCSP, CRISC, CDPSE - Diretor de Segurança e Tecnologia da Informação da SurePrep, parte da Thomson Reuters - "Obrigado, Christina, isso é útil. Pergunta: Onde no processo você se encontraria com clientes importantes (como aplicável) para discutir a combinação entre seus requisitos e sua capacidade atual e futura de cumprir?

• Resposta de Christina Shannon : "Obrigada, Norm DuBow, CISSP, CCSP, CRISC, CDPSE , pensei sobre sua pergunta nas lentes de minhas experiências. Você quer dizer no caso em que um cliente tem requisitos de segurança para compartilhamento de dados e outros exemplos? Se portanto, temos visto consistentemente modelos em que as conversas com os clientes e as discussões sobre segurança são iniciadas pela equipe de contas do cliente, e a segurança atua mais como um consultor de risco 😊".

111. Chris Hughes 💭🔐 - CISO e cofundador da Aquia - "Esta é uma informação excelente, obrigado por compartilhar Christina Shannon ."

112. 10. Ryan O'Mara - VP de Finanças e Operações, Atlas7 - "Incluir o aprendizado da estratégia de compras atual e analisar alternativas."

113. Guillaume E - CISO do Kroo Bank - "Esse é um ótimo resumo e orientação.

• Um livro que tem sido fundamental para mim e que uso para cada nova função é - "Os primeiros 90 dias" - Michael Watkins "

114. Steve Cobb - CISO da One Source - "Ótima conversa, Christina. Na verdade, estou ministrando um webinar apenas sobre este tópico em 14/09 às 12h30 horário do leste dos EUA na conferência STRONGER, intitulado "Você é o novo CISO. E agora?". Eu daria as boas-vindas a qualquer pessoa que queira ter uma discussão mais profunda e ao vivo. https://hopin.com/events/stronger-2022/registration "

Publicado por

Cristina S.Cristina S.

CIO da KIK Consumer Products | 4x CISOCIO da KIK Consumer Products | 4x CISO

Publicado • 1 a

1 artigo

Estrutura do plano de 100 dias: orientação de integração para CISOs (e líderes): este artigo destaca o feedback de 114 CISOs, líderes de negócios, parceiros e colaboradores adicionais de tecnologia sobre dicas para planejar e executar um plano de 90 a 100 dias. Existem #114 comentários da comunidade do LinkedIn neste artigo! Uau, obrigado! Eu acho que esta é a definição de colaboração? :)