私が働いている会社(スタートアップのようなもの)には、専任の最高情報セキュリティ責任者(CISO)を雇う余裕がありません。したがって、上司は、チーム内のセキュリティを意識した人々に協力してCISOの仕事をするよう依頼しています。そのための予算はないと思います。
問題は、私たち全員がセキュリティ関連のバックグラウンドを持っていることと、いくつかのことを知っていますが、どこから始めるべきか、その後どこに行くべきかについては本当にわかりません。
私たちはすべきことを知っています:
必要なのは、正確な手順、内容、探すべきこと、考えられないことです。基本的に、CISOの仕事を行うための完全なガイド。
私たちはいくつかのリソースを見つけて読みましたが、多くの場合補完的であり、時には矛盾していましたが、完全ではありませんでした。そのため、何が欠けているのか本当にわかりません。そして、それは多くの作業のようですしかし、知識が正しく収集され、方法が定義されている場合、私たちはやる気を保ち、とりわけそれを正しく行う一方で、これを成功させることができると信じています。
質問するのは難しいかもしれませんが、誰かが私を助けてくれますか?
多くの共有CISOを監視し、この役割の誰かの必要性について組織を販売した人として、問題は、各組織には異なるニーズがあり、異なるということです。 CISOへの期待。一部は運用サポートを期待し、一部は専任のリスク専門家を必要とし、一部は翻訳者として機能するセキュリティ機能の取締役会レベルの代表者を必要としています。
組織の中心的な目標は、リスクを把握し、リスクを管理および監視し、組織および関係者にリスクを伝達することです。 CISOは、組織ができないリスクについて考える必要があります。
さらに、CISOは、ビジネスのセキュリティ機能、リスク機能、および/または規制機能を主導できる必要があります。しかし、ここでの期待は組織次第です。
デロイトには「 CISOの4つの顔 」があり、これはCISOがどうあるべきかのかなり良いガイドです。
CISOは、セキュリティ技術の管理(技術者)および企業資産の保護(guardian)。同時に、彼らはますますセキュリティ戦略(strategist)を設定し、セキュリティの重要性(advisor)。
したがって、CISOの「行うべきこと」のセットリストはありません。実行する必要があることの長いリストがありますが、それらを実行するためにCISOは必要ありません。そのために、フレームワーク(ISO 27001、NIST CSF、Cyber Essentialsなど)を取得して作業を開始します。あなたの質問のあなたのリストは取り組むべき小さなものですが、良いリストです。
CISOの基本レベルの要件は組織ごとに異なりますが、以下はスコープに関する高レベルのガイダンスです。
CISOの範囲は、セキュリティイニシアチブを開発およびサポートするためのビジョンとリーダーシップを提供することです。 CISOは、エンタープライズITシステムの計画と実装、ビジネス運用、およびセキュリティ攻撃、違反、脆弱性の問題に対するメカニズムの防御を管理します。このCISOは、セキュリティポリシー、アクティビティ、および標準の管理を指示しながら、既存のシステムの監査も担当します。 CISOは、必要なセキュリティ標準、コンプライアンスシステム、監査などの実装も担当します。
CISOの職務範囲は、以下の主要なドメインに定義できます。
セキュリティ戦略の計画と管理:例:防衛イニシアチブに優先順位を付け、リスクベースの評価方法を使用して現在および将来のセキュリティテクノロジーの評価、導入、管理を調整することにより、ビジネス目標を達成するための戦略的セキュリティ計画を主導します。
セキュリティの計画と展開:例:組織のセキュリティニーズを特定し、必要なセキュリティメカニズム、標準、運用慣行などの展開を計画します。
セキュリティ操作:例:ファイアウォール、侵入検知システム、暗号化システム、ウイルス対策ソフトウェアなど、すべてのコンピューターセキュリティシステムとそれに対応するソフトウェアまたは関連するソフトウェアの管理を管理します。
Management Reporting: Eg:セキュリティ関連のレポート、ダッシュボード、リスクレジストリなどの観点から、管理レポートの発信ポイントとして機能します