新しいセキュリティチームに参加する場合、どのような質問をする必要がありますか?
セキュリティチームで働いている別の会社のポジションを受け入れて、質問のリストをメンタルにまとめているので、環境にすぐに慣れ、優先事項に関するアイデアを集め始めることができます。
私が考えていることの多くは http://www.opsreportcard.com/section/28 に基づいていますが、他にも確かにあります。新しい環境でオンボーディングするときに尋ねる主な質問は何ですか?
- 定期的に作業する各チームメンバーの強みは何ですか?(つまり、プログラミング、Linux、ネットワーキング、規制など)
- ドキュメントはどこにありますか? Wiki、ナレッジベース、またはプロセスとポリシーを説明するドキュメントのセットがどこかにあるはずです。そうでない場合は、ヒーローになって始めましょう。
- セキュリティチームが取り組んでいる現在のプロジェクトは何ですか?これは一目瞭然です。チームのロードマップを理解し、最善の支援方法を見つけてください。
- ここでの私のキャリアパスとは何ですか、私のパフォーマンスはどのように評価されますか?セキュリティ関連ではありませんが、常に仕事で知っておくことが重要です。
- 変更管理プロセス(ある場合)は何ですか?これは非常に重要であり、プロセスがない場合は最終的にプッシュする必要があります。
- どの技術チームが何に取り組み、どのようなプロセスでそれらに従事するのですか?特定のトピックに関する質問に誰が答えることができ、特定の問題について誰と話すべきかをすばやく特定する必要があるため、これは重要です。チームによってエンゲージメントスタイルが異なる可能性があり、そのプロセスに従うことが重要です。
- 会社の仲間は誰ですか?これは一目瞭然です。どの従業員またはチームが「セキュリティを気にする」か。どのグループが合理的なセキュリティ要求に抵抗する可能性が低いか、またはセキュリティ改善のチャンピオンになる可能性が低いかを特定するのは良いことです。
- チームの哲学は何ですか?チームの他のメンバーと同じように状況にアプローチしていることを確認したいので、これは重要です。外部からできる限り最善の方法で1つの音声によるアプローチを求めています。内部の緊張を保ちます。 ;)
- ユーザーをどのくらい遠くまでプッシュできますか?通常、プッシュがあまり効果的でない「アドバイザリーアプローチ」を見つけます。
- ビジネスの運営方法これには、組織図の理解、会社の戦略、ビジネスリスクなどの理解が含まれます。これを知らないと、あなたにできる限りのセキュリティの答えを与えるコンテキストがありません。私は多くの人々が彼らの不利益のためにこれに焦点を合わせないことを見つけます、しかしそれは本当に重要です。