APP推广合作
联系“鸟哥笔记小乔”
如何提高网络安全(解读如何在90天内提高网络安全)
2022-08-08 09:44:58

作为负责安全的高级管理人员,安全专家将承受巨大的压力。网络犯罪活动近年来日益猖獗,与2020年相比,2021年每次数据泄露事件的平均损失增加了10%,而数据泄露事件数量增加了17%。

对于一些新任的首席信息安全官来说,在其开展工作的前90天内对企业产生的影响至关重要。并将为其任期的成功或失败奠定基础。

 

首席信息安全官很容易完成其待办事项清单上的每一项显著任务,这样看起来就好像正在完成既定任务一样。但是,首席信息安全官为其成功铺平道路的最可靠方法是有条不紊地、深思熟虑地制定一个90天计划并坚持完成。

 

以下九个步骤的路线图将指导首席信息安全官制定一个出色的网络安全计划,推动数字化转型,并利用SaaS技术加速业务计划,并降低运营成本。

 

(1)第1~3周:识别和理解业务风险

 

在首席信息安全官入职的前三周,需要了解其所在公司的整体业务。探索业务运营方式、分散的团队员工所在的位置、企业如何应对市场、提供的服务和商品。这是深入了解企业的上市战略和供应链的机会。

 

尽可能多地与其他高管、董事会和其他公司领导人举行会议,以深入了解他们的业务职能和职责。与其他技术官员会面也是掌握更大的技术堆栈的最佳方式。

 

在最初三周时间的探索中,评估企业领导层在开发周期中左移的意愿;在开发生命周期中的开始之初就融入安全性,从而降低成本,并提高可靠性。

 

(2)第4~5周:感受企业的技术流程并开始发展其团队

 

与技术堆栈相比,定义明确的流程对网络安全的影响更大。在担任首席信息安全官的第4~5周,需要熟悉团队成员,了解现有流程,尤其是围绕项目、事件和客户生命周期管理的流程。

 

首席信息安全官通常了解什么技术有效,什么技术无效。并询问任何可用的文档化标准,创建一个列表,列出哪些流程和技术缺少文档。接下来,与其他团队沟通,以确定哪些技术和流程与其范围重叠。

 

现在是开始深入了解团队的时候了。首席信息安全官一对一地确定他们的职业目标,并探索如何帮助他们实现这些目标。了解他们感兴趣的培训和职业发展目标,企业在过去提供过哪些类型的培训,然后通过人力资源来了解团队成长的职业道路。

 

这是首席信息安全官与其团队成员讨论自动化的最佳时机,他们可能有时间与其团队成员讨论自动化的好处。

 

(3)第6周:制定策略

 

首席信息安全官在这一阶段收集了信息,现在是实施计划的时候了,可以制定以下战略:

 

·满足企业的总体业务战略、目标、目的。

 

·满足员工的职业目标。

 

·通过减少员工重复而乏味的任务,提高他们的自动化水平。

 

·将企业面临的网络风险评估为一个关键的整体差距。

 

·在开发生命周期中左移安全性。

 

·鼓励采用SaaS。

 

·将所有IT迁移到零信任架构。

 

(4)第7周:完成企业的战略并开始实施计划

 

这是首席信息安全官的第7周,其策略和计划都很好。首席信息安全官的下一步是由其团队员工执行其策略,然后获得和接受反馈,并做出调整,然后提交给企业的执行委员会批准。

 

在获得批准之后,与适当的团队合作,确定能够推动成功的策略。合作是关键——这将培养融洽关系,帮助同事和员建立信任,然后开始实施战略。

 

(5)第8周:获得敏捷

 

将企业的团队过渡到敏捷项目管理方法将确保快速获得功能元素。

 

如果企业的团队规模很小,Scrums将是适当且有效的。如果企业已经在使用sprints,将其团队的sprints周期与工程团队的持续时间保持一致。如果没有其他人使用sprints,需要将其周期设置为三周。

 

(6)第9周:开始衡量和报告

 

首席信息安全官有权访问历史报告,也可能无法访问。无论哪种方式,第9周都是启动新基准和定期衡量并向执行委员会报告的最佳时机。

 

确保对其团队员工和与首席信息安全官一起工作的其他部门表示赞赏。通过培养在最初几周建立的良好意愿,将与同事建立更牢固的关系——当必须指出问题和差距时,这并不是一件坏事。

 

随着首席信息安全官的报告变得定期,开始对企业进行有关网络安全的教育和交流。鼓励合作、参与并庆祝成功,而不是专注于问题。创建跨部门的“安全拥护者”计划,鼓励其拥护者在出现问题时报告,并因参与而获得奖励。

 

(7)第10周:进行彻底的渗透测试

 

渗透测试是如何获得一些关于事情到底有多糟糕的数据。应该计划、安排和执行对基础设施和应用程序的彻底渗透测试(或红队练习)。

 

寻找遵循PTES或OSSTMM 3方法进行基础设施测试,并为每个应用程序使用OWASP测试框架的渗透测试合作伙伴。

 

(8)第11周:开始使用零信任身份验证框架

 

过渡到零信任身份验证(ZTA)框架是作为首席信息安全官的任职前90天的关键一步。

 

在零信任认证中,在默认情况下不授予用户访问权限,但一旦通过身份验证,他们就会获得访问权限。零信任认证将增强企业的安全状况。零信任认证的第一步应该是开始尽可能地取消密码,并过渡到安全的多因素身份验证。

 

(9)第12周:评估SaaS提供商

 

通过深入研究购买指南和SaaS供应商比较来开始首席信息安全官的角色是很诱人的,一旦掌握了企业的业务、战略、现有的技术堆栈和预算,这样做会更有意义。

 

当企业开始评估SaaS提供商时,需要证明潜在供应商符合CSACCM、在CSASTAR联盟中的注册。

 

如果评估不符合这些标准的供应商,将需要开发一个全面的程序来评估他们的安全性。根据客观的第三方评估来评估SaaS供应商至关重要,而不仅仅是供应商的营销努力。

 

遵循这一路线图将帮助首席信息安全官打下坚实的基础:运作良好的网络安全团队、可重复报告的数据基线、与新同事和团队的信任和融洽关系、数字化转型机会清单,以及对企业业务的深入了解。

小庄
分享到朋友圈
收藏
收藏
评分

综合评分:

我的评分
Xinstall 15天会员特权
Xinstall是专业的数据分析服务商,帮企业追踪渠道安装来源、裂变拉新统计、广告流量指导等,广泛应用于广告效果统计、APP地推与CPS/CPA归属统计等方面。
20羽毛
立即兑换
一书一课30天会员体验卡
领30天VIP会员,110+门职场大课,250+本精读好书免费学!助你提升职场力!
20羽毛
立即兑换
顺丰同城急送全国通用20元优惠券
顺丰同城急送是顺丰推出的平均1小时送全城的即时快送服务,专业安全,准时送达!
30羽毛
立即兑换
小庄
小庄
发表文章39653
确认要消耗 羽毛购买
如何提高网络安全(解读如何在90天内提高网络安全)吗?
考虑一下
很遗憾,羽毛不足
我知道了

我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。


一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
    1)反对宪法所确定的基本原则;
    2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
    3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
    4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
    5)煽动民族仇恨、民族歧视,破坏民族团结;
    6)破坏国家宗教政策,宣扬邪教和封建迷信;
    7)散布谣言,扰乱社会秩序,破坏社会稳定;
    8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
    9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
    10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
    11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
    12)危害未成年人身心健康的;
    13)含有法律、行政法规禁止的其他内容;


2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
    1)轻蔑:贬低、轻视他人及其劳动成果;
    2)诽谤:捏造、散布虚假事实,损害他人名誉;
    3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
    4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
    5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
    6)谩骂:以不文明的语言对他人进行负面评价;
    7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
    8)威胁:许诺以不良的后果来迫使他人服从自己的意志;


3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
    1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
    2)单个帐号多次发布包含垃圾广告的内容;
    3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
    4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
    5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
    6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
    7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
    8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。


4. 色情低俗信息,主要表现为:
    1)包含自己或他人性经验的细节描述或露骨的感受描述;
    2)涉及色情段子、两性笑话的低俗内容;
    3)配图、头图中包含庸俗或挑逗性图片的内容;
    4)带有性暗示、性挑逗等易使人产生性联想;
    5)展现血腥、惊悚、残忍等致人身心不适;
    6)炒作绯闻、丑闻、劣迹等;
    7)宣扬低俗、庸俗、媚俗内容。


5. 不实信息,主要表现为:
    1)可能存在事实性错误或者造谣等内容;
    2)存在事实夸大、伪造虚假经历等误导他人的内容;
    3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。


6. 传播封建迷信,主要表现为:
    1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
    2)求推荐算命看相大师;
    3)针对具体风水等问题进行求助或咨询;
    4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;


7. 文章标题党,主要表现为:
    1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
    2)内容与标题之间存在严重不实或者原意扭曲;
    3)使用夸张标题,内容与标题严重不符的。


8.「饭圈」乱象行为,主要表现为:
    1)诱导未成年人应援集资、高额消费、投票打榜
    2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
    3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
    4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
    5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序


9. 其他危害行为或内容,主要表现为:
    1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
    2)不当评述自然灾害、重大事故等灾难的;
    3)美化、粉饰侵略战争行为的;
    4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。


二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。


三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)

我知道了
恭喜你~答对了
+5羽毛
下一次认真读哦
成功推荐给其他人
+ 10羽毛
评论成功且进入审核!审核通过后,您将获得10羽毛的奖励。分享本文章给好友阅读最高再得15羽毛~
(羽毛可至 "羽毛精选" 兑换礼品)
好友微信扫一扫
复制链接