四个CISO部落及其所在位置.pdfVIP

四个CISO 部落及其所在位置 2.0 版 Gary McGraw 博士 Sammy Migues Brian Chess 博士 目录 前言 …………………………………………………………………………………………………………………………….. 3 我们不打算讨论的内容：通常的CISO …………………………………………………………………………………….. 4 来自实际CISO 的数据………………………………………………………………………………………………………. 5 18 项区分要素…………………………………………………………………………………………………………………. 5 • 八项劳动力区分要素………………………………………………………………………………………………………………… 7 • 五项治理区分要素…………………………………………………………………………………………………………………… 9 • 五项控制区分要素…………………………………………………………………………………………………………………… 10 四个部落……………………………………………………………………………………………………………………….. 12 • 部落1：安全性作为使能器…………………………………………………………………………………………………………. 12 • 部落2 ：安全性作为技术……………………………………………………………………………………………………………. 13 • 部落3：安全性作为合规性…………………………………………………………………………………………………………. 15 • 部落4 ：安全性作为成本中心………………………………………………………………………………………………………. 16 关于部落和演进………………………………………………………………………………………………………………… 18 利用区分要素来进步…………………………………………………………………………………………………………… 18 还有八件事……………………………………………………………………………………………………………………… 19 现在怎么办？…………………………………………………………………………………………………………………… 20 附录A ……………………………………………………………………………………………………………………………21 本文根据Creative Commons Attribution-Share Alike 4.0 许可证获得许可。查阅此许可证，请访问 /licenses/by-sa/4.0/legalcode 或致函Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA 。 2017 Inc. 前言 本文面向CISO。CISO 也是人，既然是人，有时难免会为思考自己的工作内容和动机而焦虑，包括：我如何能够 表现得比同事更优秀？其他CISO 都在做些什么？我是否漏掉了某些显而易见的东西并且已被其他人所知晓？我 如何才能提高绩效？这四个问题只是我们计划在本文中弄清楚的诸多问题之一。本文的首要目标是描述CISO 的 日常工作以及这些工作的组织和执行方式。 数据至关重要，尤其是在计算机安全背景下。作为科学家，我们喜欢收集数据，然后在一个相干模型中来描述我 们收集到的数据。这是我们曾在BSIMM 项目中采用的方法