CISO上任后首个100天的行动指南

© 2021 Gartner 公司及/或其关联公司版权所有。保留所有权利。CM_GTS_1416419 Gartner IT 领导者 CISO 上任首个100 天的行动指南 分析师：William Candrick、Sam Olyaei、Tom Scholtz Gartner 公司 | G00747118 第1页，共 18 页 CISO 上任首个 100 天的行动指南 发布日期：2021 年 5 月 24 日 - ID G00747118 - 阅读全文约需 20 分钟 分析师：William Candrick、Sam Olyaei、Tom Scholtz 项目：安全与风险管理领导者 担任首席信息安全官（或同等职务）的前 100 天，将决定你是否可以作为安全与风险管理领导者取得成功。为此，Gartner将通过本研究提供相关的指导和支持，帮助新任 CISO 在这个关键的过渡阶段取得最大的成功。 概述 主要发现 ■ 成功的首席信息安全官（CISO）是领导者、管理者和沟通者，而不是技术人员。 ■ CISO 的成功取决于是否能够实现以下两个重要成就：（1）建立个人信誉和领导力品牌，以及（2）为防御安全项目奠定基础。 ■ 如果新任 CISO 不能理解领导层的期望或不能有效传达安全项目如何支持业务成果时，他们就会陷入困境。 建议 任期内的首个 100 天，CISO 应该： ■ 将你的领导要务与业务成果及目标联系起来，加强网络安全项目与业务项目的关系。 ■ 在深入研究技术细节和进行技术决策之前，先制定一个安全战略。 ■ 确定你可以在 CISO 任期内前 100 天完成两到五个优先事项，这将最大限度地提高你的成功机会。 ■ 在不可预测的安全事件发生之前，为其留出更多处理时间，避免延误战略项目。 ■ 分享战略愿景，展示员工融入该愿景的方式并避免公开批评前任 CISO，从而赢得安全团队的支持。 Gartner 公司 | G00747118 第2页，共 18 页 导语 在担任 CISO 的前 100 天，你将有机会确定自己的角色和职业关系。你可以在这段短暂的“蜜月期”内制定战略、与其他高管建立关系、获得领导层的支持、与新团队建立信任以及展现你的领导风格。如果这时贵企业需要对网络风险治理开展重大改革，或者需要大幅提高安全项目的成熟度，那么这个机会就显得尤为宝贵。 本研究将主要探讨杰出的 CISO 充分利用这 100 天的具体方法。另外，我们将这 100 天分成了六个阶段，它们分别是：准备阶段、评估阶段、规划阶段、行动阶段、衡量阶段和沟通阶段（图 1）。 图 1：CISO 上任后首个 100 天的路线图 CISO 上任后首个 100 天的路线图 沟通 在整个任期内让利益相关者参与进来 来源：Gartner 747118_C 在上任前，对你的角色进行规划 了解安全部门的当前成熟度 为首个 100 天制定路线图 采取行动，大幅提高成熟度 证明安全部门取得的进展 1.准备 （上任前） 2.评估 （第 1-4 周） 3.规划 （第 3-6 周） 4.行动 （第 5-12 周） 5.衡量 （第 11-14 周） Gartner 公司 | G00747118 第3页，共 18 页 阶段 目标 准备 在上任前，对你的角色进行规划。 评估 了解安全部门的当前成熟度。 规划 为首个 100 天制定路线图。 行动 采取行动，大幅提高成熟度。 衡量 证明安全部门取得的进展。 首个 100 天计划 简而言之，成功的前 100 天计划安排应该： ■ 建立你作为 CISO 的信誉，提升安全部门在企业中的内部品牌和形象。 ■ 确定安全部门当前的成熟度（见安全与风险管理 IT Score 评价模型）。 ■ 重点关注各战略项目下的细分项目，细分项目应通过合理的方法（如成熟度评估、风险评估等方法）选择并确定优先等级。 ■ 缩短卓越安全运营和业务价值（如高管的优先事项）之间的差距。 ■ 确定现实、可衡量、有时限的目标，并设定衡量标准来跟踪这些目标的进展。 下面，本研究将为实现这些目标提供易于操作的指导。 准备阶段（上任前） 在上任前，为你的新角色做好准备，制定好初步规划，从而为成功的开始奠定基础，并为你的CISO 任期建立需要的职业关系。 准备阶段需要实现的目标成果 在准备阶段，你要以实现下列成果为目标： ■ 大致了解你的角色和你的员工、高层利益相关者和领导团队的期望。 Gartner 公司 | G00747118 第4页，共 18 页 ■ 制定基本的会面计划，去认识领导层利益相关者和安全工作人员。 这个阶段的重点是倾听和学习，而不是做决定。在你担任 CISO 的前几周，你应该避免做出大范围的声明或决定。 准备阶段需要采取的行动 在上任之前，你要采取以下行动： 评估贵企业需要的 CISO 类型：在文化、行业、政治挑战和其他因素的影响下，不同的企业对CISO 有不同的要求。有些企业需要运营型 CISO，有些企业则需要业务型 CISO。为此，Gartner 建议安全与风险管理领导者查阅“CISO 有效性指数”，并根据企业的需求来确定 CISO类型。 了解贵企业的组织结构：获取组织结构图和运营文件（如流程图），了解安全部门、IT 部门和整个企业的结构，从而了解安全部门在企业中目前的管理和运营角色。 确定关键利益相关者：创建一个你将与之合作的领导层利益相关者名单。这份名单可包括（但不限于）首席执行官（CEO）、首席财务官（CFO）、首席信息官（CIO）、法律总顾问、人力资源（HR）主管、首席隐私官（CPO）和首席风险官（CRO）。 建立新的联系：最好是在你上任前，与领导层的利益相关者和安全人员接触，如发送面试后的感谢信和关注他们的 LinkedIn 账号（带有个性化备注）。 Gartner 公司 | G00747118 第5页，共 18 页 安排首次会议：与行政助理（或企业内部友好联系的人）合作，安排你的首轮会议：计划在第一天召开安全团队全体成员会议，并在第一周与整个企业的关键利益相关者开展一系列会见和会谈。最初几周是一个在企业内进行自我介绍和建立良好形象的好机会。 准备阶段需要开展的沟通 上任前，你的重点应该是了解企业的情况，准备与利益相关者和团队的沟通信息。可以说，最初几周的成功取决于有效的沟通，而不是决策。 上任前，以及上任后的最初几周，你应该关注以下内容： 了解其他高管的优先事项：杰出的 CISO 明白，他们是企业高管，而不仅仅是运营经理或技术专家。因此，要充分发挥你作为 CISO 的潜力，你需要了解企业业务以及高管和董事会最关心的优先事项。所以在上任前，请参考以下信息来源： ■ 从企业官网“关于我们”页面上了解公司的使命宣言。 ■ 阅读最近的公开财务报告（例如，美国上市公司的季报或年报），了解领导层的优先事项和关注点。 ■ 阅读并观看领导层最近的报道和访谈（并可以关注领导层的社交媒体账户）。 ■ 确定高管内部的竞争要点，并做好准备带领安全部门应对这些复杂的领导层关系。 自我介绍：准备简短版的简历，涵盖你的个人背景、工作经验以及你对加入该企业的一些想法。然后在介绍和会面时使用这一简历，让所有人都能了解你是谁，