如何为您的安全计划获得管理支持

有效(以及一般不起作用)如何帮助获得所需的美元,员工和其他资源,以实现有效,持续的,改变的网络安全计划?让我们看看这个重要问题的答案。

by / June 3, 2018

执行买入Cyber​​ Projects。

每个人都想要它。

很少有足够的。在企业重组或执行管理提案国休假后,甚至更少地保持它。

但你怎么能得到它?你如何建立支持持续?如果顶级管理人员不是技术的,它可以维持和培养吗?

是持久的‘culture-change’涉及网络ecurity甚至可能— short of a ‘Cyber Pearl Harbor’击中该国或主要的数据泄露事件袭击您的组织?

在获取高管支持时可以帮助沟通哪些提示?在战略会议期间,冗余消息通常导致管理人员在他们的智能手机上瞥了一眼?

这一重要的话题本周再次以几种独特的方式浮出水面。

首先,当我介绍一个网络研讨会 农村宽带协会 - NTCA 在存在 网络明智:培养网络安全文化。我七个网络研讨会步骤中的第一个点侧重于如何获得高管购买,因为如果高级管理层不仅在船上,文化变革几乎是不可能的—但引领收费。

此外,我在演讲后收到的问题侧重于如何在管理时获得安全资源“doesn’t seem to get it.”我将详细阐述我对以下问题的答案。

这种安全领导主题最近出现的另一种方式是在我的简要期间,与Scott Schober在线讨论“什么让我留在晚上”关于当前的全球安全局势。斯科特写了这本优秀的书, 再次攻击, 哪一个 我去年审查了但是,我对当前问题的答案不是典型的简约,即统治者统治着网络主角的违约者或其他坏消息。

我的回答“什么让我留在晚上”专注于Cisos,CSOS和其他安全领导者和专业人士如何挣扎。安全领导者需要以某种方式超越消防和反应网络化,以便在实施战略安全项目和持久解决方案方面建立其有效性。

毫无疑问,解决安全事件是您工作的一部分,但不断“推出火灾”赢得了’给你一个“更好的消防站”。您必须采取积极主动的步骤,并实施战略和战术项目,以获得所需的资源。此外,您需要投资于改善您的Cyber​​ eam,就像 MEMA很久以前就学会了为自然灾害做准备.

安全管理和提高安全职业有效性的持久答案涉及构建更好的执行关系,增长您的影响力和下面的其他步骤。

A 非常 关于网络安全的高管买卖史

是的—我们大多数人都看到了关于以前获得“支持安全性”的问题— many times.

回到2012年,我写了一篇文章 3种道路通行的网络安全。仍然相关的作品建议安全优点:

  • 谨防使用恐惧,不确定性& Doubt (FUD)
  • 跳上热按钮问题
  • 找一个商业冠军

吠声的首席科学家Ryan Berg, 建议我们

  • 首先同意需求和目标
  • 建立专用预算
  • 大学教师’担心其他人都在做什么

 回到2014年,Gartner提供了 八种方式,向执行管理传达安全福利。这些包括:

  • 正式化风险和安全计划
  • 衡量计划成熟
  • 使用基于风险的方法
  • 使用风险条件的铅指标
  • 将Kris映射到KPI
  • 将风险倡议链接到公司目标
  • 从执行通信中删除操作指标
  • 清楚地沟通有效和什么不起作用’t

现在有五个技巧,帮助您提供资源

假设您已经完成了您的作业,并且您知道您需要的(包括人员,流程和技术组件)对您的网络计划成功,这是我在过去几个月里谈论的五个提示。 (注意:这不是一个全包名单)。

1)保持沟通正面— I’一直在十年内说它,但恐惧,不确定性& Doubt (FUD)单独赢了’给你带来更多资源。虽然最近的数据违规或一些大型赎金软件故事有时像一个味道在一个介绍之前味道的开胃菜,但我很久以前就学会了,如果他们总是带来坏消息,就会失败。

这里’来自安全供应商的这个问题的另一个方面,我从Cyber​​security行政Michael P. Kohl引用(这是来自最近的Linkedin反应):“我今天在打个电话,这是如此痛苦。如此痛苦。每个人都知道它有多痛苦。相信我。请...对于每个供应商合作伙伴和产品开发人员来说。每当我看到您的演示文稿,始于网络空间有多糟糕,以及安全领导的巨大挑战,我都说我会立即删除你的WebEx或开始多任务处理。 (如果我,我甚至只有多任务’太忙了,不能放弃你的电话)。如果这些问题现在没有很好地理解,那么你明确地卖给了错误的人。我今天实际上待在了这个电话,因为它在途中是为了为无能沟通来设置世界纪录。我只是不得不看看它真正遗忘了多么糟糕。我意识到了网络安全中有很多年轻人。我明白’易于谷歌并获得此类统计数据。但在这儿’我对你赢了的建议’在Google上查找:停止它。”

那么做什么“positive”消息手册看起来像?带上你的老板(或者你卖给你的计划)解决方案,而不是问题。你想做什么来改善或解决东西?

用商务语言清楚地沟通。是 一些相关提示.

2)使用企业风险语言,不是网络灵孔 —商业管理人员理解的一件事是风险。与技术术语相比,通常会受到很好地接收到商业优先事项和降低风险的沟通。

在公共部门,我经常试图向政治领导人解释 为什么网络安全是政府的最重要优先事项 —随着有用的措施拍摄。

风险管理研究所 提供一些实用的方法来做这件事 公平研究所国家网络安全联盟和NACD.

3)基准和衡量进展 —它始终有助于建立一个基线,并使用仪表板和其他可视化工具测量进度。

例如,当我在密歇根州的CSO时,我们 为州长设置企业仪表板 在密歇根州今天仍在使用中。 其他人使用Cyber​​dashboards. 也是,虽然他们中的许多人不公开。

毫无疑问,有时候 糟糕的指标或研究数据来自审计员和报告 这讲了一个消极的故事,但试试“使用柠檬创造柠檬水”这可以帮助提供有意义的项目,并为您提供所需的安全资源。

4)乘船离开码头 —我经常听到安全专业人士抱怨他们只是根本没有高级刽子手的耳朵和唐’T在保护系统所需的资金或工作人员附近的任何地方。他们指向其他更大的业务支持的其他程序。

所以,如果你可以’t击败他们,加入他们。我概述了2015年 七种方法可以支持政府中的网络人权。 5号是利用“hot button”立即获得资助的问题。“通过确保在政府的这些资助项目中建立了安全性来执行此操作。确保您在桌面上席位作为委员会成员或重要举措的关键资源。超越您的基本职责,帮助更广泛的技术和业务团队成功。”

此外,这可能包括真正基本的技术维护项目的技术项目。 这篇文章从 福布斯 points out 许多安全漏洞是基本疏忽或技术专利的结果,而不是在修补服务器漏洞等地区的工作。

这是必要的是,安全领导人可以帮助科技领导人在同一时间更加成功,更好地保护企业。 (换句话说,钱不’T需要在您的预算中。您可以通过帮助别人更成功提供更好的Cyber​​ Defense。)

5)建立与商业领袖的关系和信任 —问题:你宁愿和总统成为好朋友还是在空军上骑车? (注意:我不是在谈论布什,奥巴马或特朗普等任何特定的美国总统;这只是一个普通问题。)

我的答案是成为朋友,因为这种关系意味着更多。是的,家庭和亲密的朋友们得到很多“perks,” but it is not a “one and done”机会。密切关系提供多年甚至数十年的持续访问和有意义的对话。

以同样的方式,安全和技术领导者的长期目标应该是开发持久的积极业务关系,即36°和建立信任。你可以 这里阅读有关此主题的更多信息。

最后的想法

我现在涵盖了这次高管买入安全主题,因为这些网络资源问题在任何地方都在努力。这些主题中的许多议题类似于行业讨论到10年前的行业讨论,但他们现在似乎甚至更热—尽管经济强劲。

我看到许多安全和技术领导者在十年前的一些领导者中犯了同样的错误。毫无疑问,我们都犯了错误,我们都在学习。

然而,有时间测试的答案使得在获得网络安全资源时更有可能成为成功。

您对所需的安全资源有什么经验?

请在LinkedIn上访问此帖子,并提供您的输入。 (注意:此博客将在信息安全社区以及我的LinkedIn帖子中发布。随意加入讨论。)   


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs