Wie baut man ein Informationssicherheits-governance-Ausschuss-Modell, das funktioniert

Wie baut man ein Informationssicherheits-governance-Ausschuss-Modell, das funktioniert

Die erfolgreiche Umsetzung eines information-security-Programm in jeder Organisation kann eine der komplexesten Unternehmen in der heutigen Geschäftswelt. Als Sicherheitsexperte ist es Ihre Aufgabe, Wege zu finden, schützen Sie Vermögenswerte des Unternehmens, der Ruf und Daten, während die Vermeidung jeder nachteiligen betrieblichen Auswirkungen auf das tägliche Geschäft.

Wir haben alle gehört oder gesagt das man eine Millionen mal: „Richten Sie den Sicherheits-Programm mit dem business.“

Das ist ein Balanceakt, erfordert eine sehr sorgfältige Vorgehensweise und der wesentlichen Beteiligung von einem breiten Spektrum von Interessengruppen, um erfolgreich zu implementieren. Paar, dass mit der Notwendigkeit einer angemessenen Finanzierung, Personal-und Organisations-Unterstützung, und was kommt aus dem anderen Ende ist der Zustand der meisten information security Programme heute.

Diesem Zustand ändert sich sehr weit in der Reife und Erfolg zwischen Industrie-Branchen und von Unternehmen zu Unternehmen Verschieden. In all der Komplexität und Vielfalt der Programme eine der wenigen übereinstimmungen, die zum Erfolg führt, ist eine ordentliche Verwaltung und Ausschuss für Beteiligung. Vor der Gestaltung eines Ausschusses Ansatz, betrachten Sie diese drei Ideen.

Die richtigen Stakeholder

Die erste Tendenz beim Bau eines Ausschusses roster sein kann, um zu laden diejenigen, die Sie denken, sind starke Befürworter des Programms, champions of information security, oder Führungskräfte, mit denen Sie gut gebaut Beziehungen.

All dies sind gute Ideen; es ist jedoch äußerst wichtig, einen Schritt aus Ihrem Komfort-zone hier und bringen in einigen der potentiellen oder bestätigten resisters als gut. Eine der schlimmsten Szenarien für ein security-Programm zu bekommen-governance-Unterstützung und Genehmigung nach Monaten der recherche, Analyse und Vorbereitung, nur um es in die Luft gesprengt, die von einem einzigen Widerständler mit genug Einfluss, um so zu tun.

Stattdessen bekommen diese Menschen in den Raum und lassen Sie Ihre Stimme gehört werden früh und Häufig. Wenn Sie nicht starke champions-Sicherheit ist genauso wichtig für Sie, zu glauben, Sie haben eine Stimme, so ist es für den rest der Steuerungsgruppe zu verstehen, was das Programm ist gegen. Design ein Komitee-team, die Herausforderungen, die sich gegenseitig und das Programm regelmäßig.

Timing ist der Schlüssel

Die Häufigkeit von Sicherheits-governance ist entscheidend, und es kann schwierig sein. Ich Neige dazu zu glauben, Frequenz stützt sich stark auf die Laufzeit des Programms und den aktuellen Stand der Organisation. Neuere Programme schieben signifikante änderung sein sollte, treffen mit Ihrer governance-Gremien viel häufiger, um zu begrenzen, überraschungen und profitieren Sie von breiten senior-leadership-Beteiligung.

Die jährlichen treffen sind nicht annähernd Häufig genug, und zweimal pro Monat ist wahrscheinlich viel zu oft für die meisten Organisationen. Jedes Programm hat eine Frequenz von treffen, die genau die richtige für das business und das Programm, aber die Faustregel sollten nicht weniger als vierteljährlich.

Ein Ansatz, den ich gefunden habe, sehr erfolgreich ist, zu halten, bi-monatliche Vorstandssitzungen und host des sub-Komitees für die off-Monate. Dies gibt Ihnen die Möglichkeit, alle sub-committee feedback und Richtung zu Ihrem Vorstand für das Bewusstsein und Genehmigung.

Apropos Unterausschüssen, stellen Sie sicher, Sie haben ein paar von diesen. Wenn Sie Ihren executive-security committee richtig, Sie werden bald herausfinden, Sie sind nicht das Publikum für alle Dinge, die die Sicherheit von Informationen. Vereinzelt gibt es Probleme, die möglicherweise nicht über die Pep, um es zu Ihrem Vorstand, aber erfordern einige governance-Ebene.

Dies ist, was Unterausschuss und Problem-based-Ausschüsse sind für. Es gibt keinen Schaden im Gebäude mehrere dieser so lange, wie Sie Ihre crossover-Mitgliedschaft ist nicht von Bedeutung. Wichtige Interessengruppen beschäftigt sind und die Teilnahme an drei bis vier Sitzungen auf security pro Monat ist nicht eine gute Nutzung Ihrer Zeit.

Lassen Sie dem Ausschuss Ihre Arbeit tun

Die Aufgaben eines governance-Ausschuss gehören die Einstellung der Programm-Leitung, die Abgabe von Empfehlungen, überprüfung und Genehmigung von änderungen und die Bereitstellung einer Anleitung, die helfen können, die Sicherheit Programm navigieren komplexe organisatorische Herausforderungen. Was Sie nicht sammeln zu tun, ist sitzen rund um das hören ein update auf das Programm für eine Stunde, nickte mit dem Kopf in Zustimmung, bevor Sie verlassen nach ein paar “gute Arbeit.“

Ihnen früh und oft in Ihren Präsentationen. Es gibt keinen Schaden in hinzufügen informative Punkte auf die Tagesordnung; allerdings, einen Weg finden, zu integrieren Auseinandersetzung aus dem Ausschuss in den Themen, sowie. Wenn Sie ein update auf die Wirksamkeit Ihrer awareness-Programm reduziert und phishing-simulation Ausfälle, Fragen Sie Sie, was Sie meinen, was das Programm tun kann, sich vorwärts zu bewegen, um noch weiter eindringen in die Kultur des Unternehmens durch Maßnahmen zur Bewusstseinsbildung.

Holen Sie sich Ihr Ausschuss, zu fühlen, persönlich investiert in das Programm. Sie sollten alle ein Gefühl der Beteiligung und der stolz auf das Programm Erfolg, und eine Unzufriedenheit und Verantwortung in seiner Ausfälle. Fragen Sie sich, wenn die Mitglieder Ihres Ausschusses fühlen würde, diese Dinge, die Sie über Ihr Programm. Wenn nicht, haben Sie entweder die falschen Mitglieder oder nicht Ihnen genug Gelegenheit, um die Richtung festzulegen.

Unabhängig davon, wie Sie bauen Ihr Ausschuss, dass governance Aufsicht innerhalb des Programms entscheidend für den Erfolg ist. Die Entscheidung für die großen Chancen in den Zustand der Sicherheit in jedem Unternehmen sollte in einem Vakuum passiert. Dabei setzt Vorgänge, Projekte, und die Moral in Gefahr.

Stattdessen erstellen Sie eine Richtung für das Programm basiert auf einer Kombination der Teams fachliche expertise und executive-governance-Beratung und Unterstützung. Die Ergebnisse werden durchdachte Ansätze, um die Reifung der Sicherheitslage Ihres Unternehmens und weit weniger Widerstand, wenn es passiert.

Am wichtigsten ist, das Unternehmen wird eigenen Angaben die Sicherheit – nicht nur das Programm.

Dan Costantino ist der Chief Information Security Officer von Penn-Medizin.