CISO说：Rick Holland

“如果你想拥有一个良好的文化，你首先要从你的安全团队开始，他们需要有一个良好的文化，所以投资于他们，留住他们，进行内部培训、外部培训、职业规划，所有这些都很重要。” 

Rick Holland：一切都关乎人。在RSA或者拉斯维加斯的黑帽大会上，人们往往倾向于购买最新的技术或最炫酷的产品。但是，如果你想要建立一个良好的企业文化，首先必须从安全团队开始，并且他们需要有一个良好的文化氛围。因此，在投资、留住员工、内部培训、外部培训和职业规划等方面进行投入非常重要。因为我认为，如果你没有一个良好的安全文化，在整个公司范围内也难以建立起来，因为如果你的安全团队不支持这种文化，则其他人也不会支持它。所以我认为这是非常关键的组成部分。

当我还是一名孤军奋战的安全专家时，可能学到了错误方法——我曾经自豪地成为“无门派”的代表——我的CIO（首席信息官），也就是当时我的老板给了我一些非常好的反馈意见：谈论如何使人们能够完成他们自己本应该做得工作而不仅仅只是防范风险问题；他们并不像你那样拥有专业级别高超水平的安全技能。我认为这仍然是非常关键的，如何才能建立一个积极向上、注重安全的企业文化？如果你对客户、合作伙伴和同事持有超级消极态度，那么你又怎么可能拥有这样一种文化呢？同时，拥有透明度高的技术，并理解管理密码对人们来说是很麻烦的问题，具备同情心并保护我们试图保护的人们也是构建强大安全文化所必须具备的关键要素。

2. 当你考虑构建一个有效的网络安全项目时，有哪些关键步骤是最重要的？

Rick Holland：是的，我认为第一个是将项目与业务本身保持一致。我们不是为了安全而做安全，而是为了我们的业务、非营利组织或者我们试图保护的任何类型的组织来做安全。了解公司或组织的目标和目的是非常非常关键的，然后将其转化为安全项目。我给你一个具体的例子；我多年来一直在谈论的一个问题，它更适用于上市公司，但对于私人公司也适用，那就是上市公司有他们的SEC文件，其中一个SEC文件是10-K表格。而这个10-K表格有一个风险因素部分，通常有大约8到20个，10到15个之间的公司整体业务的风险。这些风险可能包括供应链，例如某些地方可能会受到野火、飓风等的影响，但能够进行业务讨论，了解业务风险，并尝试从网络安全或实体安全的角度来降低这些风险。如果你看零售业 - 以黑色星期五为例 - 如果你看一个公共零售商的10-K表格，他们可能会在其中提到他们的员工、奖励计划以及如何保持客户忠诚度和粘性。所以，如果你进入一个新项目，查看10-K表格或者年度报告；了解业务关注的重点，业务将如何增长，然后将其映射到人员、流程和技术，以及如何提供风险可见性，如何降低风险，这几乎是项目的蓝图，是自上而下的项目蓝图。但它也让你能够从“业务关心”的角度进行批判性地谈论。我看到很多预测和建议，现在都是关于2023年的计划。但大多数都集中在投资API安全或云安全上。实际上，我们需要投入时间了解2023年的业务目标。然后弄清楚需要哪些人员、流程和技术来提供风险可见性，然后降低风险。业务是否正在扩展到世界的新地区？那里的威胁是什么？如何在那里保护员工？业务是否正在推出一款新软件，预计将为当年创造20%的净新增收入？如何确保其安全？所以我认为10-K表格，如果我是一家上市公司，我会每个季度都听CEO的季度电话。现在，如果你不是一家上市公司，你仍然有一个风险委员会之类的东西。所以与风险委员会保持联系，了解风险，但这是另一个你可以去的地方，如果你无法获得公开文件。所以这是我喜欢从这里开始的地方，让我们确保我了解业务目标，我如何做到这一点。另一方面，对我来说，再次回到人员问题，我认为这是人员、流程和技术中最重要的部分。你如何招聘人员？不要总是试图招聘独角兽，这是一个高度竞争的市场，不要有那些荒谬的工作描述，它们看起来像是针对没有经验的人，但实际上，你需要10年的经验才能胜任这个角色。拥有一些经验丰富的人和一些非常初级的人，你可以培训他们，然后做一些有创意的事情，远程工作，灵活工作，我每年都会给你一个SANS课程，或者其他情况，有一个实际的课程来尝试保留这些人。我认为在一个项目中最痛苦的事情就是你投入时间的人过早离开；我们知道每个人都会在某个时候离开。但是，如果你投资并在一年到一年半的时间里失去某个人，那么，也许你本可以再从他们身上获得一年的时间。而且，这可能相当重要，对吧？如果你必须重新开始，重新了解组织，学习工具等等。所以我真的认为，整体公司战略是什么？如何将其映射并能够从业务关注的角度进行谈论？然后你将如何安排所需的人员来兑现你对业务的承诺，帮助确保安全并降低风险？

“我们不是为了安全而做安全，我们是为了我们的业务而做安全。”

3. 组织如何找准现有安全项目中的漏洞？

原文始发于微信公众号（放之）：CISO说：Rick Holland