作為負責安全的高級管理人員，安全專家將承受巨大的壓力。網絡犯罪活動近年來日益猖獗，與2020年相比，2021年每次數據泄露事件的平均損失增加了10%，而數據泄露事件數量增加了17%。

對于一些新任的首席信息安全官來說，在其開展工作的前90天內對企業產生的影響至關重要。并將為其任期的成功或失敗奠定基礎。

首席信息安全官很容易完成其待辦事項清單上的每一項顯著任務，這樣看起來就好像正在完成既定任務一樣。但是，首席信息安全官為其成功鋪平道路的最可靠方法是有條不紊地、深思熟慮地制定一個90天計劃并堅持完成。

以下九個步驟的路線圖將指導首席信息安全官制定一個出色的網絡安全計劃，推動數字化轉型，并利用SaaS技術加速業務計劃，并降低運營成本。

(1)第1～3周：識別和理解業務風險

在首席信息安全官入職的前三周，需要了解其所在公司的整體業務。探索業務運營方式、分散的團隊員工所在的位置、企業如何應對市場、提供的服務和商品。這是深入了解企業的上市戰略和供應鏈的機會。

盡可能多地與其他高管、董事會和其他公司領導人舉行會議，以深入了解他們的業務職能和職責。與其他技術官員會面也是掌握更大的技術堆棧的最佳方式。

在最初三周時間的探索中，評估企業領導層在開發周期中左移的意愿;在開發生命周期中的開始之初就融入安全性，從而降低成本，并提高可靠性。

(2)第4～5周：感受企業的技術流程并開始發展其團隊

與技術堆棧相比，定義明確的流程對網絡安全的影響更大。在擔任首席信息安全官的第4～5周，需要熟悉團隊成員，了解現有流程，尤其是圍繞項目、事件和客戶生命周期管理的流程。

首席信息安全官通常了解什么技術有效，什么技術無效。并詢問任何可用的文檔化標準，創建一個列表，列出哪些流程和技術缺少文檔。接下來，與其他團隊溝通，以確定哪些技術和流程與其范圍重疊。

現在是開始深入了解團隊的時候了。首席信息安全官一對一地確定他們的職業目標，并探索如何幫助他們實現這些目標。了解他們感興趣的培訓和職業發展目標，企業在過去提供過哪些類型的培訓，然后通過人力資源來了解團隊成長的職業道路。

這是首席信息安全官與其團隊成員討論自動化的最佳時機，他們可能有時間與其團隊成員討論自動化的好處。

(3)第6周：制定策略

首席信息安全官在這一階段收集了信息，現在是實施計劃的時候了，可以制定以下戰略：

• 滿足企業的總體業務戰略、目標、目的。
• 滿足員工的職業目標。
• 通過減少員工重復而乏味的任務，提高他們的自動化水平。
• 將企業面臨的網絡風險評估為一個關鍵的整體差距。
• 在開發生命周期中左移安全性。
• 鼓勵采用SaaS。
• 將所有IT遷移到零信任架構。

(4)第7周：完成企業的戰略并開始實施計劃

這是首席信息安全官的第7周，其策略和計劃都很好。首席信息安全官的下一步是由其團隊員工執行其策略，然后獲得和接受反饋，并做出調整，然后提交給企業的執行委員會批準。

在獲得批準之后，與適當的團隊合作，確定能夠推動成功的策略。合作是關鍵——這將培養融洽關系，幫助同事和員建立信任，然后開始實施戰略。

(5)第8周：獲得敏捷

將企業的團隊過渡到敏捷項目管理方法將確保快速獲得功能元素。

如果企業的團隊規模很小，Scrums將是適當且有效的。如果企業已經在使用sprints，將其團隊的sprints周期與工程團隊的持續時間保持一致。如果沒有其他人使用sprints，需要將其周期設置為三周。

(6)第9周：開始衡量和報告

首席信息安全官有權訪問歷史報告，也可能無法訪問。無論哪種方式，第9周都是啟動新基準和定期衡量并向執行委員會報告的最佳時機。

確保對其團隊員工和與首席信息安全官一起工作的其他部門表示贊賞。通過培養在最初幾周建立的良好意愿，將與同事建立更牢固的關系——當必須指出問題和差距時，這并不是一件壞事。

隨著首席信息安全官的報告變得定期，開始對企業進行有關網絡安全的教育和交流。鼓勵合作、參與并慶祝成功，而不是專注于問題。創建跨部門的“安全擁護者”計劃，鼓勵其擁護者在出現問題時報告，并因參與而獲得獎勵。

(7)第10周：進行徹底的滲透測試

滲透測試是如何獲得一些關于事情到底有多糟糕的數據。應該計劃、安排和執行對基礎設施和應用程序的徹底滲透測試(或紅隊練習)。

尋找遵循PTES或OSSTMM 3方法進行基礎設施測試，并為每個應用程序使用OWASP測試框架的滲透測試合作伙伴。

(8)第11周：開始使用零信任身份驗證框架

過渡到零信任身份驗證(ZTA)框架是作為首席信息安全官的任職前90天的關鍵一步。

在零信任認證中，在默認情況下不授予用戶訪問權限，但一旦通過身份驗證，他們就會獲得訪問權限。零信任認證將增強企業的安全狀況。零信任認證的第一步應該是開始盡可能地取消密碼，并過渡到安全的多因素身份驗證。

(9)第12周：評估SaaS提供商

通過深入研究購買指南和SaaS供應商比較來開始首席信息安全官的角色是很誘人的，一旦掌握了企業的業務、戰略、現有的技術堆棧和預算，這樣做會更有意義。

當企業開始評估SaaS提供商時，需要證明潛在供應商符合CSACCM、在CSASTAR聯盟中的注冊。

如果評估不符合這些標準的供應商，將需要開發一個全面的程序來評估他們的安全性。根據客觀的第三方評估來評估SaaS供應商至關重要，而不僅僅是供應商的營銷努力。

遵循這一路線圖將幫助首席信息安全官打下堅實的基礎：運作良好的網絡安全團隊、可重復報告的數據基線、與新同事和團隊的信任和融洽關系、數字化轉型機會清單，以及對企業業務的深入了解。