24 Января, 2017

CISO Mind Map

Andrey Prozorov
На просторах сети Интернет уже неоднократно встречаю вот эту майндкарту по задачам CISO.


Довольно интересный документ, рекомендую к изучению!

Уже сейчас обратил внимание вот на какие моменты:
  • Областей очень много. Не понятно, что важнее (нет приоритетов), с чего начинать, сколько времени тратить на блоки (хотя бы в %).
  • "Бумажной безопасности" очень мало...
  • Неплохо проработаны задачи GRC (хоть и compliance западный), управление бюджетом и управление проектами.
  • В явном виде не отмечены блоки, где CISO играет не главную роль, но взаимодействует с другими подразделениями. Например, HR и IT.
  • Много актуальных технологий и концепций ИБ (SOC, MSSP, WAF, SIEM  и пр.) и ИТ (IoT, cloud, BYOD, и пр.).
  • Хорошо, что теме "Identity Management" посвящен отдельный блок, она очень важная.
  • Мало внимания уделено теме управления непрерывностью бизнеса. И блок "Incident management" есть куда расширить...
  • Awareness упомянут лишь вскользь .
  • Что-то не вижу в явном виде упоминания "инвентаризации информации/активов" и анализа контекста, хотя они и могут входить в и "риски", и в "governance".
Может сделать свой вариант майндкарты? 


P.S. Кстати, еще по теме рекомендую посмотреть заметку " Области ответственности CISO по COBIT5 "

 
comments powered by Disqus