就任首席信息安全官的第100天

你在首席信息安全官(CISO)职位上的前100天是一个建立你的信誉和提升安全组织内部品牌的机会。

这段短暂的“蜜月”期可以让你明确自己的角色、制定战略、建立专业关系、获得领导支持、与新团队建立信任，并展示你的领导风格。

“那些在入职前100天就制定了强有力的战略计划的人，很可能会获得成功。威廉Candrick， Gartner的董事分析师。“如果企业需要对网络风险治理进行重大改革，或者需要显著提高安全项目的成熟度，这一点尤其如此。”

下载电子书:2021年安全和风险管理领导者的首要任务

首席信息官的角色越来越重要对于组织来说，招聘成本很高——这意味着你需要迅速证明自己的价值。

一个成功的CISO主要是领导者、管理者和沟通者，而不是技术专家。早期的成功取决于你具备以下能力:

1. 建立个人信誉和领导力品牌
2. 奠定基础可防御的安全程序．

Gartner将首席信息官的前100天分为五个阶段，每个阶段都有关键的目标结果、行动和想法。

准备(第一天之前)

不要等到工作的第一天才开始。在开始之前，请尝试了解您的企业并确定关键涉众。在领英(LinkedIn)上与他们联系，在第一轮见面之前准备一份简明的个人简介、问题和谈话要点。

这个阶段的重点是倾听和学习，而不是做决定。避免在你担任首席信息官的前几周做出全面的宣布或决定。

你的目标是对你的角色达成共识，建立利益相关者的一系列期望，并制定一个基本的参与计划，以满足领导层和员工的需求。

评估(1-4周)

接下来，您需要了解安全功能的当前成熟度和性能。决定哪些是有效的，哪些是无效的，以及在最初的三到六个月里你应该优先考虑什么。

寻找一位能对企业文化有深刻见解的高管导师。确认可供您使用的资源，包括资金、人员和技术。然后，使用正式的成熟度评估、团队对话和涉众参与来发现安全计划中的缺陷。创建一个由三到五个战略优先事项组成的优先列表，以解决这些差距。

计划(3-6周)

把你所学到的转化为行动的蓝图。分享你的安全计划与您的团队，直线经理和业务利益相关者的愿景。这是您设计和改进新安全组织的机会。

在这个阶段结束时，你应该有:

1. 一份记录在案的安全战略计划，在你的前100天里优先考虑两到三个安全举措，以及第一年的宽松路线图。
2. 确保有足够资源实现优先事项的安全预算。如果资源缺乏，那么就应该对战略计划进行相应的调整，使其能够实现。

表演(第5-12周)

这是你第一次有机会拿出看得见的成果。

在你入职的头100天里，你的行动应该集中在切实的成就上，建立个人信誉，提高企业的安全地位。最初的成功会获得更多的支持，从而支持更多的成功——从而为你和你的团队创造一个改进和成就的循环。

测量(11-14周)

开始提供你的影响力的证据。定义安全度量的组合并开发一个执行报告流程这样别人才知道你应该做什么。

强调早期的胜利和挑战。衡量和沟通是一个成功的CISO的标志，你应该在你的任期内投入大量的努力。

本文已从2016年9月的原文更新，以反映新的事件、情况和研究。