Melakukan riset Anda

- Keamanan dapat berarti hal yang berbeda untuk organisasi yang berbeda. Kepemimpinan di satu organisasi mungkin nyaman mengambil peluang bahwa kepemimpinan di organisasi lain bahkan tidak akan dianggap dapat diterima. Tantangan yang Anda hadapi adalah memahami bagaimana membingkai solusi yang Anda usulkan dengan cara yang tidak hanya akan beresonansi dengan kepemimpinan Anda tetapi juga sesuai untuk organisasi Anda. Untuk memahami organisasi Anda, Anda perlu melakukan sedikit riset. Bayangkan skenario ini. Karena insiden laptop curian baru-baru ini, Anda telah memutuskan untuk mengusulkan proyek enkripsi laptop untuk tahun fiskal berikutnya. Anda berada dalam rapat anggaran di mana tujuannya adalah untuk menentukan apa yang tetap dan apa yang terjadi. Anda mengusulkan proyek enkripsi Anda. CFO bertanya, "Mengapa kita membutuhkan ini?" Anda menawarkan semua jawaban yang diharapkan. Enkripsi laptop adalah praktik terbaik. Kami mengalami insiden laptop curian. Semua orang melakukannya. Bahkan setelah itu, CFO masih belum memiliki jawaban yang mereka cari. Bagaimana Anda mendekati ini? Apa kegiatanmu? Nah, jika Anda berada di layanan kesehatan di Amerika Serikat, maka HIPAA membuat kasus yang cukup menarik untuk enkripsi. Di Uni Eropa, GDPR juga membuat kasus yang menarik untuk enkripsi dalam beberapa keadaan. Tetapi bagaimana jika Anda berada di industri di mana Anda tidak memiliki persyaratan enkripsi yang sama menariknya? Masih bisakah Anda membenarkan biaya dan upaya proyek Anda untuk kepemimpinan? Setiap organisasi memiliki prioritas yang bersaing dan program keamanan informasi internal mereka hanyalah salah satunya. Saat Anda mempertimbangkan proyek atau program keamanan baru, yang dimaksudkan untuk mengatasi tantangan saat ini, Anda perlu tahu lebih dari sekadar cara memperbaikinya. Anda perlu tahu perbaikan mana yang tepat untuk organisasi Anda. Ada banyak sumber daya yang tersedia untuk membantu Anda mengetahui caranya, terutama di ruang vendor keamanan. Jika vendor telah membuat produk yang dirancang untuk mengotomatiskan kontrol keamanan, maka saya jamin vendor tersebut memiliki sumber daya yang dengan senang hati mereka bagikan kepada Anda. Bahkan jika Anda tidak menggunakan produk mereka untuk mengatasi kesenjangan spesifik itu. Misalnya, vendor manajemen kerentanan telah menjadikannya bisnis mereka untuk memasukkan hasil penelitian mereka dalam laporan mereka. Mereka tidak hanya mengidentifikasi kerentanan, tetapi mereka memberikan rincian tentang dampak potensial serta cara untuk memperbaiki masalah. Kelompok analis seperti Gartner, Forrester, dan IDC memiliki ratusan bahkan ribuan laporan dan buku putih untuk membantu Anda memahami ruang vendor. Jika Anda mencari konteks dan analitik, Anda dapat menemukannya di sumber daya seperti Laporan Investigasi Pelanggaran Data Verizon dan Kronologi Pelanggaran Data Hak Privasi dari Pelanggaran Data. Kerangka kerja seperti ISO 27001 dan NIST 853 memberi Anda informasi lebih lanjut tentang kontrol keamanan maka Anda akan tahu apa yang harus dilakukan. Tetapi ketika datang untuk meneliti perbaikan mana yang tepat untuk organisasi Anda, itu ada pada Anda. Coba ini untuk saya. Saya ingin Anda menuliskan satu tantangan keamanan yang saat ini Anda hadapi, sesuatu yang ingin Anda perbaiki sesegera mungkin. Punya satu? Bagus, sekarang tuliskan tiga rekomendasi teratas Anda untuk mengatasi tantangan itu. Daftarkan mereka dalam urutan yang paling Anda sukai hingga yang paling tidak Anda sukai. Silakan, jeda video sampai Anda siap. Saya akan berada di sini ketika Anda kembali. Sisihkan dokumen itu untuk saat ini. Kami akan kembali ke sana sebentar lagi. Saat Anda bekerja menuju solusi yang terbaik untuk organisasi Anda, ini membantu Anda untuk melihat gambaran besarnya. Apakah perusahaan Anda diperdagangkan secara publik? Jika demikian, sudahkah Anda membaca laporan 10K terbaru perusahaan? 10K adalah laporan yang sangat rinci yang perlu diajukan oleh perusahaan publik ke Komisi Sekuritas dan Bursa setiap tahun. Anda dapat mengunduh laporan itu dan setiap laporan lain yang pernah diajukan perusahaan Anda dari EDGAR, sistem Pengumpulan, Analisis, dan Pengambilan Data Elektronik yang dikelola oleh SEC. Jika perusahaan Anda tidak diperdagangkan secara publik, maka mereka mungkin masih memiliki laporan tahunan yang tersedia baik secara internal maupun di situs web perusahaan. Paling tidak, Anda harus bisa bertanya-tanya tentang misi, nilai, atau pernyataan visi. Anda harus dapat menjawab pertanyaan-pertanyaan ini tentang organisasi Anda. Apa yang dilakukan perusahaan saya? Bagaimana kita melakukannya? Mengapa kami melakukannya? Dan siapa tim kepemimpinan kami? Setelah Anda menjawab pertanyaan-pertanyaan itu, saya ingin Anda meninjau kembali tantangan keamanan yang Anda tulis beberapa waktu yang lalu. Lihatlah jawaban Anda. Mengingat apa yang Anda ketahui sekarang, apakah Anda akan menambah atau menghapus solusi yang diusulkan? Apakah Anda akan mengubah pesanan? Apakah Anda akan mengubah jangka waktu Anda mengingat apa yang Anda ketahui tentang perusahaan? Saat meneliti bagaimana Anda akan mengatasi setiap tantangan baru, gunakan proses ini untuk membantu Anda memastikan bahwa solusi yang Anda usulkan adalah solusi yang akan beresonansi dengan kepemimpinan.