编者按: 以下是a - lign赞助的一篇博文:
在 “伟大的辞职,” 各行各业的员工——无论经验水平如何——都在重新考虑自己与工作的关系. 人们纷纷辞去工作,花更多的时间与家人在一起, 追求更灵活的其他职业机会, 或者尝试一些全新的东西.
当高级领导团队的成员离开时, 具体地说, 组织意识到他们需要做的不仅仅是填补一个座位. 他们需要找到替代制度知识的方法, 重新制定战略,在剩下的员工中建立强大的文化. 这一活动凸显了一个被严重忽视的人事变动的意外后果:管理网络安全和合规战略.
在合规和网络安全领域,人员流动可能是一个特别棘手的负担. 因为员工来了又走, 合规和网络安全团队需要更新访问凭证并管理与数据泄露相关的风险,同时执行组织更大的合规和网络安全计划.
如果你正在处理合规和网络安全团队的人员流动问题 这是非常普遍的 ——这会对你推出新产品和新服务的能力产生严重影响. 下面, 我们探讨了当首席信息安全官(CISO)级别出现人员变动时,您的组织可以维持其合规策略的几种方法.
首席信息安全官更替是不可避免的
研究表明, 首席信息安全官很少能坚守岗位 两年多了. 这些顶级的信息安全专业人员可能会离开,因为他们正在处理高压力和倦怠, 有 遭遇安全事故,或者是因为他们选择在供应商方面寻求机会.
来应对这种必然性, 谨慎的做法是依赖通常由首席信息安全官自己管理的工具——业务连续性计划. 业务连续性计划通常被认为与影响数据中心的重大破坏或自然灾害有关, 但在现实中, 这些计划有助于建立协议和流程,以导航其他业务变更, 比如员工流失. 现有的标准 ISO 22301 是否可以作为您的业务指南,以确保您的连续性计划是一流的,因为它为组织提供了一个计划框架, 建立, 实现, 监控, 审查, 维护并持续改进其业务连续性管理体系.
在您的业务连续性计划中包括合规优先级——从项目的角度和员工流动的角度——您可以确保您的合规策略在CISO过渡期间保持正轨.
小心停顿
目前对首席信息安全官的需求特别大, 特别是随着违规风险的增加和组织实施新的安全策略和程序来 适应混合的工作场所结构. 这一切都岌岌可危, 首席信息安全官离职后的一段时间尤为关键. 事实上, 在此期间,当您按下关键信息安全项目的暂停按钮时,您的组织可能会遇到一些功能障碍.
但是要小心这些停顿——这段时间会给您的组织带来重大风险,因为不良行为者可能会利用安全漏洞. 当这种情况发生时, 您的组织可能正在处理一个复杂的问题——新的和增加的威胁风险变得比填补CISO角色的需求更重要.
再一次。, 在这些情况下, 我们建议依靠业务连续性计划来指导您的团队度过暂停期. 事实上, 您的业务连续性计划的一个组成部分可以包括临时解决方案,以填补需要填补的高级角色的空缺. 例如,考虑一下, 虚拟CISOs 这是一种为你的业务弥补差距的方法,并限制这些暂停时间的长度. 这是有益的 需要紧急援助的组织 没有支付全职工资的负担.
寻找一个战略合作伙伴,带领您度过CISO的更替
如果你发现自己处于需要填补高级管理人员空缺的情况, 像首席信息安全官一样, 你的主要目标之一应该是尽可能顺利地有效地弥合新旧政权之间的差距.
考虑寻求一个长期的第三方供应商的帮助,他们可以帮助你满足所有的合规性和网络安全需求——不管你公司的首席信息安全官是谁. 协助执行各种网络安全和合规任务的合作伙伴(例如, 您的年度合规认证)可以帮助您存储并每年与新员工分享机构知识和背景. 这些供应商合作伙伴通常与组织中的多个参与者合作并建立牢固的关系. 的好处? 当一个人离开你的组织, 与供应商的关系在很大程度上保持不变,您先前的项目计划将按计划进行.
与战略合作伙伴合作可确保您的关键项目继续向前推进, 不管谁在你的公司里掌舵.
底线
让你的组织免于人员流动是不可能的. 提前为不可避免的情况做好计划,并制定流程和结构,以确保人员流动不会破坏关键的业务实践和战略目标. 通过支持您的业务连续性计划, 利用创造性的解决方案来限制停顿, 寻求长期伴侣的帮助, 您可以维持您的合规策略,并在CISO发生变动时坚持到底.
