3. We’re looking for a CISO
• Business partner to all departments
• Help the organization understand and manage underlying risks in
business operations
• Brand management, Service agreements
• Help uncover ways to promote the brand further by enhancing
consumer trust
• Engaging externally with the customer base
• The media on emerging issues like personal information privacy and
protability
4/19/2018 3
PROTECT THE COMPANY
4. The Dismal Discipline
• Management by compliance / security policy compliance
• Internal (understanding of people behavioral patterns) and
behavioral threats
4/19/2018 4
5. The CISO, Reimagined
• Security is about managing risk
• There is simply no way anyone can manage risk when they do no have
a finely tuned understanding of the sources of risk in their proper
business context
4/19/2018 5
Ini sepertinya buku tentang CISO tetapi sebenarnya tentang siapa pun yang ingin paham tentang keamanan informasi
ada untuk melindungi dan mengelola aset dan informasi...
untuk memastikan sistem dan informasi tersedia ...
untuk memastikan kontrol yang tepat ada sehingga hanya mereka yang benar-benar membutuhkan akses ke informasi yang dapat...
informasi tetap di tempat yang seharusnya
Kalau sudah semua tahapan di atas dilalui, artinya dia sudah pengguna yang sah dengan diam-diam (firewal, ids, anti malware lewat semua)
Hijau tua, kuning, cream, merah
Fakta yang ada…
Yang banyak dibutuhkan sekarang ini... Security seperti di linkedin
Strategisnya CISO... Memahami dan mengelola resiko...
Meningkatkan kepercayaan konsumen...
Melindungi perusahaan... TIDAK selalu membeli peralatan IT untuk melindungi perusahaan, keamanan informasi adalah bagian dari IT
Harus memahami proses bisnis
Compliance: SOX, GLBA, HIPAA, ISO, CSA, (Undang-Undang) -> ada fungsi audit
Menariknya Management/Security Policy ini bisa merupakan celah/kelemahan karena hasil akhirnya bisa diprediksi
Security leader without a thorough understanding of people behavioral patterns is one that is walking around deaf and blind...
Ingat amateurs attack machines; professionals target people...
Understanding of human psychology is absolutely crucial