Ocena:
Książka jest cenionym źródłem wiedzy dla dyrektorów ds. bezpieczeństwa informacji (CISO), podkreślającym znaczenie połączenia teorii na wysokim poziomie z praktyczną realizacją programów bezpieczeństwa informacji. Jest szczególnie korzystna dla początkujących, ale może brakować jej głębi dla bardziej doświadczonych profesjonalistów. Autorzy, posiadający rozległe doświadczenie w tej dziedzinie, prezentują holistyczne spojrzenie na zarządzanie bezpieczeństwem, koncentrując się na zarządzaniu programem, a nie na konkretnych zaleceniach dotyczących produktów.
Zalety:⬤ Zapewnia unikalny wgląd w projektowanie i wdrażanie programów bezpieczeństwa
⬤ dobrze napisany i praktyczny przewodnik
⬤ oferuje rzeczywiste scenariusze
⬤ kładzie nacisk na holistyczne podejście, a nie tylko na perspektywy technologiczne
⬤ napisany przez doświadczonych profesjonalistów
⬤ pomocny dla początkujących w zarządzaniu cyberbezpieczeństwem.
⬤ Niezbyt skoncentrowany na dojrzałych modelach bezpieczeństwa
⬤ może nie zapewniać wystarczającej głębi dla doświadczonych CISO
⬤ brakuje konkretnych zaleceń dotyczących kontroli bezpieczeństwa
⬤ wymaga od czytelników samodzielnej interpretacji i stosowania wskazówek.
(na podstawie 8 opinii czytelników)
The CISO Handbook: A Practical Guide to Securing Your Company
Podręcznik CISO: A Practical Guide to Securing Your Company dostarcza unikalnych spostrzeżeń i wskazówek dotyczących projektowania i wdrażania programu bezpieczeństwa informacji, zapewniając prawdziwą wartość dla interesariuszy firmy. Autorzy przedstawiają kilka podstawowych koncepcji wysokiego poziomu, a następnie budują solidne ramy, które umożliwią mapowanie koncepcji do środowiska firmy.
Książka jest przedstawiona w rozdziałach, które są zgodne ze spójną metodologią - Assess, Plan, Design, Execute i Report. Pierwszy rozdział, Assess, identyfikuje elementy, które napędzają potrzebę programów infosec, umożliwiając przeprowadzenie analizy wymagań biznesowych i regulacyjnych. Plan omawia, jak zbudować fundamenty programu, umożliwiając opracowanie mandatu wykonawczego, wskaźników raportowania oraz macierzy organizacyjnej ze zdefiniowanymi rolami i obowiązkami. Design pokazuje, jak skonstruować zasady i procedury, aby spełnić określone cele biznesowe, wyjaśniając, jak przeprowadzić analizę luk między istniejącym środowiskiem a pożądanym stanem końcowym, zdefiniować wymagania projektu i zebrać przybliżony budżet. Execute kładzie nacisk na stworzenie skutecznego modelu realizacji projektów bezpieczeństwa na tle typowych ograniczeń biznesowych. Raportowanie koncentruje się na przekazywaniu zewnętrznym i wewnętrznym interesariuszom informacji dostosowanych do różnych odbiorców.
Każdy rozdział rozpoczyna się od Przeglądu, po którym następują podstawowe koncepcje, które są krytycznymi czynnikami sukcesu dla zrozumienia prezentowanego materiału. Rozdziały zawierają również sekcję Metodologia, która wyjaśnia kroki niezbędne do osiągnięcia celów danego rozdziału.
