领导成功的企业转型

如果您正在考虑实施企业信息安全转型，那么您首先需要知道的是，成功取决于了解安全投资的价值。信息安全转型的成本很高，它将涉及组织的各个方面，包括其基础结构，资产和运营，以及人员，流程和技术的整个环境。通常，由于缺乏围绕预算的领导层的支持以及对运营的影响，被称为“转型”的大规模计划变更最终不会成功，因此在实施之前获得这种支持至关重要。

制定风险缓解策略

您的转型计划还必须具有有效的风险缓解策略，该策略应说明组织的风险承受能力。一个健康的，转型后的信息安全计划是与业务运营的实际风险以及领导者和股东的风险偏好紧密相关的计划。要达到目标，您需要做风险分析和风险缓解计划的基础。

根据我的经验，技术领导者通常认为，专注于一套标准的控件或工具与减轻企业风险相同。在基于工具的信息安全方法中，随着实施越来越多的安全工具来减轻组织甚至未评估其潜在影响的风险，运营成本将越来越高。

任何人都可以设计一种取决于购买每种产品类别中“最佳品种”的解决方案，但是要确保这些产品可互操作，可大规模管理且具有成本效益，要困难得多。更糟糕的是，许多同类最佳产品具有重叠或相互竞争的功能，这意味着浪费资源，甚至无法实施。

当您开始制定风险缓解策略时，就不可避免地存在一个连续的风险，但是如果您开始教育风险因素，讨论正在进行的投资的正确平衡，计划风险转移，则可能会受到一定的限制。通过保险或其他方式提供给第三方，并了解您计划的安全实施的运营影响。

预算转型

预算计划是风险缓解计划的自然产物。当您识别风险并分析其业务影响时，您还要权衡降低风险的成本和该风险发生的可能性。这样，您就可以确定减少该风险的适当支出额。

在这一点上，建议与可信赖的第三方合作来审查您对企业转型成本的假设。全面了解变更的未来影响意味着了解运营成本（包括人员配备和初始资本成本），以及这些成本与预期损失频率和影响的相关性。考虑选择了解IT治理和安全体系结构的第三方。

使用指标

任何转型的目标都是使企业能够实现其战略，因此您必须了解企业的​​计划，您期望这些计划如何赚钱，计划将在哪些市场工作以及它们可能参与的地理区域。 。这意味着获取并调整IT的度量标准数据以及领导层用来运行业务的度量标准数据。如果数据不可用，您将需要实施或修改流程，以便它们生成必要的指标数据。

该NIST CSF框架是衡量成熟度和改善目标设定一个伟大的工具。它的标准，指南和最佳实践为企业转型提供了良好的背景，因为非技术人员很容易理解子类别，并且容易度量成熟度为0-5的等级。

实施企业转型

一旦准备好实施计划，就需要提防的一环就是灵活性。当他们真正需要的是维持敏捷性时，太多的IT领导者就致力于一项计划。业务并非按照固定的三到五年计划进行；必须对其进行不断调整以满足业务和不断变化的市场的需求。

这意味着需要从敏捷的角度考虑任何企业转型计划。您必须不断问：“我们是否仍与企业的发展方向保持一致？”