Monday, January 22, 2007

Review of The Pragmatic CSO

While waiting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airport, and flying between Ottawa and Washington Dulles, I read a copy of Mike Rothman's new book The Pragmatic CSO. I was somewhat suspicious of some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early reviews, since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y appeared so quickly after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book was published. You can rest assured that I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole book -- and I really liked it.

The most important feature of "P-CSO" (as it's called) is that it is a business book. P-CSO teaches readers (assumed to be techies, for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most part) how to think like a businessperson who reports and interacts with ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r businesspeople. I took business classes in college and graduate school, and I run my own business. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time, however, I'm doing technical work. I usually stay so busy that I don't consciously consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sorts of business issues Mike describes. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following quote from pages 51-2:

The only way to get a seat at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 table is by holding yourself to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same standards as everyone else. Operate a program, improve where necessary, track metrics, and report progress. Then repeat. Welcome to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wonderful world of business...

In business, perception is often more important than reality. Competence does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CSO little good unless senior management perceives him (or her) as competent. To do that, a Pragmatic CSO must learn to approach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job as a business manager does. The CSO job should be managed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CFO manages finances, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO manages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IT department, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO manages cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business. This means identifying business goals, creating a step-by-step plan for achieving those goals, and executing on that plan, all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 while communicating activities and success to senior management... instead of being treated as a security wonk.


Consider this from page 45:

When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO asked you if your security is effective, do you think he believed you... Since you haven't told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO what effective security is, why would he believe you?

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, frame perceptions. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, from page 70:

If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no consequences for failure, you aren't a business unit.

So what is good security? Read pages 47-48:

No availability issues due to security problems. No loss of corporate intellectual property. No lawsuits because of policy violations. No problems that cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PR spin-meisters to work overtime. Finally, a strong presentation to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 auditors and examiners that you are in compliance with whatever regulation/policy is applicable...

You want show show improvement in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 areas that are within your control. You want to see awareness going in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right direction. You want to make sure that security is not so onerous that it's getting in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of business. You want to show that your environment is getting more secure via periodic penetration and vulnerability tests. And you want to show that you continue to improve how incidents are dealt with.


What, no tracking to show that 100% of machines are patched? Who cares! Mike is exactly right cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re, and here on pages 46-47:

Security is clearly overhead... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of any security program are to maintain availability, protect intellectual property, shepherd cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand, limit corporate liability, and ensure compliance. None of those activities directly contribute to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top line. But it can provide a strategic advantage...

[Y]ou are not going to put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r a model that shows a positive ROI. That is fruitless and very hard to prove, so ultimately it's a waste of time. But we are trying to evangelize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset that an effective, programmatic approach to security will save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company money.


From cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book I syncá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sized a few lists I plan to use in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

First, how to run a business or team:

  1. Set goals.

  2. Build a plan.

  3. Execute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plan.

  4. Track metrics and try to improve.

  5. Report progress.


The last item really only applies when you have upper or outside accountability.

Second, how to build a business plan using five elements:

  1. Position: Why does your group exist?

  2. Priorities: Where should you focus attention?

  3. Structure: How should you organize and operate?

  4. Service: What do you deliver to customers?

  5. Time: When are your deadlines?


None of this may make an impact unless you're in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 middle of a project that involves contemplating such issues. As a small business owner I'm always grappling with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se subjects. Even though P-CSO is written for Chief Security Officers in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate world, I found its business focus helpful for me as a consultant and business person. If any of what I wrote resonates with you, I strongly recommend buying and reading The Pragmatic CSO. All CSOs should also have a copy, period.

10 comments:

Unknown said...

Richard,

Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amount of books you read on a regular basis, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last paragraph of your review is incredibly high praise. Not that I disagree with you, but I'm not used to you speaking out so strongly for a book.

Martin

Anonymous said...

I'm still not convinced. Say more about that. Rothman's blog is kinda... uh... not as good as this one. You should write a $97 PDF about how to talk to business people.

Instead, I'll just use Trashmail(tm) to create accounts for me on Jigsaw while I glean personal information for people I'm about to interview in a business setting after stalking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for 12 hours. Yes, it freaks people out but at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y know where I stand on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 food chain.

Anonymous said...

This topic should be a SANS course instead of "Malware removal expert."

Anonymous said...

That last sentence should be changed to read "All security professionals should also have a copy, period." It's my opinion that in today's security world a professional that has a balance of technical and business skills is going to be farcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ahead of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs and bring value to his/her organization. This doesn't mean packet monkeys need MBA's. This means have a basic understanding of what your business does and what your CEO and CFO are concerned about. The means have a basic understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principles of risk management. Make sure you take that understanding and align your security practices to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of your business leaders. Sometimes that means educating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 realities of techinal issues. If you take this approach, you are almost automatically creating and tracking your value to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company (metrics, not ROI). As someone who is a technical network security engineer, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA course on Information Assurance and Risk Management is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best security classes I've ever attended.

Anonymous said...

Minor quibble, re:

5. Report progress.

The last item really only applies when you have upper or outside accountability.


I disagree. If you're working for or with a team, it doesn't matter if your bosses care, your team does. So report progress to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. If you're managing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 team, facilitate it.

And if it's just yourself... report it anyway. You can use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 executive summaries you wrote to quickly remind yourself where you were x months ago, or y years ago.

My own job requires certain metrics; tracking time, which I do in our RT system. As a result, I can pull out all sorts of information about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kinds of work I was doing when, and how long it took me. I've come to love this so much that I would do so even if I were not absolutely required to, and I do it for work I do at home for myself now too. Next step was to write weekly summary reports to my weblog - for myself, but my boss now uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m at our bi-weekly meetings too, and we find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m useful. Next step will be monthly summaries, which will make my performance reviews easier (and hopefully more likely to net me a raise ;) ).

Anonymous said...

Although I have not read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book yet, I've read several reviews of it. I'm sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book is full of good leadership and management principles, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y weren't invented here. They are just concepts from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r management texts applied to our field. Quite frankly, if you are in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 position of CSO or something similar and you don't know many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se topics, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I have to ask, "How did you get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to start with?" No doubt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book makes a good reference, but come on, any good leader/manager should know most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se already.

Richard Bejtlich said...

Good grief. Isn't it enough that someone decided to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se techniques to our field, using language we understand and context with which we're familiar?

Anonymous said...

As I said, I don't question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 book's topics. Nor do I question cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application to our field. It should serve as a good reference. It just seems to me that if you are in this position you should already have a good idea about most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se topics. Although I know that is not true, as many times top technical performers get promoted into this role and don't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se skiils...or, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 saying goes, incompetence rises..

Anonymous said...

I have had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 opportunity to examine a number of large and mid-sized organizations from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. They all have examples of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same thing; gaps.

Gaps between what information assets cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be protecting from a business-survival point of view and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are protecting; gaps between what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y really do; and gaps between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir portrayed expertise and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir achievements.

Is "Pragmatic CSO" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only path to improvement? Are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ideas unique, original, earth shattering? Clearly, no.

Would following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Pragmatic CSO" improve each and every one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se organisations? Absolutely, yes.

I'll do what I can to help "Pragmatic CSO" reach a 'tipping point'; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time is ripe for organizations to embrace its concepts.

Anonymous said...

Thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nice post!