Le mandat de sécurité de l'entreprise est clair: protéger les systèmes, les données et le personnel contre les cybermenaces. Le rôle du leader de la sécurité comprend également la protection de la marque de l'organisation.
Des études ont quantifié la coût d'un incident de données; cependant, l'impact sur l'image, la réputation et la confiance est durable et difficile à exprimer au-delà d'une déclaration de risque. De quoi le responsable de la sécurité est-il responsable et de quoi le responsable de la sécurité est-il tenu responsable en cas de problème?
Décomposer les défis de sécurité d'entreprise
Le rôle de leader de la sécurité d'entreprise est stressant. Cela nécessite de répondre aux besoins de sécurité des nouvelles initiatives informatiques. Les nouveaux projets nécessitent une évaluation des risques et l'identification des bonnes compétences d'équipe à appliquer. La pénurie de compétences informatiques est évidente dans la cybersécurité des entreprises et continue d'exercer une pression sur les équipes aux ressources limitées. Dans certains cas, l'externalisation peut être la seule option.
Les initiatives de TI dirigées par le Ministère peuvent être lancées sans surveillance de la sécurité, ce qui donne le terme de TI fantôme. Une équipe de sécurité qui réagit après coup aux projets commerciaux «mis en place» aura du mal à appliquer uniformément sa posture de sécurité dans toute l'organisation.
Sensibiliser les utilisateurs finaux à l'appui de cyber-hygiène de base devrait être un processus continu qui implique toutes les parties de l'organisation. La formation annuelle sur la cyber-conformité et toutes les formes de cyber-politiques de «maintien de l'ordre» créent des frictions avec les utilisateurs finaux. Certaines organisations accordent même la priorité à la cyber-hygiène de base en plus des initiatives de sécurité stratégiques.
En plus de ces exigences, la nécessité de communiquer efficacement les cyberrisques aux parties prenantes de l'entreprise et de faire face à la charge de travail croissante, le leader de la sécurité moderne a conduit à des comportements où beaucoup sont incapables de «se détacher» du travail, craignent de prendre du temps et d'opérer dans un environnement où ils croient que leur temps est limité.
Voir Connexes: L'épuisement professionnel des professionnels de la cybersécurité et votre santé
«Fall Guy» fait-il partie de la description de poste?
En cas de problème, le CISO peut être tenu à un niveau plus élevé que ses homologues. Si l'équipe de vente manque un quart de but, le leader est-il lâché? Cette réalité démontre la criticité du chef de la sécurité et pose en même temps la question «est-ce juste?»
Dans une radio de la Force opérationnelle 7 Podcast, l'animateur George Rettas et la journaliste sur la cybersécurité de CNBC Kate Fazzini ont discuté de l'examen interne et public que les RSSI des grandes entreprises leur accordent. "Nous allons tous passer une mauvaise journée", a déclaré Rettas. "Je ne connais pas un seul incident de violation qui n'implique pas beaucoup de conflits internes", a ajouté Fazzini.
La conversation a atteint son apogée entre Rettas et Fazzini lorsqu'ils ont atteint une douloureuse vérité. Le RSSI «essaie de sécuriser une infrastructure et un réseau très imparfaits», a déclaré Rettas. "Pensez-vous que ces CISO sont utilisés comme une sorte de gars de l'automne ici?"
"Je pense qu'ils sont définitivement utilisés comme un gars de chute", a fait remarquer Fazzini. "Il n'y a pas de RSSI qui n'aura pas de brèche" à un moment donné.
De nombreux responsables de la sécurité se sont tournés vers l'humour pour gérer ce stress. Pendant le RSA, un CISO m'a demandé si j'avais entendu ce que l'acronyme CISO représentait maintenant? «Officier en chef du sacrifice initial», a-t-il plaisanté.
Fazzini a également noté comment Equifax a non seulement remplacé le CISO, mais a également changé les rôles de PDG, CIO et bien d'autres à la suite de son incident de données. Le nouveau CISO avait non seulement une grande expérience de la sécurité en entreprise, mais était connu pour sa capacité à parler la langue du PDG et du conseil d'administration.
Cette observation confirme le besoin de réexaminer la définition de CISO et d'apprécier qu'il peut avoir plusieurs personnalités.
Voir Connexes: 5 aspects les plus stressants de la cybersécurité
Personnages CISO: stratégiques et tactiques
Le taux de désabonnement pour le rôle de CISO est relativement élevé. Une étude réalisée en novembre 2019 par Nominet auprès de 800 CISO britanniques et américains a cycle de vie moyen est maintenant seulement 26 mois. Le stress d'origine professionnelle a eu un impact sur tout, des relations à la santé mentale des CISO. Le pire des cas serait une carrière interrompue en raison de l'épuisement professionnel.
Cette prise de conscience pour Cyber Security Hub nous a conduit à changer notre approche des questions et des conversations en cours. Avec le stress et l'anxiété qui augmentent dans le domaine des praticiens, la définition d'un CISO évolue peut-être et ne devrait pas être considérée comme un objectif unique.
Alors que les entreprises continuent de se développer et de se digitaliser, nous observons une dynamique de marché où les CISO s'alignent sur l'une des deux approches (ou personas) - stratégique ou tactique.
- La CISO tactique dirige avec une compréhension des technologies, des outils et des processus (dans le spectre des personnes-processus-technologies de l'information). Les organisations doivent «mettre en place» un programme de sécurité rapidement et ce personnage du CISO est habile à mettre en place les politiques et le régiment. À mesure que les exigences en matière de sécurité se sont élargies, le CISO tactique est également devenu le «dépotoir» pour des responsabilités supplémentaires, qui peuvent ou non correspondre aux compétences de ce personnage.
- La CISO stratégique conduit avec une capacité à relier l'impératif de sécurité aux objectifs de l'entreprise (plus des aspects «personnes» et «informations» du spectre des personnes-processus-technologies de l'information). Les relations établies avec les autres parties prenantes de l'organisation permettent à ce personnage CISO d'évaluer la posture de risque globale de l'entreprise et de ses domaines fonctionnels.
À mesure qu'une organisation se développe, la tendance est de plus en plus vers des opportunités plus stratégiques. L'exigence technique ne diminue pas; cependant, la demande future n'est pas aussi grande.
Aucune des personnalités CISO n'excuse la nécessité d'un apprentissage continu. Qu'il soit possible d'acquérir plus de connaissances techniques ou commerciales, les organisations recherchent des leaders de la sécurité qui peuvent évoluer avec l'entreprise.
Sensibilisation au CISO moderne
Une discussion ouverte est nécessaire pour surmonter le comportement actuel entre les organisations et les responsables de la sécurité. Les besoins de chaque organisation sont uniques. Comprendre la maturité du programme de sécurité d'une organisation et ce qui est nécessaire pour promouvoir cette posture de sécurité est essentiel. L'alignement du RSSI et de l'organisation n'est pas un processus de coupe-biscuit et nécessite des efforts des deux parties pour assurer le succès de chacun.
Voir Connexes: Six caractéristiques des RSSI d'entreprise performants
