Pourquoi semble-t-il que le RSSI soit un
exécutif? Les RSSI sont-ils victimes d'une entreprise qui «ne comprend pas»? Ou est le
entreprise victime de RSSI qui «ne l'apportent pas»?
Le sort du RSSI est bien
documenté. Cela peut être un rôle stimulant et ingrat qui s'accompagne de
stress élevé et taux de rotation tout aussi élevé.
Les RSSI pensent souvent qu'ils ne reçoivent pas
une chance équitable pour les dirigeants d'entreprise et sont essentiellement empêchés de faire
leur travail. Ils ont souvent l'impression de ne pas rendre compte à un responsable approprié ou supérieur
suffisamment de cadres, n'ont pas une position suffisamment importante à la table du conseil,
ne disposent pas d'un budget suffisant et ne respectent pas les dirigeants de C-Suite.
Pourquoi est-ce? Est-ce cette affaire
cadres:
- Je m'en fiche assez
Sécurité? - Je ne comprends pas l'ampleur de
le problème? - Vous voulez une «case à cocher» pour la sécurité?
- Envie d'investir aussi peu que
ils sentent qu'ils peuvent s'en tirer?
Le nœud de ce problème est la perception
retour de valeur de la sécurité sous la direction du RSSI. Deux points clés
nuisent vraiment à la perception du RSSI:
- La difficulté du RSSI à
convaincre à quoi ressemble un investissement dans la sécurité et la sécurité
perspective des résultats. Fondamentalement, existe-t-il une relation fortement corrélée
entre investissement en sécurité et maîtrise des risques / impacts? - Le RSSI est difficile
dépasser le reporting du point de vue de la `` sécurité technique et opérationnelle '',
plutôt qu'une perspective solide et facile à comprendre des risques et des impacts.
Généralement, vous n'obtenez pas de place au
tableau de bord en voyant simplement un problème au niveau du conseil. Tu as une place au conseil
table en ayant une stratégie et un business plan crédibles pour atteindre le niveau du conseil
objectifs et résoudre les problèmes au niveau du conseil. Les RSSI apportent-ils aujourd'hui une
solution de sécurité au niveau du conseil d'administration à la table? Ou comment la `` solution '' d'un RSSI
se compare-t-il aux arguments de budget des dirigeants concurrents?
L'argument selon lequel les RSSI sont `` bloqués ''
le signalement au «mauvais» dirigeant est fonction de la valeur perçue qu'ils apportent.
L'endroit où vous signalez indique souvent où l'entreprise pense que vous avez le meilleur
chance d'avoir du succès. Les dirigeants d'entreprise veulent maximiser le succès et minimiser
échec.
Quel est le «bon» montant de garantie
investissement? La plupart des choses dans la vie (par exemple, acheter un dîner, des vacances ou une maison)
il est facile de voir la relation entre le coût et les attentes. Cela fonctionne avec
la plupart des départements en affaires (par exemple, R&D, marketing, ventes, juridique,
IL). Il existe un lien raisonnablement évident entre qualité, quantité, rythme,
et le coût. Malheureusement, en utilisant des approches conventionnelles, un RSSI a un défi
établir un lien entre ce que l'entreprise tire d'un montant d'investissement. Y a-t-il un moyen pour
un RSSI pour fournir un plan, comme les autres chefs de service, pour établir des liens
mesurer la qualité, la quantité et le rythme pour atteindre une attente convenue de
résultats?
La réalité est cette entreprise
les cadres font:
- Soucieux de protéger le vital
actifs et intérêts commerciaux. En fait, leur marque personnelle est en jeu en tant que
les dirigeants d'entreprise sont directement critiqués à la suite de la cybercriminalité
violation. - n comprendre l'ampleur du
problème, et ils en sont terrifiés. En fait, ils ont peu confiance
qu'une brèche publique n'est pas imminente, et ils en voient les conséquences. - Vous voulez des options de cyber-résilience crédibles,
mais ils ne les reçoivent pas du RSSI. Cela met les dirigeants d'entreprise
un lier et les coin dans la production de l'option tangible la plus courante en tant que CYA,
qui est généralement la conformité à un cadre de sécurité. Ceci est facilement perçu par
le RSSI comme ne souhaitant qu'une `` case à cocher pour la sécurité '' - Avoir une obligation fiduciaire de dépenser
judicieusement. Les dirigeants sont «damnés s'ils le font, et damnés s'ils ne le font pas» avec l'investissement
insécurité. Parce que le RSSI n'apporte pas d'investissement crédible en matière de sécurité
options, ni résultats justifiés, mais la nécessité évidente de protéger l'entreprise
intérêts de la violation de la sécurité, ils sont pris dans une opportunité-coût Catch-22.
Si un RSSI ne peut pas résoudre de manière pragmatique
problèmes de sécurité au niveau du conseil; s'ils ne peuvent pas établir les coûts par rapport à ceux convenus
l'attente des résultats et fournir un plan d'affaires crédible, il semble alors
s'ensuit qu'ils ne frappent pas au niveau du Conseil.
Parce qu'il est clair que la sécurité est un
problème au niveau du conseil, et le RSSI n'apporte pas de solutions au niveau du conseil, le
un résultat raisonnable est une vie difficile pour le RSSI et une autorité et une portée limitées.
Malheureusement, les retombées sont un moral médiocre, l'embauche et la rétention
défis qui aggravent le problème de perception et d'exécution du RSSI.
La
la meilleure chose que les conseils peuvent faire est de gérer les risques de cybersécurité comme ils le feraient pour tout autre
risque commercial. Pour être efficace, il doit y avoir une relation de travail entre les entreprises
dirigeants et le RSSI, où le RSSI a aligné ses objectifs, une stratégie qui
options de cyber-résilience, un plan d'affaires qui donne au leadership un risque clair
des choix d'appétit et un plan de mise en œuvre qui donne des résultats.
Douglas Ferguson, fondateur et directeur technique de Pharos Security
