Catégories : Transformation numérique

Leadership en cybersécurité

Définir le poste de chef de file de la sécurité dans un entreprise peut être une tâche difficile et parfois déroutante. Il existe différents titres d'emploi tels que; Chief Security Officer (CSO), Chief Risk Officer, Chief Information Security Officer (CISO), VP, IT Security, VP ou Director of Information Security. Outre le fait que titres ou poste fonctionnel, on s'attend à ce que le rôle principal dans une organisation de sécurité porte plusieurs chapeaux et résolve une myriade de problèmes stratégiques, opérationnels et tactiques.

Le responsable de la sécurité d'aujourd'hui doit garder le pouls d'une pléthore d'initiatives de sécurité. Vous trouverez ci-dessous une liste d'initiatives de sécurité qu'un responsable de la sécurité gérerait ou aurait un impact parallèle au sein d'une entreprise :

 

Sécurité des données Gestion des fournisseurs Budgétisation et prévisions Sécurité des systèmes réseau Reprise après sinistre (DR)
Sécurité des applications Gestion des identités et des accès (IAM) Gestion des vulnérabilités (VM) Stockage de données Continuité des affaires (BC)
Solutions compatibles avec le cloud – SaaS, IaaS, PaaS Élaboration de politiques et de contrôles avec mise en œuvre Gestion de la tolérance au risque de l'entreprise Communiquer aux dirigeants et aux membres du conseil d'administration Direction des ressources humaines
Planification de la réponse aux incidents (IRP) Planification pluriannuelle de l'architecture de sécurité Gestion et accompagnement des audits Atténuation des violations Tenez-vous au courant des solutions de sécurité de pointe

Associez la liste d'initiatives de sécurité ci-dessus aux déclarations ci-dessous sur les environnements dans lesquels les responsables de la sécurité sont placés, et vous réalisez rapidement qu'un changement pratique mais gérable est nécessaire. Les responsables de la sécurité de l'information d'aujourd'hui sont confrontés à :

  1. Solutions ponctuelles propriétaires multifournisseurs. Cela crée des architectures de sécurité financièrement inefficaces avec des vulnérabilités accrues.
  2. Structure de rapport alignée sur la technologie. Les responsables de la sécurité relèvent principalement du CIO. Les initiatives de sécurité considérées principalement comme des solutions technologiques créent un décalage avec les exigences de l'entreprise. Cela augmente les dépenses de sécurité.
  3. Obtenir un budget de sécurité efficace est une bataille constante. Si le budget de sécurité est mesuré par rapport à un pourcentage du budget informatique, cela crée une posture de sécurité inefficace pour l'entreprise.
  4. Les chapeaux noirs (criminels) s'en fichent. Cela signifie que les pirates malveillants ne se soucient pas de savoir si vous êtes tenu de vous conformer à une politique ou à une loi, ni de votre budget ou de vos ressources. Le temps est du côté des chapeaux noirs - ils n'ont qu'à avoir de la chance une fois.
  5. Historiquement, les équipes de sécurité ont été construites en silos verticaux. Cela renforce les problèmes de communication et affaiblit la confiance entre les secteurs d'activité.

Le nouveau leader de la sécurité de l'information doit être envisagé comme un leader intégrateur. Cette personne accepte les responsabilités et les obligations du poste, mais dirige et gère avec un ordre de pensée supérieur. Le poste nécessite une personne capable de zoomer sur la discussion technique pour résoudre des problèmes tactiques tout en collaborant et en communiquant confortablement avec les cadres supérieurs. Les responsables de la sécurité d'aujourd'hui doivent être considérés comme des agents du changement, des bâtisseurs de culture, des transformateurs, des visionnaires, mais capables de garder le pouls tactique de la posture de sécurité de l'entreprise. Leur position par rapport à l'entreprise doit être transparente pour l'équipe de direction. La capacité de présenter des informations de sécurité à des subordonnés directs ou lors d'une réunion du conseil d'administration à un niveau compris par le public est d'une importance vitale pour la gestion globale des risques de l'entreprise. Le nouvel intégrateur leader de la sécurité opérationnelle est proactif avec les éléments suivants :

  • Envisage la valeur de la sécurité de manière horizontale - s'adresse à d'autres départements tels que les opérations, les finances, les ressources humaines, les ventes et le service juridique. Est un bâtisseur de ponts entre les disciplines, les départements et les parties prenantes
  • Améliore la collaboration grâce à la communication tout en renforçant la confiance à l'intérieur et à l'extérieur de l'organisation de la sécurité
  • Investit dans des technologies de sécurité qui soutiennent les objectifs commerciaux
  • Écoute activement tout en acceptant de manière proactive les critiques des subordonnés, des cadres et des membres du conseil d'administration
  • A une formation en affaires et en technologie et pense comme un penseur stratégique «holistique»
  • Apprend constamment et se tient au courant des tendances de sécurité émergentes, tout en transcendant l'apprentissage aux employés, à l'organisation ou aux partenaires
  • Sont un leader au service des autres et aident les individus à devenir des leaders à part entière

Le nouveau leader de la sécurité de l'information comprend que la sécurité transcende technologiques. La technologie est le catalyseur des affaires, mais la sécurité est le programme global de protection des opérations commerciales. Les leaders de la sécurité de demain devront intégrer efficacement et efficacement les personnes, les processus et les technologies de pointe afin de garantir une posture de sécurité toujours pertinente pour l'entreprise. Cela nécessite un sens aigu des affaires et la capacité de penser de manière critique pour résoudre des problèmes complexes. Le moment est venu pour les responsables de la sécurité de demain d'aborder d'abord la sécurité comme un problème métier, suivi des ensembles de compétences, des processus métier et des technologies nécessaires à la sécurisation de l'entreprise.

N2Growth Global

Laissez un commentaire