Les responsables de la sécurité et de la technologie doivent mesurer le succès, mais trop souvent l'exercice se concentre davantage sur l'absence d'échec que sur la présence de succès, la sécurité étant définie par ce qu'elle n'est pas - elle n'est pas violée, elle n'est pas mise à l'amende ou elle n'est pas conforme, elle n'est pas "vulnérable" (avec un débat sain sur ce que cela signifie exactement). Une liste de ce qu'il ne faut pas faire est un mauvais substitut à une carte et à une boussole.
Heureusement, lorsqu'il s'agit d'une stratégie de sécurité réussie, il n'est pas nécessaire de la définir négativement comme l'absence d'échec - une stratégie de sécurité réussie peut être définie positivement avec des indicateurs qui montrent que vous êtes sur la bonne voie, à condition que nous soyons prêts à aligner votre vocabulaire de sécurité sur votre vocabulaire de risque.
Après tout, le risque est un concept trans-organisationnel qui détermine les résultats de l'entreprise. La sécurité elle-même est un domaine de risque, et les investissements en matière de sécurité sont mieux décrits comme ayant un impact sur l'atténuation des risques, c'est-à-dire la réduction de la probabilité et de l'impact des pertes attendues. Lorsque l'alignement vertical sur les résultats en matière de risque se produit explicitement dans une organisation entre les fonctions de sécurité tactiques et opérationnelles et le niveau de leadership stratégique, nous avons une ligne de mire claire entre les investissements en matière de sécurité, le rendement de ces investissements et la mesure dans laquelle ils font avancer l'aiguille sur le chemin de la sécurité.
Compte tenu de ce qui précède, voici quelques objectifs raisonnables : comprendre les fronts sur lesquels vous vous battez, définir correctement ce qu'est la victoire et mesurer le succès d'une manière qui se traduise par des résultats pour l'entreprise.
Planifier les fronts sur lesquels cette guerre sera menée
Tout d'abord, le risque organisationnel doit reconnaître et planifier explicitement les fronts sur lesquels cette guerre sera menée.
Parmi les différentes façons de diviser cet espace inévitablement interconnecté, l'une d'entre elles consiste à examiner les fronts interne, externe et technologique :
- Le front interne est constitué des éléments sous notre contrôle direct, tels que notre personnel et nos processus, qui influencent notre risque. Le succès sur ce front aligne les incitations culturelles au risque et les résultats du risque.
- Le front externe est celui où les acteurs et les activités qui échappent à notre contrôle influencent nos risques. La réussite dans ce domaine va de la planification des catastrophes naturelles, d'une part, à des adversaires motivés et persistants, d'autre part.
- Le front technologique est le fondement de l'entreprise moderne, et c'est là que se joue souvent l'interaction entre les facteurs internes et externes. La technologie n'est jamais statique, et la gestion du succès sur ce front consiste donc à savoir où l'on se trouve, où l'on doit se trouver, et à connaître les étapes progressives du parcours, même s'il est perturbé par des forces internes et externes.
L'absence de planification et de prise en compte de tous ces aspects augmente la probabilité que quelque chose se passe mal, alors que vous souhaiteriez que ce ne soit pas le cas.
Les organisations doivent définir positivement le succès comme la promotion de la résilience.
Deuxièmement, au lieu de définir négativement le succès comme la prévention des attaques, les organisations doivent définir positivement le succès comme la promotion de la résilience.
Qu'est-ce que la résilience ? C'est l'état dans lequel les choses qui vont mal sont gérées avant qu'elles n'aient un impact matériel.
Une organisation sûre est une organisation dans laquelle les menaces sont identifiées, les perturbations sont minimisées, la reprise est rapide et les pertes sont insignifiantes. Chacun de ces éléments entre dans un calcul plus large d'atténuation des risques, et les investissements deviennent proportionnels à leur impact, allant des contrôles de protection largement banalisés aux objectifs spécifiques de résilience qu'une organisation s'est fixés en matière de détection, de réponse et de récupération.
Les échecs historiques à cet égard surviennent lorsque les organisations se focalisent à tort sur la prévention de toutes les menaces ou se satisfont strictement du maintien de la conformité. Les deux sont importants en soi, mais le premier crée une culture fixée sur un objectif inatteignable (et franchement moins important), tandis que le second crée un plafond à partir de ce qui n'est peut-être même pas un plancher adéquat.
Pourquoi la sécurité devrait-elle être l'exception ?
Troisièmement, dans presque tous les domaines d'activité, le risque est quantifiable en tant qu'espérance de perte communiquée en termes de probabilité et d'impact (exprimés dans la devise de votre choix) - pourquoi la sécurité devrait-elle faire exception ?
Ce dernier objectif permet aux décideurs stratégiques de comparer les risques de sécurité aux autres risques auxquels l'entreprise est confrontée et d'allouer des capitaux et des ressources pour optimiser les résultats de l'entreprise et comprendre le retour sur investissement qu 'ils obtiendront grâce à leur stratégie de gestion des risques.
Cinquante serveurs "jaunes" présentant des vulnérabilités "critiques" ou un centre de données risquant d'être perturbé par des ouragans saisonniers. Lequel est le plus grave ? Et comment une organisation doit-elle choisir de donner la priorité à des ressources limitées dans un plan d'action ? Des utilisateurs sur-privilégiés et à risque ayant accès à des données sensibles ou le non-respect des délais de mise sur le marché d'un nouveau produit ? Et que dire de quelques serveurs web publics sur des environnements d'exécution en fin de vie ? Quelle est leur place dans les priorités de l'organisation ? En l'absence d'un langage commun de comparaison, il est exceptionnellement difficile d'établir des priorités optimales. Pour une entreprise, ce langage s'inscrit en fin de compte dans le contexte de l'espérance de perte et du retour sur investissement.
Et voilà, des objectifs pratiques pour progresser dans la sécurité d'une organisation - comprendre où et comment vous êtes à risque, comprendre que le succès est une question d'impact et non de prévention, et ensuite communiquer cette connaissance d'une manière qui résonne avec vos parties prenantes au plus haut niveau de l'entreprise.
Si vous visez déjà ces objectifs, vous êtes en bonne voie pour atteindre votre but. Si ce n'est pas le cas, il est temps d'arrêter de se focaliser sur l'absence de succès et de sortir la carte et la boussole de la sécurité. Si vous souhaitez parler à un consultant en sécurité, prenez rendez-vous pour une démonstration.