La série Vectra Masked CISO permet aux responsables de la sécurité d'exposer les problèmes les plus importants en matière de sécurité et de conseiller leurs pairs sur la manière de les résoudre.
La cybersécurité est une industrie naissante par rapport à des secteurs comme la gestion des risques - la compagnie d'assurance Lloyd's a été fondée en 1688 ! Le titre de RSSI est encore plus jeune, puisqu'il est apparu pour la première fois aux alentours de 2005. Mais le rôle n'a toujours pas été clairement défini et chaque RSSI travaille différemment.
Il n'est pas facile de définir le rôle d'un RSSI lorsque la personne qui l'embauche peut être très différente. Les RSSI dépendent des PDG, des DSI, des directeurs techniques et d'autres encore, et les compétences requises dépendent de la nature de l'activité et de la personne à laquelle ils sont rattachés. Les CIO et CTO veulent un conseiller technique, tandis que les CRO ont tendance à aborder les problèmes sous l'angle de la gestion des risques. Les PDG, quant à eux, veulent tout savoir sur le monde d'hier.
Il n'est pas surprenant que les RSSI soient généralement soumis à une forte pression, ce qui entraîne une rotation régulière des rôles et une attrition au sein des départements de sécurité. Toutefois, cette situation pourrait être enrayée si les RSSI se voyaient accorder davantage d'autonomie et de responsabilités.
Les lignes hiérarchiques ne dictent pas le pouvoir ou la valeur d'un rôle, mais lorsque la plupart des RSSI dépendent toujours d'un leader technique, cela limite la capacité d'être stratégique et dilue la valeur. Pour que le RSSI soit sur un pied d'égalité avec les autres responsables techniques, nous devons avoir la capacité de défier les DSI et les directeurs techniques, afin de garantir que la sécurité n'est pas contrainte d'accepter des risques pour répondre aux exigences des projets informatiques agiles. Compte tenu de la façon dont les rôles des RSSI sont généralement organisés aujourd'hui, nous aurions de la chance d'être dans une situation où la collaboration existe. Et lorsque ce n'est pas le cas, nous sommes contraints d'accepter des risques croissants sans disposer des outils nécessaires pour y faire face.
Les RSSI développent leurs compétences et gagnent en influence
Si un RSSI a la chance d'embaucher son propre remplaçant, nous créons la description du poste et, naturellement, le successeur idéal aura tendance à avoir un ensemble de compétences similaires... avec un penchant pour le côté technique. S'il est essentiel de comprendre ce que font les équipes de sécurité et d'accroître l'influence du RSSI, il est essentiel de développer des compétences non techniques, telles que la communication avec les parties prenantes, le sens des affaires et la planification stratégique. Sinon, nous serons coincés dans le SOC et tenus à l'écart de la salle de conférence pendant encore 20 ans.
Les RSSI qui souhaitent avoir le plus d'influence au sein de leur organisation doivent rechercher les éléments suivants :
- Un rôle qui exige de superviser des tâches techniques sans les exécuter - j'ai vu des RSSI impliqués dans la gestion des incidents en raison d'attentes erronées. Ce n'est pas une position saine pour un cadre.
- Comprendre la place de la sécurité dans la stratégie de l'entreprise - s'agit-il d'un élément essentiel du modèle d'entreprise ou le rôle sera-t-il essentiellement technique ? Serez-vous trop occupé à éteindre des incendies pour conduire le changement ?
- Examinez la chaîne de processus actuelle en matière de sécurité et posez des questions sur sa maturité : l'entreprise suit-elle des processus et des politiques définis, dispose-t-elle d'un plan de réponse aux incidents mature ? Cela vous donnera une bonne idée de ce à quoi vous devrez consacrer votre temps.
- Veillez à contrôler les achats - vous ne pouvez pas combler le déficit de compétences en lançant plusieurs produits à une équipe débordée.
Pour réussir, les RSSI doivent être en mesure de mettre à jour les contrôles de sécurité, en remplaçant les anciens outils par des solutions qui réduisent les efforts manuels et donnent la priorité aux actions, comme la détection et la réponse par l'IA.
Ce blog a été publié pour la première fois dans The Register.