L’analyse comparative des performances en temps réel peut donner aux CISO la confiance que leurs efforts de sécurité créent une valeur commerciale et réduisant les risques, en particulier dans les moments difficiles.
Comme tous les autres chefs d’entreprise, les principaux responsables de la sécurité de l’information (CISO) pourraient se retrouver sur la ligne de chômage si quelque chose sur leur montre va sérieusement sur le côté.
Mais que se passe-t-il si les CISO ne démontrent tout simplement pas suffisamment de valeur commerciale?
Les entreprises réduisant les coûts, les programmes de cybersécurité prouver que l’entreprise est devenu essentiel à la protection des budgets et des emplois. C’est pourquoi l’analyse comparative des performances devient obligatoire pour les chefs de cybersécurité partout.
Constrabilité de la pression pour la cybersécurité complexe
Comme les dirigeants sont de plus en plus confrontés à des mesures de performance fondées sur les risques, les CISO ressentiront presque certainement plus de chaleur pour quantifier le succès de leurs programmes dans les réunions et les rapports. Cela signifie sauter de leurs zones de confort axés sur la technologie et mettre plus de priorité sur les questions commerciales telles que l’amélioration de l’innovation, les résultats des investissements et la maturité de la cybersécurité.
«Les cisos ont du mal à parler à la suite C parce que ce qu’ils veulent savoir, c’est:« Suis-je en sécurité? Suis-je en sécurité? », Explique Frank Dickson, vice-président du groupe de la sécurité et de la confiance dans la société de renseignement du marché IDC. « Ce que les CISO ont tendance à faire, cependant, c’est de signaler un tas de fonctionnalités liées à l’activité qui ne répondent pas à ces questions, ce qui agace les PDG. »
Ce que les CISO doivent souligner, dit Dickson, c’est comment leurs activités réduiront le risque. À cette fin, les références de performance permettent aux dirigeants de suivre les progrès vers la réduction des risques et de démontrer comment leurs programmes s’accumulent avec les objectifs internes ainsi que leurs pairs. De plus, ils permettent aux CISO capturer et présentent des données pertinentes aux entreprises.
«Les conseils d’administration et de gestion sont beaucoup plus impliqués dans la cybersécurité ces jours-ci», explique Lou Celi, PDG de ThoughtLab Group, une société de recherche mondiale. «Ils veulent s’assurer qu’ils ne tombent pas derrière les huit balles. Ils ne veulent pas faire moins que les autres. »
Il est temps de choisir une norme
De nombreux cadres de sécurité informatique de l’industrie et de l’association peuvent être utiles pour l’analyse comparative, notamment l’Institut national des normes et de la technologie (NIST) Cadre de cybersécuritéle ministère de la Défense Certification du modèle de maturité de cybersécurité (CMMC)l’Organisation internationale pour la normalisation (ISO) 27000 séries de normes (ISO 27001 et 27002 sont courants pour la cybersécurité), entre autres. La plupart des organisations et des outils utilisent ces types de cadres.
Dickson dit que tous ces cadres peuvent valoir la peine d’examiner, mais note que leur applicabilité et leur utilité peuvent varier selon l’industrie. Il dit que c’est une bonne idée de les rechercher et de les comparer, puis de «choisir un qui fonctionne pour vous».
S’ils sont correctement mis en œuvre, les programmes alignés sur les repères de cybersécurité peuvent réduire la probabilité de violations du réseau. En fait, une enquête de pensée auprès de 1 200 grandes entreprises a révélé que celles qui appliquent plus dans l’application du cadre de cybersécurité du NIST surpassent les autres sur des mesures clés comme le temps pour détecter une violation (119 jours pour les organisations avancées contre 132 jours pour tous les autres). Les principales organisations ont également eu moins de violations matérielles annuelles, selon le rapport.
Ce sont les types de statistiques et les plans C adorent entendre. Ils indiquent qu’une organisation est confrontée à un risque d’attaque plus faible, ce qui aide à communiquer au public qu’il protège non seulement ses propres données mais aussi les données de ses clients et partenaires.
Avec une probabilité plus faible d’être sérieusement piratée, une entreprise est également beaucoup plus agile et capable d’innover, ce qui peut créer un avantage concurrentiel.
«Si vous avez votre maison dans l’ordre et que vous pouvez afficher un certain degré d’agilité, vous pouvez montrer aux leaders que vous conduisez une mentalité de« quart-gauche »», explique Paul Watts, analyste distingué avec l’ISF. «C’est là que vous prenez une position proactive pour la sécurité dans votre organisation contre les personnes, les processus et la technologie. Cela signifie que vous pouvez pivoter et faire des choses de manière rapide et innovante. Vous avez l’agilité d’essayer de nouvelles choses.
Les approches peuvent varier
Pourtant, la collecte de données pertinentes qui montrent comment une équipe de sécurité informatique mappait les normes clés peut être fastidieuse et délicate. Toutes les organisations ne le font pas particulièrement bien.
Beaucoup, par exemple, adoptent encore une approche de bricolage. Ils sélectionnent une norme, affectent le personnel pour collecter des données de performance de l’organisation et branchent ces données sur des feuilles de calcul. Le problème est que la collecte de données peut prendre beaucoup de temps, et une fois les résultats entrés, ils sont souvent dépassés. En conséquence, les rapports au conseil d’administration ou à la suite C peuvent ne pas être aussi bénéfiques pour la prise de décision commerciale.
Une autre approche consiste à embaucher un consultant pour effectuer une analyse d’analyse comparative de cybersécurité. Cela fournit des ressources et une expertise immédiates que le personnel du CISO peut ne pas posséder. Et selon toute vraisemblance, ces étrangers peuvent avoir une attitude plus mise à jour pour le changement paysage des cadres de cybersécurité que les membres du personnel interne. Ils peuvent donner aux entreprises une idée générale de leurs postures de sécurité, mais comme l’approche du bricolage, ce sont des évaluations instantanées qui peuvent ne pas fournir le contexte le plus pertinent aux hauts dirigeants.
Une troisième approche consiste à investir dans des outils d’analyse comparative de performance tiers qui peuvent parcourir une entreprise, collecter des données pertinentes à grande échelle et faire rapport en temps réel. Les outils en temps réel garantissent que les résultats ne sont pas périmés à la livraison.
De nombreux outils d’analyse comparative sont disponibles. Certains vendeurs, par exemple, ont publié des outils présentés dans leurs produits ou vendus en tandem avec eux. Les meilleurs outils permettent aux organisations de comparer leur information Métriques à risque En temps réel contre les pairs de l’industrie et résoudre immédiatement les problèmes de la même console, notamment Tanium Benchmark.
Les associations, comme l’ISF, fournissent également Outils d’analyse comparative de cybersécurité gratuits à leurs membres, tandis que des groupes comme la Security Industry Association (SIA) proposent Études d’analyse comparative utiles. Gartner fournit également ses propres rapports de référence.
Alignement les mesures
En fin de compte: les organisations ont de nombreux chemins pour comparer les performances. La combinaison de plusieurs approches peut être utile. En fait, il est conseillé, car les informations compatibles sont parfois basées sur de petits ensembles d’échantillons non représentatifs. Le mélange de données internes et externes peut donc fournir une vision plus large et plus équilibrée des progrès d’une organisation contre les mesures.
Pour s’assurer que les mesures sont alignées sur les besoins de l’entreprise, les CISO devraient avoir des conversations en cours avec les membres du conseil d’administration et les hauts dirigeants pour comprendre les priorités changeantes. Les Watts de l’ISF indiquent que ces conversations devraient évaluer la quantité de risques que les dirigeants sont disposés à l’escalade au fil du temps.
«(Les entreprises) ont des appétits différents pour le risque», dit-il. «Les startups embryonnaires sont généralement disposées à prendre un peu plus de risques, car ils essaient de grandir et sont prêts à trébucher sur leurs lacets. Les grandes organisations, en particulier celles qui sont hautement réglementées ou qui sont tenues à compter par les investisseurs, ont tendance à être plus opposées au risque. »
Watts ajoute que les CISO devraient travailler avec des hauts dirigeants pour déterminer le niveau de maturité de la cybersécurité, une organisation devrait viser et convenir des voies de transformation de cette position en avantage concurrentiel.
Brogan Ingstad, vice-président de Risk Advisory chez Teneo, un cabinet de conseil en PDG mondial, a déclaré que les CISO devraient également s’assurer qu’ils évaluent les métriques de cybersécurité réelles. Certains dirigeants, dit-il, croient que les préoccupations opérationnelles, telles que le nombre de têtes et le budget, comptent comme des mesures de cybersécurité. Bien qu’importante du point de vue de la gestion, les CISO devraient être davantage axées sur la démonstration des progrès d’une organisation contre les références ou les objectifs spécifiques à la sécurité, dit-il.
Il est également important d’éviter de faire bouillir l’océan avec des mesures, explique Dickson d’IDC. Souvent, les CISO pensent qu’ils doivent chasser 10 ou 20 catégories de métriques, alors qu’ils feraient mieux d’en cibler quelques-uns. Dickson recommande trois: efficacité de sécurité, risque et valeur commerciale.
«En sécurité, souvent, nous nous sommes engagés à essayer d’être parfaits», dit-il. « Perfect est l’ennemi du bien, et avec des mesures, il est normal d’être assez bon. »
Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.
