Diverse international executive business team people group working with paperwork standing at table, analyzing corporate strategy, reviewing plan managing financial project overview at office meeting.

Le défi du CISO: amener ses collègues à comprendre ce que vous faites

Lucas Morel

Les CISO opèrent souvent avec une responsabilité significative mais une autorité formelle limitée, ce qui rend essentiel d’articuler clairement leur rôle. Les experts proposent des stratégies aux CISO pour communiquer leur mission aux collègues et aux clients.

Le tout premier CISO, feu Steve Katz, a obtenu le titre de chef de la sécurité de l’information de CITICORP en 1995 après que les pirates russes ont volé plus de 10 millions de dollars à l’institution financière. Trente ans plus tard, ce rôle de leadership relatif à la fin des ventes de fin

Il n’est donc pas surprenant que de nombreux employés et même des dirigeants ne comprennent pas pleinement ce que font les CISO de leurs organisations – un problème que de nombreux CISO se heurtent pour remplir leurs principales responsabilités pour l’entreprise.

« Cela semble banal, mais c’est le terrain d’ascenseur pour la chose plus longue, c’est-à-dire qu’un CISO est l’autre moitié du CIO. CIOS a essentiellement cessé de faire de l’innovation et de la gouvernance en 2000 et est devenu des coupe-coûts », dit Ellis. « Quelqu’un a dû se soucier de la cybersécurité parce que personne d’autre ne l’a fait. Et donc, le travail du CISO a été de ramasser les pièces de cybersécurité qui font partie des emplois des autres. »

L’évolution aléatoire du travail met en évidence les problèmes auxquels les CISO sont confrontés lorsque les collègues et les régulateurs ont une mauvaise compréhension de ce qu’ils font. Ce manque de compréhension peut conduire à des malentendus, à une mauvaise allocation des ressources et même à une responsabilité juridique potentielle, comme en témoigne ce que beaucoup considèrent comme l’inclusion excessive de la SEC de Solarwinds Ciso Tim Brown dans une bataille juridique de plusieurs années et meurtrière basée sur une mauvaise interprétation de ses fonctions.

Les paramètres floues et variables du travail sont conduits. Ce manque de clarté est aggravé par le fait que la plupart des cisos continuent de fonctionner avec l’autorité de prise de décision moins que désirée malgré leurs lourdes fonctions et leurs titres de sondage exécutif. Néanmoins, les experts indiquent que les CISO peuvent mieux définir leur travail et les communiquer à la fois à l’intérieur de l’organisation et avec des parties prenantes externes.

Alors, que font les cisos?

L’un des problèmes fondamentaux de la définition du rôle de la CISO est qu’elle varie d’une organisation à l’autre, et où l’organisation est en termes de maturité de la cybersécurité. De plus, la nature du travail peut changer avec le temps.

Dans une organisation mature, en revanche, le CISO est «un leader exécutif qui se concentre sur la stratégie, les relations commerciales, la création de marque, la réflexion sur la façon dont le cyber crée de la valeur pour l’organisation», dit Dedude. Ce type de CISO pense à «comment créer de la valeur pour cette organisation grâce à mon expertise en matière? C’est pourquoi je pense qu’il y a un flou. De plus, le bon CISO pour la même organisation peut changer au fil du temps.»

Il ajoute: «Nous avons traversé cette période où le conseil d’administration ou le PDG ou l’entreprise pointe vers le CISO et dit:« C’est votre travail de nous protéger ». Nous nous sommes éloignés de cela à la meilleure chose que un CISO puisse faire est d’être connecté à tous les niveaux de l’entreprise à comprendre de chaque chef de département et de demander à ce leader quelles données, quels systèmes ils sont responsables.

Chiang pense que le grand niveleur dans toutes les organisations pour les CISO est que «la mission est finalement la même, à savoir – que vous soyez dans une entreprise, un gouvernement ou un organisme sans but lucratif – de réduire les risques, en particulier sur la sécurité traditionnelle.»

«  Chef  » en nom n’a ajoute qu’à la confusion

Comme d’autres titres à consonance exécutive, tels que le directeur du marketing, le directeur des revenus, le directeur de la technologie et d’autres, les CISO semblent être des officiers de l’entreprise avec des capacités de prise de décision générales, mais dans la plupart des cas, ils n’ont pas de pouvoir réel.

« Il y a des CISO qui montent en quelque sorte ce que cela signifie d’être un officier de l’entreprise, et ils sont ensuite traités comme tels, quelles que soient leurs relations de déclaration », a déclaré Khawaja.

«J’ai vu des cisos qui sont quatre niveaux en baisse du PDG, mais ils sont considérés comme un membre de première classe de la suite exécutive», ajoute-t-il. «J’ai vu des cisos qui sont un rapport direct du PDG, et ils n’ont presque aucune influence et aucune autorité. Donc, cela a très peu à voir avec la relation réelle de rapport et la structure organisationnelle. Cela a beaucoup plus à voir avec l’éthos et le comportement de l’individu eux-mêmes et la qualité des relations avec le PDG, avec le conseil d’administration et avec leurs pairs.»

Mais Ellis pense que ce rôle moindre que les CISO occupent ne dureront pas longtemps, compte tenu de la cybersécurité vitale. « Je pense que nous sommes plus susceptibles de voir une évolution du CISO de retour dans un rôle de type CIO ou CTO. Si vous regardez ce qu’un CIO fait aujourd’hui en dehors de la Fortune 500, ils sont un agent d’approvisionnement pour les services de matériel et de saaS.

Le Chiang de Headway estime que même si les CISO ne fusionnent pas dans les DSI, ils ont probablement atteint plus de puissance. «Nous passons à plus de normes et de normes autour de ce qu’un CISO fait, ce qui est à certains égards un suivi naturel de ce que les CISO ont maintenant besoin pour garantir, par exemple, d’être un officier nommé par le conseil d’administration et donc d’avoir le même niveau de couverture de responsabilité qu’un CFO, par exemple, dans certaines de ces décisions de risque.»

Comment les cisos peuvent communiquer ce qu’ils font

Peu importe où l’organisation se trouve sur la courbe de maturité de la cybersécurité, ou le peu de pouvoir exécutif d’un CISO vraiment, les experts disent qu’il existe des moyens de communiquer les fonctions de la CISO afin que les parties prenantes internes ou externes aient une idée plus claire de ce qu’ils font.

Il existe très peu de documents standard qui peuvent aider avec cette tâche. Le conseiller du conseil d’administration de la cybersécurité Rafeeq Rehman produit chaque année un «Mindmap Ciso», qui est une réalisation visuelle qui cristallise ce que font les CISO. Mais il est complexe, affichant des centaines de tâches que tout CISO pourrait entreprendre.

«Je ne partagerais pas cette carte mentale avec mes pairs», explique Chiang. «Cela les submergerait.»

Ellis a produit la description de poste de CISO idéalisée, qui englobe tout en décrivant la gamme complexe des responsabilités professionnelles de la CISO. Mais, peu de CISO ont déjà porté ce niveau de fonctions. Ellis dit qu’il ne connaît que 100 cisos qui ont répondu aux critères idéalisés, et «ils sont surtout tous au Temple de la renommée de la CISO à ce stade», dit-il.

Au lieu de partager ces documents complexes et spécialisés, Chiang dit que les CISO devraient «chercher des moyens de raconter l’histoire du point de vue de notre client partagé», pour peindre une image de ce qu’ils font en termes d’accès ou de réduction des risques, par exemple. « Cela nous éloigne peut-être de penser que le CISO est un décideur, ce qu’ils ne sont presque jamais. Ce sont des conseillers et des aides et des catalyseurs, et se présentent quand les choses tournent mal. »

«La première chose qu’un CISO a à faire est d’apprendre à parler la langue de la personne à qui il parle et à déterminer ce sur quoi elle est mesurée, ce qui leur est le mieux.» Le Dr Z dit. «Déterminez ce qui est important pour cette personne ou ce département ou ce bureau, et comment vous pouvez montrer votre pertinence à cela.»

Ellis pense qu’il est essentiel pour les CISO de montrer leur travail aux clients en personne. «Vous voulez que tout soit en personne», dit-il. «Vous voulez avoir des conversations avec les gens, et ils devraient voir le travail que vous faites. Vous ne devriez jamais leur dire:« Nous avons fait ce truc ». Ils devraient voir ce que vous faites et vraiment ce que vous aidez les autres à faire. »

De plus, en communiquant dans toute l’organisation, les messages des CISOS auront plus de poids et seront plus mémorables s’ils accordent du crédit aux autres. «Mentionnez ce que quelqu’un d’autre dans l’entreprise a fait qui a protégé l’entreprise», explique Ellis. «Cette équipe d’ingénierie vient de nous construire un incroyable système d’authentification multifacteur qui est transparent. Ce sont les gens que vous devriez remercier. Tout le monde voudra travailler avec vous – le seul à remercier les autres.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent