Alors que le risque d’entreprise occupe le devant de la scène, les CISO adoptent des rôles élevés, se transformant en chefs d’entreprise plus intégraux pour leurs organisations.
Ils peuvent avoir le mot «sécurité» dans leur titre, mais le mandat pour les CISO d’aujourd’hui est de passer des gardiens de sécurité aux architectes de la continuité des entreprises et de la résilience opérationnelle.
Les CISO ne sont plus uniquement axées sur la verrouillage des choses comme les pare-feu et la conduite de contrôles de conformité. Maintenant, ils sont impliqués dans des conversations plus larges sur la croissance des entreprises, la stratégie numérique et la confiance des clients. Ils devraient comprendre profondément l’entreprise et connaître les objectifs, les sources de revenus de l’entreprise et les actifs pour hiérarchiser efficacement les actifs de sécurité.
Beaucoup supervisent également les fonctions informatiques pour garantir l’alignement entre les protocoles de sécurité et l’efficacité opérationnelle.
En bref, au lieu de simplement dire «non» aux risques, ils évaluent les cyber-risques dans le contexte global des risques commerciaux, aidant l’organisation à prendre des décisions éclairées sur l’appétit des risques. Cela nécessite un état d’esprit stratégique et la capacité de communiquer des problèmes de sécurité complexes en termes adaptés aux entreprises.
Alors que les cybermenaces perturbent de plus en plus les opérations commerciales, les conseils se tournent désormais vers leurs chefs de sécurité non seulement pour la protection, mais pour des informations proactives qui façonnent tout, des décisions d’investissement liées à l’infrastructure technologique au développement de produits et à la gouvernance des données.
Les CISO adoptent cette nouvelle reconnaissance de leurs rôles élevés avec Gusto. Voici un aperçu de la façon dont certains cisos se sont transformés en chefs d’entreprise plus intégraux pour leurs organisations.
Gagner la confiance avec le conseil d’administration, d’autres leadership
Le rôle d’Amit Basu en tant que CISO des Seaways International a été élargi pour inclure également les titres du vice-président et du CIO. Ce n’est pas surprenant, dit-il, parce que Seaways ‘Board réalise que la sécurité est tissée dans toutes les fonctions commerciales.
«Alors que la transformation numérique accélère et que le cyber-risque devient une préoccupation commerciale, les CISO devraient désormais aligner les initiatives de sécurité avec des objectifs organisationnels plus larges, stimuler la résilience et permettre l’innovation», explique Basu. «Les exigences de sécurité sont désormais liées à chaque projet numérique à partir de la conception, garantissant que les investissements numériques sont construits avec la résilience nécessaire pour offrir une valeur commerciale malgré les menaces en évolution. Cette intégration élève le rôle de la CISO, les positionnant comme un leader stratégique clé au sein de l’entreprise.»
Il appartient au CISO de gagner la confiance de l’équipe de gestion et du conseil d’administration afin qu’ils comprennent que la sécurité n’est pas un problème informatique ou un problème technique, souligne Basu. Cela nécessite une «intelligence émotionnelle», ainsi qu’une audace et un leadership visionnaire, dit-il.
Le rôle double de Basu est emblématique d’une tendance à la hausse de la suite C qui voit les chefs de sécurité mieux positionnés, parfois même que les DSI, pour diriger les services technologiques de demain.
Le lui donner droit
Les CISO travaillent désormais avec des chefs d’entreprise et des conseils d’administration pour s’assurer que les considérations de cybersécurité sont intégrées dans chaque problème, dit Basu. «Et ils sont devenus des traducteurs pour articuler les risques technologiques complexes en termes commerciaux qui résonnent avec la haute direction.»
Lorsque les CISO communiquent efficacement ou ont ce que Basu appelle «une compétence de narration», qui les élève d’un gestionnaire opérationnel à un conseiller de confiance et un chef de stratégie.
La communication est une stratégie clé pour renforcer la confiance et l’influence de l’organisation, accepte Gaurav Kapil, vice-présidente principale et CISO de la société de services financiers Bread Financial.
«Les cisos du présent et de l’avenir doivent se retirer des technologues et développer leur influence musculaire ainsi que leur muscle de communication», explique Kapil. Ils doivent être en mesure de «relayer la technologie et la cyber-message dans les mots et les significations où un non-technologie comprend réellement pourquoi nous faisons ce que nous faisons».
Par exemple, un CISO disant: «J’ai besoin de mettre en œuvre une nouvelle capacité de gestion de la vulnérabilité», ne signifie rien pour les hommes d’affaires, note Kapil. «Mais traduisant cela par la valeur qu’elle fournit à l’organisation et les avantages qu’il offre, le risque qu’il réduit, l’entreprise qu’elle permet – tous ces mécanismes permettent au CISO de construire leur coffre-fort de confiance.» Cela doit être un exercice continu, ajoute-t-il. «Ce n’est pas transactionnel mais plus d’une conversation basée sur la valeur.»
Avoir un risque plutôt que des cyber-conversations
Bread Financial contient de nombreuses informations personnellement identifiables (PII) pour des millions de clients, et il va sans dire qu’il doit être protégé. Naturellement, l’entreprise se soucie de respecter toutes les exigences réglementaires auxquelles une entreprise de services financiers est soumise, dit Kapil, mais il doit toujours penser au-delà, surtout en ce qui concerne les implications de ce PII à tirer parti de manière non autorisée.
«Parler de chiffrement et de tokenisation ne va pas vraiment aider l’entreprise», dit-il. «Mais en parlant:« Si nous ne garantissons pas les informations et son accès à des fins non autorisées, voici les implications », y compris la perte de confiance des clients, les amendes réglementaires et la surveillance supplémentaire, et la perte de réputation -« Ce sont les types de choses qui se soucient davantage. »
De plus, au lieu de jouer «un rôle de police», les CISO doivent réfléchir astucieusement à nouer des relations plus influentes; Et au lieu d’avoir des cyber-conversations, ayez des conversations à risque, dit Kapil.
Cette notion de transformer son état d’esprit en celle d’un agent de risque est quelque chose que de nombreux CISO considèrent comme une base future du rôle de haut responsable de la sécurité.
«Dans mon rôle, je me suis associé à mes pairs à travers la technologie du point de vue du développement de produits (et) de la plate-forme, d’un cyber-risque ou d’une perspective de risque technologique, où nous nous associons à mes leaders des risques d’entreprise» et avons plus de conversations de risques pour discuter du «pourquoi», et de la valeur que quelque chose apportera à l’organisation, dit Kapil.
Au fur et à mesure que la conversation change, Kapil est devenu apte à identifier les grands «blocs de risque dans notre portefeuille» et à peser ceux contre les priorités commerciales, ce qui ajoute également de la valeur à ce rôle, dit-il.
« Sinon, si vous résolvez juste pour la prochaine chose, nous ne sommes pas vraiment conscients des risques, et nous faisons simplement des choses pour faire des choses, ce qui n’est pas le meilleur moyen de fonctionner », ajoute-t-il.
Devenir un CISO habilitant
En 2018, un rapport CISO de Synopsys a identifié quatre types différents de «tribus» de CISO, chacun avec ses propres caractéristiques distinctes. Chad Lemaire, adjoint CISO chez le fournisseur de plate-forme NDR Extrahop, et actuellement CISO intérimaire, se caractérise comme un facilitateur CISO.
«Les CISO qui sont les catalyseurs peuvent avoir le plus grand impact sur l’entreprise parce qu’ils comprennent les objectifs commerciaux», explique Lemaire. «J’aime dire que nous ne faisons pas de cybersécurité pour la cybersécurité.
Il y a des risques de sécurité et il y a des risques d’entreprise, et le CISO est devenu le «pinfonnette qui relie tous les départements ensemble à mesure que nous identifions le risque», explique Lemaire.
Chargé de la gestion des risques d’entreprise ainsi que des opérations de sécurité, Lemaire travaille avec d’autres départements et en tandem avec le DSI d’Extrahop pour développer un score de matrice des risques et formuler des plans pour atténuer les risques. «Ensuite, vous vous retrouvez avec ce qui est appelé« risque résiduel », qui se concentre sur les risques pour l’organisation», dit-il. Ce n’est pas nécessairement axé sur la sécurité, dit-il, car cela affecte tous les départements, mais les CISO sont impliqués dans une gestion des risques plus large.
Les CISO sont désormais également plus fréquemment responsables de la planification opérationnelle, qui englobe l’analyse de l’impact commercial et la création de plans de reprise après sinistre et de réponse aux incidents, a déclaré Lemaire. Ils doivent coordonner les exercices de table, donc lorsque quelque chose se produit, tout le monde sait quel est le plan et quel est son rôle pour s’assurer que l’entreprise continue de fonctionner.
«C’est supérieur à la cybersécurité à ce moment-là», dit-il. «La contingence pourrait être une catastrophe qui n’est pas liée à la cybersécurité – mais il y a des impacts de cybersécurité basés sur certaines catastrophes.»
Le Kapil de Bread Financial est également responsable de la continuité des activités et de la reprise après sinistre. Cela, associé à une multitude d’autres fonctions, lui permet de définir le bon programme pour la cyber-organisation, de créer la bonne architecture pour soutenir les cyber-stratégies, de mettre en œuvre un environnement de confiance zéro et de garantir que les activités anormales sont surveillées en temps réel. Ayant une étendue de responsabilités, dit Kapil, lui permet de gérer une organisation sûre et sécurisée.
Aider l’organisation à reconnaître que le cyber doit également se transformer
Comme de nombreuses organisations, Bread Financial est au milieu d’une transformation commerciale et numérique. Kapil estime fortement que l’organisation de sécurité doit également se transformer.
«Une transformation technologique ne peut pas réussir sans cyber-transformation également», dit-il. Pour ce faire, Kapil requiert à Kapil de sortir des sentiers battus et d’aligner les pratiques informatiques et cyber qui permettront à l’entreprise d’être une organisation de services financiers technologiques.
«Nous ne pouvons pas nous permettre d’être des cyber-technologues. Nous devons sortir de notre boîte et parler le langage du risque, parler la valeur, la langue de nos partenaires financiers», explique Kapil. Il appartient au CISO de faire comprendre au CFO pourquoi la sécurité a le budget qu’elle a et la valeur de l’organisation.
«Nous tirons parti de la technologie et du cyber pour permettre l’entreprise, d’activer les partenaires et de nous assurer que cette plate-forme commerciale continue d’être une plate-forme opérationnelle sûre et sécurisée. Cela est la clé du message sous-jacent», dit-il.
Un titre axé sur les affaires émerge
Les Cisos repositionnant leurs rôles et en reconnaissant la façon dont la sécurité intégrale est devenue pour l’entreprise, certaines organisations plus grandes ajoutent désormais des agents de sécurité de l’information commerciale (BISO) à leurs équipes de direction. Une bisos est intégrée dans l’entreprise et comprend et s’aligne sur les priorités stratégiques et les cadres de risques, explique Michael Petrik, associé du groupe de risques de l’industrie des valeurs mobilières chez FS-ISAC, qui a développé un programme Bisos et un livre blanc pour le secteur financier.
Le rôle de bisos a émergé pour combler l’écart entre les objectifs commerciaux et la surveillance de la cybersécurité qui a existé dans de nombreuses entreprises, dit Petrik.
«En agissant comme une liaison entre les équipes commerciales, technologiques et de cybersécurité, le Biso garantit que les mesures de sécurité sont alignées sur les stratégies commerciales et intégrées efficacement», dit-il. La transformation numérique, les technologies émergentes et l’innovation rapide sont des mandats d’entreprise, et les équipes de sécurité ajoutent de la valeur et gérent mieux les risques lorsqu’ils sont impliqués avant qu’une plate-forme ne soit sélectionnée ou mise en œuvre, dit-il.
Une biso doit être considérée comme un complément à un CISO – pas un remplacement, les contraintes de Petrik.
Les CISO ont un ensemble d’élargissement de responsabilités, y compris les stratégies de cybersécurité à l’échelle de l’entreprise, l’établissement de politiques et la gestion des cyber-risques globaux. La biso est une extension du rôle en traduisant les connaissances techniques en matière de sécurité en applications commerciales de base, dit Petrik.
Alors que les CISO cherchent à repositionner leurs rôles pour des responsabilités plus centrées sur l’entreprise, ils peuvent utiliser des bisos pour les aider à obtenir une plus grande visibilité, plus d’agilité et un alignement amélioré à travers l’organisation, dit Petrik.
