Les CISO qui font rapport au CFO constatent que le décalage de celui-ci peut améliorer leur capacité à traduire le risque en termes commerciaux, à communiquer plus efficacement avec les cadres et à éviter les conflits d’intérêts.
Le rapport au CFO au lieu du CIO peut aider les CISO à cadrer la cybersécurité en termes commerciaux, positionner la cybersécurité comme plus qu’un centre de coûts et réduire les conflits d’intérêts entre le CISO et le CIO. Cette alliance improbable est un moyen pour les CISO d’évoluer des experts techniques aux partenaires stratégiques et d’élargir leur influence.
Daniel Schatz, CISO avec le cabinet de recherche sur la biotechnologie Qiagen, a découvert que le fait de se rendre compte au chef de file au CFO a élargi son objectif des contrôles techniques à aider à gérer les risques commerciaux.
Dans la fonction informatique, l’accent est mis sur la façon dont ils protègent l’environnement et les données de l’organisation. Les conversations tournent autour de l’intégration dans la pile informatique actuelle, de l’impact potentiel sur les performances et de l’expérience utilisateur. « La conversation avec le CFO est autour de » Quel type de risque commercial essayons-nous d’atténuer et quel type de coût regardons-nous? « », Dit-il.
Dans le cas de Schatz, le directeur financier a une bonne compréhension de la gestion des risques de cybersécurité, ce qui contribue à fournir un niveau de compréhension partagée. Pour sa part, Schatz devait améliorer sa compréhension des fondamentaux clés de la finance, tels que l’EPS, l’EBIT et l’Opex / Capex pour s’engager dans des discussions productives. «Le CISO doit avoir une bonne compréhension de l’entreprise et de ce que le directeur financier et les autres dirigeants à son niveau veulent vraiment parler et apprendre la langue de ces gens.»
Le rapport au CFO aide à encadrer la cybersécurité en termes de risque commercial
Les directeurs financiers peuvent être principalement préoccupés par la performance financière de l’entreprise, mais ils jouent également un rôle clé dans la gestion des risques organisationnels. C’est là que les CISO peuvent apprendre le métier pour traduire les mesures techniques en gestion des risques commerciaux.
Le rapport au directeur financier a aidé Stephen Bennett, groupe CISO chez Dominos, se concentrer davantage sur l’impact commercial et réduire l’utilisation du jargon technique pour améliorer les discussions avec des personnes en dehors des équipes techniques. «Ce n’est que lorsque vous vous présentez à quelqu’un qui n’est pas dans la technologie que vous réalisez à quel point vous parlez dans le jargon», explique Bennett.
Les reportages sur les ransomwares soulignent la prévalence de ces attaques, le risque toujours présent d’une attaque contre l’organisation et à quel point ce serait préjudiciable en termes de perte de données et de temps d’arrêt.
Un directeur financier est plus susceptible de demander combien d’incidents l’organisation a eu au cours des six dernières années qui ont eu un impact, explique Bennett. La réponse n’est peut-être pas jusqu’à présent, mais une attaque pourrait se produire à tout moment, comme le montrent les reportages. Le risque doit être quantifié en fonction des dommages potentiels à l’organisation, plutôt que des données d’attaque historiques.
Il démontre l’importance de connecter les initiatives de cybersécurité aux résultats commerciaux et comment élever le rôle de la CISO du gardien technique à l’attracteur commercial.
Le rapport au CFO peut améliorer les discussions sur le financement
Il y a de l’art et de la science pour obtenir un financement. Le nombre est important pour obtenir l’approbation du budget, et la cybersécurité a du mal à être considérée comme plus qu’un centre de coûts. Cependant, les deux tiers (66%) des directeurs financiers ne comprennent pas pleinement le rôle du CISO et ont du mal à voir le retour tangible sur le cyber-investissement, selon une enquête de conseil FTI. C’est quelque chose que beaucoup de cisos ne savent que trop bien.
«Un directeur financier passe par les rangs des finances sans beaucoup d’exposition et je peux voir comment ils sont incités à atteindre des cibles et des prévisions, plutôt que de penser: si je dépense deux autres millions pour l’atténuation de la cyber-risque, je peux économiser 20 millions en trois ans parce qu’un incident a été empêché», explique Schat.
Selon Gartner, les cycles de budgétisation et de prévision peuvent être un mystère, qui peut interagir rarement avec le directeur financier, et les interactions sont principalement transactionnelles autour de la déconnexion budgétaire sur les initiatives de cybersécurité, selon Gartner.
Sans plus d’occasions d’interagir, la déconnexion des objectifs et des lacunes de communication entre les CISO et les CFO peut exacerber le problème. «S’il n’y a pas de compréhension commune de ce que vous essayez d’atteindre ou d’empêcher, la sécurité technique peut ne pas comprendre que ce qu’ils disent n’est pas entendu par le directeur financier d’une manière dont ils peuvent comprendre», explique Schatz.
Les CISO qui font rapport au CFO ont le temps de construire une langue commune qui peut surmonter certaines des lacunes évidentes entre les camps techniques et financiers qui contribue grandement à justifier et à garantir un financement. Cela comprend l’explication de la cybersécurité fait partie de l’assurance de l’organisation contre les attaques, les amendes potentielles et la perte de revenus si une vulnérabilité est exploitée et pourquoi les investissements en cybersécurité protègent la stabilité financière à long terme de l’entreprise.
« En parlant de sécurité, vous parlez de l’avenir et essayez d’avoir des conversations sur les raisons pour lesquelles la finance doit augmenter la police d’assurance en donnant plus d’argent à la sécurité, car sinon les choses pourraient mal tourner », a déclaré Bennett.
Le rapport au directeur financier réduit les conflits d’intérêts CIO-Ciso
Lorsqu’il est principalement axé sur les performances technologiques et les délais du projet, la sécurité peut être considérée comme un obstacle, conduisant à des conflits d’intérêts entre les responsabilités du CIO et du CISO.
«Si vous regardez le remise d’un CIO, c’est généralement leur rôle de fournir des systèmes technologiques performants qui sont à petit budget, de préférence à l’avance, alors que d’un point de vue de la sécurité, nous pourrions entraver tous ces facteurs», explique Bennett.
Il n’est pas rare que les CISO trouvent la sécurité considérée comme une barrière, où les avantages ne sont pas toujours évidents, et sont en désaccord avec les mesures qui conduisent le CIO. «La sécurité pourrait ralentir un projet, introduire une couche de complexité dont nous avons besoin du point de vue de la sécurité, mais cela n’aide évidemment pas le client», explique Bennett.
La signalement des CFO peut soulager les conflits d’intérêts potentiels. Il peut permettre aux CISO d’élargir leur implication dans tous les domaines de l’organisation, au-delà de la contribution à la technologie, car la sécurité et la gestion des risques sont une mission totale.
«C’est pourquoi la sécurité ne devrait pas être considérée comme une fonction technologique, mais comme une fonction commerciale qui s’étend dans divers domaines», explique Bennett.
Dans le cas de Schatz, son changement dans la structure de rapports au CFO a également élevé le rôle du CISO pour devenir un pair avec le CIO, qui rapporte également le CFO. «Cela dépend des personnes impliquées, mais j’ai une très bonne relation avec le chef, qui n’est pas une personne de sécurité, mais il a de très bonnes compétences informatiques et est très ouvert à des conseils sur la cybersécurité», dit-il.
Travaillant de manière productive ensemble, il est en mesure de fournir des conseils sur la cybersécurité et ils ont des conversations régulières sur les priorités et les ressources, avec des objectifs partagés plutôt que concurrents.
«Nous avons des conversations très régulières sur les priorités, comment devrions-nous nous procéder et quels types de ressources sont plus appropriées dans quel domaine», dit-il.
Le changement dans la structure des rapports a également apporté des responsabilités supplémentaires à son remise, Schatz a acquis la gestion des risques organisationnels en plus du cyber-risque. Cela nécessite une compréhension globale de l’entreprise et signifie gérer le risque partout dans le monde dans toute l’organisation.
«Lorsque le CISO est très axé sur la cybersécurité, en examinant maintenant la gestion des risques d’entreprise, cela nécessite certainement une meilleure compréhension de l’objectif commercial et de ce que nous offrons à nos clients», dit-il.
