Les CISO ont de plus en plus besoin de temps dédié auprès du conseil d’administration, mais le manque de connaissances du conseil d’administration de la cybersécurité et de l’incapacité à traduire la sécurité en risques commerciaux peut entraver des discussions efficaces.
Le temps adéquat avec le conseil d’administration est en pénitence pour les CISO et cet engagement restreint laisse les organisations non préparées pour bien comprendre et gérer les risques d’entreprise. Le délai de l’ordre du jour de la cybersécurité est souvent limité aux séances de comité du conseil d’administration trimestrielles et aux réunions annuelles des conseils d’administration complète, selon un rapport avancé du centre de sécurité de la cybersécurité.
Dans la pratique, cela signifie que la plupart des CISO ne reçoivent qu’un créneau de 15 à 45 minutes dans un programme bondé dans une réunion du comité de risque, d’audit ou de technologie et de temps similaire à la réunion annuelle du conseil d’administration.
La cybersécurité est expliquée dans les mises à jour opérationnelles ou de conformité, la gardant séparée et distincte de la stratégie commerciale plus large et de la gestion des risques. «Dans certaines sociétés publiques, il attirera très probablement l’attention du comité d’audit et probablement très peu de temps avec le conseil d’administration lui-même», explique Gerchow. «Le fait du comité d’audit est qu’ils se soucient de la conformité et ce n’est pas vraiment une discussion sur les risques de cybersécurité», dit-il.
Ajoutant aux défis, les conseils n’ont souvent pas les outils, le contexte ou la structure pour défier et influencer efficacement la cyber-stratégie. Pour cette raison et le temps réduit autorisé aux CISO, les conseils finissent par recevoir des rapports plutôt que des commentaires précieux.
Les conseils doivent être bien familiarisés dans les cyber-risques, ce qui signifie traiter la cybersécurité comme un risque commercial stratégique, et non comme un problème technique isolé.
Ce qui motive parfois l’interaction du conseil d’administration est un incident de sécurité, explique Gerchow. « Alors les questions sont » Pourquoi? Pourquoi avons-nous attendu que cela arrive à ce point? « »
Le temps dédié du conseil d’administration signifie des discussions ouvertes sur les cyber-risques
Selon l’ACSC, maintenir la cybersécurité en tant qu’objectif distinct signifie que les organisations ne considèrent pas automatiquement l’un de leurs plus grands risques dans les revues stratégiques des affaires stratégiques. Le problème est que le temps limité alloué aux CISO lors des réunions du comité d’audit n’est pas suffisant pour des discussions complètes en cybersécurité. De plus en plus, plus de temps est nécessaire pour les conversations sur la gestion du paysage des risques complexes.
Il a trouvé ces particuliers pour permettre les conversations franches, qui pourraient se concentrer sur le budget, les barrages routiers vers de nouvelles implémentations de sécurité ou si lui et son équipe ont suffisamment de temps pour mettre en œuvre des programmes de sécurité. «Ils peuvent demander:« Comment ça se passe vraiment? Recevez-vous le soutien dont vous avez besoin? C’est une conversation transparente sans que les autres dirigeants de l’entreprise ne soient présents. »
Gerchow a trouvé une occasion précieuse de discuter ouvertement des choses sans tenir compte des lignes de responsabilité ou d’autres obstacles aux conversations franches. «Je suis celui qui exprimera ce que je pense, mais je sais que d’autres CISO ne seront pas dans une réunion du conseil d’administration régulière avec le PDG, le directeur financier ou à qui ils se rendent compte. Ils sont plus susceptibles de s’en tenir aux progrès réalisés contre les risques.»
Le modèle de partenariat complet entre CISO et conseil d’administration
Les discussions de sécurité complètes et franches sont plus qu’un simple «agréable à avoir». La SEC a indiqué qu’elle s’attend à ce que les entreprises publiques avec des hauts responsables soient transparentes dans la façon dont elles évaluent et communiquent les risques de cybersécurité.
Par extension, les CISO ont un rôle important dans la communication des risques aux hauts responsables et au conseil d’administration. Pour fournir des informations stratégiques, les CISO doivent éviter des détails techniques excessifs et utiliser plutôt des cadres cohérents, des registres de risque et des mesures de résilience.
Chez Liberty Mutual, la cybersécurité est signalée au conseil d’administration à la fois comme un sujet autonome et dans le cadre de discussions de stratégie technologique plus larges. «Il est utile de faire rapport à l’ensemble du conseil d’administration afin que tous les administrateurs aient une certaine exposition aux cyber-tendances et à la santé du programme de cybersécurité», a déclaré Liberty Mutual Ciso Katie Jenkins.
Jenkins trouve les deux approches précieuses, la conversation autonome se rétrécissant sur les risques et les stratégies d’atténuation, tandis que l’intégration dans les discussions technologiques démontre que la sécurité n’est pas une fonction isolée.
«Les résultats efficaces de sécurité dépendent d’un engagement interfonctionnel à travers l’organisation», dit-elle. «Lorsque je me présente au conseil d’administration, mes objectifs sont d’éduquer les tendances actuelles et les menaces émergentes, de clarifier les risques – en évitant à la fois la sous-représentation et la surreprésentation – et insuffler que nous allouons efficacement nos ressources pour s’aligner sur ces risques.»
Jenkins vise à développer un «dialogue sur un monologue» pour comprendre les questions les plus urgentes de la Commission et adapter sa présentation pour fournir une plus grande clarté ou intégrer des exemples pertinents conformément à leur objectif.
Pour ce faire, Jenkins est guidé par trois principes de ses présentations. Premièrement, soyez clair sur la relief de risques à l’impact commercial pour rendre les problèmes plus tangibles et pertinents pour les membres du conseil d’administration. «Lorsque vous discutez des incidents ou des risques, je les relie à leur impact potentiel sur les opérations commerciales.
Utilisez des démonstrations pour montrer des menaces en action. Cela donne de la clarté et aide à renforcer la confiance, en allant au-delà de «confiance simplement à ce sujet» pour montrer des exemples en temps réel de nos efforts. «Dans une récente mise à jour du conseil d’administration, j’ai utilisé des démos pour afficher la facilité d’utilisation des kits de outils favorisés par les adversaires et présenté les effets avant et après la mise en œuvre de contrôles de sécurité spécifiques.»
Enfin, Jenkins est également à souligner comment la sécurité est également un moteur de l’innovation. «Je souligne comment la sécurité permet l’innovation en fournissant des garde-corps, ce qui constitue un bon complément aux aspects plus défensifs de notre travail.»
S’éloigner du rapport purement des comités n’est pas seulement une décision tactique. Il reflète le besoin croissant de faire en sorte que les CISO fournissent des commentaires dans de nombreuses initiatives commerciales. Jenkins pense que les CISO peuvent offrir des contributions précieuses à l’adoption de l’IA, à la résilience opérationnelle, à la modernisation technologique, aux données et à la transformation numérique, aux fusions et acquisitions, aux stratégies de fournisseurs et d’approvisionnement et de gestion des risques géopolitiques.
«Nos contributions s’étendent au-delà des simples incidents de cybersécurité; nous jouons également un rôle essentiel dans la gestion des risques d’entreprise et la réponse de crise», dit-elle.
