février 12, 2021

4 conseils pour aider les RSSI à obtenir plus d’adhésion à la cybersécurité C-suite

Par admin2020


Même si la cybersécurité est de plus en plus présente au sein du conseil d’administration, de nombreux RSSI continuent de se débattre avec l’adhésion et la compréhension des dirigeants – certains membres du conseil ont souvent des points de vue différents sur ce qu’est la cybersécurité et sa relation avec la confidentialité, la protection des données et les risques réglementaires. D’autres se concentrent sur les postures de risque ou les niveaux de menace, mais peu ont une compréhension complète de la cybersécurité. Indépendamment de l’orientation de la direction, ces difficultés créent des défis pour les RSSI qui ont besoin que le conseil d’administration comprenne les ressources, l’engagement et le budget nécessaires pour protéger leurs systèmes.

De nombreuses violations passées, y compris Violation de 2015 de l’Office of Personnel Management (OPM) des États-Unis, dans lequel des informations d’identité approfondies de plus de 20 millions d’employés du gouvernement et plus de 5 millions d’enregistrements d’empreintes digitales ont été volés, sont dues à trois causes profondes de «méta-niveau»:

  • l’incapacité de donner la priorité à la sécurité;
  • le défaut d’investir dans la sécurité; et
  • l’incapacité à exécuter les initiatives de sécurité.

Avant l’attaque de 2015, l’OPM n’a pas donné la priorité à certaines contre-mesures critiques, telles que l’authentification à deux facteurs, et n’a pas investi dans la sécurité, ne dépensant que 7 millions de dollars par an, ce qui était proche du niveau d’investissement le plus bas par rapport à d’autres organisations gouvernementales. Même le ministère de l’Agriculture a dépensé plus pour la sécurité de ses informations que l’OPM. Enfin, l’OPM n’a pas réussi à exécuter suffisamment rapidement ses améliorations de sécurité avant la violation. Ces trois causes profondes de violation au méta-niveau doivent être comprises par le conseil. Mais comment y parvenir?

1. Racontez une histoire et un récit cohérents sur la cybersécurité

Premièrement, les RSSI devraient tenter de raconter une histoire et un récit cohérents autour de la cybersécurité. Steve Jobs a dit un jour: “La personne la plus puissante au monde est le conteur. Le conteur définit la vision, les valeurs et l’agenda de toute une génération à venir.” Le travail d’un RSSI est, en partie, d’enseigner et de raconter une histoire convaincante pour atténuer ces préoccupations et faire avancer la mission de l’organisation.

N’essayez pas immédiatement, par exemple, de donner une évaluation du cadre de sécurité basée sur le NIST de l’état de sécurité de votre entreprise – cela n’ira probablement pas aussi loin avec votre conseil d’administration que de raconter une histoire cohérente, fournissant un contexte et un contexte importants. Une évaluation du cadre de sécurité peut en effet être utile à examiner avec le conseil, mais elle devrait probablement être examinée une fois que les antécédents et le contexte sont fournis. En tant que conteur, vous devez définir la vision, les valeurs et l’agenda du programme de cybersécurité de votre organisation.

Dirigez l’histoire avec le type de risques et d’attaquants susceptibles de nuire à votre entreprise; Bien que cet exercice ne doive pas se concentrer sur la création de FUD – peur, incertitude, doute – il doit offrir une vision réaliste du paysage actuel des menaces. Cela devrait également inclure les façons dont vous essayez de ralentir les attaquants et la façon dont vos systèmes les neutralisent. Si vous n’avez pas d’histoires sur la manière dont les attaquants ont attaqué votre organisation, vous pouvez tirer parti des histoires de hacks récents tels que SolarWinds ou de violations passées, y compris celles de Capital One, Facebook, Equifax, OPM, Yahoo, JPMorgan Chase et Target, entre autres. . Les histoires de ces véritables hacks et violations aident à mettre en contexte ce qui a affecté d’autres organisations similaires à la vôtre.

Évitez de parler des outils et de la technologie – gardez ces sujets indépendants du récit de votre entreprise. Ces sujets, bien qu’intéressants à discuter avec d’autres pairs de la sécurité et de la technologie, seront moins pertinents pour les membres du conseil qui ne vivent pas dans ce monde. Si l’un des moyens par lesquels vous avez pu arrêter les méchants, ou du moins voir qu’ils arrivaient, était un nouvel outil que votre PDG ou le conseil avait approuvé lors d’une réunion précédente, c’est génial. Tissez cela dans le cadre de l’histoire, mais assurez-vous que l’outil ou la technologie fait partie de l’histoire et non de l’histoire elle-même. Un tel ajout à l’histoire vous permet de transformer le PDG et le conseil d’administration en héros dans cette histoire.

2. Concentrez-vous d’abord sur les risques de sécurité existentiels

Deuxièmement, les RSSI et les autres cadres doivent d’abord se concentrer sur les risques existentiels. Les organisations ont de nombreux risques, dont certains peuvent être des menaces existentielles, dans la mesure où si ces risques se matérialisent, cela menace l’existence de l’organisation. Les menaces liées à la cybersécurité peuvent constituer une partie de ces risques. Cependant, les menaces liées à la cybersécurité qui peuvent ou non être des menaces existentielles dépendent de l’organisation.

Pour certaines entreprises, le vol de propriété intellectuelle peut être la menace existentielle la plus importante. Si un groupe financé par un État-nation peut voler des plans de produits, des conceptions de semi-conducteurs ou obtenir une copie du code source d’une entreprise qui a nécessité des centaines de millions de dollars d’investissement en recherche et développement et peut fabriquer le produit, le produit peut être fabriqué à un coût. qui peut injustement saper le développeur d’origine. Si un groupe cybercriminel peut assommer indéfiniment un site de commerce électronique avec une attaque de déni de service distribuée, une telle attaque pourrait menacer l’existence du site de commerce électronique et il pourrait être plus facile de payer une rançon relativement faible au lieu de avoir perturbé leur flux de revenus. Les services aux consommateurs en ligne qui s’appuient sur les informations personnellement identifiables des consommateurs pour la publicité pourraient perdre la confiance de leurs utilisateurs si des informations personnelles sont volées en masse.

3. Diriger avec CARE: Les contrôles de sécurité sont-ils cohérents, adéquats, raisonnables et efficaces?

Troisièmement, alors que les discussions sur la cybersécurité deviennent un sujet de préoccupation pour le conseil d’administration, en partie à cause de l’augmentation des amendes réglementaires, il faut comprendre comment les régulateurs envisagent la cybersécurité. Les régulateurs, comme la commissaire britannique à l’information Elizabeth Denham, pensent à la cybersécurité avec CARE – un acronyme qui signifie cohérent, adéquat, raisonnable et efficace. CARE est un critère qui peut être appliqué pour réfléchir et évaluer les contrôles de sécurité et pour savoir s’ils présentent les caractéristiques que les régulateurs examinent si votre programme de sécurité de l’information fait l’objet d’un examen minutieux. En particulier, vos contrôles de sécurité sont-ils:

  • Cohérent – marqué par une régularité ou une continuité constante?
  • Adéquat – suffisant pour un besoin ou une exigence spécifique?
  • Raisonnable – conformément à la raison; pas extrême, excessif ou décevant?
  • Efficace – produit un effet décidé, décisif ou souhaité?

Les régulateurs imposent des amendes de plus en plus importantes aux entreprises qui ont subi des violations de données. La Federal Trade Commission a condamné Facebook à une amende de 5 milliards de dollars en 2019. La même année, la commissaire britannique à l’information Elizabeth Denham (qui a joué un rôle important dans l’enquête sur Cambridge Analytica) imposé des amendes GDPR contre Marriott International pour 124 millions de dollars et British Airways pour 230 millions de dollars en raison de leurs violations de données et de confidentialité. Elle a déclaré: «Notre objectif est de savoir s’il existe ou non une sécurité des données adéquate, raisonnable, cohérente et efficace pour protéger les données des gens». Bien qu’il existe de nombreuses raisons pour lesquelles les conseils devraient se soucier de la sécurité, la réglementation et les amendes qui l’accompagnent n’en sont qu’une.

4. Reliez les points entre les initiatives de sécurité et les résultats commerciaux.

Enfin, assurez-vous de relier les points entre la stratégie commerciale et le programme de sécurité lorsque vous résumez votre présentation au tableau. Les résultats d’une équipe de technologie ou de sécurité sont assez convaincants lorsque les points sont connectés entre les projets et les objectifs commerciaux axés sur l’activation ou la réalisation. Par exemple, au lieu d’énoncer l’objectif comme «atteindre la conformité HIPAA», l’objectif devrait plutôt être énoncé comme «Permettre à l’organisation de vendre sur le marché de la santé en atteignant la conformité HIPAA».

En résumé, grâce aux quatre conseils de professionnels ci-dessus sur la façon d’élever les discussions sur la cybersécurité, vous pouvez plus probablement obtenir le soutien et l’engagement de la direction pour hiérarchiser de manière appropriée les initiatives de cybersécurité.

À propos des auteurs:

Neil Daswani est codirecteur de la Programme de cybersécurité avancé de Stanford, président de Daswani Enterprises, sa société de conseil et de formation en sécurité, et auteur du prochain livre sur la cybersécurité De grandes violations: des leçons de cybersécurité pour tous. Il a occupé divers postes de recherche, de développement, d’enseignement et de direction exécutive chez Symantec, LifeLock, Twitter, Dasient, Google, l’Université de Stanford, NTT DoCoMo USA Labs, Yodlee et Telcordia Technologies (anciennement Bellcore). Chez Symantec, il était Chief Information Security Officer (CISO) de la Consumer Business Unit, et chez LifeLock, il était RSSI à l’échelle de l’entreprise. Daswani a été cadre en résidence chez Trinity Ventures (bailleurs de fonds d’Auth0, New Relic, Aruba, Starbucks et Bulletproof). Il est investisseur et conseiller de plusieurs start-up de cybersécurité et de fonds de capital-risque, notamment Benhamou Global Ventures, Firebolt, Gravity Ranch Ventures, Security Leadership Capital et Swift VC. Daswani est également co-auteur de Fondements de la sécurité: ce que tout programmeur doit savoir (Apress).

Moudy Elbayadi a plus de 20 ans d’expérience et a travaillé avec un certain nombre d’entreprises à forte croissance et dans une variété d’industries, y compris les services aux consommateurs mobiles et SaaS, la sécurité et les services financiers. Ayant occupé des postes de niveau C pour les principaux fournisseurs de solutions, Elbayadi a une vue unique à 360 degrés des entreprises SaaS grand public et d’entreprise. Il a une expérience constante de la définition de stratégies de technologie et de produits qui accélèrent la croissance. En tant que directeur technique de Shutterfly, Elbayadi supervise toutes les fonctions technologiques, y compris le développement de produits, la cybersécurité, le DevOps et les fonctions de recherche et développement d’apprentissage automatique / IA. À ce titre, il dirige la transformation de la plateforme technologique. Avant Shutterfly, Elbayadi a occupé le poste de vice-président directeur, produit et technologie pour Brain Corp, une société d’IA basée à San Diego, créant une technologie de base transformatrice pour l’industrie de la robotique.



Source link