D’après une rapport récent, seules 5 des entreprises Fortune 100 comptent leur responsable de la sécurité lors de la liste des dirigeants.
Le Le rôle du RSSI et sa relation avec l'influence et l'influence a toujours été une danse avec la vieille garde des entreprises. Le RSSI a-t-il réellement le pouvoir d’empêcher un dirigeant d’un secteur d’activité de faire quelque chose de risqué ? Et si le RSSI essaie, le Le RSSI bénéficie du soutien du PDG et d'autres?
Une Discussion LinkedIn initiée par Derek Andrews, directeur des opérations de cybersécurité et de réponse aux incidents pour une grande organisation à but non lucratif qu'il a déclaré préférer ne pas identifier, a très bien résumé les craintes.
« Le rôle du RSSI n'est pas vraiment celui de chef de file, si ce n'est d'être la personne qui prend la responsabilité lorsque le moment est venu. Les RSSI ne font pas partie du cercle restreint des PDG. C'est comme la quatrième sonnerie. Cela signifie que la vente de sécurité doit passer par trois autres avant d'obtenir une véritable approbation organisationnelle et, à ce moment-là, elle se réduit à une formation supplémentaire sur le phishing », a écrit Andrews.
Andrews a ensuite soulevé une question cruciale : pourquoi les entreprises permettent-elles à chaque unité commerciale de décider par elle-même si quelque chose est trop risqué, plutôt qu'au CISO ?
« Je n'ai jamais vu d'endroit permettant à chaque unité commerciale de gérer son propre réseau. Alors pourquoi permettons-nous à quelqu’un du marketing d’accepter un cyber-risque qui peut avoir un impact sur toutes les unités commerciales de l’organisation ? L’acceptation signifierait l’appropriation et nous savons tous que la responsabilité ne vient jamais des unités commerciales qui acceptent les cyber-risques. C'est le RSSI qui prend la chute », a écrit Andrews. « Le directeur financier a l'autorité finale en matière de risque et de performance financiers. Vous n'entendrez jamais un directeur financier dire : « Eh bien, si vous acceptez le risque, vous pouvez le faire. » Ce n'est pas quelque chose qu'ils font. En tant que chef, ils sont l’autorité finale et sont tenus responsables de tout ce qui relève de leur domaine.
Apprendre le jargon du leadership
Pourquoi les entreprises accordent-elles beaucoup moins de pouvoir à leurs RSSI qu’aux autres cadres dirigeants ? Cela ne compromet pas seulement la stratégie de cybersécurité de l’entreprise. Cela peut avoir pour impact indirect d'atténuer encore davantage la posture de sécurité, dans la mesure où les RSSI hésitent à se faire ignorer et commencent à donner le feu vert à des efforts dont ils savent qu'ils ne devraient pas être approuvés.
Barak Engel, PDG de la société de sécurité EAmmune et auteur de Pourquoi les RSSI échouent, fait valoir qu'une grande partie de ce problème provient de Wall Street et d'autres forces du marché. Lorsque des failles de sécurité majeures sont annoncées, les entreprises verront parfois une baisse du cours de leurs actions, mais c'est presque toujours très temporaire.
« Les violations n'ont pas d'impacts négatifs à long terme. Les cours des actions se redressent assez rapidement », déclare Engel. « La conclusion du PDG est que la sécurité n'a plus d'importance après les premiers mois. Mais les RSSI le décrivent comme vraiment effrayant et les PDG sont sceptiques.
Bien que cela ait été dit à plusieurs reprises, Engel soutient que cela renvoie à Les RSSI ne communiquent pas efficacement au PDG – et aux chefs d’unités commerciales – en termes purement commerciaux. « Juste une fois, j'aimerais entendre un RSSI utiliser le terme « flux de trésorerie ». Si tout ce que nous entendons de vous sont des histoires effrayantes, alors vous n'avez pas appris ce que signifie être un niveau C. Vous n’avez pas adopté le langage des affaires», dit-il.
Construire l'adhésion des entreprises
Une autre partie du problème est la relative nouveauté, du moins dans l'assiette stratégique du PDG, de la cybersécurité. Les PDG des entreprises Fortune 500 ont accumulé des générations d'expérience dans la compréhension et la maîtrise des risques et des incertitudes qui existent au sein des unités commerciales juridiques, financières, RH, IR, de conformité et autres. Mais le risque lié à la cybersécurité semble délicat et difficile à maîtriser pour de nombreux PDG.
« La plupart des risques commerciaux sont statiques, mais le cyber-risque ne l'est absolument pas », déclare Dirk Hodgson, directeur de la cybersécurité chez NTT Australia. « En matière de cybersécurité, les risques ne sont pas universellement reconnus ni clairs. Il ne s’agit peut-être pas autant d’un manque de respect envers le RSSI que d’une mauvaise communication dans un contexte commercial. Il existe une différence fondamentale dans les attentes entre la cybersécurité et les autres unités commerciales. Jusqu’à ce que nous résolvions ce problème, nous allons rester coincés au même endroit.
Oliver Tavakoli, directeur technique de Vectra AI, affirme que la nature même de la cybersécurité est à l'origine de ce problème. Même si le RSSI envoie régulièrement des notes aux hauts dirigeants sur diverses questions, elles sont souvent ignorées jusqu'à ce qu'une urgence de sécurité survienne.
« La cybersécurité n'est traitée qu'en temps de crise. Presque toujours, cette conversation a lieu lors d'une situation négative. Cela rend très difficile le développement de ce rapport », déclare Tavakoli. "La plupart des RSSI sont obligés d'être des héros pour les autres RSSI et non pour le reste de la suite C."
Brian Walker, PDG de Cap Group, société de conseil en cybersécurité, ajoute : « Tout est question d'autorité et de respect. Si vous avez l'autorité et que votre patron ne vous soutient pas, alors le RSSI n'a pas vraiment l'autorité.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/edge-articles/cisos-need-backing-to-take-charge-of-security
- :possède
- :est
- :ne pas
- $UP
- 100
- 500
- 7
- a
- A Propos
- absolument
- Accepter
- acceptation
- acceptant
- la reddition de comptes
- responsable
- adopté
- Après
- convenu
- AI
- Tous
- permettre
- permis
- Permettre
- toujours
- Amazon
- et les
- Andrews
- annoncé
- tous
- quoi que ce soit d'artificiel
- approbation
- ,
- SONT
- Arguments
- AS
- At
- Australie
- autorité
- RETOUR
- support
- BE
- devenez
- était
- before
- va
- jusqu'à XNUMX fois
- PATRON
- infractions
- Brian
- la performance des entreprises
- mais
- by
- C-suite
- CAN
- casquette
- les causes
- CEO
- PDG
- cfo
- charge
- chef
- Réseautage et Mentorat
- CISO
- clair
- vient
- confortable
- Communications
- Sociétés
- conformité
- consulting
- contexte
- Conversation
- Entreprises
- crise
- critique
- CTO
- cyber
- Cybersécurité
- danser
- décider
- Derek
- développer
- différence
- difficile
- Trempez
- Directeur
- spirituelle
- do
- doesn
- faire
- domaine
- Don
- down
- pendant
- chacun
- de manière efficace
- efforts
- urgence climatique.
- encapsulé
- Entreprise
- entreprises
- Pourtant, la
- Chaque
- peut
- exécutif
- cadres
- exister
- attentes
- d'experience
- équitablement
- Automne
- craintes
- few
- finale
- la traduction de documents financiers
- Ferme
- Prénom
- Fixer
- Pour
- Forces
- fortune
- Quatrièmement
- De
- fondamental
- Les générations
- obtenez
- obtention
- Donner
- Go
- aller
- Réservation de groupe
- Garde
- ait eu
- arrive
- Vous avez
- he
- front
- têtes
- entendre
- Tenue
- Héros
- hr
- HTTPS
- i
- identifier
- if
- Impact
- Impacts
- in
- incident
- réponse à l'incident
- influencer
- initié
- ISN
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- émission
- IT
- SES
- lui-même
- jpg
- juste
- Savoir
- langue
- gros
- Leadership
- savant
- au
- Légal
- moins
- comme
- inscription
- ll
- long-term
- maintient
- majeur
- FAIT DU
- gestion
- de nombreuses
- Marché
- les forces du marché
- Stratégie
- maître
- Matière
- Mai..
- signifier
- veux dire
- seulement
- mois
- PLUS
- (en fait, presque toutes)
- beaucoup
- Nature
- Besoin
- négatif
- réseau et
- n'allons jamais
- À but non lucratif
- NTT
- of
- souvent
- Vieux
- on
- une fois
- uniquement
- Opérations
- or
- organisationnel
- Autre
- Autres
- ande
- propre
- possession
- partie
- performant
- personne
- phishing
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- pauvres
- power
- prix
- Tarifs
- Problème
- question
- vite.
- collectés
- plutôt
- RE
- réal
- vraiment
- récent
- Récupérer
- Standard
- relation amoureuse
- relatif
- respect
- réponse
- REST
- bon
- Bagues
- Analyse
- risques
- Risqué
- Rôle
- Courir
- s
- Saïd
- même
- dire
- dit
- sécurité
- failles de sécurité
- sur le lien
- semble
- vu
- vendre
- devrait
- situation
- sceptique
- So
- Quelqu'un
- quelque chose
- Spot
- Commencer
- découle
- stock
- Arrêter
- Stories
- Stratégique
- de Marketing
- rue
- suite
- Prenez
- prend
- temporaire
- terme
- conditions
- que
- qui
- Le
- leur
- puis
- Là.
- l'ont
- this
- bien que?
- trois
- Avec
- fiable
- fois
- à
- top
- Formation
- vraiment
- incertitudes
- sous
- Saper
- compréhension
- unité
- unités
- Universellement
- jusqu'à
- utilisé
- divers
- Ve
- très
- marcheur
- Wall
- Wall Street
- souhaitez
- we
- WELL
- Quoi
- quand
- why
- sera
- comprenant
- dans les
- pourra
- écrit
- Vous n'avez
- Votre
- zéphyrnet
