Comment les leaders de la cybersécurité peuvent recadrer leurs rôles pour réussir

Must Try

La cybersécurité, autrefois strictement fonction du service des technologies de l’information, est en train de devenir un concept d’entreprise avec des implications sociétales. L’intérêt des investisseurs, la pression publique, les demandes des employés et les réglementations gouvernementales renforcent les incitations pour les organisations à suivre et à signaler les objectifs et les mesures de cybersécurité en tant qu’exigence commerciale.

En conséquence, le rôle du leader de la cybersécurité est devenu de plus en plus élastique en raison du désalignement croissant des attentes des parties prenantes au sein de leurs organisations. Cela provoque un épuisement professionnel chez les responsables de la sécurité, qui sont surchargés de travail en mode « toujours actif ». En outre, des facteurs tels qu’une autonomie numérique accrue et la visibilité croissante de la quantification des risques au niveau du conseil d’administration créent un environnement dans lequel le leader de la cybersécurité a moins de contrôle direct sur de nombreuses décisions qui relèveraient généralement de son champ d’application.

Il est temps pour les responsables de la cybersécurité de recadrer leurs rôles pour reprendre le contrôle des risques d’entreprise et réussir dans ce nouvel environnement commercial. Voici trois façons dont les responsables de la cybersécurité, y compris les responsables de la sécurité de l’information, peuvent adopter les tendances futures du paysage de la sécurité pour recadrer leur rôle.

Gagnez en visibilité en tant que facilitateur de la gestion des risques

Pendant de nombreuses années, l’équipe de cybersécurité a été considérée comme la dernière ligne de défense contre les cybermenaces. La sécurité était un rôle purement technique, chargé de maintenir la conformité, de prévenir les violations et souvent perçu comme un ralentissement des décisions commerciales.

La bonne nouvelle est que cette perception est en train de changer. Aujourd’hui, les recherches de Gartner montrent que 88 % des conseils d’administration considèrent désormais la cybersécurité comme un risque commercial plutôt que comme un problème informatique technique uniquement. La cybersécurité étant de plus en plus considérée comme un risque commercial, la responsabilité de sa gestion passera des responsables de la sécurité aux dirigeants d’entreprise. Gartner prévoit que d’ici 2026, au moins 50 % des cadres de niveau C auront des exigences de performance liées au risque de cybersécurité intégrées dans leurs contrats de travail.

Pourtant, il est injuste de s’attendre à ce que les dirigeants d’entreprise soient responsables de quelque chose qu’ils ne sont pas équipés pour gérer ou n’ont pas les connaissances nécessaires pour gérer. Au fur et à mesure que la responsabilité formelle des risques de sécurité évolue, les responsables de la cybersécurité doivent passer du statut de personne responsable « de facto » du traitement des cyber-risques à celui de s’assurer que les chefs d’entreprise disposent des capacités et des connaissances nécessaires pour prendre des décisions éclairées et de haute qualité sur les risques liés aux informations.

Géré efficacement, cela constitue une situation gagnant-gagnant. Premièrement, la responsabilité du risque de cybersécurité reposera de plus en plus sur les bonnes épaules au sein de l’organisation. Deuxièmement, le RSSI peut désormais façonner et influencer les décisions relatives aux risques liés aux informations qui étaient auparavant hors de son champ de vision, ce qui contribue à son tour à améliorer la position de l’organisation en matière de risque de cybersécurité.

Les leaders de la cybersécurité avant-gardistes peuvent commencer ce changement de rôle en incitant les dirigeants d’entreprise à considérer la cybersécurité comme l’un de leurs objectifs commerciaux stratégiques. Définissez une responsabilité claire en créant une charte de sécurité d’entreprise qui est signée par le conseil d’administration et la suite C indiquant leur accord de ne pas exposer l’organisation à des niveaux inacceptables de cyber-risque. Établissez des services et des processus de conseil qui permettent aux chefs d’entreprise de prendre des décisions indépendantes et de haute qualité sur les risques liés aux informations en consultation avec les responsables de la sécurité.

Mener la charge des initiatives ESG en matière de cybersécurité

Le reporting environnemental, social et de gouvernance ou ESG est passé d’une activité discrétionnaire à une exigence commerciale, compte tenu de l’intérêt croissant des investisseurs, de la pression des employés et du public et des réglementations gouvernementales. Les attentes selon lesquelles les organisations devraient être plus transparentes sur leurs risques de sécurité ont également augmenté, car des cyberattaques de plus en plus graves démontrent que la cybersécurité n’est plus seulement un risque commercial mais aussi un risque sociétal.

Bien que la cybersécurité soit rarement incluse dans les divulgations ESG actuelles, Gartner prédit que d’ici 2026, 30 % des grandes organisations auront partagé publiquement des objectifs ESG axés sur la cybersécurité. Par conséquent, les responsables de la cybersécurité devront de plus en plus démontrer un engagement organisationnel à réduire les problèmes sociaux pouvant découler d’incidents de cybersécurité.

Les leaders de la cybersécurité ont déjà un rôle clé à jouer pour soutenir d’autres mesures ESG, telles que l’augmentation de l’équité et de l’inclusion au sein de la fonction de cybersécurité. Cependant, les responsables de la sécurité peuvent recadrer leur rôle pour l’avenir en dirigeant la charge sur l’élaboration d’objectifs et de mesures pour démontrer leur engagement organisationnel à réduire les problèmes sociaux pouvant découler d’incidents de cybersécurité tels que :

  • Violations de données des informations personnelles des clients
  • Problèmes de sécurité potentiels liés à l’utilisation de systèmes cyber-physiques
  • Le potentiel de mauvaise utilisation et d’abus au sein des produits de l’organisation
  • Cyberactivité malveillante (y compris les rançongiciels) contre les infrastructures critiques

Travailler avec les responsables des risques et de la durabilité de l’entreprise pour identifier de manière proactive les exigences de reporting ESG existantes et émergentes et les implications à court et à long terme pour la stratégie de cybersécurité. Développer des mesures pour évaluer de manière proactive l’impact sociétal des incidents de cybersécurité et accroître la transparence des performances et des stratégies actuelles de l’organisation. Ces métriques et stratégies formeront la base des futurs objectifs ESG en matière de cybersécurité.

Favoriser une culture de sensibilisation aux cyberrisques à l’échelle de l’entreprise

Favoriser une culture de sensibilisation aux cyberrisques est un élément clé d’un programme de cybersécurité efficace. Les utilisateurs de technologies d’entreprise sont constamment bombardés d’informations provenant de toutes les directions. Les messages sont souvent contradictoires – par exemple, la pression pour partager des informations avec les clients par rapport aux demandes de protection des données – entraînant une dissonance et un manque de clarté autour de la « bonne chose à faire ».

Les efforts traditionnels de sensibilisation à la sécurité reposent sur l’hypothèse erronée selon laquelle le fait de fournir aux gens des informations sur les risques modifiera leur comportement, mais la sensibilisation n’entraîne pas automatiquement un comportement plus sûr. Les choix que font les gens sont beaucoup plus influencés par les normes et les indices inhérents à leur environnement.

Changer la culture du cyber-risque nécessite une combinaison d’interventions de leadership actif et de techniques basées sur une compréhension du comportement des gens. Les responsables de la cybersécurité doivent de plus en plus se tourner vers la psychologie, la sociologie et l’économie comportementale pour influencer la culture de sécurité de leur organisation. Gartner prédit que d’ici 2025, 40 % des programmes déploieront des principes socio-comportementaux pour influencer la culture de sécurité dans l’ensemble de l’organisation, contre moins de 5 % en 2021. Cela inclut des techniques telles que les hacks et les nudges culturels, la gamification et l’image de marque des programmes de sécurité.

Les responsables de la cybersécurité doivent déplacer l’objectif principal du programme de sensibilisation à la sécurité de la simple sensibilisation vers l’établissement et l’entretien d’une culture de sensibilisation aux cyberrisques. Nommez une personne ayant une formation en sciences sociales pour appliquer la sociologie ou l’économie comportementale à la culture de sécurité de votre organisation. Recherchez des outils qui exploitent efficacement les techniques des sciences sociales pour influencer le comportement en matière de cybersécurité.

À mesure que la perception de la cybersécurité évolue au niveau individuel, organisationnel et sociétal, il sera essentiel que les responsables de la cybersécurité redéfinissent leurs rôles en conséquence. En se positionnant comme les leaders pour les décisions sur les risques à l’échelle de l’entreprise, les responsables de la sécurité peuvent reprendre le contrôle des risques commerciaux et devenir plus efficaces dans un futur paysage de sécurité en constante évolution.

Sam Olyaei est directeur de recherche chez Gartner Inc., couvrant la stratégie de cybersécurité, la gouvernance, la gestion du personnel et des talents, les politiques, les mesures et les rapports de la direction et du conseil d’administration. Il a écrit cet article pour SiliconANGLE. Les analystes de Gartner présenteront les dernières recherches et conseils destinés aux responsables de la sécurité et de la gestion des risques lors du Sommet Gartner sur la sécurité et la gestion des risques 2022qui aura lieu du 7 au 10 juin à National Harbor, Maryland.

Image : Tumisu/Pixabay Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts. .

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Latest Recipes

Block title

More Recipes Like This

Voir aussi