Le Chief Information Security Officer, quelles compétences?

(Pour Carlo Mauceli)
14/09/20

Pour de nombreux professionnels de la cybersécurité, l'objectif ultime de leur carrière est d'assumer le rôle de Responsable de la sécurité de l'information (CISO). CISO est un poste de direction responsable de la gestion des risques informatiques et des opérations.

Comme nous le savons, la cybersécurité se transforme et aujourd'hui, un bon RSSI doit également avoir de solides compétences en communication et une compréhension approfondie du métier. Pour pouvoir remplir un tel rôle, il est nécessaire de comprendre comment cela évolue et les compétences nécessaires pour exceller.

Au fur et à mesure que les entreprises développent la voie de la numérisation, notamment par l'utilisation de services nuage, leur capacité à exploiter efficacement la technologie est devenue partie intégrante de leur succès. Cependant, ce processus a également créé plus d'opportunités pour les cybercriminels.

Ces dernières années, des entreprises de toutes tailles ont subi des atteintes à leur réputation et ont dépensé des ressources importantes pour se remettre d'une attaque ou ont été contraintes de payer des amendes pour avoir enfreint les lois sur la protection de la vie privée.

Un bon RSSI a besoin de savoir qu'un cyber-incident est avant tout un risque commercial et pas seulement un simple cyber-risque. Lors de la prise de décisions, les conseils d'administration et les équipes de direction doivent être en mesure d'évaluer la probabilité d'une violation de données ainsi que la perte financière ou le risque opérationnel. Un bon RSSI les aide à le faire.

Selon les recherches de Deloitte, il y a quatre rôles ou aspects qu'un RSSI doit posséder et développer: technologue, le tuteur légal, Le stratège et le consultant.
Il est probable que bon nombre des personnes qui aspirent au rôle de RSSI connaissent déjà les caractéristiques du technologue et du mentor.

En qualité de technologue, le RSSI est responsable de l'orientation, du déploiement et de la gestion des technologies et des normes de sécurité.

Dans le rôle de tuteur légal, surveillez et réglez les programmes et les contrôles pour améliorer continuellement la sécurité. Nous ne devons cependant jamais oublier que les contrôles techniques et les normes n'élimineront pas complètement le risque de cyberattaques et que le RSSI n'a pas le contrôle de toutes les conditions qui peuvent augmenter la probabilité d'une violation; c'est pourquoi les rôles de stratège et de consultant sont devenus de plus en plus importants.

En qualité de stratège, le RSSI doit aligner la sécurité sur la stratégie commerciale pour déterminer comment les investissements dans la sécurité peuvent apporter de la valeur à l'organisation.

En cela consultant, CISO aide les équipes de direction à comprendre les risques de cybersécurité afin qu'elles puissent prendre les bonnes décisions en fonction des informations qu'elles reçoivent.

Pour exceller dans ces rôles, il est important d'avoir d'excellentes connaissances en affaires, de comprendre la gestion des risques et d'améliorer les compétences en communication.
Comme nous l'avons dit précédemment, si vous travaillez déjà dans le secteur de la sécurité informatique et que vous souhaitez évoluer dans le rôle de RSSI, vous connaissez probablement déjà les aspects liés au rôle de technologue et de tuteur.

Vous pouvez améliorer vos compétences techniques en cherchant à acquérir de l'expérience et à obtenir des certifications dans divers domaines, afin de comprendre ce que sont l'analyse des menaces, la chasse aux menaces, la conformité, le piratage éthique et le contrôle du système. Mais ce n'est pas tout. En fait, vous devez trouver le temps de travailler sur vos compétences en leadership.

  • Comprendre l'entreprise est l'étape la plus importante si vous souhaitez vous préparer à un poste de niveau exécutif, il faut apprendre à penser comme un homme d’affaires. Qui sont vos clients? Quelles sont les grandes opportunités et défis de votre industrie? Qu'est-ce qui rend votre entreprise unique? Quelles sont ses faiblesses? Quelles stratégies commerciales guident l'organisation? Il est essentiel de prêter attention aux communications d'entreprise et aux rapports annuels pour connaître les priorités du conseil d'administration et les raisons pour lesquelles certaines décisions ont été prises, de lire des articles liés à votre secteur pour avoir une perspective plus large sur l'environnement des affaires et comment votre entreprise se porte. s'intègre dans le marché. Cette recherche vous aidera à prendre de meilleures décisions sur la façon d'allouer des ressources limitées pour protéger les actifs de l'entreprise. Cela vous aidera également à cadrer vos arguments pour que l'entreprise écoute ce que vous souhaitez proposer. Par exemple, si vous souhaitez convaincre votre organisation de mettre à niveau votre pare-feu, il sera plus facile de convaincre les décideurs si vous êtes en mesure d'expliquer la relation entre un incident de sécurité et la relation de l'entreprise avec les clients ou les investisseurs.
  • Apprendre la gestion des risquesLes entreprises avant-gardistes prennent régulièrement des risques stratégiques pour atteindre leurs objectifs, saisir les opportunités de lancer de nouveaux produits ou acquérir un concurrent qui rendra leurs produits plus attractifs sur le marché. Ces décisions, si elles sont fausses, peuvent entraîner d'énormes pertes ou faillites. La gestion des risques est une discipline qui cherche à comprendre les côtés positifs et négatifs de l'action et à éliminer ou atténuer les risques autant que possible. En comparant la probabilité de diverses options, comme le retour sur investissement si l'entreprise réussit ou la perte potentielle en cas d'échec, les gestionnaires peuvent prendre de meilleures décisions. Le RSSI permet d'identifier et de quantifier les risques de cybersécurité qui doivent être pris en compte aux côtés des risques financiers et opérationnels.
  • Améliorer les compétences de communication: Pour être un bon consultant et stratège, vous devez communiquer efficacement avec des personnes qui ont des expériences et des antécédents différents. Un jour, vous vous retrouverez peut-être à vous disputer avec un membre très technique de votre équipe, le lendemain, vous devrez peut-être participer à une décision commerciale au niveau de la direction ou même être invité à faire rapport au conseil d'administration. UNE plan de communication il peut aider à affiner les messages à transmettre aux différents interlocuteurs.

Pour commencer à développer ces caractéristiques, vous devez essayer de comprendre les objectifs des personnes à qui vous parlez régulièrement. Quels sont leurs besoins? Est-il possible de définir les communications de sécurité en des termes qui peuvent les aider à surmonter ces défis? Vous devez réfléchir et prendre le temps de vous mettre à la place de quelqu'un d'autre avant les réunions, les conversations dans le couloir, avant d'échanger des courriels et des discussions. Cela peut vraiment faire une différence!

Une bonne plan de communication fournit des messages de sécurité ciblés (voir tableau).

Ces dernières années, le rôle des RSSI a été amené à faire partie du conseil d'administration d'une entreprise précisément pour avoir des conseils stratégiques en matière de sécurité.
Le développement de compétences en leadership telles que la gestion des risques et la communication vous aidera à assumer ce rôle de manière de plus en plus importante.