Qu'est-ce qu'un CISO? Tout ce que vous devez savoir sur le chef …

Moins de la moitié des CISO sont prêts à répondre à une cyberattaque
Seuls 49% des RSSI et autres cadres supérieurs sont convaincus que leur organisation peut actuellement faire face aux conséquences d'un piratage informatique ou d'une violation de données, et la plupart pensent que la menace de cyberattaques va s'aggraver.

Qu'est-ce qu'un chef de la sécurité de l'information?

Un RSSI est responsable de l'élaboration d'une stratégie de sécurité et de la protection des données. CISO travaille traditionnellement avec le dirigeant principal de l'information (DPI) pour atteindre ces objectifs.

Que fait un CISO?

En tant que gardiens de la sécurité de l'information, le CISO a pour tâche d'élaborer une stratégie qui prend en compte la complexité réglementaire toujours croissante, en créant des politiques, une architecture de sécurité, des processus et des systèmes qui aident à réduire les cybermenaces et à sécuriser les données. La conformité est un élément clé du rôle, tout comme un aperçu de la gestion des risques.

Les RSSI comprendront comment évolue le paysage des menaces de cybersécurité et comment cela peut affecter les risques de sécurité pour leur organisation spécifique. Cela signifie prendre tout en compte, du risque de malware et de piratage aux menaces internes ou aux vulnérabilités non corrigées dans les systèmes de l'organisation. Le RSSI est susceptible de jouer un rôle clé dans toute intervention en cas d'incident en cas de violation de données.

L'importance de la cybersécurité est telle que la grande majorité (89%) des RSSI sont régulièrement appelés par le conseil d'administration pour faire des recommandations à l'entreprise, rapporte 451 la société de recherche et de sécurité Kaspersky.

Plus de la moitié (54%) des RSSI qui ont répondu au sondage de 2019 sur le leadership informatique du consultant KPMG et du recruteur Harvey Nash ont déclaré être membres du conseil d'administration ou du comité de direction.

Quelle est l'importance du rôle du CISO?

En bref, crucial – garantir que les systèmes informatiques répondent aux exigences de sécurité et réglementaires est la priorité absolue des chefs de la technologie, selon Grant Thornton LLP et le Technology Business Management Council. Ils rapportent que 83% des responsables informatiques ont dépensé plus d'argent pour la cybersécurité au cours des 12 derniers mois.

Le RSSI est-il pris au sérieux par les gestionnaires?

En quelque sorte. Bien que la bonne nouvelle soit que les RSSI aient un public de plus en plus important à leur avis, l'importance stratégique de la cybersécurité est loin d'être garantie. Selon 451 Research et Kaspersky, près de la moitié (43%) des RSSI croient qu'ils sont en concurrence directe avec d'autres initiatives de financement commercial et informatique.

La lutte pour l'argent liquide va à l'encontre des tendances commerciales plus générales: presque tous les experts reconnaissent que les entreprises doivent prendre la sécurité plus au sérieux que jamais. Mais bien que 40% des RSSI disent que leur organisation a subi une attaque de sécurité au cours des deux dernières années, seulement 29% des RSSI croient que, selon KPMG et Harvey Nash, ils sont très bien placés pour faire face à la sécurité & & 39 à parcourir.

VOIR: 10 conseils pour les nouveaux professionnels de la cybersécurité (PDF gratuit)

Le consultant EY affirme que les organisations ne peuvent garder une longueur d'avance sur la cyber-menace qu'en créant ce qu'elles appellent "une culture de sécurité de conception". Cette approche est basée sur la réduction de l'écart entre la fonction de sécurité et la suite C. Ici, les RSSI agissent comme conseillers et facilitateurs, au lieu de positionner la sécurité comme un obstacle à la façon dont les gens veulent travailler.

Cependant, EY rapporte que bien que les équipes de sécurité entretiennent de bonnes relations avec les fonctions adjacentes telles que l'informatique, l'audit, le risque et le juridique, il existe une déconnexion avec d'autres parties de l'entreprise. Près des trois quarts (74%) des RSSI affirment que la relation entre la sécurité et le marketing est au mieux neutre, sinon suspecte ou inexistante. Plus de la moitié (57%) affirment que leur relation avec les finances, dont ils dépendent pour l'autorisation budgétaire, est également tendue. Les CISO disposant d'un certain niveau de connaissances commerciales peuvent trouver plus facile de communiquer avec la direction que de se concentrer entièrement sur les détails techniques.

Comment le directeur de la sécurité de l'information et le directeur informatique travaillent-ils ensemble dans le domaine de la sécurité?

Cecilia Feng, professeur adjoint de comptabilité à l'Université de Stony Brook, dit que bien que le CIO et le CISO soient tous deux responsables de la protection des systèmes informatiques de leur entreprise, la relation entre ces deux rôles est plutôt subtile. Alors qu'un CIO relève généralement du PDG ou du CFO de l'entreprise, un CISO peut souvent travailler sous le CIO et refléter l'étendue de ses fonctions.

Feng convient que la lutte pour le financement signifie que la relation entre CISO et CIO n'est pas toujours facile, mais les deux doivent reconnaître qu'ils partagent les mêmes objectifs, répondent aux mêmes défis – et peuvent avoir les mêmes conséquences.

"Mes recherches récentes montrent qu'un DSI est 72% plus susceptible d'être résilié après une faille de sécurité due à une défaillance du système", dit-elle.

Le RSSI est également susceptible d'être tenu responsable des lacunes de sécurité. Mais lorsqu'ils sont unis, ces responsables informatiques peuvent consolider leur pouvoir pour avoir davantage leur mot à dire dans les conseils d'administration en ce qui concerne les initiatives technologiques et la gestion de l'entreprise.

Comment est-ce d'être un CISO?

Selon KPMG et Harvey Nash, plus des trois quarts (78%) des CISO pensent que leur travail est plutôt bon ou plutôt bon. Dans un monde où la technologie et les données ne font que gagner en importance, il est peu probable que le CISO s'ennuie rapidement.

Pourtant, cette espèce pose également des problèmes majeurs. La grande majorité des RSSI (88%) restent modérément ou énormément stressés, selon les recherches de Nominet et Vanson Bourne. Pire, près de la moitié (48%) des CISO ont déclaré que le stress au travail avait eu un impact négatif sur leur santé mentale l'année dernière, presque deux fois plus élevé qu'en 2018 (27%).

Rich Armour, anciennement CISO mondial chez General Motors et maintenant conseiller en cybersécurité chez Nozomi Networks, dit qu'il est crucial que les chefs de la sécurité trouvent un moyen de rester calme sous pression.

«De nombreuses tâches quotidiennes du RSSI sont stressantes, mais la gestion des incidents majeurs ou d'une brèche médiatisée brise ce stress à l'extrême», dit-il. «Les RSSI doivent être capables de guider et de guider efficacement l'organisation à travers ces situations stressantes tout en conservant leur perspective et leur équilibre.»

Quelles sont les conditions de travail des CISO?

Les RSSI occupent une position dominante dans la plupart des organisations, mais cette autorité est assortie de conditions. Presque tous les CISO travaillent en dehors des heures contractuelles, avec une moyenne de 10 heures par semaine, rapporte Nominet et Vanson Bourne. Quand ils ne travaillent pas, de nombreux RSSI se sentent incapables de s'éteindre; Les anniversaires, les vacances, les mariages et même les funérailles manquants ne sont pas inhabituels.

Près des trois quarts (71%) des RSSI disent que leur équilibre entre travail et vie privée est surpondéré par le travail. Ils ne prennent pas non plus leur congé annuel, leurs jours de maladie ou leur temps pour les rendez-vous chez le médecin. Le résultat est plus de pression et plus de problèmes de santé.

Presque tous les RSSI (90%) disent qu'ils accepteraient une réduction de salaire si cela améliorait leur équilibre entre vie professionnelle et vie privée. En moyenne, les CISO se disent prêts à renoncer à 7,76% de leur salaire, ce qui équivaut à 9 642 $ (7 475 £) par an.

Combien coûte CISO?

Le fait que tant de RSSI soient prêts à baisser leurs taux pour travailler moins suggère que beaucoup ont été bien compensés pour les énormes tensions et tensions auxquelles ils sont confrontés.

Le salaire moyen national pour un CISO au Royaume-Uni est d'environ 117 000 £, selon le spécialiste du recrutement Glassdoor. Les taux varient considérablement entre les rôles dans les secteurs public et privé, par industrie et par emplacement.

Mais les opportunités pour les professionnels talentueux sont nombreuses. Le taux de chômage du personnel formé à la cybersécurité est de 0%, ce qui suggère que la demande de salariés dans cette profession est aiguë et s'accompagne d'une offre insuffisante.

Cybersecurity Ventures prévoit que dans le monde en 2021, 3,5 millions de postes seront vacants dans le monde. La cybercriminalité va plus que tripler le nombre de postes vacants au cours des cinq prochaines années. L'énorme demande d'experts en sécurité qualifiés ne fera qu'augmenter les taux.

La recherche suggère que les entreprises du Fortune 500 paient 400 000 $ par an aux CISO. L'énorme demande d'expertise et les exigences croissantes de réglementations telles que le règlement général sur la protection des données (RGPD) signifient que des taux supérieurs à 1 million de dollars ou plus ne seront pas rares.

VOIR: Guide informatique pour la conformité au RGPD (PDF gratuit)

Comment puis-je devenir CISO?

Les CISO proviennent généralement du côté sécurité des départements technologiques. James Walsh, chef de la pratique de la sécurité chez Harvey Nash, affirme que certaines qualifications sont vraiment un tri après pour les professionnels de l'informatique ou de la sécurité qui veulent progresser ou devenir CISO.

Il dit que la qualification la plus souhaitable est un professionnel certifié de la sécurité des systèmes d'information (CISSP) de (ISC) ²: "Il apparaît dans la plupart des exigences des clients et des spécifications du travail", dit-il.

Walsh dit que d'autres qualifications très appréciées comprennent: la certification Certified Information Security Manager de l'ISACA, la certification Certified Information Systems Auditor et la certification Certified in Risk and Information Systems Control.

Il y a une augmentation significative de la popularité de la qualification de CISO certifié EC-Council (CCISO), en particulier parmi les responsables de la sécurité de l'information qui souhaitent passer aux fonctions de CISO. Pour tous les professionnels, la formation continue est probablement la clé du succès.

"L'ampleur de la sécurité de l'information et le paysage et les menaces en constante évolution signifient que les RSSI et tous les professionnels de la sécurité doivent maintenir et mettre à jour leurs compétences, et de nombreuses qualifications sont ensuite complétées par d'autres, comme ISO 27001 Implementationor and Auditor Ainsi, comme nous le constatons avec tous les professionnels techniques dans un monde numérique en évolution rapide, l'apprentissage et la formation continus font partie intégrante de tout cheminement de carrière ", explique Walsh.

Qu'est-ce qui fait un grand CISO?

Walsh dit qu'il existe un certain nombre de traits importants qui démontrent le succès des CISO. Comme pour tout poste supérieur dans les affaires ou l'informatique, les compétences en leadership sont cruciales; la capacité de gérer, de motiver et de gérer des équipes et des programmes de sécurité de l'information à l'échelle de l'entreprise, et d'être un leader et un influenceur au sommet de l'entreprise, est d'une importance fondamentale.

La livraison stratégique et les compétences de mise en œuvre sont également importantes. Walsh dit que la principale compétence d'un bon CISO est la capacité de définir soigneusement des stratégies de sécurité organisationnelles et à court terme et des feuilles de route qui chevauchent et soutiennent la stratégie commerciale. "En plus de cela, c'est la capacité et les antécédents de mettre en œuvre les programmes d'amélioration de ce programme, qu'il s'agisse de personnes, de processus ou de changements technologiques", dit-il.

Walsh dit même qu'un bon sens de l'humour peut être une caractéristique importante d'un CISO réussi. Dans un travail stressant, où la prochaine crise peut se dérouler à tout moment, une capacité à communiquer les risques et les menaces dans toute l'entreprise de manière accessible peut vraiment aider.

Quelles sont les compétences les plus importantes d'un chef de la sécurité de l'information?

Rich Armor énumère quelques caractéristiques clés des CISO à succès:

  • Style de leadership efficace et inspirant
  • Solides compétences en communication avec un public varié
  • Capacité à rester calme sous pression
  • Coopération et axé sur les résultats
  • Un sentiment d'urgence extrêmement fort
  • Multitâche habile
  • Grande curiosité pour la technologie et le paysage en constante évolution des cybermenaces
  • Connaissance approfondie de la technologie et de la sécurité
  • De forts instincts de gestion des risques
  • Bonne connaissance des affaires
  • Comment les RSSI peuvent-ils utiliser leurs compétences dans un environnement commercial?

    Matt Harris, responsable informatique chez Mercedes-AMG Petronas Motorsport, estime qu'un bon responsable de la sécurité pour son entreprise devrait être "un peu spécial". Il dit que de nombreuses personnes chargées de la sécurité ont du mal à savoir ce dont elles ont besoin pour fournir le bon niveau de sécurité pour soutenir l'entreprise dans ses tâches. "En d'autres termes, ni trop ni trop peu", dit-il.

    Harris dit qu'il y a "une ligne très fine" entre la mise en œuvre de la bonne technologie, l'activation du bon processus et la production du bon niveau de documentation ou de journalisation avec lequel l'entreprise peut toujours travailler, mais qui assure également la sécurité de l'entreprise.

    VOIR: Emplois informatiques en 2020: un guide pour les dirigeants (Rapport spécial ZDNet) | Téléchargez le rapport au format PDF (TechRepublic)

    Bien que les employés croient souvent que la sécurité relève de la seule responsabilité du RSSI, tous les employés doivent connaître les méthodes de travail sécuritaires. Gartner dit que les organisations doivent chercher à sensibiliser le personnel clé aux responsabilités en matière de sécurité dans tous les postes. L'analyste prévoit que 35% des entreprises mettront en œuvre un programme de champion de la sécurité d'ici 2021, contre moins de 10% en 2017.

    Harris reconnaît l'importance de renforcer la responsabilité intersociétés pour la sécurité des données: «Nous créons environ 45 téraoctets de données par semaine. Comment pouvons-nous, en tant que service informatique, connaître et comprendre toutes ces données et où elles sont placées? défi majeur pour la communauté de l'information. "

    Quel est l'avenir du CISO?

    Une chose est sûre: il est peu probable que le rôle critique de la sécurité des données diminue rapidement. Presque tous (94%) les RSSI croient que la façon dont les organisations gèrent et utilisent les données clients deviendra tout aussi importante que la qualité des produits et des services pour attirer des clients à l'avenir.

    En maintenant un haut niveau de sécurité des données, les CISO passeront beaucoup plus de temps à interagir avec le reste de l'entreprise. Le consultant KPMG affirme que le RSSI du futur sera un rôle ouvert sur l'extérieur, prenant des décisions qui ne sont pas seulement liées aux contrôles techniques et aux processus de sécurité, mais qui prennent également en considération l'éthique, l'indépendance, la confiance des consommateurs et même la résilience nationale et la sécurité économique.

    Rana Bhattacharya, CTO chez Atom Bank, est un autre leader informatique qui pense que l'avenir de la sécurité informatique est ouvert sur l'extérieur. Comme Harris, il estime que les unités commerciales devraient assumer la responsabilité de l'intégrité des données, en particulier compte tenu de l'utilisation croissante des services cloud.

    «J'espère que davantage de personnes sont généralement actives, car les changements dans l'ensemble du paysage de la sécurité en termes de menaces pesant sur les possibilités que vous avez pour les données dans des endroits tels que le cloud, sont en constante évolution. aujourd'hui pour augmenter le niveau de protection dont vous disposez ", dit-il.