Au fil des ans, nous avons vu des propriétaires d'entreprises se heurter à des difficultés en matière de cybersécurité. Principalement à cause de la communauté elle-même, à cause de l'utilisation de mots complexes, de beaucoup de jargon et d'abréviations dont personne n'avait entendu parler.
Nous avons décidé d'adopter une autre approche. En 2008, nous avons développé une méthode simple pour impliquer toutes les parties dans la cybersécurité en utilisant l'analogie de la « fonction financière », en mettant vos « actifs de grande valeur » au cœur.
Chaque organisation doit gérer son argent, ce qui est encore plus vrai pour les entreprises qui gagnent de l'argent grâce à l'informatique. Nous observons de nombreuses similitudes entre la sécurité et la « fonction financière » et le fait qu'en fin de compte, le responsable financier souhaite s'assurer de ses chiffres financiers. Le responsable de la sécurité (en chef) souhaite gérer tous les risques et garantir la sécurité numérique à tout moment. Nous avons appliqué cette méthodologie à plus de 250 organisations et en avons fait un livre.
Beaucoup de choses ont changé mais la méthodologie est d'autant plus pertinente que cet article entend faire une comparaison plus détaillée.
Pendant quatorze ans, nous avons travaillé sur des technologies faciles à utiliser pour soutenir la « fonction » de sécurité, non pas en tant que fonction individuelle mais en tant que fonction organisationnelle, en fournissant une méthode et un outil faciles à comprendre.
Nous avons dû créer un outil pour tous les acteurs d'une organisation : les responsables hiérarchiques, les responsables de produits, les spécialistes de la confidentialité, les services juridiques, de la conformité, les finances, les opérations, etc. Cela ne peut être fait qu'en simplifiant le flux de travail par rapport à tout autre élément du marché.
Bien qu'il ne soit pas facile de synthétiser des décennies d'expérience, nous nous sommes concentrés sur la simplification en faisant les bonnes choses. Comment ?
Eh bien, j'ai entendu que vous vous demandez si cet outil m'aide à gérer toute ma méchante bureaucratie législative ? Oui, tout est vrai, Anove contribue à simplifier la bureaucratie de la législation et de la conformité, crée une source unique de vérité similaire au système financier du directeur financier. Mais ai-je toujours besoin d'un responsable de la sécurité pour gérer et surveiller tout cela ? Vous devriez peut-être reconsidérer cela.
De nombreuses organisations commettent l'erreur d'embaucher un responsable de la sécurité onéreux sur leur liste de paie, ce qui entraîne généralement une plus grande conformité basée sur les règles, une complexité du jargon et des formalités administratives. Dans la plupart des cas, le responsable de la sécurité se concentre sur les processus ou la technologie, rarement sur la compréhension des activités, des objectifs et du retour sur investissement dans la sécurité.
La plupart des technologies de sécurité actuelles restent sous-utilisées. Cela signifie que vous avez payé pour la technologie mais qu'elle n'est pas utilisée à pleine capacité. Et ce n'est que dans 50 % des cas qu'une analyse de rentabilisation des investissements en matière de sécurité est présentée, ce qui signifie que l'autre moitié est investie sans justification appropriée (de la part du responsable de la sécurité). [1]
Dans un précédent bloguer « Lequel de ces 4 archétypes CISO méritez-vous ? » nous avons défini les types de responsables de la sécurité (en chef). Nous pensons que dans la plupart des secteurs, les entreprises comptant de 5 à 50 employés à temps plein qui utilisent une technologie de dépôt central telle qu'Anove pour maintenir la visibilité et la supervision pourraient faire appel à un responsable de la sécurité à temps partiel un jour par semaine.
Ce responsable de la sécurité pourrait alors se concentrer sur les risques les plus importants et expliquer les tenants et les aboutissants des investissements généraux que l'entreprise devrait réaliser pour atténuer les principaux risques liés aux actifs les plus précieux.
L'agent de sécurité ne doit pas rémunérer pour ce que les autres départements devraient faire. Par exemple, la formation, la sensibilisation, etc., devraient être confiées aux RH, mais la plupart du temps, c'est à l'agent de sécurité qu'il revient de s'occuper. Ou les KPI des centres d'opérations externalisés (SOC) peuvent concerner les achats et non le responsable de la sécurité.
La sécurité consiste à faire les bonnes choses et les faire correctement. Ne vous méprenez pas, vous n'externalisez jamais votre responsabilité, vous externalisez simplement la responsabilité en comprenant parfaitement votre responsabilité et en ne restant pas dans l'ignorance. Anove permet d'assurer la visibilité des risques pour les actifs, les propriétaires et les mesures à prendre pour garder le contrôle. Pour tout PDG du secteur de la technologie.
Les entreprises comptant entre 50 et 100 ETP peuvent facilement faire appel à un agent de sécurité à temps partiel deux jours par semaine. Cela a permis de réduire considérablement le coût de la fonction de sécurité et de mettre davantage l'accent sur l'utilisation des investissements.
En d'autres termes, quelles technologies existantes pouvons-nous utiliser de manière plus efficace et plus intelligente pour en gagner plus ? « bon pour notre argent »? De nos jours, tout responsable de la sécurité devrait être en mesure de quantifier le risque en euros et de calculer le meilleur investissement en matière de sécurité (nous parlons du calcul du ROSI du retour sur les investissements en sécurité) et de le capturer dans des outils tels qu'Anove pour fournir un portefeuille global d'investissements et également, également, conserver une piste d'audit pour voir si certains rendements des investissements sont rentables et contribuent finalement à la réalisation des objectifs commerciaux.
La sécurité, c'est comme rester en bonne forme physique. Si vous n'en parlez que, rien ne se passe, vous devez être discipliné pour que cela fonctionne. Les programmes d'ajustement génériques ne fonctionnent que pour certains, vous devez les adapter à vos objectifs. La sécurité ne se limite pas à des mesures techniques telles que le cryptage et les facteurs multiples, mais consiste principalement à comprendre les besoins et les objectifs de l'organisation et à savoir comment vous pouvez accélérer encore sans perdre le statut de votre plainte.
Au cours des dernières décennies, nous avons simplifié notre technologie en supprimant toutes les fonctionnalités floues, car nous pensons que la simplicité est essentielle dans cette profession. Nous avons également investi massivement dans un réseau d'agents de sécurité férus d'affaires et de technologies [2] qui aident les entreprises à prendre les bonnes décisions et à réfléchir, du point de vue de l'investissement, à ce qui fonctionne le mieux pour rester en sécurité et être en conformité dans le monde entier. Nous les avons baptisés jumeaux (C) ISO car ils se tiennent aux côtés de votre entreprise pour vous soutenir et vous lancer des défis.
C'est ce que nous faisons, en nous appuyant sur les capacités déjà existantes et en nous concentrant sur un suivi strict de ce qui fonctionne pour vous (et votre entreprise). Donc, avant d'envisager d'investir dans la sécurité, réfléchissez bien à ce que vous méritez.