Faire les bonnes choses

Au fil des ans, nous avons vu des propriétaires d'entreprises se heurter à des difficultés en matière de cybersécurité. Principalement à cause de la communauté elle-même, à cause de l'utilisation de mots complexes, de beaucoup de jargon et d'abréviations dont personne n'avait entendu parler.

Nous avons décidé d'adopter une autre approche. En 2008, nous avons développé une méthode simple pour impliquer toutes les parties dans la cybersécurité en utilisant l'analogie de la « fonction financière », en mettant vos « actifs de grande valeur » au cœur.

Chaque organisation doit gérer son argent, ce qui est encore plus vrai pour les entreprises qui gagnent de l'argent grâce à l'informatique. Nous observons de nombreuses similitudes entre la sécurité et la « fonction financière » et le fait qu'en fin de compte, le responsable financier souhaite s'assurer de ses chiffres financiers. Le responsable de la sécurité (en chef) souhaite gérer tous les risques et garantir la sécurité numérique à tout moment. Nous avons appliqué cette méthodologie à plus de 250 organisations et en avons fait un livre.

Beaucoup de choses ont changé mais la méthodologie est d'autant plus pertinente que cet article entend faire une comparaison plus détaillée.

Une technologie facile à utiliser pour renforcer la sécurité

Pendant quatorze ans, nous avons travaillé sur des technologies faciles à utiliser pour soutenir la « fonction » de sécurité, non pas en tant que fonction individuelle mais en tant que fonction organisationnelle, en fournissant une méthode et un outil faciles à comprendre.

Nous avons dû créer un outil pour tous les acteurs d'une organisation : les responsables hiérarchiques, les responsables de produits, les spécialistes de la confidentialité, les services juridiques, de la conformité, les finances, les opérations, etc. Cela ne peut être fait qu'en simplifiant le flux de travail par rapport à tout autre élément du marché.

Faire les bonnes choses et les faire correctement

Bien qu'il ne soit pas facile de synthétiser des décennies d'expérience, nous nous sommes concentrés sur la simplification en faisant les bonnes choses. Comment ?

1. En ne vous contentant pas de mettre en œuvre un framework tel que ISO27000 ou CIS8, cela n'apportera aucune meilleure sécurité.
   
   L'ancien PDG de Target, Gregg Steinhafel, l'a appris à ses dépens. Le détaillant américain détenait toutes sortes de certificats de sécurité mais en a été victime. Les pirates informatiques ont accédé aux systèmes de grande valeur de Target qui ne bénéficiaient pas au départ de droits d'accès et d'autorisation appropriés. Les certificats de sécurité ne constituent donc pas un objectif en soi.
   ‍
2. Anove aide les organisations à hiérarchiser les actifs présentant la valeur commerciale la plus élevée, puis à identifier le risque exact.
   
   Nous le faisons en seulement une heure. Cette heure permet à toutes les parties prenantes concernées de comprendre que les données ont une « valeur ». Nous considérons les données comme un actif essentiel. La plupart du temps, le bilan d'une entreprise représente des bâtiments ou des stocks, mais doit également inclure les informations, les données et les applications qui contribuent à la valeur de l'entreprise. À l'intérieur Les entreprises X-Tech, ils représentent la valeur la plus élevée possible, à côté des personnes qui y travaillent.
   
   Ce qui précède prévoit d'attribuer une valeur financière à ces actifs de base et aux risques potentiels. Bien entendu, dans le cadre de notre technologie Amove, nous utilisons des méthodes éprouvées pour cela. Ainsi, en tant que PDG, vous pouvez avoir un aperçu immédiat des éléments à protéger et des mesures nécessaires pour traiter le risque de manière proportionnelle. Par exemple, il n'est pas logique de dépenser de l'argent pour la prévention des fuites de données alors que vous n'avez même pas mis en place une classification des données.
   ‍
3. Nous établissons la propriété.
   
   Au cours de cette heure, la propriété est attribuée aux actifs de base et à leurs risques spécifiques. Une tâche très sous-estimée, mais essentielle pour le succès futur de la mise en œuvre de la fonction de sécurité.
   
   Après cette session d'une heure, nous intégrons pleinement les parties prenantes de votre entreprise principale à Anove, ainsi que vos principaux processus, tâches et résultats. Cette session permet d'économiser environ quarante à soixante heures grâce à l'utilisation d'une méthode de collaboration de groupe éprouvée.
   
   Vous pouvez en savoir plus ici.

4. Nous mettons en correspondance les mesures de sécurité avec les cadres réglementaires internationaux.
   
   Anove permet également de mapper les mesures de sécurité à plus de 100 cadres réglementaires internationaux, toujours sous le capot de la technologie. Cette option de cartographie des mesures dans Acure s'avère très utile pour se conformer aux exigences réglementaires locales.
   
   Ainsi, que vous vendiez en Californie ou à Singapour, Anove vous aide à explorer de nouveaux marchés et à servir de nouveaux clients. C'est unique et aide les entreprises d'envergure mondiale et les entreprises en démarrage à se mettre en conformité dans le monde entier.
   
   À l'instar d'un directeur financier qui produit un rapport annuel, un responsable de la sécurité peut facilement générer un rapport annuel d'assurance de sécurité et démontrer la conformité à tout moment et en tout lieu.

‍

Avec Anove, vous obtenez ce que vous méritez

Eh bien, j'ai entendu que vous vous demandez si cet outil m'aide à gérer toute ma méchante bureaucratie législative ? Oui, tout est vrai, Anove contribue à simplifier la bureaucratie de la législation et de la conformité, crée une source unique de vérité similaire au système financier du directeur financier. Mais ai-je toujours besoin d'un responsable de la sécurité pour gérer et surveiller tout cela ? Vous devriez peut-être reconsidérer cela.

De nombreuses organisations commettent l'erreur d'embaucher un responsable de la sécurité onéreux sur leur liste de paie, ce qui entraîne généralement une plus grande conformité basée sur les règles, une complexité du jargon et des formalités administratives. Dans la plupart des cas, le responsable de la sécurité se concentre sur les processus ou la technologie, rarement sur la compréhension des activités, des objectifs et du retour sur investissement dans la sécurité.

La plupart des technologies de sécurité actuelles restent sous-utilisées. Cela signifie que vous avez payé pour la technologie mais qu'elle n'est pas utilisée à pleine capacité. Et ce n'est que dans 50 % des cas qu'une analyse de rentabilisation des investissements en matière de sécurité est présentée, ce qui signifie que l'autre moitié est investie sans justification appropriée (de la part du responsable de la sécurité). [1]

Dans un précédent bloguer « Lequel de ces 4 archétypes CISO méritez-vous ? » nous avons défini les types de responsables de la sécurité (en chef). Nous pensons que dans la plupart des secteurs, les entreprises comptant de 5 à 50 employés à temps plein qui utilisent une technologie de dépôt central telle qu'Anove pour maintenir la visibilité et la supervision pourraient faire appel à un responsable de la sécurité à temps partiel un jour par semaine.

Ce responsable de la sécurité pourrait alors se concentrer sur les risques les plus importants et expliquer les tenants et les aboutissants des investissements généraux que l'entreprise devrait réaliser pour atténuer les principaux risques liés aux actifs les plus précieux.

L'agent de sécurité ne doit pas rémunérer pour ce que les autres départements devraient faire. Par exemple, la formation, la sensibilisation, etc., devraient être confiées aux RH, mais la plupart du temps, c'est à l'agent de sécurité qu'il revient de s'occuper. Ou les KPI des centres d'opérations externalisés (SOC) peuvent concerner les achats et non le responsable de la sécurité.

Anove permet d'allouer la bonne ressource à une action

La sécurité consiste à faire les bonnes choses et les faire correctement. Ne vous méprenez pas, vous n'externalisez jamais votre responsabilité, vous externalisez simplement la responsabilité en comprenant parfaitement votre responsabilité et en ne restant pas dans l'ignorance. Anove permet d'assurer la visibilité des risques pour les actifs, les propriétaires et les mesures à prendre pour garder le contrôle. Pour tout PDG du secteur de la technologie.

Les entreprises comptant entre 50 et 100 ETP peuvent facilement faire appel à un agent de sécurité à temps partiel deux jours par semaine. Cela a permis de réduire considérablement le coût de la fonction de sécurité et de mettre davantage l'accent sur l'utilisation des investissements.

En d'autres termes, quelles technologies existantes pouvons-nous utiliser de manière plus efficace et plus intelligente pour en gagner plus ? « bon pour notre argent »? De nos jours, tout responsable de la sécurité devrait être en mesure de quantifier le risque en euros et de calculer le meilleur investissement en matière de sécurité (nous parlons du calcul du ROSI du retour sur les investissements en sécurité) et de le capturer dans des outils tels qu'Anove pour fournir un portefeuille global d'investissements et également, également, conserver une piste d'audit pour voir si certains rendements des investissements sont rentables et contribuent finalement à la réalisation des objectifs commerciaux.

Pour conclure : réfléchissez à ce que vous méritez avant d'investir dans la sécurité

La sécurité, c'est comme rester en bonne forme physique. Si vous n'en parlez que, rien ne se passe, vous devez être discipliné pour que cela fonctionne. Les programmes d'ajustement génériques ne fonctionnent que pour certains, vous devez les adapter à vos objectifs. La sécurité ne se limite pas à des mesures techniques telles que le cryptage et les facteurs multiples, mais consiste principalement à comprendre les besoins et les objectifs de l'organisation et à savoir comment vous pouvez accélérer encore sans perdre le statut de votre plainte.

Au cours des dernières décennies, nous avons simplifié notre technologie en supprimant toutes les fonctionnalités floues, car nous pensons que la simplicité est essentielle dans cette profession. Nous avons également investi massivement dans un réseau d'agents de sécurité férus d'affaires et de technologies [2] qui aident les entreprises à prendre les bonnes décisions et à réfléchir, du point de vue de l'investissement, à ce qui fonctionne le mieux pour rester en sécurité et être en conformité dans le monde entier. Nous les avons baptisés jumeaux (C) ISO car ils se tiennent aux côtés de votre entreprise pour vous soutenir et vous lancer des défis.

C'est ce que nous faisons, en nous appuyant sur les capacités déjà existantes et en nous concentrant sur un suivi strict de ce qui fonctionne pour vous (et votre entreprise). Donc, avant d'envisager d'investir dans la sécurité, réfléchissez bien à ce que vous méritez.

Références

1. Dans le livre « Leading in Digital Security chapter Funding », nous expliquons à la page 180 pourquoi et comment ce problème peut être résolu.
2. Comme pour les autres professions, nous exigeons un niveau élevé de formation spécialisée, un minimum d'heures (règle des 10 000) sur le terrain, des capacités de propriété extrêmes et une note officielle (MSc ou BSc) et pas seulement des certificats industriels (payants).