Lors de la conférence 2018 du Global Security Exchange (GSX), Dave Tyson, PDG de CISO Insights, a pris le temps de donner un aperçu de certains des changements qui se produisent dans le secteur de la sécurité et d’expliquer comment les professionnels en sécurité peuvent exceller dans ce nouveau climat.
Expert en gestion de la sécurité, Dave est un chef de file dans l’industrie depuis plus de 20 ans. Il a écrit son premier livre sur la convergence de la sécurité (Amazon) en 2007 et a contribué à https://www.asisonline.org/ASIS International, la plus grande organisation membre du monde pour les professionnels de la gestion de la sécurité. Dave a occupé plusieurs postes clés pour ASIS, notamment président en 2015 et président de la Commission sur la gestion des risques pour la sécurité des entreprises (GRSE) en 2017. Il est un professionnel de la protection certifiée, Conseil certifié en gestion de la sécurité et est un professionnel de la sécurité des systèmes d’information certifiés. Dans notre entrevue, Dave parle de la façon dont les entreprises prennent une approche plus proactive de la gestion des risques.
Les atteintes à la sécurité entraînent des changements dans le secteur
Jusqu’à récemment, les professionnels de la sécurité de niveau C n’étaient généralement pas inclus dans les réunions du conseil. Selon Tyson, les services de sécurité étaient considérés comme une dépense nécessaire pour assurer des opérations commerciales saines, mais ils n’étaient pas considérés comme un actif à but lucratif. Cette perspective est survenue à un moment où l’information sensible était conservée dans des classeurs et où tout ce qu’il fallait faire pour protéger l’information précieuse était de garder les documents sous clé ou de les déchiqueter. Mais lorsque les entreprises sont passées du papier et du stylo à la gestion des données numériques, le secteur a changé pour toujours. Afin de faire face aux nouvelles menaces de sécurité susceptibles de causer d’importants dommages financiers, la sécurité d’entreprise est devenue un service essentiel et à valeur ajoutée.
La valeur de la sécurité à une époque où les atteintes à la sécurité se traduisent par des pertes importantes tant pour les marges bénéficiaires que pour l’image publique est maintenant une préoccupation pour les grandes entreprises. Toutefois, la gestion stratégique du risque demeure un domaine qui n’est pas mieux accepté par les groupes de direction.
Maintenant que l’information, qui était auparavant hébergée localement, est traitée et stockée à l’échelle mondiale, les dirigeants recherchent des solutions stratégiques pour atténuer les nouveaux risques pour la sécurité de l’information. Pour que CISO ou CSO attire l’attention des cadres supérieurs, M. Tyson croit qu’ils doivent identifier et conseiller les moyens de réduire et d’éviter les risques, tout en démontrant comment leur approche stratégique permettra la rentabilité organisationnelle.
La sécurité passe au premier plan des opérations commerciales
Tyson croit que le changement dans la perception de la sécurité – d’une nécessité opérationnelle à un élément précieux de l’initiative stratégique d’une entreprise – a incité les administrateurs à commencer à inclure des professionnels de la sécurité de niveau C au sein des réunions du conseil, afin de conseiller les cadres supérieurs sur la façon d’intégrer la sécurité aux nouvelles stratégies d’entreprise. Jusqu’à présent, l’inclusion a été bénéfique pour les deux parties, puisque nous voyons maintenant des professionnels de la sécurité, qui étaient auparavant plafonnés à des postes de directeurs, accéder aux postes de vice-présidents principaux.
Lorsqu’on lui a demandé des conseils sur la façon dont les CSO et les CISO peuvent avoir un impact majeur dans la salle du conseil d’administration, M. Tyson a partagé trois grandes façons dont les experts en sécurité sont en train de bâtir leur crédibilité parmi les cadres supérieurs des diverses entreprises.
- Plus que jamais, les chefs de la sécurité se concentrent sur la protection de ce que les entreprises apprécient le plus. Avant d’assister à une séance de leadership, il est impératif de comprendre l’objectif de l’entreprise. Il ne suffit pas d’offrir simplement des outils pour que l’entreprise puisse les déployer. Il faut comprendre les valeurs fondamentales de l’entreprise et démontrer comment vous pouvez les protéger.
- Lorsqu’il s’agit de présenter la sécurité comme une fonction habilitante de l’entreprise, il est important d’expliquer comment les systèmes de sécurité intégrés créent un avantage concurrentiel pour une entreprise. Mentionnez les marges bénéficiaires qui bénéficient du service et expliquez comment cela donne à l’organisation un avantage sur ses concurrents qui n’utilisent pas le même service.
- La façon dont CSO explique les risques de sécurité au conseil d’administration est tout aussi importante que le message qu’elle transmet. Une communication efficace adopte le langage des affaires et non le jargon policier.
Le passage de l’archivage papier à un traitement des données basé sur la technologie a changé le secteur de la sécurité. Il a créé un besoin accru d’approches stratégiques pour la façon dont les entreprises gèrent et protègent l’information privée, tout en demeurant rentables. Pour exploiter ces nouvelles occasions, les professionnels de la sécurité de niveau C doivent expliquer comment leurs services protégeront les valeurs de l’entreprise et augmenteront leurs profits lors de réunions avec les dirigeants. Tyson voit maintenant les entreprises accorder une plus grande valeur à leurs experts en sécurité en augmentant le nombre de directeurs de la sécurité qui deviennent vice-présidents principaux et en accordant une plus grande importance à la sécurité dans les initiatives stratégiques des organisations.