Le CISO, garant d’une sécurité plus proactive
Les entreprises possédant un chief information security officer (CISO) appliquent souvent une politique sécuritaire davantage coordonnée, préventive et mesurable, selon une étude d’IBM.
Les entreprises possédant un chief information security officer (CISO) appliquent souvent une politique sécuritaire davantage coordonnée, préventive et mesurable, selon une étude d’IBM.
Même si les CEO et CIO accordent une attention et un budget toujours croissants aux aspects de la sécurité, l’engagement d’un responsable spécifique à haut niveau (et jouissant de suffisamment d’autorité) semble générer une politique sécuritaire plus équilibrée. Aujourd’hui, deux tiers des participants à l’étude d’IBM (‘Finding a strategic voice, Insights from the 2012 IBM Chief Information Security Officer Assessment’) tablent sur un budget de sécurité en hausse au cours des deux prochaines années, qui sera encore majoritairement géré par le CIO.
Dans des entreprises, où tant le CEO, le CIO et le CISO se partagent la responsabilité de la sécurité, il règne souvent une culture davantage basée sur la prise de conscience des risques et où l’on accorde de l’attention au progrès mesurable. Le CISO peut y jouer le rôle d”influenceur’ avec un budget sécurité spécifique (71 pour cent des entreprises ayant un CISO), ce qui génère une politique cohérente et préventive. Voilà qui contraste avec les entreprises, où le budget sécurité est insuffisant, ce qui se traduit par une approche réactive et fragmentée à l’avenant.
L’important, c’est que le CISO soit entendu aussi au niveau du conseil des commissaires et soit influent. En effet, “les organisations les plus performantes [en matière de sécurité] dans notre étude démontrent qu’une approche stratégique de la sécurité au niveau du ‘board’ est cruciale”, déclare Jens Wymeersch, leader IBM security systems Benelux.
Pour créer une culture d’entreprise orientée sécurité, elles font également plus souvent appel aux résultats mesuré, afin de tester les progrès réalisés dans ce domaine, en combinaison avec un suivi de programmes de formation et de conscientisation. Elles étudient aussi pro-activement les nouveaux risques possibles engendrés par l’utilisation des technologies existantes et nouvelles. Avec un CISO, une entreprise serait assurément moins surprise et moins accablée par les problèmes induits par les évolutions du genre ‘bring your own device’ (BYOD, l’utilisation de matériel personnel à des fins professionnelles). Ce genre d”influenceur’ insiste jusqu’à quatre fois plus sur la nécessité d’une prise de conscience sécuritaire par rapport aux personnes réactives qui cherchent, elles, leur salut jusqu’à deux fois plus dans la technologie. L”influenceur’ exploite aussi sa connaissance tirée d’analyses de mesures, afin de trouver des domaines, où des améliorations offrent le plus d’impact et de valeur.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici