Cybersécurité: avez-vous besoin d’un CISO virtuel?


DIGITALE / jeudi, juillet 16th, 2020

Les entreprises soucieuses de l’augmentation des risques et des réglementations en matière de cybersécurité peuvent souhaiter se tourner vers les chefs virtuels de la sécurité de l’information pour obtenir des conseils stratégiques.
Icône Twitter
Icône Facebook
Icône LinkedIn
Contraints par l’augmentation des menaces de cybersécurité et la pression réglementaire croissante, les entreprises de toutes tailles adoptent une approche plus stratégique de leur cybersécurité. Une partie de cette approche consiste à embaucher un chef de la sécurité de l’information (RSSI) pour fournir une perspective de risque commercial.

Face à une pénurie de talents en cybersécurité et à un manque de ressources pour embaucher un CISO à temps plein, les petites et moyennes entreprises adoptent une nouvelle option: un CISO virtuel.

«Un CISO virtuel est une excellente alternative pour les organisations qui souhaitent améliorer leur sécurité et passer au niveau supérieur, mais elles savent qu’elles n’ont pas la bande passante pour tout faire par elles-mêmes», explique Inga. Goddijn, vice-président exécutif de Risk Based Security, qui fournit des informations et des analyses de sécurité.

Risk Based Security propose un service à la demande appelé YourCISO depuis 2012. Goddijn dit qu’au début, ils se sentaient comme «le seul cricket sur le terrain», le concept prend maintenant son envol.

Comme tout consultant, les CISO virtuels ou vCISO peuvent être embauchés par projet ou sur une base à long terme, que ce soit pour un besoin spécifique comme la conformité – car certaines réglementations exigent un CISO désigné – ou pour un rôle plus large comme la création d’un programme de cybersécurité. ou évaluer les risques de cybersécurité de l’entreprise et recommander une stratégie de sécurité. Un vCISO peut également apporter d’autres ressources lorsqu’une expertise spécialisée est nécessaire, comme la conformité à une législation spécifique.

Semblable à un CISO interne, un CISO sous contrat joue un rôle stratégique dans la cybersécurité d’une entreprise. Les organisations peuvent conclure des contrats directement avec une personne ou, plus généralement, travailler avec un fournisseur qui peut proposer diverses solutions de cybersécurité et avoir une personne affectée. Dans le cas de la sécurité basée sur les risques, YourCISO dispose à la fois d’un portail en ligne en libre-service et d’un contact clé que le client sélectionne comme vCISO et établit une relation avec.

“[L’intérêt croissant] peut être fonction d’une meilleure prise de conscience des problèmes de sécurité”, explique Goddijin. “Mais il y a aussi la dynamique des partenaires clés qui viennent aux organisations qui veulent savoir quelle est leur position en matière de sécurité.”

L’évolution du paysage entraîne une demande
Le nombre et l’ampleur croissants des incidents de violation de données sont l’un des moteurs d’une sensibilisation accrue à la cybersécurité. Selon les données du Privacy Rights Clearinghouse, 843 violations ont été divulguées publiquement en 2017, avec un total de plus de 2 milliards d’enregistrements exposés (sur la base des données d’août 2018). À titre de comparaison, seuls près de 319 millions d’enregistrements ont été exposés dans 547 violations en 2015.

«Nous sommes plus conscients des incidents de sécurité et du coût de la récupération des incidents du point de vue technique et de la réputation», explique Justine Bone, ancienne CISO pour Dow Jones et Bloomberg et fondatrice et PDG de MedSec, un fournisseur de services de cybersécurité pour les hôpitaux et les services médicaux. fabricants d’appareils. “Dans le même temps, nous voyons les régulateurs prendre de la vapeur et commencer à prêter attention aux incidents de sécurité et aux implications pour les entreprises et leurs clients.”

Ce sont des régulateurs comme le Département des services financiers de l’État de New York, dont la réglementation historique de 2017 nécessite un programme complet de cybersécurité. Applicables non seulement à ses entités réglementées telles que les banques et les assureurs exerçant leurs activités dans l’État, mais également à leurs fournisseurs, les exigences de la réglementation incluent un CISO désigné, qu’il s’agisse d’un rôle interne ou d’un consultant externe.

«Si vous êtes une petite ou moyenne entreprise, vous avez les mêmes problèmes de sécurité que les grandes entreprises, mais vous n’avez pas les mêmes ressources», explique Todd Weller, directeur de la stratégie de la société de protection contre les menaces et le renseignement Bandura Systems. vous devez vous tourner vers des tiers pour vous aider car vous êtes soumis aux mêmes réglementations, et les cybercriminels ne font aucune discrimination en fonction de leur taille. “

Les CISO virtuels remplissent un rôle stratégique
Un rôle de CISO en interne peut être difficile à remplir en raison de la grave pénurie de talents en cybersécurité à tous les niveaux. Il peut également être difficile pour les petites entreprises de justifier un poste à temps plein, même si elles présentent un risque élevé d’exposition en raison de la quantité de données qu’elles collectent.

“Les CISO ne sont pas une ressource incroyablement bon marché à intégrer si vous êtes une petite entreprise”, explique Brian Contos, CISO pour Verodin, qui fournit une plate-forme d’instrumentation de sécurité. “Ces petites et moyennes entreprises peuvent bénéficier d’un certain niveau d’ADN de sécurité injecté dans leur organisation, même s’ils n’ont pas les ressources nécessaires pour recruter un CISO à plein temps. “

Les entreprises disposant d’un petit budget peuvent envisager vCISO pour élaborer des stratégies et les mettre en œuvre; cependant, cet exécutif «à la demande» ne doit pas être considéré comme un «praticien» ou une personne appelée à déployer des technologies ou à fournir des services informatiques.

«L’idée de personnes, de processus et de technologie dont nous parlons dans le domaine de la cybersécurité est quelque chose qu’un CISO virtuel peut aider en termes de très normatif», explique Contos. «Ils peuvent vous aider à établir des priorités et à tracer la voie vers le succès et la réussite. les fondamentaux. “

Il ajoute que maintenant que la cybersécurité est mesurée comme les autres fonctions commerciales – en termes d’indicateurs de performance clés et d’autres paramètres – le vCISO peut aider à rationaliser l’investissement dans la cybersécurité et à en tirer le meilleur parti.

Le vCISO est une excellente ressource pour quelqu’un qui comprend que la cybersécurité est un risque commercial et veut y faire face, mais ne sait pas par où commencer, dit Goddijn.

«Le moment idéal pour introduire un CISO virtuel est le moment où vous essayez de vous faire une idée, en tant qu’organisation, de ce que la sécurité signifie pour vous et de ce que vous devez faire», dit-elle. «Le CISO virtuel peut marcher à travers ce qui entre dans un programme de sécurité et comment lui donner la priorité. “

Que rechercher dans un CISO virtuel
Un des avantages d’un vCISO est une connaissance plus large et plus à jour des technologies, des tendances et des stratégies acquises en travaillant avec plusieurs clients, dit Bone. Dans le même temps, cette personne agit plus comme un membre de l’équipe que comme un étranger, probablement en contact avec les départements et les dirigeants de l’entreprise.

«Il s’agit d’un chef de file, de liaison commerciale et de communicateur qui supervise le programme plus vaste… et doit comprendre l’entreprise, la priorité de l’entreprise et les actifs commerciaux primaires et secondaires», dit-elle.

Il y a un afflux de cabinets de conseil en sécurité et de prestataires de services de sécurité gérés (MSSP) proposant désormais des vCISO. Goddijn recommande de demander aux fournisseurs si leur programme vCISO comprend un support et des outils supplémentaires. De plus, vérifiez les antécédents de la personne spécifique qui sera votre CISO désigné.

«Vous voulez décider, est-ce quelqu’un avec qui vous pouvez travailler au fil du temps et avoir des relations? La confiance est une chose importante en matière de sécurité “, dit-elle.

L’un des premiers critères est de savoir si cette personne a travaillé dans la même taille verticale et dans la même entreprise, explique Contos.

«Vous voulez vous assurer que le contexte de l’individu chevauche votre entreprise et est à la pointe de ce dont vous avez besoin», conseille-t-il.

Surtout, Weller met en garde que les organisations ne devraient pas chercher à embaucher un praticien pour le rôle de vCISO.

“Si vous cherchez quelqu’un du point de vue de la stratégie, vous voulez quelqu’un qui a occupé ce poste et qui a de l’expérience en tant que RSSI”, dit-il. “C’est une discussion sur ce que vous devez faire du point de vue de la stratégie de cybersécurité et de la conformité, pour vous assurer que vous le faites correctement – si vous cherchez simplement quelqu’un pour mettre en œuvre quelque chose, ce n’est pas le but du CISO. “

Plus d’article sur le cybersécurité ici

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*