Alors que les entreprises alignent la cybersécurité sur les besoins de l’entreprise, le temps du BISO est venu

  • FrançaisFrançais


  • Sur la photo: une succursale de la société japonaise de services bancaires et financiers MUFG. (Suikotei, CC BY-SA 4.0 via Wikimedia Commons)

    CISO contre BISO. Deux intitulés de poste séparés par une seule lettre.

    Tout le monde reconnaît le directeur de la sécurité de l’information comme le responsable informatique principal chargé de la protection des données et des systèmes. Mais dans un nombre croissant d’organisations, un deuxième rôle connu sous le nom de responsable de la sécurité des informations commerciales prend de plus en plus d’importance.

    Le rôle du BISO et sa place dans la hiérarchie de l’entreprise est un peu plus délicat à définir. En règle générale, la responsabilité du BISO est d’évaluer, de définir et d’augmenter les initiatives infosec à l’échelle de l’entreprise afin qu’elles s’alignent fortement sur les objectifs commerciaux clés et les besoins de conformité.

    Plus compliqué encore: certaines organisations peuvent avoir plusieurs BISO, chacun agissant en tant que mini-RSSI au sein d’une unité commerciale ou d’une région géographique. Par conséquent, vous pouvez également voir le titre du poste répertorié comme agent de sécurité de l’information du secteur d’activité (BAISO) ou agent de sécurité de l’information régional (RISO).

    Alors qu’est-ce que ce rôle implique? Et qu’en est-il de l’argument de certains cyber-experts, qui disent que les BISO devraient vraiment être l’évolution naturelle du RSSI, puisque les RSSI devraient déjà être alignés sur l’entreprise lorsqu’ils exécutent leur vision?

    En fin de compte, la façon dont une organisation définit et déploie les BISO dépend de la complexité, de l’aversion au risque et de la réglementation de l’entreprise.

    L’analyse de rentabilisation d’un BISO

    Il est indéniable: une déconnexion existe souvent entre les équipes informatiques / de sécurité et la direction de l’entreprise, et combler ce fossé est une compétence importante. C’est le nœud du rôle du BISO, disent les experts, et nous commençons à voir de plus en plus de ces agents à mesure que l’industrie se rend compte que le savoir-faire technologique seul n’est pas toujours suffisant.

    «La sécurité de l’information n’est plus vraiment une discipline technique; c’est une discipline de gestion des risques », a déclaré Nathan Wenzel, stratège en chef de la sécurité chez Tenable, qui a commandé le document de recherche Forrester récemment publié,« The Rise of the Business-Aligned Security Executive ».

    Nathan Wenzel, stratège en chef de la sécurité, Tenable.

    «Nous nous éloignons un peu de cette idée selon laquelle l’équipe de sécurité est uniquement composée des personnes qui installent et gèrent les pare-feu. Et maintenant, nous passons à l’idée que l’équipe de sécurité nous aide à atténuer nos pertes dues aux violations de données et au vol de propriété intellectuelle, et ce sont eux qui nous aident à nous indiquer où nous pouvons mieux atténuer les risques », a poursuivi Wenzel. «Il devient ce rôle de conseil aux entreprises de prendre toutes ces informations de sécurité technique et de les traduire en quelque chose qui est mieux et universellement compris comme une fonction de risque pour les secteurs de l’organisation qui sont préoccupés par le risque.»

    En effet, le rapport Forrester – principalement basé sur une enquête en ligne d’avril 2020 auprès de 416 responsables de la sécurité et 425 dirigeants d’entreprise – a révélé que les responsables de la sécurité orientés métier sont huit fois plus susceptibles que «leurs pairs plus cloisonnés» d’être très confiants dans leur capacité à rapport sur la sécurité ou les risques organisationnels.

    En outre, 85% des responsables de la sécurité de type BISO déclarent disposer de mesures pour suivre le retour sur investissement et l’impact sur les performances commerciales des projets de cybersécurité, contre seulement 25% de leurs dirigeants de la sécurité plus traditionnels et moins orientés vers les entreprises.

    «C’est une énorme différence lorsque vous essayez de montrer de la valeur pour quelque chose qui est souvent considéré comme de simples frais généraux», a déclaré Wenzel. «Parce que lorsque vous comprenez ce qui compte pour l’entreprise et que vous vous y conformez, soudainement vous voyez… ‘Je peux apporter de la valeur.’»

    Mais attendez. Si c’est ce que fait un BISO, les RSSI ne devraient-ils pas déjà le faire? Candy Alexander le pense certainement.

    «Je le verrais en fait comme une progression de la maturité» du poste de RSSI, a déclaré Alexander, président de l’International Systems Security Association (ISSA International), et responsable de la pratique de la sécurité et du RSSI chez NeuEon. «Je pense que le RSSI doit grandir pour devenir ce BISO.»

    «De nombreuses entreprises embauchent… un RSSI technique. Ce n’est pas ce dont ils ont besoin, ce n’est pas ce qu’ils veulent. Ils pensent qu’ils veulent cela », a poursuivi Alexander, qui a récemment été nommée lauréate 2020 de SC Media Women in IT Security. Ce qu’ils veulent vraiment, a-t-elle expliqué, c’est quelqu’un qui comprend les objectifs commerciaux et dit «non» à la technologie qui ne permet pas de les atteindre. Mais ces responsabilités devraient généralement être du ressort d’un RSSI et non déléguées ailleurs, a-t-elle ajouté. Sinon, «nous divisons notre profession en plusieurs nuances et trop de variables.»

    D’un autre côté, demander à un responsable de la sécurité d’être à la fois un technologue et un homme d’affaires habiles peut être un défi de taille. «Tout le monde veut une licorne», a déclaré Wenzel. «Tout le monde veut le stylo testeur qui peut également déployer des pare-feu, parler lors de conférences, se tenir debout devant le tableau et expliquer pourquoi le retour sur investissement se produit, et ils veulent tout en une seule personne. Bonne chance. Si vous connaissez cette personne, faites-le moi savoir car nous les embaucherons.

    «Si vous pouvez faire cela dans un seul rôle, génial. Je soutiens totalement les RSSI qui peuvent faire les deux et qui sont vraiment bons dans ce domaine », a poursuivi Wenzel. “Si vous ne pouvez pas, ou si vous n’avez pas les compétences dans l’organisation, alors il peut être judicieux d’avoir deux personnes, ou deux rôles différents pour gérer cela, ou même le distribuer à plusieurs rôles.”

    Carillon BISO

    Branden Williams, directeur et vice-président senior de la cybersécurité et responsable du BISO de la région Amériques pour la société japonaise de services bancaires et financiers Mitsubishi UFJ Financial Group (MUFG) considère les RSSI et les BISO comme des rôles très distincts.

    «Le RSSI regarde l’ensemble de l’entreprise et intègre la fonction de sécurité dans l’entreprise, tandis que le BISO représente l’entreprise à la fonction de cybersécurité», a déclaré Williams. «Souvent, nous avons besoin d’un peu de traduction pour nous assurer que les deux parties peuvent se comprendre et avoir un avocat. C’est le BISO.

    Dans certaines entreprises, comme MUFG, les BISO relèvent directement du RSSI. Dans d’autres cas, ils travailleront en étroite collaboration avec l’équipe du RSSI, mais relèveront plutôt directement d’un vice-président ou d’un directeur général. C’est le cas de Beth Dunphy, BISO chez IBM Security, la division des services de sécurité d’IBM.

    Sur la photo: Beth Dunphy, BISO avec IBM Security, à l’IBM Cyber ​​Range.

    «C’est le rôle d’un BISO de travailler avec le chef de l’unité commerciale et d’être responsable du succès de cette entreprise en matière de sécurité», a déclaré Dunphy. «Les BISO doivent comprendre le fonctionnement de l’entreprise et être en mesure de comprendre comment améliorer la sécurité tout en réduisant les risques dans cette entreprise.»

    Dans de nombreux cas, Dunphy a adopté les normes de sécurité mandatées par l’entreprise, ainsi que les exigences de gouvernance et de conformité, puis a construit des politiques supplémentaires en plus de celles spécifiquement destinées à la division IBM Security, afin de prendre en compte «les différentes attentes en matière de sécurité auxquelles nous serions confrontés. nous fabriquons des produits », par rapport aux autres divisions.

    IBM a introduit le rôle de BISO dans son organisation il y a environ cinq ans, a déclaré Dunphy, et en a plus d’une douzaine dans son organisation, chacun gérant un domaine différent de l’entreprise tel que Public Cloud et Watson Health. La portée et la responsabilité du rôle se sont élargies au fil du temps, a-t-elle ajouté, à mesure que la société et les BISO eux-mêmes acquéraient davantage d’expérience et de compréhension de ce qui était nécessaire.

    Pour les organisations de petite ou moyenne taille, il n’est pas déraisonnable de s’attendre à ce que le RSSI s’acquitte des responsabilités du BISO, comme l’a suggéré Alexander. Mais les opérations multinationales et les complexités organisationnelles d’IBM illustrent clairement pourquoi il peut être trop difficile de demander aux RSSI de se familiariser avec tous les aspects de l’entreprise.

    «Une seule personne au niveau de l’entreprise qui… doit avoir le pouls de l’exécution de tout ce qui se passe, jour après jour – sécurité, risques, implications de conformité – n’est pas faisable», a déclaré Dunphy. «Dans n’importe quelle multinationale ou grande entreprise, il y a certainement une opportunité d’avoir de la valeur à la fois d’un BISO et d’un RSSI.»

    En effet, «les BISO ont plus de sens dans les organisations qui ont des unités commerciales spécifiques qui peuvent avoir des besoins ou des bases de clients différents», a déclaré Williams. «Si l’entreprise est suffisamment grande pour avoir besoin de [BISO role] dans l’entreprise, alors le rôle s’épanouira », a déclaré Williams.

    Les BISO peuvent également s’avérer utiles dans les secteurs fortement réglementés, a ajouté M. Dunphy, où vous «devez avoir un leader de la sécurité qui connaît très bien la réglementation et les exigences de ce secteur». Si ces exigences ne sont pas essentielles à l’activité, le RSSI peut ne pas avoir pleinement conscience des particularités de la situation réglementaire.

    Pour les raisons ci-dessus, certains secteurs d’activité en particulier se sont tournés vers la position BISO. Les services financiers sont en avance sur la courbe en ce qui concerne la maturation du rôle de BISO, a déclaré Williams, car les entreprises ont tendance à fonctionner comme un ensemble d’entreprises avec des clients communs, mais des opérations, des réglementations et des marchés différents.

    Wenzel a cité le secteur des assurances comme un autre exemple.

    «Ils vivent dans un monde à risque de par la nature de leur entreprise, donc l’idée de prendre la cybersécurité et d’en faire une fonction de gestion des risques a du sens», a-t-il déclaré.

    Les compagnies d’assurance considèrent parfois la cybersécurité comme des frais généraux sans retour sur investissement mesurable, a ajouté Wenzel. Mais “une fois que vous le recadrez et dites: ‘Eh bien, [BISO] l’équipe est en fait un effort de gestion des risques… dans votre organisation, tout clique; ils l’ont compris.

    Wenzel a également déclaré que les sociétés de conseil commençaient également à embaucher des BISO, en particulier ceux offrant des services de CISO virtuels externalisés. «De nombreux clients qui s’engagent dans ces services veulent vraiment comprendre les risques dans leur environnement», a-t-il expliqué. «Les sociétés de conseil ont donc également dû intensifier un peu leurs efforts et faire appel à des personnes qui ne sont pas seulement des exécutants techniques capables de diriger une équipe de sécurité technique. Ils doivent intégrer un rôle de type BISO pour exécuter l’effort. »

    Dunphy a déclaré qu’elle voyait également le titre BISO apparaître plus fréquemment parmi les dirigeants de grandes entreprises manufacturières, industrielles et automobiles – et pense que le secteur pharmaceutique pourrait également adopter la tendance.

    Un ensemble particulier de compétences

    Alors, quelles compétences font le BISO parfait?

    «Ce qui fait un bon BISO, c’est quelqu’un qui peut vivre dans le monde des affaires tout en étant un professionnel de la sécurité», a déclaré Williams. «Si vous ne pouvez pas penser comme un stratège commercial lorsque vous faites équipe bleu / rouge, vous pouvez avoir des difficultés en tant que BISO.»

    À bien des égards, Dunphy avait l’expérience parfaite pour assumer son rôle BISO, avec son expérience de carrière alternant entre les affaires et la technologie au cours de ses près de 17 ans chez IBM.

    «Je n’ai jamais été purement technique ou purement managérial», a déclaré Dunphy. «Je pense que cela m’a bien positionné pour trouver cet équilibre entre comprendre et soutenir notre entreprise et être capable de comprendre la technologie et des aspects plus détaillés de ce que nous essayons de garantir.»

    Avant d’obtenir son titre BISO, elle a été nommée directrice de programme, IBM CISO – Cybersecurity Technologies, au cours de laquelle elle a dirigé un programme technologique chargé de concevoir et de déployer de nouvelles solutions de sécurité d’entreprise dans les environnements d’entreprise IBM à travers le monde.

    «Et maintenant, je suis de retour du côté de l’unité commerciale. Je suis maintenant un consommateur de ces services partagés par le RSSI et je pilote l’adoption et l’exécution au sein du [IBM Security] unité », a expliqué Dunphy. «J’ai donc pu voir les deux côtés et c’était très instructif d’aller dans cette équipe d’entreprise et de voir la diversité des besoins, des interprétations et des implémentations des programmes de sécurité, puis d’avoir maintenant la responsabilité de l’implémenter pour notre propre IBM. Entreprise de sécurité sous le nom de BISO. »

    Bien que la connaissance des affaires et de la technologie soit un atout majeur, est-il préférable d’embaucher quelqu’un qui pense d’abord à la technologie ou aux affaires?

    Les deux peuvent fonctionner, selon Wenzel, qui a déclaré qu’il avait même vu des auditeurs et des avocats remplir habilement le rôle du BISO.

    «Ils doivent en quelque sorte l’aborder à l’envers – ils comprennent les concepts de risque, mais ils ne comprennent pas la technologie» en détail. Mais ils doivent se plonger dans les spécifications techniques lorsqu’ils discutent de l’initiative de cybersécurité avec les dirigeants de l’entreprise. Ils doivent être en mesure d’expliquer pourquoi les demandes du RSSI aideront les résultats financiers et atténueront les risques. «Et c’est là qu’ils peuvent commencer à combler cet écart», a déclaré Wenzel.

    En effet, cette capacité à traduire le discours technique en discours commercial nécessite une autre compétence clé qui fait trop souvent défaut: la communication. «Vous travaillez avec des chefs d’entreprise chevronnés qui se concentrent, à juste titre, sur l’entreprise en cours – gagner de l’argent, obtenir les produits et répondre aux besoins de nos clients», a déclaré Dunphy. «Vous devez être capable de communiquer efficacement [with] eux sur: Pourquoi la sécurité? Pourquoi la conformité? Pourquoi la confidentialité? Pourquoi devons-nous gérer les risques? »

    Source

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *