La priorité manquante du CIO | DSI

Vous voulez survivre en tant que CIO ? Vous avez besoin des bonnes priorités. Et pour la plupart des DSI, à ce moment précis, les 5 principales priorités de votre DSI moyen sont :

1. Sécurité.
2. Sécurité.
3. Sécurité.
4. Sécurité.
5. Sans oublier la sécurité.

Remarquez ce qui manque? Si votre réponse est « il manque tout », adressez-vous au chef de classe.

La sécurité est, pour le DSI d'aujourd'hui, une lame à double tranchant. Un bord pointu est le sous-investissement dans la sécurité. Dans le passé, investir trop peu dans la sécurité signifiait accepter un risque plus élevé d'intrusions pouvant entraîner des difficultés financières importantes.

Les ransomwares ont changé la donne. Sous-investir dans la sécurité signifie désormais accepter un risque plus élevé d'être complètement mis à la faillite. Le sous-investissement dans la sécurité est donc un avantage certain.

L'autre est le sous-investissement dans la nouvelle valeur commerciale axée sur l'informatique.

Le risque réel du leadership informatique

Au cas où vous auriez manqué l'actualité, le numérique en tant que nom est un gros, gros problème. Il s'agit d'utiliser les technologies de l'information pour générer des revenus et un avantage concurrentiel. Sous-investissez ici et des concurrents plus agressifs finiront par manger le déjeuner de votre entreprise.

C'est le choix de Hobson : risquer d'être mis à la faillite d'un seul coup de poing plutôt que de risquer un résultat lent mais tout aussi mortel en raison de la perte de clients, de parts de marché et de partage d'esprit.

Ajoutez au défi cette maxime de gestion des risques : une prévention réussie est indiscernable de l'absence de risque. Cela signifie que personne ne vous félicitera, vous et votre équipe, pour un travail bien fait, et personne ne vous demandera de quel soutien vous aurez besoin pour continuer à assurer la sécurité de l'entreprise.

Non, chaque année où vos pratiques de sécurité de l'information réussissent est une année de plus, les approbateurs de budget informatique seront convaincus que vous avez exagéré les risques.

Si vous ne me croyez pas… Y2K.

Le piège de la rétrofacturation

Êtes-vous prêt à tomber dans le gouffre du désespoir ?

Ne cédez pas tout de suite. Vous avez des alternatives. Certains sont plus attrayants que d'autres; tout vaut mieux que d'abandonner.

Appelez le premier leAucune telle manœuvrecourt pourUn projet informatique n'existe pasquelque chose que vous devriez défendre avec ou sans les défis actuels de la sécurité de l'information.

Derrière NoSuch se cache l'idée que les soi-disant « projets informatiques » sont en réalité des tentatives de faire fonctionner une partie de l'entreprise différemment et mieux. Cela étant, le financement de ces projets qui ne sont plus informatiques ne devrait pas provenir du budget informatique. Ils devraient être financés par les ministères qui en bénéficieront. De cette façon, leur financement ne concurrencera pas l'informatique pour l'augmentation du budget nécessaire à la sécurité de l'information.

Rétrofacturations.Si la direction de votre entreprise adopte une approche plus traditionnelle de la relation informatique/commerciale, vous pouvez empêcher la sécurité des informations d'entrer en concurrence pour les ressources à valeur commerciale nouvelle grâce au mécanisme séculaire de rétrofacturation, qui déplacera le coût des services d'application informatique vers les domaines d'activité. qui utilisera tout ce qu'ils demandent au service informatique de développer et de mettre en œuvre.

La différence entre les rétrofacturations et la manœuvre NoSuch est subtile, mais importante. Lorsqu'il n'existe pas de projet informatique, l'implication de l'informatique dans le changement de l'entreprise se fait en tant que leader dans l'identification et la défense des opportunités, et en tant que collaborateur à part entière et égal dans leur réalisation.

Lorsque l'informatique facture ses services, elle abandonne son rôle de leader dans l'identification d'opportunités stratégiques et la réalisation d'un changement commercial intentionnel. Au lieu de cela, il relègue l'informatique à un simple preneur de commande.

Une stratégie alternative pour faire face aux dépenses de sécurité

Voici une autre option. Suggérez la réaffectation de la responsabilité de la sécurité de l'information à un groupe qui ne relève pas de vous. Le meilleur potentielvictimesles candidats sont la pratique de la gestion des risques d'entreprise (ERM) et quiconque est propriétaire de la planification de la continuité des activités.

Appelez-le leGambit SEP (c'est le problème de quelqu'un d'autre pour les non-initiés). Cela ne fera peut-être rien pour l'entreprise dans son ensemble, mais de votre point de vue égoïste, accrocher l'albatros autour du cou de quelqu'un d'autre a beaucoup d'avantages à le recommander.

Et cela offre en fait des avantages commerciaux. La réattribution de la responsabilité de la sécurité de l'information permet à son nouveau propriétaire de mettre en lumière le besoin de financement supplémentaire, en évitant les reproches habituels selon lesquels l'informatique est un gouffre financier.

Ces trois alternatives – la manœuvre NoSuch, les rétrofacturations et le gambit SEP – ont le même objectif. C'est pour éviter que la sécurité de l'information et les investissements dans de nouvelles capacités ne se disputent le temps et l'attention des dirigeants, ce qui se traduit directement par leurs décisions de financement.

Il s'agit d'une compétence – être capable d'orienter la sensibilisation des décideurs vers les bonnes cibles – qui est essentielle au succès de tout DSI.