C-Suite doit atténuer les silos pour atténuer les risques de sécurité

Au fur et à mesure que les organisations se développent, les fonctions qui ont commencé comme le travail d’une seule personne sont réparties entre plusieurs unités organisationnelles et plusieurs cadres, souvent sans planification réfléchie. La spécialisation permet aux experts d’approfondir chaque travail, mais crée plusieurs problèmes :

• L’absence d’un seul dirigeant responsable (ou pire, le fait d’avoir plusieurs dirigeants, chacun gérant une partie du processus) conduit à des décisions non coordonnées. Celles-ci déforment l’orientation organisationnelle, conduisant à un surinvestissement dans certaines fonctions et à la négligence d’autres fonctions qui sont tout aussi ou même plus critiques ;
• La séparation organisationnelle entre les fonctions, c’est-à-dire les silos, permet des écarts entre les fonctions. Ces lacunes entraînent des retards et des erreurs qui nuisent à la productivité ; pire, ils peuvent être exploités par des attaquants cherchant à pénétrer dans les réseaux et les systèmes de l’entreprise.

À qui incombe la responsabilité lorsqu’une confusion dangereuse s’insinue dans une organisation ? Lorsqu’il est question de cybersécurité, il appartient au PDG et au conseil d’administration de créer et de maintenir la responsabilité, la cohérence et la surveillance.

Voici deux étapes sans jargon que vous pouvez suivre pour atténuer les risques de « prolifération organisationnelle » :

• Clarifier et communiquer à l’exécutif responsabilité. Assurez-vous qu’un (et un seul) dirigeant de la suite C est responsable des décisions de risque/récompense en matière de cybersécurité de l’organisation et que tout le monde comprend de qui il s’agit. Cet exécutif doit faire partie de la suite C pour deux raisons. Ils doivent comprendre les objectifs commerciaux du PDG¹ et la tolérance au risque et être à l’aise de travailler avec le conseil sur les questions de risque. De plus, ils doivent avoir un poids organisationnel pour prendre et faire appliquer des décisions, et parfois aller de pair avec le PDG.

Il s’agit généralement du CIO ou du CISO (je laisserai la discussion sur la question de savoir si le CISO doit rendre compte au CIO ou à un pair pour plus tard). Ce que j’ai vu bien fonctionner dans les organisations décentralisées ou fortement réglementées, c’est la nomination d’un directeur des risques pour superviser toutes les classes de risques, notamment : la cybersécurité ; sécurité physique; conformité; Assurance; Audit; et juridique. Cet exécutif considère tous les risques et dispose des ressources nécessaires pour élaborer des plans et des réponses coordonnés à mesure que de nouveaux risques se développent.

• Créer (et maintenir !) un risque global architecture qui s’adresse :
  • atténuation des risques² stratégies, catégories d’outils³et processus ;
  • surveillance des risques/audit/gouvernance.

L’architecture, pour être utile sans entraver le progrès, est de haut niveau et quelque peu abstraite. Il sert de guide de prise de décision pour les diverses personnes, probablement réparties dans plusieurs départements et sites, qui sont chargées de la mise en œuvre et de l’exploitation des fonctions de sécurité. Pour ce faire, il clarifie la pensée de l’organisation sur les principaux sujets. Un principe architectural pourrait être : « Notre objectif est l’accès au réseau Zero Trust (ZTNA) ».

La création et le maintien d’une conception coordonnée pour les outils et les processus minimisent les écarts lorsque les processus horizontaux sont répartis sur plusieurs silos.

En tant que PDG, président ou peut-être COO, vous voyez l’ensemble de l’organisation et vous vous assurez que tout le monde se rassemble avec un minimum de chevauchement et sans failles de cybersécurité. En tant que membre d’un conseil d’administration, vous avez besoin d’être rassuré que le risque est correctement pris en compte. L’accent mis par la direction sur la responsabilité et l’architecture permet d’atteindre ces deux objectifs.

A propos de l’auteur:

Wayne Sadin a eu une carrière informatique de 30 ans couvrant la logistique, les services financiers, l’énergie, les soins de santé, la fabrication, le marketing direct, la construction, le conseil et la technologie. Il a été CIO, CTO, CDO, conseiller auprès de PDG / conseils d’administration, investisseur providentiel et administrateur indépendant dans des entreprises allant des start-ups aux multinationales. Contactez Wayne au wayne_sadin@msn.comsur Twitter à www.twitter.com/waynesadinet sur LinkedIn à www.linkedin.com/in/waynesadin

Ce billet vous est proposé par Tanium et CIO Marketing Services. Les points de vue et opinions exprimés ici sont ceux de l’auteur et ne représentent pas nécessairement les points de vue et opinions de Tanium.

¹ « La perspective vaut 40 points de QI »

² L’atténuation comprend la prévention, la détection, la défense et la restauration

³ Pas de produits spécifiques, car ils peuvent changer