Une « évolution RSSI » signifie lier la valeur commerciale à la sécurité

Le rôle du RSSI continue de gagner en visibilité, en pression et en importance, en particulier à l’ère actuelle de transformation numérique. Les entreprises d’aujourd’hui ont besoin de la cybersécurité pour survivre, et les stratégies de cybersécurité d’aujourd’hui doivent soutenir les objectifs commerciaux pour être efficaces.

Avec leur livre, L’évolution du CISO : connaissances métier pour les responsables de la cybersécuritéles auteurs Matthew K. Sharp et Kyriakos “Rock” Lambros visent à fournir une feuille de route aux RSSI naviguant dans la suite C en présentant des leçons sur les concepts commerciaux fondamentaux à travers une lentille de sécurité.

Ici, Lambros et Sharp expliquent comment Les RSSI peuvent revendiquer leur place au conseil d’administration en comprenant la valeur commerciale et en la connectant à la stratégie de cybersécurité. Ils expliquent également pourquoi tous les RSSI n’ont pas besoin d’un MBA, comment devenir meilleur en négociation et que faire face à la pénurie continue de talents.

Note de l’éditeur: Ce texte a été légèrement modifié pour plus de longueur et de clarté.

Pourquoi avez-vous décidé d’écrire L’évolution du RSSI?

Matthieu K. Sharp : En 2020, j’ai eu une allocution à RSA. Rock était là dans une démonstration de soutien, mais personne d’autre n’est venu. C’était une sorte de point bas pour moi. Mais, comme il n’y avait que nous, nous avons commencé à réfléchir et à parler de choses comme : “Comment pouvez-vous budget pour la cybersécurité dans le cloud alors que le cloud est si dynamique ? »

Nous avons également réalisé que nous allions sans cesse à des conférences et que nous entendions des soi-disant leaders d’opinion faire des déclarations insipides sur parler à l’entreprise dans le langage des affaires. Mais, si jamais vous demandiez à l’un d’entre eux, “Eh bien, comment faites-vous cela?” vous auriez des regards vides parce que la plupart des responsables de la cybersécurité à travers le pays n’en avaient aucune idée.

Alors, Rock — au lieu de dire : “Je vais prendre mes distances avec cet idiot qui n’a même pas réussi à convaincre une seule autre personne de se présenter à sa table RSA” — a déclaré : “Ce sont d’excellents sujets. Écrivons un livre.

Kyriakos “Rock” Lambros

Lire aussi  Les 8 activités incontournables à faire dans la vallée de la Loire

Quels sont les principaux points à retenir de La Évolution du RSSI?

Kyriakos “Rock” Lambros : Le début du livre énonce les principes commerciaux fondamentaux, tels que la manière de décomposer les états financiers, ce que BAII [earnings before interest and taxes] et BAIIA [earnings before interest, taxes, depreciation and amortization] signifier et pourquoi vous, en tant que responsable de la sécurité, devriez vous en soucier. Malheureusement, nous constatons souvent que ce genre de sens des affaires fondamental fait défaut dans notre industrie. Et c’est cette base qui nous permet de comprendre comment les organisations créent de la valeur et comment nous pouvons avoir ces conversations dans les salles de conseil.

Relier l’évaluation à la stratégie de sécurité est vraiment la principale méthode pour vous rendre, en tant que CISO, pertinent dans la salle de conférence.

Tranchant: Relier l’évaluation à la stratégie de sécurité est vraiment la principale méthode pour vous rendre, en tant que CISO, pertinent dans la salle de conférence. Si vous ne comprenez pas comment votre entreprise est réellement évaluée, vous ne pouvez pas vous tenir debout devant quelqu’un et dire : « Cela ajoute de la valeur » ou « Cela n’ajoute pas de valeur ».

Les RSSI d’aujourd’hui ont-ils besoin d’un MBA ?

Lambros : Matt et moi avons tous les deux des MBA — divulgation complète. Cela a fonctionné pour moi, mais tout le monde n’a pas besoin de débourser entre 60 000 $ et 100 000 $. C’est une décision très personnelle.

Un des locaux de L’évolution du RSSI est que tous les RSSI n’ont pas besoin d’un MBA complet pour réussir. Nous avons essayé de distiller nos propres MBA et nos 40 années d’expérience combinées dans l’industrie en un volume de travail digeste. C’est une feuille de triche pour aider les responsables de la cybersécurité à combler cet écart.

Vous écrivez sur l’art de la négociation en disant : « Il ne s’agit pas seulement d’obtenir ce que vous voulez. Il s’agit d’obtenir ce que vous voulez et que l’autre partie se sente bien à ce sujet.’ Quel conseil donneriez-vous aux RSSI qui n’ont pas confiance en leurs capacités de négociation ?

Tranchant: Chaque fois que vous préconisez de changer le statu quo, vous êtes dans une négociation. Cela peut signifier négocier les prix avec vos fournisseurs, négocier avec d’autres parties prenantes de l’entreprise au sujet des ressources et les délais, ou même négocier pour retenir les talents clés lorsque vous ne pouvez pas offrir d’augmentations. Si vous pensez que vous allez être un CISO et ne pas introduire de changement, alors vous êtes dans la mauvaise entreprise.

En fin de compte, l’influence est le nom du jeu. Nous voulons vous envoyer dans la salle équipée de tous les outils et stratégies appropriés dont vous avez besoin pour avoir un dialogue réussi. Vous devez vous assurer que vous avez établi des relations significatives, construit une carte des parties prenantes et créé une stratégie pour maximiser votre influence. La négociation elle-même n’est que le dernier élément.

J’apprécie vraiment le chemin [former FBI hostage negotiator] Chris Voss aborde la négociation. Il soutient que l’empathie et la curiosité intellectuelle vous permettent de vous asseoir du même côté de la table que la personne avec qui vous négociez pour résoudre un problème commun. Et donc, au lieu d’essayer d’influencer cette personne – résultant en une négociation perdant-gagnant ou gagnant-perdant – cela s’avère être un engagement beaucoup plus collaboratif.

Je ne pense pas que le paradigme traditionnel du moi contre eux soit la façon appropriée de penser à la négociation, et j’espère que c’est ce qui ressort de L’évolution du RSSI. La négociation consiste à être un partenaire collaboratif pour rechercher un avantage mutuel et avoir la persistance de faire certaines choses qui sont inconfortables pour obtenir le résultat optimal pour l’entreprise.

Vous avez mentionné la rétention des talents. Comment les RSSI peuvent-ils constituer efficacement leurs équipes dans le contexte pénurie de compétences en cybersécurité?

Lambros : Votre réseau est le premier endroit où vous allez trouver de nouveaux talents. Cultivez-le. Sortez dans la communauté et établissez des relations.

Vous ne pouvez pas laisser cela aux services des ressources humaines – ils ne sont pas exploités dans la communauté de la cybersécurité, d’où proviendront vos meilleurs talents. Ils comprennent ce que vous mettez sur papier et comment cocher les cases, mais ils ne comprennent pas la cybersécurité et ce dont elle a besoin.

Parfois, vous allez avoir des frictions avec les départements RH. Ils exigent souvent des diplômes collégiaux pour certains niveaux de classification des emplois, par exemple, mais certains des plus intelligents et les personnes les plus talentueuses avec lesquelles j’ai travaillé dans le domaine de la cybersécurité n’ont pas de diplôme. Ils ont des diplômes de l’école des coups durs, et j’accepterais ça n’importe quand. Un professionnel des ressources humaines pourrait dire : « Hé, pour être un employé de niveau cinq dans notre organisation, cette personne doit être titulaire d’un baccalauréat » – cela pourrait être en vannerie sous-marine ; ils n’ont qu’à cocher cette case. Je pense que c’est idiot sur le marché du travail dans lequel nous nous trouvons actuellement.

Tranchant: De plus, en tant que CISO, le simple fait d’être informé sur les talents est assez critique en termes d’influence au niveau de la direction. La surveillance des talents est une priorité du conseil parce que, pour entreprises qui tentent la transformation numérique, capter et retenir les talents est la principale contrainte. Ce n’est pas de la technologie car le cloud public est facilement disponible. Donc, encore une fois, vous devez comprendre comment votre programme de sécurité affecte l’ensemble de l’organisation.