Comment les RSSI de renommée mondiale gagnent la confiance des membres du conseil d'administration et des budgets en 2023
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
