Par Edwin Doyle, Stratège mondial en cybersécurité.
La politique de cybersécurité est un cadre complet composé de directives, de protocoles, de principes et de réglementations qui visent à protéger l'infrastructure informatique, les réseaux et les données sensibles d'une organisation contre diverses cybermenaces; allant des violations involontaires aux attaques malveillantes.
Le chef de la gestion des risques, généralement chargé de superviser les politiques d'une organisation, possède un ensemble de compétences diversifié qui englobe le droit, la finance et la comptabilité, qui sont essentiels pour gérer et atténuer efficacement les risques potentiels, y compris ceux inhérents aux contrats d'assurance cybernétique.
Après avoir mené des recherches approfondies sur les descriptions de poste CRO via de nombreuses recherches Google, j'ai observé une absence notable de technique qualifications et exigences pour cette responsabilité essentielle. Cependant, compte tenu de l'héritage de ce rôle, cette constatation n'est pas une surprise.
Les politiques de cybersécurité sont conçues pour fournir un cadre permettant de protéger les actifs numériques d'une organisation et d'assurer la confidentialité, l'intégrité et la disponibilité des données et des systèmes.
Les politiques de cybersécurité sont élaborées pour s'aligner sur la stratégie globale de gestion des risques d'une organisation et visent à fournir une feuille de route pour maintenir un environnement numérique sécurisé et résilient.
L'industrie de l'assurance reconnaît cette distinction fondamentale. Bien que les catastrophes naturelles, telles que les tornades, puissent parfois perturber les opérations commerciales, leur probabilité peut être calculée avec précision par des mathématiciens pour permettre des politiques à un prix raisonnable. En revanche, les cyberrisques sont très dynamiques et en constante évolution, ce qui rend difficile de prédire leur probabilité ou leur impact potentiel. À ce titre, comment un souscripteur de cyberassurance anticipe-t-il les nouvelles percées technologiques en cyber ou la découverte d'une vulnérabilité zero day?
Assigner le RSSI en tant que conseiller pour le CRO est logique à première vue, mais lorsque j'examine les offres d'emploi pour un RSSI, je vois des choses comme l'expertise technique pratique obligatoire répertoriée comme une priorité absolue. Le RSSI possède-t-il l'expérience des risques métier nécessaire pour communiquer avec le CRO?
Il existe une demande de compétences pour combler le fossé entre le technologue (RSSI) et le risque pour l'entreprise (CRO).
À l'ère actuelle de la réglementation accrue et des capacités avancées en matière de menaces qui ne dorment jamais, le CRO a besoin du soutien d'un Responsable de la sécurité des informations commerciales (BISO) compétent pour protéger une organisation contre un large éventail de défis. Ces défis peuvent aller d'erreurs d'écriture apparemment mineures à la réalisation d'une analyse coûts-avantages de l'ensemble de la pile technologique contre les pertes dues à une violation, en passant par tout ce qui se trouve entre les deux.
Il y a trop de place pour l'erreur et il n'est pas clair si certains types de situations réelles pourraient être évités dans le cadre de l'organisation d'un CRO avec une formation comptable/juridique et d'un RSSI, qui aurait une formation technique. Essentiellement, le BISO joue un rôle essentiel dans l'atténuation des risques de sécurité.
Pour le moment, il y a un peu d'ambiguïté entre les descriptions de poste d'un CISO et d'un BISO. Les départements des ressources humaines doivent encore établir une démarcation précise entre les deux.
Cependant, il est important de noter qu'il y a des responsabilités importantes sur lesquelles un BISO doit se concentrer et des problèmes qu'un BISO doit résoudre au sein d'une organisation. Il est essentiel de définir les tâches et responsabilités spécifiques des deux rôles afin de s'assurer qu'ils se complètent et répondent efficacement aux besoins de cybersécurité.
Pour décider d'embaucher ou non un BISO, l'énoncé de mission suivant et les réponses aux questions d'entrevue suivantes vous aideront à vous décider:
Mission: La responsabilité du BISO est de protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information et leur impact commercial.
Question 1: Décrivez un défi complexe de gestion des risques de l'entreprise liés à l'information auquel vous avez été confronté dans votre rôle précédent en tant que BISO (ou similaire), et comment y avez-vous répondu?
Cette question permet d'évaluer la capacité du candidat à gérer des situations complexes de gestion des risques et vous permet de vous faire une idée de ses compétences en résolution de problèmes. Un BISO solide devrait être en mesure de fournir un exemple spécifique qui met en valeur son expérience dans l'identification, l'évaluation et l'évaluation des risques financiers, ainsi que ses capacités de prise de décision et de leadership.
Question 2: Comment vous assurez-vous que la gestion des risques numériques est intégrée à la culture et aux opérations organisationnelles?
Cette question évalue l'approche d'un BISO pour intégrer la gestion des risques dans la culture et les opérations de l'entreprise. Un BISO très performant doit avoir un état d'esprit stratégique et être capable d'articuler des stratégies pour créer une culture de sensibilisation aux risques dans l'ensemble de l'organisation. Ils doivent souligner l'importance de la gestion des risques en tant que processus continu et démontrer comment ils ont mis en œuvre avec succès des pratiques de gestion des risques dans leurs rôles précédents.
Question 3: Comment restez-vous au courant des dernières tendances de l'industrie et des changements réglementaires liés au rôle émergent du BISO?
Cette question évalue l'engagement du candidat envers l'apprentissage continu et le perfectionnement professionnel. Un BISO très performant doit connaître les dernières tendances du secteur, les risques émergents et les changements réglementaires susceptibles d'avoir une incidence sur l'organisation. Ils doivent faire preuve d'une approche proactive pour se tenir au courant des informations pertinentes et de leur capacité à appliquer ces connaissances pour améliorer la rentabilité globale de l'organisation.
L'affaire récente dans laquelle Zurich Insurance a été contrainte de payer 100 millions de dollars pour le nettoyage NotPetya de Mondelez souligne le besoin crucial d'un BISO compétent pour gérer des relations d'assurance de cybersécurité complexes. Avec la fréquence et la gravité toujours croissantes des cyberattaques, un tel professionnel est essentiel pour atténuer les risques financiers et de réputation associés aux incidents.
Envisagez d'embaucher un BISO aujourd'hui. Pour plus d'informations sur le rôle de BISO, veuillez voir CyberTalk.org couverture passée de. Enfin, pour recevoir des informations plus actualisées sur la cybersécurité, des rapports de premier plan et des analyses de pointe, veuillez vous inscrire au cybertalk.org infolettre.
La poste Pourquoi les BISO devraient superviser la politique et faire rapport aux CRO apparu en premier sur CyberTalk.