Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Comment les RSSI et les responsables de la cybersécurité peuvent préparer le conseil d'administration
Les responsables de la sécurité de l'information travaillent généralement pour cultiver la sécurité des ordinateurs, du site Web et des applications de leur organisation, en collaboration avec les membres de l'équipe de cybersécurité et des TI. Auparavant, le rôle d'un CISO était principalement tactique, les agents étant entièrement responsables de la protection contre les cybermenaces, mais aujourd'hui, le poste consiste davantage à mener et à aligner la planification stratégique afin que toute une organisation puisse correctement prévenir les menaces en tant que collectif.
Bien que les sociétés cotées en bourse n'envisagent pas d'ajouter des cyber-experts à leurs conseils d'administration, il est prouvé que les RSSI excelleraient en fait dans les conseils d'administration. Ce mois-ci, IANS Research, Artico Search et The CAP Group ont publié un rapport évaluant les qualifications des RSSI à travers l'indice Russell 1000 (R1000), répertoriant les caractéristiques clés des candidats crédibles.
Les résultats indiquent que 14% des RSSI R1000 - soit environ 1 sur 7 - se distinguent par la possession des traits nécessaires pour un poste au sein d'un conseil d'administration. Il est à noter que ce rapport intervient alors que la Securities and Exchange Commission (SEC) travaille à finaliser de nouvelles règles concernant la cyber-expertise et la transparence.
Bien sûr, l'une des raisons pour lesquelles la SEC et d'autres demandent plus de RSSI dans les conseils d'administration est précisément pour qu'ils puissent apporter leur expérience unique dans le domaine à des discussions commerciales plus larges au sein des conseils d'administration. Mais il ressort également de la recherche que les meilleurs candidats seront en mesure d'apporter d'autres compétences à la table.
"L'expertise en technologie et en cybersécurité à elle seule est insuffisante pour les postes d'administrateur", a déclaré Brian Walker, PDG et conseiller en matière de cybersécurité chez The CAP Group, dans un communiqué de presse. "Les administrateurs de conseil d'administration opèrent à un niveau stratégique et dans la plupart des conseils d'administration, il n'y a pas de place pour les" poneys à un tour "puisque l'ajout d'un nouveau directeur pour chaque domaine d'expertise complexe n'est pas évolutif."
Quelques critères clés qu'un RSSI devrait avoir pour réussir au sein d'un conseil d'administration comprennent, entre autres facteurs : la permanence dans le domaine de la sécurité informatique, l'expertise interfonctionnelle, la capacité d'évoluer et une formation avancée.
Comme l'indique le rapport, le fait d'avoir un mandat d'infosec signifie que l'individu se vanterait d'avoir une "expertise approfondie dans le domaine" d'environ cinq ans en tant que CISO et 10 ans ou plus d'expérience dans la sécurité de l'information. Posséder ce savoir-faire aide à la fois à poser les bonnes questions et à remettre en question des hypothèses bien ancrées.
Dans le même ordre d'idées, une expérience commerciale plus large est une exigence clé supplémentaire. Le rapport indique que les RSSI qui ont de l'expérience dans des rôles fonctionnels non cybernétiques - comme être fondateur d'entreprise ou conseiller en stratégie - sont de bons candidats pour siéger au conseil d'administration, car leurs compétences sont très variées.
Cela mène directement au prérequis suivant : avoir une échelle. Supposons qu'un RSSI ait de l'expérience en tant que responsable de la sécurité de l'information dans une grande organisation mondiale, ce qui pourrait montrer qu'il a une perspective globale et inclusive et qu'il est capable de gérer un large éventail de parties prenantes.
Pour réussir dans un conseil d'administration, un CISO aurait également besoin d'une formation avancée, car ce facteur "renforce la crédibilité du conseil auprès des parties prenantes externes", selon le rapport, et "indique une pensée critique et des compétences analytiques" qui certainement aider un individu sur un conseil.
La diversité est un autre - et peut-être le plus important - trait pour un RSSI s'il cherche à rejoindre un conseil d'administration.
Comme Steve Martano, partenaire et recruteur de cadres dans la pratique cybernétique d'Artico Search, l'a déclaré dans le rapport : "Pour servir en tant que membre additif du conseil d'administration, il faut apporter une combinaison unique d'expertise dans le domaine et de gouvernance stratégique, ainsi qu'un pedigree qui fait progresser le le prestige et la diversité de la composition du conseil."
En effet, comme l'indique le rapport, la justification des critères de diversité est que chaque membre du conseil apporterait ses propres perspectives différentes ou nouvelles à la table, ce qui aiderait le groupe à identifier les angles morts et à éviter les pièges potentiels. La diversité chez un nouveau membre du conseil d'administration peut signifier qu'il s'identifie peut-être comme une femme, une personne de couleur ou un autre groupe sous-représenté (et cela est conforme à la règle 5605(f) de la SEC). "Dans le monde d'aujourd'hui, les conseils d'administration recherchent la diversité d'expérience et de pensée, et étendent les opportunités au conseil d'administration aux groupes sous-représentés", a ajouté Martano.
Alors que le rapport de juin indique que "la préparation des RSSI pour les rôles au sein du conseil d'administration varie considérablement", les données montrent que, comme l'a dit Martano, "il y a une grande partie de la population des RSSI qui pourrait devenir prête pour le conseil d'administration dans les prochaines années ." Les conseils d'administration et les CISO "bénéficieraient de s'aligner sur les attentes d'un cyber-expert prêt pour le conseil d'administration", préparant la communauté des CISO à aider à répondre aux besoins à long terme du conseil d'administration.
Afin de se préparer au mieux à rejoindre des conseils d'administration, le rapport recommande aux RSSI d'identifier eux-mêmes les cinq traits clés susmentionnés. Ils doivent également évaluer leurs compétences générales, analyser les lacunes de leur curriculum vitae et renforcer leurs récits de carrière en travaillant sur le maintien de marques personnelles et en cultivant divers réseaux. , en plus de lancer un large réseau de recherche, assurez-vous de donner la priorité à la diversité et de ne pas exiger la certification du conseil d'administration, car seuls environ 2% des 1000 meilleurs RSSI sont certifiés par le conseil d'administration, ce qui peut exclure des talents prometteurs.
La journaliste indépendante Jessica Beebe est l'auteur de cet article.