Quatre étapes pour recruter le meilleur RSSI dans un monde IoT

De tous les nouveaux processus technologiques qui façonnent la prochaine vague de transformation numérique, aucun n'est peut-être plus important que l'Internet des objets (IoT). En tant que Phil Celestini, vice-président senior et directeur de la sécurité et des risques chez Syniverse rapports, cette technologie engendre un nouvel écosystème de réseaux interconnectés et de transactions de données qui se développe rapidement et redéfinit notre façon de faire des affaires.

Mais ce que l'on oublie souvent, c'est que l'IoT est aussi un Internet de services et de données partagés. Ce fait est l'un des plus grands défis pour les entreprises qui cherchent à intégrer leurs activités à l'IoT, tout en s'assurant que les vecteurs d'attaque et les risques associés sont traités. Ces défenses impliquent divers ensembles de compétences et équipes dirigées par le responsable de la sécurité de l'information (CISO).

Du point de vue des risques, en fait, l'Internet public n'a jamais été conçu pour être un environnement sécurisé. Il a été conçu comme un réseau avec une redondance intégrée permettant aux universitaires et aux chercheurs de partager des données, et non d'en protéger l'accès. Par conséquent, il s'agit plus d'un réseau au mieux que le meilleur réseau nécessaire pour assurer la confidentialité, l'intégrité et la disponibilité des transactions. Étant donné que la prémisse de l'IoT repose sur la connectivité, une attaque malveillante qui compromet cette connectivité a le potentiel de faire des ravages sans précédent. Il est crucial d'avoir le bon leadership pour assurer le succès de votre équipe de sécurité de l'information dans la défense contre de tels ravages.

Dans cet esprit, les entreprises doivent trouver le bon équilibre entre rester en sécurité et tirer parti de l'innovation pour tirer parti d'avancées telles que l'IoT. Une partie cruciale de cela commence par la sélection du meilleur RSSI, ce que j'ai fait il y a plusieurs mois avec beaucoup de succès. Voici quatre facteurs que j'ai pris en compte lors de l'évaluation des candidats au poste de RSSI, sur la base de plus de 35 ans d'expérience dans les opérations à haut risque et de la supervision de diverses facettes de la sécurité pour les entreprises, le FBI, la communauté du renseignement et l'armée.

4 facteurs pour embaucher un RSSI

• La sécurité est dans le titre, mais ce ne sera pas le seul travail : La sécurité doit être traitée comme un service qui doit être exploité comme une entreprise au sein de votre entreprise. Cela signifie que les RSSI doivent comprendre la stratégie, les objectifs commerciaux et les risques de leur entreprise pour vraiment apporter de la valeur. En outre, il existe des références, des meilleures pratiques et des réglementations qui dicteront la manière dont les technologies de l'information et les données doivent être sécurisées. À cet égard, les RSSI peuvent fournir des informations sur la sécurité et le marché que les équipes commerciales et marketing peuvent utiliser pour créer une histoire d'entreprise solide sur la posture de sécurité afin de permettre à votre entreprise de se démarquer de la concurrence.
• Les RSSI doivent communiquer ouvertement avec la suite C : Une culture de la sécurité est soutenue par des facteurs tels que la façon dont une organisation est alignée et la façon dont les rapports sont structurés. Lorsqu'il s'agit de risque d'entreprise, un RSSI doit rendre compte aussi directement que possible au C-suite. Il y aura des différences en fonction de la taille et de la maturité d'une organisation, mais plus l'accès au PDG est proche, moins les conversations critiques seront « filtrées ». Les décisions basées sur les risques qu'un RSSI a besoin d'élever au niveau de la C-suite peuvent parfois être difficiles à communiquer aux hauts dirigeants, car ces décisions affecteront d'autres parties prenantes et se produisent rarement dans le vide.
• La « sécurité » s'est élargie : Il y a vingt ans, il était courant de travailler dans une organisation où la « sécurité » signifiait qu'un informaticien gère un pare-feu. Mais la dynamique du marché et les demandes des consommateurs ont depuis influencé la façon dont les entreprises fonctionnent et ont entraîné le besoin de personnel professionnel en sécurité de l'information. Aujourd'hui, des facteurs externes tels que les réglementations, les exigences légales et les demandes des clients entraînent le besoin d'une sécurité robuste juste pour rester en activité. Les RSSI doivent être armés de ces connaissances et du budget adéquat pour leur permettre de définir leur stratégie de sécurité dans le contexte réaliste des finances et des objectifs de leur entreprise.
• Les meilleurs RSSI sont les meilleurs étudiants : Les RSSI doivent être techniquement compétents, des leaders solides et des chefs d'entreprise astucieux. Le rôle de RSSI est un voyage, et les bons RSSI doivent être des apprenants engagés tout au long de la vie. L'industrie ne cesse d'évoluer avec la technologie, ce qui signifie que les vecteurs de menace continueront de devenir plus complexes, tout comme les lois sur la confidentialité des données et une foule d'autres « influenceurs » externes sur le rôle du RSSI. Cela génère un besoin constant de maintenir et d'actualiser les connaissances afin d'adhérer à de bonnes pratiques de gestion des risques.

La croissance rapide des appareils et des applications IoT dépendant de l'Internet public ouvre une nouvelle ère en matière de connectivité et de vulnérabilité. Alors que les entreprises saisissent les opportunités de cette époque, elles risquent de laisser des données et des systèmes commerciaux exposés à un Internet public jamais conçu à cette fin.

En fin de compte, les entreprises qui souhaitent mener leurs activités et transférer des données avec certitude, sécurité et confidentialité doivent avoir une stratégie de sécurité pour protéger leurs opérations de l'Internet public, et une partie essentielle de cette stratégie consiste à trouver le bon RSSI. Les quatre facteurs ici offrent une base utile pour éclairer ce processus.

À propos de l'auteur

L'auteur est Phil Celestini, vice-président senior et responsable de la sécurité et des risques chez Synverse.