On y va encore une fois. Juste après que le monde se soit sorti de la fermeture économique totale de la Pandémie de COVID-19, le mot R se profile à l'horizon.
Nous avons vu notre vie quotidienne touchée par une inflation à grande échelle au cours des 6 derniers mois. Épicerie, Gaz, biens communs, tout est plus cher qu'avant. Pour lutter contre cela, les entreprises ont réduit leurs effectifs. Réduisant leurs investissements dans les personnes, regardez en juin pour en avoir la preuve dans le secteur de la technologie. Rapports hebdomadaires d'entreprises essayant de faire plus avec moins. C'est la nature des affaires.
Qu'est-ce que cela signifie pour la sécurité ?
"La sécurité ne peut pas coûter TELLEMENT cher, n'est-ce pas ?"
Depuis mes jours en tant que CISO, j'ai constaté que la réalité pour la plupart praticiens de la sécurité est qu'ils ne connaissent que trop bien les difficultés avec les outils et les budgets. En règle générale, les budgets de sécurité de l'information représentent moins de 20 % des budgets informatiques globaux dans de nombreuses organisations.
Étendez cela aux revenus globaux de l'entreprise, les budgets InfoSec représentent généralement un demi-pourcent des revenus totaux.
Il ne semble pas s'inscrire auprès des conseils d'administration que la sécurité est une unité commerciale vivante et respirante. N'importe quel CISO (moi y compris) peut vous dire que oui, InfoSec est sa propre unité commerciale et nécessite des investissements continus pour maintenir son efficacité opérationnelle.
D'accord, comment faites-vous passer ce message lorsque l'austérité semble être le choix de l'entreprise ?
Aucun CISO ou responsable de la sécurité n'est parfait. L'art de la vente et l'évangélisation sont des outils puissants que les dirigeants doivent maintenir et développer. Nous savons tous que les cybercriminels ne "Allez-y doucement" simplement parce que l'économie est difficile partout. Cet argument tombe dans l'oreille d'un sourd aux conseils d'administration et aux décideurs.
Ce qu'il faut régler, c'est InfoSec en tant que facilitateur d'affaires. InfoSec comme moyen de permettre à l'organisation, en toute sécurité et en toute confiance, de fonctionner de manière plus simple et plus efficace. Créez un argumentaire sur la façon dont l'investissement continu dans la sécurité conduit à faire plus avec moins plus rapidement. Les métriques sont excellentes, mais assurez-vous d'évaluer ce qui raconte votre VRAIE histoire, et non celle qui met l'organisation en danger.
N'oubliez pas que le temps et les économies vont et viennent. Ces temps passeront, plaidant pour que votre organisation ne perde pas de vue la lumière au bout du tunnel.
Jusqu'à la prochaine fois!
