Comment les RSSI de renommée mondiale gagnent la confiance des membres du conseil d'administration et des budgets en 2023
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
显示报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
