ptarzh-CNenfrdeitjarues

Selon une étude Gartner, seuls 12% des responsables de la sécurité numérique sont très efficaces

Notez cet article
(0 votes)
Monday, Octobre 26 2020 14: 31

Pour TI Safe, la cybersécurité doit être comprise comme un processus d'amélioration continue

 Rechercher Gartner op1 rouge

Selon un Recherche Gartner, seulement 12% de Directeurs de la sécurité de l'information (RSSI), cadres responsables de la sécurité numérique, se distinguent dans les quatre catégories de l'indice d'efficacité créé par Gartner pour évaluer la performance des directeurs de la sécurité de l'information, appelé l'indice d'efficacité CISO. L'enquête a été réalisée en janvier 2020 avec la participation de 129 cadres de différents pays qui travaillent dans des fonctions de risque dans des entreprises de différents secteurs. L'étude indique que l'efficacité de ces professionnels est déterminée à partir de quatre catégories: leadership fonctionnel, capacité à fournir des services de sécurité de l'information, gouvernance et réactivité. Les scores de chaque cadre ont été ajoutés pour calculer leur score global d'efficacité. Gartner définit comme «RSSI efficaces» ceux qui obtiennent de meilleurs résultats que les autres professionnels. De l'avis de Thiago Branquinho, CTO chez TI Safe, la recherche Gartner attire l'attention sur la nécessité pour les dirigeants d'adopter une stratégie de cybersécurité basée sur la sensibilisation, les contrôles et les processus. «La prise de conscience va au-delà de la compréhension initiale de ce qu'est la cybersécurité. Il est nécessaire d'approfondir les connaissances sur les menaces qui peuvent exploiter les vulnérabilités de l'infrastructure pour, dès lors, avoir une réelle visibilité sur les risques liés aux processus industriels. Cela nécessite une communication interne efficace sur les risques, afin d'alerter les gens sur leur existence et sur leurs responsabilités respectives par rapport aux risques », évalue Thiago.

Selon Gartner, une tendance claire parmi les professionnels les plus performants est le haut niveau de proactivité, que ce soit pour suivre l'évolution des menaces, communiquer les risques émergents avec les parties prenantes ou avoir un plan de relève formel. C'est exactement le point de réflexion du TI Safe CTO. Pour lui, en plus de la cybersécurité étant comprise comme un processus continu, d'amélioration constante, dans un environnement industriel elle doit être, principalement, collaborative et participative. «Sur la base de la prise de conscience, il est possible de définir les contrôles appropriés pour protéger le processus, en fonction des impacts / coûts des contrôles. Enfin, une fois les contrôles en place, il est nécessaire de structurer les processus qui assureront la sécurité de l'environnement, comme par exemple la réponse aux incidents, les plans de continuité et l'amélioration continue des solutions de sécurité », détaille-t-il.

Pour Thiago Branquinho, une formation spécifique à la sécurité peut offrir aux RSSI une vue sur les menaces, les vulnérabilités, les risques et les contrôles, permettant au gestionnaire d'anticiper les actions de manière structurée. «Il n'existe pas de voie unique pour développer des compétences dans les quatre catégories utilisées par Gartner (leadership fonctionnel; capacités de fourniture de sécurité; gouvernance; réactivité de l'entreprise). Ces capacités sont mûries au fil du temps »et ajoute-t-il:« Dans la formation TI Safe, par exemple, les aspects généraux sont abordés, de la gouvernance aux contrôles de sécurité pour l'industrie 4.0, en servant de référence aux gestionnaires et techniciens des infrastructures critiques », explique.

D'autres cours de formation qui approfondissent les connaissances dans le domaine peuvent être obtenus auprès d'organismes de réglementation tels que l'ISA et la CEI, sont également proposés par des fournisseurs de technologie tels que Siemens, ABB, Palo Alto Networks. Il existe également des cours de courte durée et des programmes de premier cycle et des cycles supérieurs offerts par les écoles de gestion.

Pour TI Safe, atteindre l'excellence en matière de sécurité nécessite un travail de préparation intense, basé sur la formation.

 

Profil de professionnel efficace de la cybersécurité

TI Safe a cartographié les caractéristiques fondamentales de l'efficacité d'une équipe de sécurité. Selon l'entreprise, ces professionnels doivent être capables de:

  1. Identifier les lois, règles et contrats et les traduire en politiques internes;
  2. Identifier les non-conformités, analyser les risques et planifier les contre-mesures de sécurité;
  3. Établir et configurer les contrôles de sécurité pour les réseaux, les ordinateurs et les systèmes;
  4. Planifier et établir une architecture de réseau zéro confiance;
  5. Établir un canal de communication avec les fournisseurs de systèmes d'automatisation pour améliorer la cybersécurité;
  6. Surveiller et améliorer constamment les contrôles de sécurité;
  7. Répondre aux incidents et gérer les crises de sécurité.

Pour en savoir plus sur la formation proposée par TI Safe, visitez Milieu universitaire

rivage 500 fois Dernière modification le jeudi 29 octobre 2020 15:10

Copyright © 2007-2020 - Sécurité des informations en toute sécurité - Tous droits réservés.