Communication, connaissances et proactivité
Voici trois raisons pour lesquelles la présence d’un CISO au conseil d’administration est essentielle :
- Communiquer directement sur les questions de sécurité :
En siégeant au conseil d’administration, un CISO peut communiquer directement sur ce qu’il se passe dans l’entreprise et ainsi éviter que les questions de sécurité ne soient mal interprétées. La sécurité est un sujet technique, qui doit être expliqué de manière claire pour que les équipes de direction le comprennent. Le CISO est la personne idéale pour communiquer les dernières réglementations, notamment : où en est une entreprise ? Quelles sont les prochaines étapes ? Quels sont les avantages et les inconvénients de ces choix ? Mais si les messages sont transmis de façon indirecte, des nuances peuvent se perdre. La présence d’un CISO au conseil ne peut donc qu’améliorer la qualité des décisions liées à la sécurité. - Comprendre l’impact de la sécurité sur les différentes parties de l’entreprise :
Un CISO comprend également l’évolution de la sécurité, il est conscient de la nature évolutive de l’industrie et de la complexité des cybermenaces. Il peut, par exemple, aider un directeur RH à comprendre les implications de sécurité d’un nouveau logiciel, ou un directeur financier préoccupé par la protection des données financières. Un CISO peut partager les dernières informations avec ses collègues de la direction et aider tout le monde à disposer d’une vue d’ensemble, et à examiner la sécurité au sein de leur propre département. - Inculquer une approche proactive à leurs collègues :
Un CISO gère la situation actuelle d’une entreprise, tout en se concentrant sur l’avenir. Il examine en permanence les systèmes, mais élabore également des politiques, des plans de formation et des mises à jour. Au conseil, il peut aider chaque personne à adopter une approche proactive de sécurité, en influençant les autres à suivre sa vision. Ils peuvent, par exemple, encourager les dirigeants à améliorer leur stratégie de sécurité avant que l’entreprise ne soit attaquée. Lorsqu’un problème survient, une approche proactive est en effet bien plus efficace qu’une approche réactive.