Pourquoi certaines organisations de sécurité sont-elles plus performantes que d'autres - et à quoi ressemble une organisation de sécurité performante ? Steve Schmidt, directeur de la sécurité informatique chez AWS, nous fait part de son point de vue, en soulignant trois traits communs qu'il a observés dans les organisations de sécurité qui réussissent, et trois autres responsables de la sécurité informatique qui appliquent ces traits à leur avantage. Découvrez pourquoi ces directeurs de la sécurité informatique sont capables d'améliorer la position de risque de leur entreprise et de créer de la valeur ajoutée plus rapidement et plus efficacement que les autres.
La démocratisation de la sécurité
Ce n'est un secret pour personne que les responsabilités des directeurs de la sécurité informatique et de la gestion des risques, comme les directeurs de la sécurité informatique, les chefs de la sécurité et les directeurs techniques, s'étendent considérablement.
Non seulement nous devons être préventifs et vigilants face aux menaces de sécurité et protéger les réseaux d'entreprise, mais nous évoluons rapidement pour devenir les gardiens de la marque de notre entreprise, renforçant sa réputation tout en renforçant la crédibilité du conseil d'administration et la confiance des clients.
Au cours de mes 12 années en tant que directeur de la sécurité informatique d'Amazon Web Services, en partenariat avec de nombreux clients d'AWS dans leur transition vers le cloud et la sécurité, j'ai pu constater que certaines organisations exceptionnelles se sont remarquablement bien adaptées à cette transformation. J'ai également pu voir de mes propres yeux comment elles s'y prennent.
Qu'entendons-nous par organisations de sécurité performantes ? Ce sont des entreprises qui améliorent leur posture de risque à un rythme plus efficace que les autres, tout en optimisant leur utilisation du cloud pour créer de nouvelles formes de valeur commerciale à un rythme plus rapide.
Caractéristique n°1 : elles sont tournées vers l'avenir avec l'audit et le juridique
La collaboration étroite avec les professionnels du droit et de la conformité, les partenaires d'audit et les organismes de réglementation est peut-être la caractéristique la plus critique des trois. Tout comme les professionnels de la sécurité, ces personnes sont chargées de protéger leur organisation, elles doivent donc être engagées tôt et souvent. Les organisations de sécurité qui sont capables d'adopter rapidement le cloud reconnaissent que les acteurs du secteur juridique, de l'audit et de la conformité peuvent devenir de solides alliés.
Communiquer tôt et souvent
Les organisations de sécurité qui réussissent communiquent de manière proactive et donnent la priorité à l'alignement avec les professionnels du droit, de l'audit et de la conformité. Cela semble évident, mais nous voyons souvent des entreprises mettre en place leurs systèmes de contrôle interne et prendre de l'élan, mais sans succès, car elles ne se sont pas correctement alignées avec les bonnes équipes en cours de route. Il n'est pas toujours facile de surmonter le mode de fonctionnement traditionnel qui, pour certaines organisations, consistait à faire appel aux parties prenantes au milieu ou à la fin d'un processus donné. En tant que dirigeants de la sécurité, nous ne voulons pas voir la sécurité « verrouillée » sur un produit une fois qu'il a été créé. De la même manière, nous devons intégrer les étapes nécessaires dans nos processus de sécurité pour garantir de manière proactive le respect des exigences légales, d'audit et de conformité. L'une des choses que nous faisons régulièrement chez AWS est de nous engager très tôt avec nos clients et leurs auditeurs internes, afin qu'ils puissent apprendre à leurs parties prenantes comment réussir un audit dans le cloud. Nous le faisons en fournissant des conseils et des outils, et en organisant des exercices d'audit simulé « le jour du match ».
Comment préparer votre équipe au cloud ?