On dit que le silence est d’or. Et c’est également un excellent outil pour un nouveau responsable de la sécurité de l’information (RSI), a déclaré un panel aux participants lors de la conférence RSA 2022 à San Francisco.
« Durant vos 30 premiers jours, vous devriez vous taire », a déclaré la panéliste Olivia Rose, RSI et vice-présidente de l’informatique et de la sécurité de la société d’analyse de données Amplitude.
« Beaucoup de gens viendront vous voir et ils commenceront à parler », a-t-elle déclaré. « Vous devez vous taire et garder vos idées pour vous. Écoutez simplement ce qui se passe. »
Le sujet du panel portait sur les choses qu’un RSI devrait faire au cours de ses 90 premiers jours de travail. Les panélistes comprenaient aussi Allison Miller, RSI et vice-présidente de la confiance chez Reddit, qui a rejoint l’entreprise en février 2021, et Caleb Sima, RSI de la plateforme de commerce en ligne Robinhood, qui a rejoint son entreprise le même mois – juste après l’annonce d’une énorme violation de données concernant 7 millions d’utilisateurs.
Ils avaient tous des conseils utiles.
« Je trouve que si vous travaillez pour une entreprise de technologie dans la région de la baie de San Francisco et que ses fondateurs et ses travailleurs de niveaux C sont des techniciens, si vous croyez qu’ils vont vous écouter au sujet de la sécurité, vous vous trompez », a déclaré Rose, qui a été la première employée de sécurité de son entreprise. « C’est la dernière chose à laquelle ils pensent. La meilleure façon de le faire est de trouver des moyens créatifs. Je le recommande tout le temps aux nouveaux RSI. Vous devez approcher les gens subtilement. Parlez leur langue. »
D’autres conseils :
Sur ce qu’un RSI devrait faire au cours des 90 premiers jours de travail : Sima a déclaré qu’une chose qu’il avait faite était de distribuer un questionnaire aux employés sur leur relation avec l’équipe de sécurité. Là où il y avait des réponses négatives, il a creusé plus profondément pour savoir pourquoi, ainsi que pour établir des relations avec ces départements.
Sur qui est le meilleur allié du RSI : L’équipe d’ingénierie logicielle, a déclaré Rose, car ils possèdent une grande partie des contrôles de sécurité. Cependant, faire d’eux des alliés doit être fait avec précaution, a-t-elle ajouté. « J’avais besoin de savoir qui possédait quoi et de faire très attention avant de les éloigner. Parce que même si les ingénieurs ne se soucient pas toujours de la sécurité, ils ne veulent pas en perdre le contrôle quand ils l’ont. Ils ne veulent pas qu’on leur dise quoi faire en matière de sécurité. »
Sur qui devrait être votre première embauche : Rose a embauché une femme qui était en concurrence avec elle pour le poste de RSI. Cette personne avait plus de compétences techniques qu’elle, a admis Rose. Si vous formez une nouvelle équipe de sécurité, recherchez d’abord des généralistes, a déclaré Sima. « Recherchez des personnes qui peuvent porter plusieurs chapeaux. Et recherchez également des personnes passionnées ou enthousiastes et capables de faire beaucoup de choses différentes. Si vous pouvez en embaucher trois ou cinq, faites-en pour la plupart des généralistes et engagez-en un avec l’expertise nécessaire pour être un gestionnaire de programme qui peut s’assurer que les choses sont faites. » Trouvez des personnes qui veulent diriger, a convenu Miller.
Lorsque vous vous adressez au conseil d’administration : Racontez une histoire, ne vous contentez pas de présenter un tas de diapositives avec un tas de mesures, a déclaré Sima. Il présente généralement deux diapositives : la première, basée sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST) des États-Unis, qu’il appelle « Raising Safety Hygiene » et qui montre les progrès de l’entreprise en matière de maturité en matière de cybersécurité. L’autre répertorie les tâches critiques de l’équipe de sécurité et l’avancement de ces projets. Les détails sont mis en annexe.
Lire aussi :
Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels
Le rôle essentiel d’un responsable de la protection de la vie privée
Il faut aider les petites entreprises et les organismes à but non lucratif
Traduction et adaptation française par Renaud Larue-Langlois
