Lorsqu’il s’agit de construire un programme de sensibilisation à la sécurité mature, l’argent n’est pas toujours la plus grande difficulté. Trop souvent, le véritable problème est le temps; car il n’y en a jamais assez. Bien que cela soit certainement vrai pour beaucoup d’entre nous au cours de l’année précédente, cela est particulièrement vrai pour les protecteurs opérant dans les tranchées qui tentent de mener des programmes de sensibilisation à la sécurité interne dans des entreprises du monde entier.
Promouvoir la sécurité la sensibilisation est censée être une tâche clé que ces personnes doivent entreprendre dans le cadre de leur rôle. Pourtant, selon une étude de recherche en cours, de moins en moins de ces employés sont en fait en mesure de consacrer le temps nécessaire pour lancer et exécuter de tels programmes avec succès.
Certainement, les conclusions du Le rapport de sensibilisation à la sécurité SANS 2021 devrait servir de signal d’alarme à toute organisation qui souhaite réactiver son jeu vidéo lorsqu’elle concerne la gestion du problème du cyber-risque humain.
Sensibiliser à la sécurité: principaux obstacles
En fournissant une analyse approfondie des comportements de plus de 1 500 experts en sécurité de 91 pays différents, le rapport de l’Institut SANS révèle comment plus de 75% des professionnels de la sensibilisation à la sécurité déclarent consacrer moins de la moitié de leur temps à la sensibilisation à la sécurité. Occupés à équilibrer un large éventail de demandes conflictuelles, ces professionnels vérifient qu’il n’y a en fait pas suffisamment d’heures dans la journée pour assumer leurs responsabilités de sensibilisation à la sécurité. Par conséquent, la sensibilisation à la sécurité est au mieux un effort à temps partiel de leur part.
Cela nous amène au deuxième obstacle le plus signalé qui compromet la capacité des services à maintenir un programme de sécurité mature: un manque de personnel dûment certifié pour gérer et mettre en œuvre le programme. Le manque de budget a été considéré comme le troisième obstacle majeur empêchant de nombreuses entreprises d’appliquer une technique de sensibilisation à la sécurité.
De toute évidence, de nombreuses entreprises ont encore des obstacles considérables à surmonter en ce qui concerne leurs efforts de sensibilisation à la sécurité. Heureusement, il existe des actions décisives que les organisations peuvent prendre pour accélérer leurs programmes.
Étape 1: Dédiez les employés et les ressources idéaux
Pour faire le pont l’écart entre l’objectif et la réalité, le rapport SANS a révélé que le fait d’avoir au moins 3 travailleurs équivalents temps plein (ETP) responsables de la gestion du programme de sensibilisation à la cybersécurité s’avère être le secret du succès. Cependant, il est tout aussi secret de s’assurer que ces rôles sont assumés par les personnes idéales, avec les compétences idéales.
C’est parce que les résultats de l’étude de recherche SANS révèlent la fréquence à laquelle toutes les obligations de sécurité sont confiées à du personnel ayant des compétences extrêmement techniques , qui peuvent ne pas avoir les capacités nécessaires pour communiquer avec la main-d’œuvre en termes faciles à comprendre.
Pour réussir, les entreprises devraient plutôt vouloir désigner des travailleurs qui, en plus d’être des cyberprofessionnels compétents , maîtrisent les compétences sociales et non techniques qui seront nécessaires pour réussir à «commercialiser» ou à transmettre les priorités stratégiques de sécurité de l’entreprise de manière utile.
Étape 2: les RSSI doivent prendre les devants
Récemment, la sensibilisation à la sécurité est passée de quelque chose qui était motivé par les RH ou les groupes juridiques et de conformité, à devenir la principale préoccupation des directeurs informatiques. Le rapport SANS recommande que l’obligation de première ligne en matière de suivi des dangers et de gestion de la confiance incombe de plus en plus au Chief Info Security Officer (RSSI).
Responsable d’aider le conseil à comprendre les problèmes de sécurité potentiels et responsable Pour gérer le cyber-danger commercial, le RSSI est de préférence chargé de s’assurer que la sensibilisation à la sécurité fait partie intégrante de la technique de sécurité plus large. C’est pourquoi SANS conseille que les programmes de sensibilisation soient gérés par une personne dédiée à plein temps qui fait à la fois partie du groupe de sécurité et relève directement du RSSI.
Le message crucial ici est que la sensibilisation à la sécurité doit faire partie du groupe de sécurité et une extension de celui-ci – et ne pas être déconnecté des autres efforts de sécurité.
Les principaux critères de réussite
En raison des des changements opérationnels rapides mis en œuvre dans l’action du COVID-19, investir dans la sensibilisation à la sécurité est important si les organisations veulent devenir plus efficaces dans la gestion de leurs risques humains. Choisir le bon nombre d’individus, possédant les bonnes compétences pour fournir le programme, n’est que le début.
Pour accomplir des améliorations significatives, les membres du conseil doivent promouvoir leurs programmes de sensibilisation à la sécurité et prioriser un financement approprié en fonction des autres mesures de sécurité efforts. Après quoi, il sera essentiel de s’assurer que les personnes suffisamment âgées pour avoir une autorité réelle et être conscientes des priorités de sécurité les plus stratégiques de l’entreprise ont l’obligation suprême de former le programme en fonction des besoins de sécurité en constante évolution de l’entreprise.
Écrit
Tim Bandos, RSSI chez Tim Bandos, CISSP, CISA, CEH est RSSI et vice-président des services de sécurité gérés chez Digital Guardian et spécialiste des actions en cas d’incident et de la recherche de dangers. Il a plus de 15 ans d’expérience dans le monde de la cybersécurité et possède une mine de connaissances utiles acquises dans le suivi et la chasse aux risques avancés ciblant la capture d’informations extrêmement sensibles. La majorité de sa profession a été investie dans une entreprise Fortune 100 où il a construit une société de réponse aux incidents et il dirige maintenant le centre international des opérations de sécurité de Digital Guardian pour la détection et l’action gérées.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur