Avec l’évolution rapide des menaces et l’augmentation des risques commerciaux, les responsables de la sécurité sont constamment pressés par la question : Avons-nous mis en place la technologie, les personnes et les processus appropriés pour protéger l’organisation ?
Derek Hulitsky du CSO s’est entretenu avec DJ Goldsworthy, vice-président et chef de la pratique mondiale, opérations de sécurité et gestion des menaces chez Aflac lors du récent sommet Future of InfoSec pour en discuter.
Ce qui suit sont des extraits édités de la session de l’événement sur la mise en place d’un programme de rationalisation du portefeuille dans le cadre du récent sommet Future of InfoSec du CSO. Pour plus d’informations sur Goldsworthy, regardez la vidéo complète de la session de l’événement intégrée ci-dessous.
Sur l’importance de la rationalisation du portefeuille :
La rationalisation du portefeuille est un effort très délibéré et ciblé pour s’assurer que vous maximisez et optimisez votre investissement dans la sécurité. Je dirais que c’est important pour deux raisons principales.
La première est que dans la plupart des cas, le financement de la cybersécurité est limité. Nous avons nos feuilles de route et nos stratégies, et nous recherchons des investissements pour celles-ci. Et dans ce processus, nous devons nous assurer que nous poursuivons le maximum de retour sur investissement. Ainsi, tout au long du cycle de vie de la technologie, les choses peuvent devenir obsolètes. Les investissements qui étaient pertinents auparavant peuvent ne plus l’être aujourd’hui. Il est donc important de revoir ces investissements très délibérément et de voir où les choses pourraient devoir changer.
Dans le même ordre d’idées, non seulement du point de vue des coûts, mais plutôt du point de vue des menaces et des technologies évoluant très rapidement, cela a également un facteur assez central. Ainsi, ce qui a fonctionné dans le passé pour certains types de menaces ou certains types de nouvelles technologies que l’entreprise met en œuvre pour soutenir l’entreprise peut ne plus fonctionner. Nous devons donc faire évoluer la technologie très rapidement du point de vue de la sécurité pour nous aligner sur les menaces actuelles et les environnements et technologies actuels que l’entreprise utilise.
Sur les futures améliorations du programme :
Nos partenaires commerciaux et nos partenaires informatiques, eux, veulent continuer à accélérer. Nous voulons offrir plus de fonctionnalités à nos clients, nous voulons améliorer leur expérience, nous voulons mettre les choses sur le marché plus rapidement. Et en tant que tel, nous allons devoir adopter beaucoup de nouvelles technologies, et il y aura des menaces qui attendront à chaque coin de rue, essayant de trouver des moyens d’exploiter les faiblesses dans notre approche des choses. Et donc la nécessité d’examiner comment nous dépensons nos dollars de sécurité et les investissements que nous faisons et notre concentration sur les processus que nous devons mettre au premier plan de notre feuille de route, cela va être là.
Lorsque nous examinons le cloud, et DevOps en particulier, cela met vraiment en évidence la nécessité pour les organisations de sécurité d’adopter une approche basée sur les services où nous développons des services qui pourraient être consommés par nos partenaires et idéalement si possible en libre-service. C’est vraiment ainsi que nous obtiendrons la rapidité de livraison et l’ampleur de la sécurité dont nous avons besoin. Je vois donc les efforts de rationalisation s’aligner sur cela, en examinant nos capacités et en disant : « Où devons-nous créer des services – des services de sécurité ? »
Un exemple pourrait être un service de tokenisation qui pourrait être consommé par nos développeurs lorsqu’ils écrivent de nouvelles applications, un nouveau code qui fonctionne peut-être avec des informations sensibles. Et vous pouvez donc penser à tous les différents aspects de la sécurité qui peuvent peut-être s’adapter à ce modèle de services et au type de technologie et de processus qu’il faudrait pour le fournir. Nous voulons poursuivre nos efforts de rationalisation et concentrer nos investissements sur ce type d’approche.
Sur la mise en place pour le succès :
De nombreux programmes de sécurité sont bloqués dans la roue du hamster des opérations quotidiennes. Et il y a beaucoup d’initiatives de type planification et opérations en cours qui attirent l’attention sur l’ici et maintenant. Mais il est important de prendre du recul et de consacrer du temps et des efforts à ces initiatives d’ordre supérieur.
Et donc la première étape consiste à réserver du temps au ou aux bons membres de l’équipe que vous souhaitez consacrer à ce type d’initiative. Ils vont devoir interviewer l’équipe et déterminer comment nous abordons tout aujourd’hui ? Même vos architectes ne sauront pas comment tout est fait. Ils auront généralement des domaines qu’ils connaissent très bien, mais vous devez regarder à travers tout le spectre du cyber et tous les outils, personnes et processus qui sont en place. Cela prend beaucoup de temps et vous devez vous y engager dès le départ.
La deuxième étape consiste à fixer des objectifs initiaux. Fixez-vous des objectifs conservateurs, des choses avec lesquelles vous savez que vous pouvez obtenir des gains rapides, puis définissez des objectifs étendus – des objectifs étendus – que si le programme réussit énormément, voici à quoi cela ressemblera. Et puis gérez simplement vers ces objectifs. Essayez d’obtenir ces gains rapides. Il pourrait s’agir de voir comment nous pouvons obtenir une réduction de 10 % de nos investissements actuels dans un pool que nous pouvons ensuite affecter à quelque chose de nouveau. Et peut-être que l’effort initial consiste simplement à rechercher des technologies dupliquées. Où avons-nous des duplications de capacités où nous pouvons faire un désinvestissement assez facile sans avoir à faire une réarchitecture complète des choses.
Et donc ces gains rapides, ils créent une dynamique. Ils ont confiance dans le programme. Si vous avez montré ces premiers gains, il n’est vraiment pas difficile de justifier l’investissement de ressources dans ce type d’initiative.
Cet article a été initialement publié dans le bulletin d’information Center Stage du CIO. Abonnez-vous aujourd’hui !
Copyright © 2022 IDG Communications, Inc.