Un guide pour naviguer dans vos 90 premiers jours en tant que nouveau CISO • TechCrunch

Réaliser la mandat du directeur de la sécurité de l’information (CISO) n’a jamais été facile, mais le paysage numérique de plus en plus chargé d’aujourd’hui l’a rendu encore plus difficile. De plus, de nouvelles exigences de conformité complexes ont ouvert la porte à une responsabilité pénale personnelle potentielle en cas de violation de données ou d’autre cyberincident.

C’est un gros travail qui touche à peu près toutes les parties de l’organisation, et la capacité d’être immédiatement opérationnel peut faire une grande différence. Mais avec tant de tâches à accomplir, savoir par où commencer peut être un défi de taille.

La façon dont un nouveau RSSI opère pendant ses 90 premiers jours de travail donnera le ton et créera un précédent pour le reste de son mandat. Lorsque je suis entré en fonction pour la première fois en tant que CISO, je me suis fixé des objectifs clairs aux repères de 30, 60 et 90 jours, car je savais qu’il était important d’entrer avec un plan et une vision claire de ce qui constituerait le succès.

Ce fut une expérience d’apprentissage, et malgré le fait que tout ne se soit pas déroulé comme prévu, je repense à ces 90 premiers jours avec fierté et affection. Voici ce que j’ai appris de mes trois premiers mois de travail :

Frappez le sol en courant, mais n’essayez pas de sprinter

La préparation est essentielle. Avant même de mettre les pieds dans votre nouveau bureau, vous devriez faire des recherches approfondies sur le paysage des menaces de votre secteur.

La pire chose que vous puissiez faire est d’entendre parler d’un risque et de ne pas le documenter.

Quelle activité de menace récente a fait la une des journaux ? Quels incidents majeurs (et mineurs) ont eu lieu au cours de l’année écoulée ? Vous devez également connaître les coûts pertinents associés à une violation dans votre secteur en fonction de l’activité d’attaque révélée par vos recherches. Il est important de savoir quels sont les dangers et le coût de l’inaction.

Un conseil m’est toujours resté: vous ne récupérerez jamais ces 90 premiers jours. Il n’y aura jamais d’autre moment où vous pourrez vous concentrer uniquement sur la recherche et la découverte. Au fur et à mesure que vous vous installerez dans le rôle, vous deviendrez plus ancré dans les activités quotidiennes et commencerez à mettre en œuvre votre vision. Mais pendant ces 90 premiers jours, il est important de résister à l’envie de plonger, de commencer à travailler sur des livrables ou de se lancer tête baissée dans de nouvelles initiatives. C’est le moment de regarder et d’écouter.

Sachez qui peut vous donner les réponses dont vous avez besoin

Dès que vous le pouvez, identifiez les parties prenantes internes et externes que vous devez connaître et commencez à planifier des réunions avec elles.

Avant même de commencer, j’ai envoyé une demande complète de collecte de documents à chacun, demandant des évaluations de maturité récentes, des organigrammes, des tableaux de bord récents et de la documentation sur tous les processus pertinents. Grâce à cela, j’avais toute la documentation dont j’avais besoin le premier jour.

Laisser un commentaire