Comment les RSSI de renommée mondiale gagnent la confiance des membres du conseil d'administration et des budgets en 2023
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Cet article a été publié pour la première fois dans Revue SC. Il a été mis à jour et syndiqué ici.
Les RSSI se trouvent dans une situation de plus en plus difficile : protéger davantage d'actifs, envoyer plus de code, réduire la surface d'attaque et le faire avec des ressources financières qui diminuent rapidement. Il ne fait aucun doute que la cybersécurité est considérée comme un centre de coûts, et bien que le programme de sécurité d'une organisation soit ce qui empêche un acteur de la menace de faire la une des journaux de demain, les responsables de la sécurité doivent redoubler d'efforts pour vendre et prouver la valeur commerciale globale du département, dans un langage qui soit logique pour l'organe exécutif.
Les RSSI de renommée mondiale sont à la hauteur de l'occasion en dirigeant des programmes de sécurité holistiques qui renforcent la confiance des clients et la réputation de la marque et utilisent tous les outils à leur disposition pour créer une valeur indéniable. Cela commence par une approche stratégique et préventive des pièges de sécurité courants, et par l'abandon de la mentalité selon laquelle il n'y a jamais assez de temps, de ressources ou de personnel pour maintenir l'excellence en matière de sécurité.
Changez la discussion dans la salle de conférence.
Dans le climat économique actuel, peu d'entreprises et de départements échappent à la surveillance en ce qui concerne l'argent qu'ils dépensent, les recrutements qu'ils effectuent et leur impact stratégique sur les objectifs commerciaux. Bien qu'il puisse sembler évident que l'entreprise moderne a besoin d'un vaste programme de cybersécurité, cela représente un coût important pour l'organisation qui n'est pas facile à justifier en termes de retour sur investissement.
Les dirigeants et les parties prenantes du conseil d'administration devront clairement comprendre les résultats escomptés des initiatives d'investissement en matière de cybersécurité, en des termes qui n'ont pas de sens aux chiffres d'une feuille de calcul. Ils auront différents niveaux de connaissances et de compréhension techniques, et les RSSI doivent faire un effort pour présenter leur cas avec une messagerie accessible. Expliquez l'ampleur du programme, ce qui doit être protégé et qui doit être activé afin de fournir un exemple de premier ordre. Les attaques se multiplient, pourtant, les budgets ne suivent pas, et mener le bon combat commence par une campagne verbale pour en justifier le mérite.
On dit depuis longtemps que, quel que soit son secteur d'activité, chaque entreprise est en train de devenir rapidement une entreprise technologique. L'approche numérique étant la norme dans la plupart des entreprises, cela représente une énorme surface d'attaque qui nécessite la meilleure protection possible à ce moment-là. Les responsables de la sécurité ont de nombreux rôles, mais l'un d'entre eux est négligé (jusqu'à ce qu'il soit trop tard) qu'ils sont essentiellement les garants de la confiance des clients. Cela ne peut pas être surestimé en tant que proposition de valeur, et il est tout aussi vital que les objectifs de vente et de marketing.
Démontrez la valeur d'une approche préventive en matière de sécurité.
Statistiques actuelles sur la cybersécurité font lever les cheveux, mais jouer au FUD et semer la peur est généralement une tactique futile lorsqu'il s'agit de gagner plus de budget. Peu de membres de l'équipe de direction d'une entreprise pourraient prétendre que la cybersécurité n'est pas une priorité, mais ils sont bien plus susceptibles d'être réceptifs aux augmentations budgétaires si une stratégie entrepreneuriale est proposée qui utilise les ressources existantes pour de meilleurs résultats.
Selon une étude récente du Conseil de sécurité international Neustar, 50 % seulement des entreprises estiment disposer d'un budget suffisant pour résoudre leurs problèmes de cybersécurité connus. Et avec les cyberattaques mondiales en hausse de 38 % entre 2021 et 2022, cela risque de représenter une route encore plus difficile pour le CISO moyen. Cependant, de véritables leaders de la sécurité de renommée mondiale sont capables de surmonter ces difficultés et d'innover malgré l'adversité.
Dans de nombreux scénarios, il est plus facile et plus direct de prévenir que de guérir, et la cybersécurité ne fait pas exception à la règle. Un programme de sécurité holistique doit aller bien au-delà des mesures réactives et inclure la gestion des vulnérabilités parmi les trois principales préoccupations de nombreux RSSI, il est logique que les développeurs fassent partie intégrante de ce mouvement. Ils ont besoin d'une formation pratique pour s'attaquer de front aux bogues de sécurité courants, les aider à éliminer ces problèmes à la source et à s'assurer qu'ils ne seront jamais mis en production. Nous en sommes arrivés à un point où nous ne pouvons plus continuer à excuser un code peu fiable et de mauvaise qualité, et le renforcement des compétences de la cohorte de développement est de loin le remède le plus rentable et le plus efficace contre les vulnérabilités au niveau du code.
Il est essentiel que les RSSI luttent pour conserver le budget existant, et détailler les avantages de l'amélioration des compétences en matière de sécurité basée sur les rôles, en particulier pour les développeurs, constitue une victoire plus rapide que d'ajouter la prochaine « solution miracle » à une infrastructure technologique de sécurité peu maniable.
La sécurité doit faire partie des fondamentaux de la marque.
La plupart des RSSI n'ont pas assumé leur rôle par passion pour le marketing, mais c'est un domaine sur lequel vous pourriez avoir envie de travailler, du moins lorsque vous présenterez votre cas à ceux qui détiennent les cordons de la bourse.
L'impact d'un programme de cybersécurité sur la confiance des clients et la fidélité à une marque ne peut être surestimé, et une violation à grande échelle peut provoquer un exode aux proportions bibliques. En revanche, en alignant vos pratiques de sécurité strictes sur les valeurs fondamentales de la marque, vous envoyez un message clair selon lequel la confidentialité et la protection des données ne sont pas seulement une priorité, mais aussi des éléments sur lesquels les clients peuvent compter.
Il est essentiel que le CISO moderne prenne le temps de mettre en évidence les avantages concurrentiels de la stratégie et de la politique de sécurité en ce qui concerne le sentiment positif et la confiance continus des clients ; la sécurité réactive à elle seule n'aura pas le même impact, et une approche équilibrée axée sur la protection des actifs privilégiés avec toutes les ressources disponibles peut constituer le facteur de différenciation ultime.
Il n'y a plus de place pour les excuses, mais il existe de nombreuses raisons convaincantes que les RSSI peuvent mettre en avant dans leur quête d'un financement adéquat pour une stratégie de sécurité véritablement transformatrice.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
