1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Peu d'entreprises Fortune 100 Répertorient des Professionnels de la Sécurité dans Leurs Rangs Exécutifs

Peu d'entreprises Fortune 100 Répertorient des Professionnels de la Sécurité dans Leurs Rangs Exécutifs

Beaucoup de choses ont changé depuis 2018, comme les noms des entreprises de la liste Fortune 100. Mais un aspect de cette liste vantée qui n'a pas beaucoup changé depuis est que très peu de ces entreprises répertorient des professionnels de la sécurité au sein de leurs plus hauts rangs exécutifs.

La prochaine fois que vous recevrez une lettre de notification de violation indiquant invariablement qu'une entreprise en qui vous avez confiance accorde une priorité absolue à la sécurité et à la confidentialité des clients, considérez ceci: seules quatre des entreprises Fortune 100 répertorient actuellement un professionnel de la sécurité dans les pages de direction exécutive de leurs sites Web. C'est en fait une baisse par rapport à cinq des Fortune 100 en 2018, la dernière fois que KrebsOnSecurity a effectué cette analyse.

Un examen des pages des dirigeants publiées par la liste 2022 des entreprises Fortune 100 n'en a trouvé que quatre — Meilleur achat, Cigne, Le Coca-Cola, et Marché - qui a énuméré un Chef de la Sécurité (CSO) ou Directeur de la Sécurité de L'Information (CISO) dans leurs plus hauts rangs d'entreprise.

Un tiers des entreprises Fortune 100 de l'année dernière comprenaient une Directeur de la Technologie (CTO) dans leurs écuries exécutives; 40 répertoriés Dirigeant Principal de l'Information (CIO) rôles, mais seulement 21 comprenaient un Directeur des Risques (CRO).

Comme J'ai noté en 2018, cela ne veut pas dire que 96% des entreprises du Fortune 100 n'ont pas de RSSI ou de CSO à leur emploi: un examen de LinkedIn suggère que la plupart d'entre elles en fait fais avoir des personnes dans ces rôles, et les experts disent que certaines des plus grandes multinationales auront plusieurs personnes à ces postes.

Mais il est intéressant de noter quels postes de direction les meilleures entreprises jugent utile de publier dans leurs pages de leadership exécutif. Par exemple, 88% ont indiqué a Directeur des Ressources Humaines (ou “Responsable principal des ressources humaines”), et 37 sur 100 comprenaient un Directeur du Marketing.

Non pas que ces rôles soient en quelque sorte plus ou moins importants que ceux d'un RSSI/OSC au sein de l'organisation. Le salaire moyen n'est pas non plus très différent entre les trois rôles. Pourtant, compte tenu de l'impact de votre violation de données moyenne sur le marketing (pensez aux données des consommateurs/clients) et les ressources humaines (pensez aux données personnelles/financières des employés), il est quelque peu remarquable que plus d'entreprises ne pas inscrivez leur chef de la sécurité parmi leurs meilleurs rangs.

Une explication probable de la raison pour laquelle un grand nombre d'entreprises n'incluent toujours pas leurs responsables de la sécurité au plus haut niveau est que ces employés ne relèvent pas directement du PDG, du conseil d'administration ou du directeur des risques de l'entreprise.

Le poste de CSO ou de CISO a traditionnellement rapporté à un cadre dans un rôle technique, tel que le CTO ou le CIO. Mais les experts en main-d'œuvre affirment que le fait de placer le RSSI/OSC sur un pied d'inégalité avec les principaux dirigeants de l'organisation rend plus probable que les préoccupations en matière de cybersécurité et de risques passeront au second plan des initiatives conçues pour accroître la productivité et développer généralement l'entreprise.

” La séparation des tâches est un concept fondamental de la sécurité, qu'il s'agisse de cybermenaces, de fraude des employés ou de vol physique", a déclaré Tarie Schreider, un analyste avec Données Insights. "Mais cette séparation critique est violée tous les jours, le RSSI ou le CSO relevant des responsables de la technologie.”

ILS, une organisation orientée vers les RSSI/ OSC et leurs équipes, enquêté plus de 500 organisations l'année dernière et ont constaté qu'environ 65% des RSSI relèvent toujours d'un responsable technique, tel que le directeur technique ou le directeur informatique: IANS a constaté que 46% des RSSI relevaient d'un directeur informatique, dont 15% relevaient directement d'un directeur technique.

Une enquête réalisée l'année dernière par IANS a révélé que 65% des RSSI relèvent d'une fonction technique au sein des organisations, comme le directeur technique ou le directeur informatique. Image: Recherche de l'IANS.

Schreider a déclaré que l'une des principales raisons pour lesquelles de nombreux RSSI et OSC ne figurent pas dans les biographies des dirigeants d'entreprise des grandes entreprises est que ces postes ne bénéficient souvent pas des mêmes protections juridiques et d'assurance accordées aux autres dirigeants de l'entreprise, a déclaré Schreider.

En règle générale, les grandes entreprises souscrivent une police de responsabilité civile “administrateurs et dirigeants” qui couvre les frais juridiques si l'un des cadres supérieurs de l'organisation se retrouve traîné devant les tribunaux pour un échec commercial de la part de son employeur. Mais il est peu probable que les organisations qui n'offrent pas cette couverture à leurs responsables de la sécurité énumèrent ces postes dans leurs rangs les plus élevés, a déclaré Schreider.

” C'est franchement choquant", a déclaré Schreider, en apprenant que seulement quatre des Fortune 100 énuméraient des membres du personnel de sécurité dans leurs hiérarchies supérieures. "Si l'entreprise ne va pas leur donner une couverture légale, alors pourquoi leur confier la responsabilité de la sécurité? Surtout lorsque les RSSI et les OSC ne devraient pas assumer le risque, mais que la majorité d'entre eux portent le manteau de la responsabilité et qu'ils ont tendance à être des boucs émissaires” lorsque l'organisation finit par être piratée, a-t-il déclaré.

Schreider a déclaré que si Datos Insights se concentre principalement sur les secteurs de la finance et de l'assurance, une récente enquête Datos fait écho aux conclusions de l'IANS de l'année dernière. Datos a interrogé 25 des plus grandes institutions financières par taille d'actif (dont deux n'existent plus) et n'a trouvé que 22% des OSC/RSSI relevant du PDG. Une majorité — 65% - avaient leurs OSC/ RSSI relevant soit d'un CTO, soit d'un CIO.

” J'ai examiné ce type de statistiques pendant des années et elles n'ont jamais vraiment beaucoup changé", a déclaré Schreider. “Le RSSI ou CSO est du ressort de la pile technique du point de vue de la gestion. Bien, mal ou indifférent, c'est ce qui se passe.”

Plus tôt cette année, une société de conseil en informatique Accenture résultats publiés en interrogeant plus de 3 000 répondants de 15 industries dans 14 pays sur leurs maturité de la sécurité niveaux. Accenture a constaté que seulement environ un tiers des organisations interrogées avaient suffisamment de maturité en matière de sécurité pour avoir intégré la sécurité dans pratiquement tous les aspects de leurs activités-et cela inclut le fait que les RSSI ou les OSC relèvent d'une personne chargée de superviser les risques pour l'entreprise dans son ensemble.

Sans surprise, Accenture a également constaté que seulement un tiers des répondants considéraient le risque de cybersécurité “dans une large mesure” lors de l'évaluation du risque global de l'entreprise.

“Cela montre qu'il reste encore du chemin à parcourir pour faire de la cybersécurité une nécessité proactive et stratégique au sein de l'entreprise”, conclut le rapport.

Une façon de décrire les différentes étapes de la maturité de la sécurité.

Une feuille de calcul suivant la prévalence des leaders de la sécurité sur les pages exécutives des entreprises Fortune 100 2022 est disponible ici.



>>Plus