2024 sera l’année du vCISO. Un incroyable 45 % des MSP et MSSP sont je prévois de commencer à offrir Services vCISO en 2024. En tant que MSP/MSSP fournissant des services vCISO, vous êtes propriétaire de l’infrastructure et de la stratégie de cybersécurité de l’organisation. Mais vous devez également vous positionner en tant que décideur fiable, mêlant responsabilités professionnelles, besoins commerciaux et exigences de leadership. UN nouveau webinaire par Cynomileader de la plateforme vCISO, hébergeant le RSSI et vétéran du vCISO Jesse Miller de PowerPSA Consulting, fournit aux MSP et aux MSSP un plan efficace de 100 jours pour se préparer au succès.
Le webinaire fournit un plan d’action tangible en cinq étapes sur 100 jours que tout MSP/MSSP peut suivre lorsqu’il s’engage avec un nouveau client vCISO. Il fournit également des conseils sur les objectifs et les pièges de vCISO à éviter. En regardant le webinaire, vous pouvez vous positionner comme partenaire stratégique et à long terme pour vos clients. Ils vous verront comme capable de conduire la transformation de la sécurité et de gérer la sécurité de manière continue et dynamique.
Certains des principaux points forts abordés dans le webinaire :
Objectifs vCISO
Lorsque vous débutez en tant que vCISO, il est important de comprendre les objectifs du vCISO et de les utiliser pour vous guider tout au long de votre rôle :
- Établir, superviser et gérer la sécurité organisationnelle de manière flexible et robuste.
- Favoriser la confiance avec les objectifs de sécurité grâce à l’alignement, pour obtenir l’adhésion des dirigeants et des parties prenantes.
- Faire de la sécurité un catalyseur commercial, contribuant à la conformité, à l’efficacité opérationnelle, à un avantage concurrentiel, à la responsabilité financière, et bien plus encore.
Les pièges à éviter
Dans le même temps, évitez les pièges qui peuvent perturber votre capacité à fournir des services de haute qualité. Voici quelques conseils pour éviter les pièges :
- Restez stratégique et résistez à la tentation d’éteindre les incendies.
- Maintenez l’objectivité et évitez de vous laisser entraîner par la politique organisationnelle.
- Utilisez l’automatisation et non les processus manuels. Ces opérations prennent du temps, sont sujettes aux erreurs et sont inefficaces en comparaison.
- Garantissez la conformité pour éviter de graves conséquences juridiques et de réputation.
- Déléguez et construisez l’infrastructure plutôt que de tout faire vous-même.
- Et plus
Les 5 phases : votre plan d’action de 100 jours
Phase 1 : Recherche (jours 0 à 30)
Bienvenue à votre nouveau client ! Commencez par rechercher l’état actuel de la posture de sécurité et des objectifs commerciaux de l’organisation. Cela implique d’établir des relations avec les parties prenantes et l’équipe informatique/sécurité, d’examiner les pratiques, les politiques et les configurations de gestion, et d’évaluer les processus de gestion des fournisseurs et les risques liés aux tiers. Ces actions vous aideront à comprendre les vulnérabilités potentielles et l’efficacité des contrôles et procédures de sécurité existants..
Phase 2 Comprendre (jours 0 à 45)
Il est maintenant temps de rassembler vos découvertes. Cela commence par la réalisation d’une évaluation des risques de sécurité avec un questionnaire d’intégration standard et un outil d’analyse. Ensuite, utilisez toutes les informations de l’évaluation et de la première phase pour créer une image claire de la maturité et de la posture de sécurité. Après avoir présenté cette posture et les lacunes existantes à la direction, vous serez en mesure d’élaborer une liste de besoins à court et à long terme en fonction des risques et des objectifs commerciaux. Dans la liste, assurez-vous de démontrer la valeur commerciale de vos investissements en sécurité. Lorsque cela est possible, utilisez l’automatisation pour plus d’efficacité.
Phase 3 : Prioriser (jours 15 à 60)
La troisième étape consiste à élaborer des plans d’action. Rédiger des objectifs à court, moyen et long terme et élaborer le plan et le budget requis pour atteindre ces objectifs. Identifiez 2 à 3 gains rapides qui amélioreront la sécurité et la position de votre organisation et partagez tous ces livrables, ainsi qu’un registre des risques, avec la direction.
Phase 4 : Exécuter (jours 30 à 80)
Il est maintenant temps d’exécuter. Cela établira votre crédibilité vCISO et donnera le ton à la gestion continue de la sécurité. Une fois que vous avez obtenu l’adhésion des parties prenantes et de la direction, communiquez votre plan à tous les niveaux, créant ainsi un sentiment de responsabilité et de réussite partagées. Commencez à exécuter les tâches qui vous aideront à atteindre vos objectifs : mise en œuvre de systèmes automatisés, gains rapides que vous avez identifiés, création de politiques hautement prioritaires et nouveaux outils et produits. Dès que possible, établissez la cadence de reporting pour vous aider à démontrer votre amélioration. Et comme toujours, dans un environnement en évolution rapide, soyez prêt à vous adapter si nécessaire.
Phase 5 – Rapport (jours 45-100)
Le reporting est essentiel pour démontrer le succès. Collectez des données qui reflètent les progrès et les succès, comme des temps de réponse réduits aux incidents ou moins de tentatives de phishing réussies. Assurez-vous de communiquer ces données à la direction d’une manière qui montre l’impact commercial, les réussites et les défis, ainsi que les progrès en matière de sécurité. En plus de ces rapports fréquents, effectuez une évaluation complète supplémentaire après 3 à 4 mois pour démontrer les progrès et identifier toute vulnérabilité nouvelle ou non résolue. Sur la base de ces rapports, adaptez et améliorez continuellement vos processus et contrôles pour maintenir les mesures de sécurité efficaces et pertinentes.
Vos prochaines étapes en tant que vCISO
Faire des choix significatifs, mesurer votre impact et maintenir un état d’esprit flexible vous préparera au succès de votre parcours vCISO. Pour obtenir plus d’informations, comprendre comment ce plan se déroule et obtenir une liste complète des tâches et une liste de contrôle pour vous guider tout au long de vos 100 premiers jours, regardez le webinaire ici.