Le rôle d'un Chief Information Security Officer (CISO) ou du Responsable de la sécurité des systèmes d'information (RSSI) est un rôle très important pour toute organisation.
"Voilà 10 ans que j'ai terminé l'école, et maintenant 3 ans que je suis dans le rôle de CISO, comme je suis un C-level, pourquoi ne suis-je pas dans le comité d'administration de l'entreprise ?"
Le fait d'être expert en sécurité de l'information ne garantit pas automatiquement une place au sein du comité exécutif.
Voici quelques situations qui démontrent que tu n'es pas un vrai CISO :
- Tu es à plus de deux niveaux sous de la direction de l'organisation.
- Tu n'as pas d'accès direct au conseil d'administration.
- Tu dois écrire les politiques mais n'as pas l'autorité de les faire appliquer.
- Tu ne participes pas aux réunions stratégiques de l'organisation.
- Le budget du programme de sécurité est géré par quelqu'un d'autre.
Son rôle — Exemple de description de poste
- Leadership en matière de sécurité : Définir la vision stratégique de la sécurité de l'information.
- Gestion des risques : Identifier, évaluer et atténuer les risques liés à la sécurité de l'information.
- Conformité réglementaire : Assurer la conformité de l'entreprise aux lois, réglementations et normes pertinentes.
- Politiques et procédures : Développer, mettre en œuvre et maintenir des politiques et des procédures de sécurité.
- Formation et sensibilisation : Promouvoir une culture de la sécurité au sein de l'organisation.
- Gestion des incidents : Diriger les réponses aux incidents de sécurité.