Il explique que les taches essentielles a gerer lors de l’integration comprennent la presentation de la vision, de la mission et des valeurs fondamentales de la securite, ainsi que la presentation aux nouveaux employes de la strategie et de la feuille de route de la securite.
D’autres RSSI font echo aux idees de Beason, affirmant qu’il est essentiel d’integrer rapidement et efficacement les nouveaux employes au programme de cybersecurite de l’organisation.
Un rapport de 2021 de TalentLMS et Kenna Security parle du besoin d’attention dans ce domaine. Ils ont interroge 1 200 employes sur leurs habitudes en matiere de cybersecurite, leur connaissance des meilleures pratiques et leur capacite a reconnaitre les menaces de securite et ont constate que bien que 69 % des repondants aient recu une formation en cybersecurite de leur employeur, 61 % ont echoue a un quiz de base sur ces sujets.
Les responsables veterans de la securite affirment qu’il existe des moyens d’ameliorer la formation a la securite, des les premiers jours de travail d’un employe. Ici, ils proposent sept strategies sur la facon de rendre l’integration de la securite plus efficace.
1. Assurez-vous qu’ils savent que la cybersecurite fait partie de leur travail
Les nouveaux employes sont bombardes d’informations et leur capacite a conserver des donnees hautement techniques ou des processus tres detailles pendant le processus d’integration est donc probablement limitee.
« Quand quelqu’un arrive a bord, il est depasse – il a un nouveau travail, une nouvelle technologie, un nouveau patron », declare Lance Spitzner, directeur technique du programme de sensibilisation et de formation a la securite au SANS Institute.
Ainsi, au lieu d’essayer de dispenser toutes les formations requises en matiere de cybersecurite en meme temps, Spitzner recommande de transmettre le message cle selon lequel, en tant qu’employes, ils ont un role et une responsabilite en matiere de securite.
« Nous ne voulons pas que les gens se disent : « J’ai un antivirus et nous avons une equipe de securite, donc je suis pret » », dit-il, notant que les programmes d’integration les plus efficaces sont ceux qui definissent les attentes et cultiver un etat d’esprit de securite. « Ils s’assurent que les nouveaux travailleurs savent que la cybersecurite fait partie de leur travail, que ce n’est pas seulement le travail de l’equipe de cybersecurite, qu’ils en sont tout aussi responsables que tout le monde. »
2. Assurez-vous qu’ils savent comment faire leur travail en toute securite
Compte tenu du volume ecrasant d’informations transmises aux nouveaux employes, les RSSI chevronnes affirment que des sessions de securite efficaces leur enseignent precisement ce dont ils ont besoin pour commencer a faire leur travail en toute securite et s’assurer qu’ils maitrisent ces bases.
« J’ai vu l’integration ou la formation de sensibilisation est assez generale, puis sur la derniere page, alors qu’ils se terminent, il y a un ensemble de liens vers les politiques specifiques de l’entreprise, des informations de contact en cas d’evenement et un lien vers le site securise portail. Ce n’est pas tres utile si je suis un nouvel employe et que les details sur les outils dont j’ai reellement besoin pour faire mon travail se trouvent sur la derniere diapositive », explique Andrew Retrum, directeur general de la pratique Securite et confidentialite chez Protiviti.
Au lieu de cela, dit-il, l’integration devrait se concentrer sur l’enseignement aux nouveaux employes des fonctionnalites, fonctions et outils de securite specifiques a utiliser ainsi que des politiques de l’entreprise en matiere d’e-mails securises, de classification appropriee des donnees, d’echange securise d’informations protegees avec des tiers et de gestion d’autres taches typiques dans un mode securise.
« Ceux-ci doivent etre clairement articules, afin que lorsque l’employe commence a faire son travail quotidien, il sache comment le faire en toute securite », explique Retrum.
3. Engagez-vous
Un autre conseil connexe de RSSI chevronnes : ne faites pas la lecon, mais engagez-vous.
« Le message est que nous sommes tous responsables de la securite et participons au succes de la securite. C’est ca. Nous devons tous travailler ensemble a ce sujet. Mais [obtenir l’adhesion a ce message] revient a leur montrer qu’ils sont importants et a creer une connexion », explique Rich Lindberg, vice-president de la securite de l’information et CISO chez JAMS Inc., une entreprise offrant des services alternatifs de resolution des conflits, et membre du conseil consultatif de la section sud de la Californie de la Society for Information Management (SCSIM).
Pour etablir une relation, Lindberg dit que lui ou l’un des membres de son equipe passe du temps a parler avec les nouvelles recrues.
« Je pourrais faire un briefing d’information, je pourrais juste leur donner les regles, mais a la place c’est ‘Salut, comment allez-vous ? Qui es-tu. Voici qui je suis. Voici ce qu’est notre departement. Voici ce que nous pouvons faire pour vous. Contactez-nous chaque fois que vous avez besoin d’aide.
« Je les traite comme s’ils etaient mes clients et j’assure un service client de haut niveau. »
4. Adaptez la formation d’integration a votre propre organisation
Une grande partie de la messagerie destinee aux nouveaux employes est standard dans toutes les organisations, mais les RSSI ont besoin de plus qu’un module de formation generique, declare Jason Rader, vice-president et RSSI de la societe technologique mondiale Insight Enterprises.
« J’ai decouvert, et nous avons recu des commentaires a ce sujet, que les modules peuvent etre si generiques qu’ils sont inutiles », declare Rader, expliquant que les options de formation pretes a l’emploi peuvent repondre aux exigences de conformite mais n’equipent pas necessairement nouveaux travailleurs avec les connaissances dont ils ont besoin pour operer en toute securite.
Il a vu des sessions de formation utiliser des videos qui indiquent simplement « suivez la politique d’apport de votre propre appareil de votre entreprise » et « suivez la politique de mot de passe de votre propre entreprise » sans fournir les politiques reelles.
En consequence, Rader dit qu’il est attentif a completer le materiel d’integration de base avec plus d’informations specifiques au propre programme de securite d’Insight. « J’essaie de le rendre tres specifique a l’organisation, avec moi et le CIO parlant de la facon dont cela fonctionne pour nous », ajoute-t-il.
Dans le meme ordre d’idees, Retrum rappelle aux RSSI de rafraichir et de mettre a jour leur formation au besoin. Comme il le souligne : « Les risques changent, donc ce qui etait pertinent il y a 18 mois ne l’est peut-etre plus maintenant. »
Par exemple, il a vu la formation a la securite se concentrer sur la securite physique sans mentionner le smishing (hameconnage par SMS), meme si le premier peut etre un risque plus faible et le second en augmentation.
5. Couvrir les bases dans une approche standardisee
Terence D. Jackson, conseiller en chef de la securite chez Microsoft, ancien CISO et auteur d’une liste de controle de securite pour l’integration, dit avoir rencontre des entreprises dont l’integration de la securite s’est faite de maniere ad hoc.
« Ce n’etait pas formalise, c’etait plutot des connaissances tribales, ou vous etes jumele a quelqu’un dans un scenario de type filature, qui n’etait pas etaye par une documentation solide ou du materiel de formation », se souvient-il.
Jackson et d’autres mettent en garde contre cette approche, tout en supposant que les travailleurs d’aujourd’hui arrivent avec une comprehension de base de la cybersecurite.
Ils soulignent la necessite de couvrir les fondamentaux de la securite dans une approche standardisee et reproductible pour s’assurer que chacun, quels que soient son role, son experience et sa longevite dans la main-d’ouvre, sait exactement ce qu’on attend d’eux.
« Vous ne pouvez pas vous attendre a ce que quelqu’un suive une regle dont vous ne lui parlez pas, que vous n’avez pas definie », declare Rader.
Beason dit que Capital One embarque generalement des personnes qui font leur premiere incursion dans la vie de l’entreprise, des travailleurs a long terme et d’autres entre les deux ; leur experience passee ne garantit pas qu’ils sauront tout ce qu’on attend d’eux.
« Nous voulons que tous les nouveaux travailleurs connaissent nos attentes, car la securite n’est pas la meme dans toutes les organisations », dit-il. «Ainsi, avant de donner a quiconque acces a votre environnement, vous voulez vous assurer qu’ils peuvent operer dans cet environnement en toute securite, afin qu’ils connaissent les meilleures pratiques et l’utilisation acceptable, comment utiliser le courrier electronique, quelles sont vos attentes. Vous voulez leur donner ces fondamentaux.
6. Adapter la formation a l’individu, au role
Bien que les informations relatives aux elements de securite fondamentaux doivent etre coherentes et normalisees, certains RSSI affirment avoir reussi a partager ces informations dans differents formats.
« Il s’agit d’avoir une approche de base avec la capacite de l’adapter aux besoins de l’individu et de construire a partir de la. Je crois que les meilleurs programmes integrent cet etat d’esprit », declare Jackson.
Il ajoute : « Donnez [aux travailleurs] les modalites dont ils ont besoin ; etre flexible pour repondre a leurs besoins. Les programmes qui font cela ont tendance a mieux se derouler que ceux qui ont des perspectives uniques. »
Jackson souligne sa plus recente experience d’integration, qui a permis aux nouveaux travailleurs de lire, d’ecouter ou de lire et d’ecouter simultanement le materiel. Lui-meme dit qu’il prefere souvent ecouter les supports de formation, mais prefere ecouter et lire ensemble lorsqu’il assimile des informations plus complexes.
En outre, dit-il, les programmes de formation d’integration reussis ont tendance a adapter le materiel avance aux roles et aux unites commerciales et utilisent egalement des outils de formation qui permettent aux nouveaux travailleurs de parcourir rapidement le materiel qu’ils peuvent demontrer qu’ils connaissent afin qu’ils puissent se concentrer davantage sur le nouveau materiel.
Il s’agit de rencontrer les travailleurs la ou ils se trouvent. Jackson ajoute: « Essayez de garder l’employe au centre. »
7. Integrez les cours d’integration dans la formation continue
Ram Hegde, vice-president senior et CISO de Genpact, une societe de gestion de services informatiques, estime que le message de securite destine aux nouveaux employes doit etre «leger mais efficace».
Et comme d’autres, il pense que les individus ne peuvent pas absorber tout le materiel qu’ils recoivent lorsqu’ils commencent un nouvel emploi.
« Donc, ce n’est probablement pas le meilleur moment pour les bombarder ou pour planifier d’en faire beaucoup. Pensez a une formation de base, concentrez-vous sur les plus gros risques », ajoute Hegde.
Dans cet esprit, il utilise un module de formation interactif en ligne, qui permet aux nouveaux travailleurs de parcourir rapidement le materiel qu’ils connaissent deja et de passer plus de temps avec de nouvelles informations.
« Cela garantit qu’ils obtiennent ce dont ils ont besoin, mais cela ne les garde pas plus longtemps que necessaire », dit-il, ajoutant qu’il avait eu des commentaires sur le materiel precedemment utilise qu’il etait long, ennuyeux et redondant, ce qui a incite l’entreprise pour passer au module plus court et plus engageant.
L’entreprise assure ensuite le suivi en deployant une formation plus detaillee aux nouveaux travailleurs au fur et a mesure qu’ils s’installent dans leur emploi.
« Pour nous, nous voulons nous assurer que nous touchons d’abord les aspects cles, permettant une variete d’experiences, puis en aval, nous avons une formation plus ciblee basee sur le profil de l’employe », explique Hegde.
D’autres soulignent l’importance de cette approche, soulignant qu’elle s’aligne sur les meilleures pratiques largement repandues selon lesquelles la formation a la sensibilisation a la securite n’est pas un exercice unique.
« Vous ne pouvez pas developper de maniere realiste de bons comportements de securite en 30 minutes [de formation], aussi interactif soit-il », declare Spitzner. « La cle de la securisation des nouveaux arrivants est donc la formation continue tout au long de leur carriere. Ainsi, lorsqu’ils embarquent, vous leur dites que c’est leur responsabilite et tant que vous etes ici, vous serez continuellement forme a la cybersecurite. Cette formation continue est ce qui construit vraiment cette culture de securite.
