Stratégie cybernétique : Sécurité et résilience axées sur le risque

Avis des lecteurs

Cet ouvrage est considéré comme un guide complet pour l'élaboration et la mise en œuvre d'une stratégie de cybersécurité, axée sur la résilience et la gestion des risques. Il propose des méthodologies détaillées, des modèles pratiques et des idées pour les professionnels à tous les niveaux d'une organisation. Cependant, certains lecteurs ont trouvé que l'approche était quelque peu rigide et fortement orientée vers les grandes entreprises, limitant potentiellement son applicabilité pour des organisations plus petites ou des contextes différents.

⬤ Fournit une méthodologie complète, étape par étape, pour créer une stratégie de cybersécurité.
⬤ Comprend des outils pratiques, tels que des modèles et des listes de contrôle, qui peuvent être utilisés immédiatement.
⬤ Bien structuré et lisible, avec des aperçus sur les hiérarchies d'entreprise et les aspects politiques de la socialisation d'une cyberstratégie.
⬤ Utile pour un large éventail de professionnels, des chefs de projet aux cadres de haut niveau.

⬤ L'approche peut être laborieuse et coûteuse si elle est suivie à la lettre, ce qui peut ne pas convenir à toutes les organisations.
⬤ Elle manque d'options stratégiques alternatives, ce qui la rend quelque peu dogmatique.
⬤ L'accent semble être mis sur les grandes entreprises, ce qui pourrait aliéner les petites entreprises.
⬤ L'horizon de planification est considéré comme court, ce qui limite la réflexion stratégique à long terme.

(basé sur 5 avis de lecteurs)

Titre original :

Cyber Strategy: Risk-Driven Security and Resiliency

Contenu du livre :

Cyber Strategy : Risk-Driven Security and Resiliency fournit un processus et une feuille de route permettant à toute entreprise de développer ses stratégies unifiées de cybersécurité et de cyberrésilience. Il démontre une méthodologie permettant aux entreprises de combiner leurs efforts dissociés en un seul plan d'entreprise avec l'approbation de la direction générale qui utilisera efficacement les ressources, ciblera les menaces à haut risque et évaluera les méthodologies d'évaluation des risques et l'efficacité des mesures d'atténuation des risques qui en résulteront. L'ouvrage aborde toutes les étapes nécessaires à la conception du plan, depuis la pré-planification (mission/vision, principes, objectifs stratégiques, dérivation de nouvelles initiatives), les directives de gestion de projet, l'analyse des cybermenaces et des vulnérabilités, l'évaluation des cyberrisques et des contrôles, jusqu'aux techniques d'établissement de rapports et de mesure de la réussite du plan et des performances globales du plan stratégique. En outre, une méthodologie est présentée pour faciliter la sélection de nouvelles initiatives pour l'année suivante en identifiant toutes les données pertinentes.

Les outils utilisés sont les suivants :

⬤ Indicateurs clés de risque (KRI) et indicateurs clés de performance (KPI)

les indicateurs clés de risque (KRI) et les indicateurs clés de performance (KPI) ⬤ la cartographie de l'intervalle de maturité de l'état cible du cadre de cybersécurité (CSF) du National Institute of Standards and Technology (NIST) par initiative.

⬤ Comparaison des objectifs commerciaux et des facteurs critiques de succès de l'état actuel et de l'état cible.

⬤ une évaluation quantitative des risques des composants technologiques de l'initiative, basée sur le NIST

⬤ Des diagrammes RACI (Responsibility, Accountable, Consulted, Informed) pour les tâches du comité de pilotage cybernétique et les processus d'approbation des conseils de gouvernance.

⬤ Des plans de nage, des calendriers, des diagrammes de flux de données (entrées, ressources, sorties), des modèles de rapports d'avancement et des diagrammes de Gantt pour la gestion de projet.

Le dernier chapitre propose des listes de contrôle, des tableaux, des diagrammes de flux de données, des figures et des outils d'évaluation téléchargeables pour vous aider à élaborer le plan stratégique de cybersécurité et de cyberrésilience de votre entreprise.