Designing a strategic information security dashboard to support situation awareness

Abstract

Le responsable de la sécurité des systèmes d’information (CISO) a pour objectif de s’assurer que le conseil d'administration et les hauts dirigeants ont une bonne compréhension de la situation actuelle de l'organisation en matière de sécurité de l'information, puis d’agir de conseiller stratégique pour les décisions qui ont un impact sur la sécurité de l’information. Pour atteindre ces objectifs, le CISO doit avoir accès à de l’information fiable et complète, au moment opportun. Comme la reddition stratégique d’une telle quantité d’information est un processus complexe, elle nécessite l’utilisation d’outils comme le tableau de bord de gestion, défini comme étant un résumé en une page de l’information critique qui permet à l’utilisateur d'atteindre ses objectifs. Cet article propose une méthode de conception de tableau de bord stratégique en sécurité de l’information pour le soutien de la conscience de la situation, qui permet à une partie prenante stratégique en sécurité de l’information d’avoir une bonne compréhension de son environnement. Ensuite, l’article offre un aperçu de la valeur de cette méthode en présentant une maquette de tableau de bord, conçue pour le CISO d'une institution financière canadienne et son équipe. Il documente aussi les défis rencontrés lors du processus de conception.

Abstract: The Chief Information Security Officer (CISO) is the senior-level executive who ensures that the board and the executives have a good understanding of the current information security posture of the organization. To fulfill this objective, the CISO needs to have access to reliable, complete and relevant information in a timely manner to allow them to communicate effectively and to take the best decisions. Widely viewed as a great enabler of good performance management, the dashboard is a one-pager summary of the information that allows users to meet their objectives. This paper describes a method that makes it possible to consistently design dashboards that support situation awareness, giving users a good understanding of their environment in order for them to reach their goals. It then creates an example of such a dashboard that targets information security strategic stakeholders such as the CISO in the context of a Canadian financial institution, giving insights into the challenges faced in the design process.