Forrester Research décrit le RSSI idéal. Celui-ci doit afficher un solide sens moral qui servira d'exemple à toute l'entreprise. Plutôt qu'un technicien hors pair, il doit comprendre les enjeux techniques et évoluer vers la gestion des risques de l'entreprise.

Savoir équilibrer les rôles
Afin de gagner cette confiance, il faut aussi travailler avec la « psyché de l'entreprise » tout en équilibrant ses rôles de gendarme et de politique. Autres points clés pour réussir, avoir la flexibilité suffisante pour chercher des solutions créatives, et aller vite d'un projet à l'autre, tout en restant aussi patient que possible, et diriger la sécurité comme si c'était une unité d'affaires. Ce dernier talent réclame la capacité de réunir beaucoup de données sur la sécurité et les réglementations, ainsi que de savoir comment les utiliser afin de défendre les budgets et les projets correspondants.

Aider les autres à prendre des responsabilités
Un des traits les plus importants de n'importe quel RSSI, déclare Khalid Kark, est de se comporter en « faiseur de roi », quelqu'un qui aide les autres à améliorer leurs propres compétences en agissant en mentor, plutôt qu'en régulateur draconien qui donne simplement des ordres et qui s'attend à ce qu'ils soient exécutés. « Les RSSI ont besoin d'aider d'autres personnes à réussir et à prendre des responsabilités. Cela devrait faire partie de leur stratégie de sécurité globale ». Un talent associé consiste à ne pas jouer au jeu de la de critique. « Les RSSI doivent être prêts à assumer une grande partie du blâme lorsque les choses tournent mal, même si c'est la faute de quelqu'un d'autre. Il ne faut pas tout accepter, mais si vous pouvez prendre le blâme sur vous et utiliser cela pour travailler sur des questions qui améliorent la situation globale de l'organisation, c'est une chose à faire ».

Des compétences techniques très évoluées remises en question
Un aspect que Forrester ne cite pas comme critique est d'avoir un niveau élevé de compétences techniques. "Certains ont dit oui, et d'autres ont dit non. Il s'agit là d'un vieux débat. La clé, je crois, est qu'il faut absolument avoir la capacité de comprendre des données techniques, mais vous n'avez pas forcément besoin des compétences pratiques, résume Khalid Kark. Beaucoup de RSSI qui réussissent dans leurs fonctions, ne se concentrent pas sur des questions opérationnelles telles que la gestion des pare-feu, mais ils ont besoin d'être prêts à définir une politique de sécurité et à élaborer la position de leur société vis-à-vis des risques.

Une approche du haut vers le bas
"En fait, de nombreux RSSI qui ont des compétences techniques soutiennent que leurs connaissances les conduisent souvent à s'embourber dans trop de décisions opérationnelles et de projets ». Indépendamment des capacités techniques d'un RSSI, Khalid Kark estime qu'il va devenir de plus en plus important pour les responsables sécurité de s'éloigner d'une approche « du bas vers le haut » de la sécurité, où l'accent est mis sur les outils à utiliser, pour aller vers une approche « du haut vers le bas » menée par la gestion des risques et les concepts de gouvernance. "Ces cadres doivent évoluer depuis l'expertise opérationnelle vers un rôle de penseur stratégique, du rôle de policier à celui d'un conseiller digne de confiance». «Ils doivent se considérer davantage comme un consultant, par opposition à un auditeur, et évoluer de spécialiste de la sécurité informatique à généraliste des risques de l'entreprise."

. Web-profils.com, la place de marché du conseil et de l'ingénierie