Serveur d'impression

Les RSSI devraient-ils être des leaders techniques ou des chefs d'entreprise? – Serveur d’impression

Le 9 avril 2020 - 9 minutes de lecture

«Hyperspécialiser» ou être généraliste en sécurité. C’était le sujet de l’épisode de la radio du Groupe de travail de cette semaine. L'animateur George Rettas et l'invité Rafal Los, le fondateur de Rabbit 77, ont convenu qu'il fallait des gens qui pensent en termes de risque et de sécurité de l'information. «Nous n'en avons tout simplement pas assez», a déclaré Rettas, président et chef de la direction de Task Force 7 Radio et de Task Force 7 Technologies.

Il y a probablement déjà suffisamment de stylos testeurs et d'équipiers rouges, a déclaré Los, qui est également l'hôte du podcast «Down the Security Rabbithole».

Plus de personnes sont nécessaires qui ont un mélange de connaissances sur ce que signifie le risque et les aspects techniques de la protection d'une organisation, a déclaré Los.

Il a raconté une histoire de ses jours comme test à la plume au début des années 2000 et s'est rendu dans le bureau du directeur technique de son entreprise parce que «j'ai interrompu le déploiement d'une application Web qui avait été jugée critique par l'entreprise et je n'allais pas y souscrire parce qu'il y avait un problème. "

Le CTO a écouté son raisonnement, a déclaré Los, mais alors qu'il savait que ses arguments étaient corrects, le CTO lui a dit que «je ne le transmettais pas correctement. J'utilisais des termes techniques. J'aurais aussi bien pu lui parler une langue étrangère. »

Le CTO lui a également dit qu'il aurait «une carrière vraiment très courte ici si vous continuez comme ça.» »

Los a dit que cela lui avait laissé une impression et des années plus tard, il avait eu une discussion avec quelqu'un pour savoir si un RSSI devait être quelqu'un qui montait dans les rangs du technologue, ou s'il devait être quelqu'un qui comprend l'entreprise et embauche des technologues autour d'eux sans avoir une compréhension approfondie de la technologie elle-même.

«Je pense que les deux sont des approches valables», a déclaré Los. Cependant, «compte tenu de la façon dont le monde évolue, je continue de croire que l'approche business-to-tech est probablement plus valable pour un poste de leadership en raison du fait qu'il s'agit d'un poste de leadership», a-t-il déclaré.

Los a souligné qu'un CFO ne vient pas «d'un parcours professionnel aléatoire. Ils sont généralement CPA, ils passent à un contrôleur, vice-président des finances et vendent leur directeur financier. »

Ce sont des rôles qui sont fortement axés sur l'impact sur les entreprises, alors que, pour une raison quelconque, le domaine de la cybersécurité continue de vaciller, a-t-il déclaré, théorisant que c'est peut-être parce qu'il s'agit encore d'un domaine jeune.

"Le summum de qui nous sommes vient de la connaissance de la discipline des affaires, mais je pense que si vous [one of] les meilleurs CISO que je connais, proviennent systématiquement de la connaissance de «l’entreprise» ou du leadership [but] ont également une formation technique '', a-t-il déclaré.

Rettas a accepté, en raison des «défis auxquels les RSSI sont confrontés aujourd'hui et de la diversité de pensée qu'ils doivent avoir dans les différents secteurs d'activité et [the ability] pour parler du lexique commun du risque aux équipes de direction. »

Les deux ont ensuite discuté de l'importance d'avoir des «postes d'adjoints» qui sont autour pour donner à l'organisation un certain équilibre. De cette façon, s'il y a un CISO qui est très technique, c'est une bonne idée de trouver un adjoint qui a plus de compétences en affaires en plus des compétences techniques.

Les compétences générales capables d'articuler l'analyse des risques ainsi que la capacité de négocier et de persuader et de diriger les personnes sont essentielles, a déclaré Rettas. Peu importe qui a plus de compétences en affaires et qui a plus de compétences techniques, il est important qu'un CISO et un adjoint puissent travailler ensemble, a-t-il ajouté.

Points tournants dans le domaine de la cybersécurité

Los a déclaré qu'il y a eu deux tournants importants qui ont aidé la cybersécurité à évoluer au cours des deux dernières décennies. «Le pendule entre Edge et l'informatique à la périphérie signifie quelque chose de différent aujourd'hui, mais essentiellement, le client, puis le serveur et le client vers le serveur ont un peu cinglé», a-t-il déclaré.

L'un des premiers changements majeurs a été le passage à Windows NT du modèle d'écrans verts à un véritable réseau client-serveur, a déclaré Los. Cela a poussé beaucoup de calcul vers le client avec une plus grande puissance de traitement. "Cartes graphiques, souris, claviers … à ce moment-là, la porte de la grange a été ouverte, et nous n'avons jamais regardé en arrière", a-t-il déclaré.

Mais peu de capacités de sécurité ont été intégrées dans ces modèles de calcul, jusqu'à ce que la réalisation vienne que des correctifs devaient être appliqués, a-t-il déclaré. Puis vint la virtualisation et quand «les données trouvèrent soudain des jambes à l'extérieur du bureau» avec l'aube des appareils mobiles comme les ordinateurs portables et les PDA. Cela a été suivi par le cloud computing et une plus grande dépendance à l'égard des appareils et de l'informatique en périphérie, a-t-il déclaré.

Pourtant, les équipes de cybersécurité ont eu l'occasion de s'impliquer au moment de la création et à chaque fois que quelque chose de nouveau arrivait, mais elles ne l'ont pas fait, a-t-il déclaré. La pensée était toujours «nous allons bien faire les choses cette fois-ci», mais sept ans plus tard, a-t-il dit, «nous l'avons raté.»

En réponse à une question de Rettas, Los a déclaré que la plus grande évolution non technologique qu'il ait vue n'est pas un produit ou quelque chose qui peut être vendu, mais «la volonté d'inclure la cybersécurité au niveau de la carte. Je pense que cela a fondamentalement changé la donne pour nous, professionnels de la sécurité et… nous a obligés à être plus conscients des entreprises que nous soutenons. »

Comme beaucoup d'autres professionnels de la sécurité, Los a déclaré qu'il était essentiel qu'un responsable de la sécurité soit dans la salle de conférence pour fournir une visibilité sur ce qui se passait.

Comment la sécurité peut aider les entreprises à traverser la pandémie

Maintenant que tant d'entreprises ont leurs employés travaillant à distance depuis le début de la pandémie de COVID-19, Los a déclaré qu'ils devaient plus que jamais compter sur leurs professionnels de la sécurité en raison de la pression que cela exerce sur les réseaux. Beaucoup n'étaient pas configurés pour avoir autant de personnel travaillant à distance en toute sécurité, a-t-il dit.

Le travail à distance va "changer à jamais le paysage de la façon dont la cybersécurité est utilisée", a déclaré Los, "mais il va y avoir une tonne de douleurs croissantes parce que je pense que ce qui se passe, c'est que beaucoup de ces entreprises disent simplement:" Nous " Je dois y arriver. Notre pare-feu est actuellement trop restrictif, nos politiques sont trop restrictives, les gens ne peuvent pas imprimer lorsqu'ils sont à la maison, désactivez toutes ces politiques de sécurité. ""

C'est une réponse de panique, a-t-il dit, car la désactivation des fonctionnalités de sécurité perçues comme gênant les affaires n'est pas une option.

«Je m'en veux en partie parce que comment n'avons-nous pas vu cela arriver», a-t-il déclaré, se référant au scénario dans lequel une entreprise devrait fonctionner de manière entièrement distribuée. C'est une autre occasion pour les RSSI et les responsables de la sécurité de souligner la nécessité de maintenir le personnel en sécurité, a-t-il déclaré.

Rettas et Los ont également discuté de l'importance du partenariat avec la détermination des compétences de base dont vous disposez et des éléments à externaliser auprès de tiers pour répondre à vos besoins de sécurité. Los a déclaré qu'il ne pensait pas que les entreprises devraient construire leurs propres centres d'opérations de sécurité (SOC), à quelques exceptions près dans le Fortune 100.

"Si vous avez essayé de créer votre propre SOC, et que vous pensez que vous pouvez le faire mieux que certains des fournisseurs de services qui le font à grande échelle – 10 fois ce que vous faites – je pense que vous êtes délirant, à pire '', a-t-il déclaré. "Tu te fais du mal."

Partir de zéro

Revenant à la boucle où la conversation a commencé, Los a déclaré que si quelqu'un voulait être un professionnel de la cybersécurité, il devrait apprendre à écrire du code, «même si c'est mal comme moi; vous devriez aller travailler dans un service d'assistance, vous devriez apprendre comment les réseaux fonctionnent… vous devriez apprendre comment les systèmes d'exploitation et le serveur client et comment fonctionne toute la technologie sous-jacente. »

De cette façon, vous obtiendrez un niveau de base d'expérience en sécurité en comprenant comment tout interagit, a-t-il déclaré. «La sécurité consiste vraiment à exploiter les interactions entre les autres parties du système de manière à faire quelque chose qui n'est pas censé être autorisé.»

La récapitulation de la «Task Force 7 Radio» est une fonctionnalité hebdomadaire sur le Cyber ​​Security Hub.

Pour écouter cet épisode et les précédents, cliquez ici.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.