Les RSSI devraient-ils être des leaders techniques ou des chefs d'entreprise? – Serveur d’impression

«Hyperspécialiser» ou être généraliste en sécurité. C’était le sujet de l’épisode de la radio du Groupe de travail de cette semaine. L'animateur George Rettas et l'invité Rafal Los, le fondateur de Rabbit 77, ont convenu qu'il fallait des gens qui pensent en termes de risque et de sécurité de l'information. «Nous n'en avons tout simplement pas assez», a déclaré Rettas, président et chef de la direction de Task Force 7 Radio et de Task Force 7 Technologies.

Il y a probablement déjà suffisamment de stylos testeurs et d'équipiers rouges, a déclaré Los, qui est également l'hôte du podcast «Down the Security Rabbithole».

Plus de personnes sont nécessaires qui ont un mélange de connaissances sur ce que signifie le risque et les aspects techniques de la protection d'une organisation, a déclaré Los.

Il a raconté une histoire de ses jours comme test à la plume au début des années 2000 et s'est rendu dans le bureau du directeur technique de son entreprise parce que «j'ai interrompu le déploiement d'une application Web qui avait été jugée critique par l'entreprise et je n'allais pas y souscrire parce qu'il y avait un problème. "

Le CTO a écouté son raisonnement, a déclaré Los, mais alors qu'il savait que ses arguments étaient corrects, le CTO lui a dit que «je ne le transmettais pas correctement. J'utilisais des termes techniques. J'aurais aussi bien pu lui parler une langue étrangère. »

Le CTO lui a également dit qu'il aurait «une carrière vraiment très courte ici si vous continuez comme ça.» »

Los a dit que cela lui avait laissé une impression et des années plus tard, il avait eu une discussion avec quelqu'un pour savoir si un RSSI devait être quelqu'un qui montait dans les rangs du technologue, ou s'il devait être quelqu'un qui comprend l'entreprise et embauche des technologues autour d'eux sans avoir une compréhension approfondie de la technologie elle-même.

«Je pense que les deux sont des approches valables», a déclaré Los. Cependant, «compte tenu de la façon dont le monde évolue, je continue de croire que l'approche business-to-tech est probablement plus valable pour un poste de leadership en raison du fait qu'il s'agit d'un poste de leadership», a-t-il déclaré.

Los a souligné qu'un CFO ne vient pas «d'un parcours professionnel aléatoire. Ils sont généralement CPA, ils passent à un contrôleur, vice-président des finances et vendent leur directeur financier. »

Ce sont des rôles qui sont fortement axés sur l'impact sur les entreprises, alors que, pour une raison quelconque, le domaine de la cybersécurité continue de vaciller, a-t-il déclaré, théorisant que c'est peut-être parce qu'il s'agit encore d'un domaine jeune.

"Le summum de qui nous sommes vient de la connaissance de la discipline des affaires, mais je pense que si vous [one of] les meilleurs CISO que je connais, proviennent systématiquement de la connaissance de «l’entreprise» ou du leadership [but] ont également une formation technique '', a-t-il déclaré.

Rettas a accepté, en raison des «défis auxquels les RSSI sont confrontés aujourd'hui et de la diversité de pensée qu'ils doivent avoir dans les différents secteurs d'activité et [the ability] pour parler du lexique commun du risque aux équipes de direction. »

Les deux ont ensuite discuté de l'importance d'avoir des «postes d'adjoints» qui sont autour pour donner à l'organisation un certain équilibre. De cette façon, s'il y a un CISO qui est très technique, c'est une bonne idée de trouver un adjoint qui a plus de compétences en affaires en plus des compétences techniques.

Les compétences générales capables d'articuler l'analyse des risques ainsi que la capacité de négocier et de persuader et de diriger les personnes sont essentielles, a déclaré Rettas. Peu importe qui a plus de compétences en affaires et qui a plus de compétences techniques, il est important qu'un CISO et un adjoint puissent travailler ensemble, a-t-il ajouté.

Points tournants dans le domaine de la cybersécurité

Los a déclaré qu'il y a eu deux tournants importants qui ont aidé la cybersécurité à évoluer au cours des deux dernières décennies. «Le pendule entre Edge et l'informatique à la périphérie signifie quelque chose de différent aujourd'hui, mais essentiellement, le client, puis le serveur et le client vers le serveur ont un peu cinglé», a-t-il déclaré.

L'un des premiers changements majeurs a été le passage à Windows NT du modèle d'écrans verts à un véritable réseau client-serveur, a déclaré Los. Cela a poussé beaucoup de calcul vers le client avec une plus grande puissance de traitement. "Cartes graphiques, souris, claviers … à ce moment-là, la porte de la grange a été ouverte, et nous n'avons jamais regardé en arrière", a-t-il déclaré.

Mais peu de capacités de sécurité ont été intégrées dans ces modèles de calcul, jusqu'à ce que la réalisation vienne que des correctifs devaient être appliqués, a-t-il déclaré. Puis vint la virtualisation et quand «les données trouvèrent soudain des jambes à l'extérieur du bureau» avec l'aube des appareils mobiles comme les ordinateurs portables et les PDA. Cela a été suivi par le cloud computing et une plus grande dépendance à l'égard des appareils et de l'informatique en périphérie, a-t-il déclaré.

Pourtant, les équipes de cybersécurité ont eu l'occasion de s'impliquer au moment de la création et à chaque fois que quelque chose de nouveau arrivait, mais elles ne l'ont pas fait, a-t-il déclaré. La pensée était toujours «nous allons bien faire les choses cette fois-ci», mais sept ans plus tard, a-t-il dit, «nous l'avons raté.»

En réponse à une question de Rettas, Los a déclaré que la plus grande évolution non technologique qu'il ait vue n'est pas un produit ou quelque chose qui peut être vendu, mais «la volonté d'inclure la cybersécurité au niveau de la carte. Je pense que cela a fondamentalement changé la donne pour nous, professionnels de la sécurité et… nous a obligés à être plus conscients des entreprises que nous soutenons. »

Comme beaucoup d'autres professionnels de la sécurité, Los a déclaré qu'il était essentiel qu'un responsable de la sécurité soit dans la salle de conférence pour fournir une visibilité sur ce qui se passait.

Comment la sécurité peut aider les entreprises à traverser la pandémie

Maintenant que tant d'entreprises ont leurs employés travaillant à distance depuis le début de la pandémie de COVID-19, Los a déclaré qu'ils devaient plus que jamais compter sur leurs professionnels de la sécurité en raison de la pression que cela exerce sur les réseaux. Beaucoup n'étaient pas configurés pour avoir autant de personnel travaillant à distance en toute sécurité, a-t-il dit.

Le travail à distance va "changer à jamais le paysage de la façon dont la cybersécurité est utilisée", a déclaré Los, "mais il va y avoir une tonne de douleurs croissantes parce que je pense que ce qui se passe, c'est que beaucoup de ces entreprises disent simplement:" Nous " Je dois y arriver. Notre pare-feu est actuellement trop restrictif, nos politiques sont trop restrictives, les gens ne peuvent pas imprimer lorsqu'ils sont à la maison, désactivez toutes ces politiques de sécurité. ""

C'est une réponse de panique, a-t-il dit, car la désactivation des fonctionnalités de sécurité perçues comme gênant les affaires n'est pas une option.

«Je m'en veux en partie parce que comment n'avons-nous pas vu cela arriver», a-t-il déclaré, se référant au scénario dans lequel une entreprise devrait fonctionner de manière entièrement distribuée. C'est une autre occasion pour les RSSI et les responsables de la sécurité de souligner la nécessité de maintenir le personnel en sécurité, a-t-il déclaré.

Rettas et Los ont également discuté de l'importance du partenariat avec la détermination des compétences de base dont vous disposez et des éléments à externaliser auprès de tiers pour répondre à vos besoins de sécurité. Los a déclaré qu'il ne pensait pas que les entreprises devraient construire leurs propres centres d'opérations de sécurité (SOC), à quelques exceptions près dans le Fortune 100.

"Si vous avez essayé de créer votre propre SOC, et que vous pensez que vous pouvez le faire mieux que certains des fournisseurs de services qui le font à grande échelle – 10 fois ce que vous faites – je pense que vous êtes délirant, à pire '', a-t-il déclaré. "Tu te fais du mal."

Partir de zéro

Revenant à la boucle où la conversation a commencé, Los a déclaré que si quelqu'un voulait être un professionnel de la cybersécurité, il devrait apprendre à écrire du code, «même si c'est mal comme moi; vous devriez aller travailler dans un service d'assistance, vous devriez apprendre comment les réseaux fonctionnent… vous devriez apprendre comment les systèmes d'exploitation et le serveur client et comment fonctionne toute la technologie sous-jacente. »

De cette façon, vous obtiendrez un niveau de base d'expérience en sécurité en comprenant comment tout interagit, a-t-il déclaré. «La sécurité consiste vraiment à exploiter les interactions entre les autres parties du système de manière à faire quelque chose qui n'est pas censé être autorisé.»

La récapitulation de la «Task Force 7 Radio» est une fonctionnalité hebdomadaire sur le Cyber ​​Security Hub.

Pour écouter cet épisode et les précédents, cliquez ici.

  • SLV Suspension d', intérieur Q-LINE PD LED, 2m, BAP, noir -Demoware- - Sale% Éclairage pour la maison et l'entreprise
    Le plafonnier Q-LINE est disponible au choix avec boîtier blanc, noir ou gris argent. Également disponible avec LED blanc neutre ou blanc chaud et en plusieurs dimensions. Avec une luminance élevée et un indice UGR inférieur à 10, les luminaires Q-LINE peuvent être utilisés sur un poste de travail. Grâce à l'
  • Wonderbox Coffret cadeau L'atelier des Chefs - Wonderbox
    L'atelier des Chefs - Coffret cadeau Wonderbox - Idée cadeau GASTRONOMY pour 1 personne - vous avez l'âme d'un chef et les papilles d'un gastronome ? avec ce délicieux coffret, wonderbox vous offre un cours plein de saveurs pour découvrir les techniques et astuces des professionnels de latelier des chefs.
  • Wonderbox Coffret cadeau - L'atelier des Chefs - Restaurant & Gastronomie
    Coffret cadeau Wonderbox - Vous avez l'âme d'un Chef et les papilles d'un gastronome ? Avec ce délicieux coffret, Wonderbox vous offre un cours plein de saveurs pour découvrir les techniques et astuces des professionnels de Latelier des Chefs. Sucrées, salées, épicées soyez-sûr de réussir toutes vos recettes
  • Venpharma Baume Bien Être Musculaire à l'Arnica et au Gingembre 500 ml - Venpharma
    VenPharma Arnica Ginger Muscle Wellness Balm sa composition particulière de bien-être à base d'arnica, de gingembre et de curcuma en fait un produit idéal qui aide à débloquer les tensions, à tonifier les muscles et à soulager la douleur grâce à son effet de chaleur VenPharma est une entreprise dédiée à la
  • GLOBAL LEADER POWER Alimentation LED 24V 150W Dimmable (variable)
    Electricité Alimentation Alimentation et transformateur pour luminaire Alimentation pour luminaire GLOBAL LEADER POWER, Alimentation DC12V dimmable IP20 75W. Spéciale LED peut être utilisée pour alimenter des rubans ou spots 12V dimmables. Connection directe en 220V à la sortie d'un variateur
  • GLOBAL LEADER POWER Alimentation LED DC12V 320W 22,5A étanche IP65
    Luminaire Eclairage d'intérieur Ruban LED et accessoire Accessoire pour ruban LED (connecteur, contrôleur, amplificateur) GLOBAL LEADER POWER, Alimentation DC12V étanche IP65 320W à potentiomètre. Spéciale LED peut être utilisée pour alimenter des rubans ou spots 12V. Connexion directe en
  • GLOBAL LEADER POWER Alimentation LED 12V 75W Dimmable (variable) 6.25A
    Electricité Alimentation Alimentation et transformateur pour luminaire Alimentation pour luminaire GLOBAL LEADER POWER, Alimentation DC12V dimmable IP20 75W 6,25A. Spéciale LED peut être utilisée pour alimenter des rubans ou spots 12V dimmables. Connection directe en 220V à la sortie d'un
  • GLOBAL LEADER POWER Alimentation LED 12V 75W Dimmable (variable) 6.25A - GLOBAL LEADER POWER
    Electricité Alimentation Alimentation et transformateur pour luminaire Alimentation pour luminaire GLOBAL LEADER POWER, Alimentation DC12V dimmable IP20 75W 6,25A. Spéciale LED peut être utilisée pour alimenter des rubans ou spots 12V dimmables. Connection directe en 220V à la sortie d'un variateur
  • Vetobiol Bien Etre Intestinale Moyen et Grand Chien 10 comprimés
    Les comprimés Bien Etre Intestinale Vetobiol sont utilisés comme aliment complémentaire pour moyens et grands chiens (+ de 15 kg). Ils ont été conçus à base de plantes et d'extraits de plantes afin d'enrichir l'alimentation de base de l'animal, en favorisant le maintien de la flore intestinale et en
  • Santarome Bien-être du foie, Hépatonic BIO 20 ampoules - Santarome
    Depuis plus de 35 ans, le laboratoire Santarome Bio concentre ses efforts pour formuler des produits efficaces d'origine naturelle. Ils proposent des Compléments alimentaires Bio à base de plantes pour le bien être, la minceur, la digestion, accompagner les régimes basé sur la Phytothérapie. Pour 2 ampoule: