Tes lèvres disent "non", mais je n'écoute pas

Les professionnels de la sécurité se plaignent depuis longtemps de l'insécurité des nouvelles technologies. Lorsque les nouvelles technologies décollent, elles sont rarement dotées d'une grande sécurité intégrée. La population ne vient jamais et dit : "La sécurité, c'est bien. Nous devrions arrêter d'utiliser cette chose que nous aimons." La technologie populaire gagne TOUJOURS.

L'épisode de cette semaine est animé par moi, David Spark (@dspark), producteur de la série CISO et Andy Ellis (@csoandy), partenaire opérationnel, YL Ventures. Notre invité est Rinki Sethi (@rinkisethi), vice-président et CISO, BILL.

Vous avez des commentaires ? Rejoignez la conversation sur LinkedIn.

[Voix off]Ce que je déteste dans la cybersécurité, allez-y !

[Rinki Sethi] Ce que je déteste dans la cybersécurité, c'est que la diversité des genres dans le domaine ne représente pas la diversité des genres dans le monde. Et la raison pour laquelle c'est frustrant, c'est parce que nous avons certains des défis les plus difficiles que nous devons relever et résoudre, et nous avons besoin de différentes façons de résoudre les défis de la cybersécurité. Et la seule façon d'y parvenir est si nous ont ce genre de diversité.

[Voix off]Il est temps de commencer le podcast de la série CISO.

[David Spark] Bienvenue sur le podcast de la série CISO. Je m'appelle David Spark. Je suis le producteur de la série CISO. Et me rejoindre en tant que co-hôte, vous l'avez déjà entendu, c'est Andy Ellis. Il est le partenaire opérationnel chez YL Ventures. Andy, dis bonjour au gentil public.

[Andy Ellis]Bonjour au gentil public.

[David Spark] Nous sommes disponibles sur cisoseries.com où vous pouvez voir toutes nos autres émissions. Nous avons des tonnes de chaussures. Nous sortons huit à dix épisodes par semaine en fonction de ce qui se passe dans la saison, de ce qui se passe cette semaine-là. Mais il se passe beaucoup de choses. Notre sponsor pour l'épisode d'aujourd'hui est OffSec, qui élève la main-d'œuvre cybernétique et le développement professionnel. Oui, ils ont en fait cette incroyable plateforme de formation pour développer vos propres professionnels de la sécurité. Vous allez vouloir entendre ce que nous avons à dire un peu plus tard dans l'émission. Restez à l'écoute pour cela. Mais d'abord, Andy, nous ne sommes qu'à quelques semaines que nous enregistrons ceci depuis notre passage à RSA. Je veux savoir… Vous avez donné d'excellents conseils. Quelle est la chose la plus importante qui signifie pour vous : "J'ai personnellement réussi à bien gérer le RSA ?". Qu'est-ce que c'est pour vous ?

[Andy Ellis] C'est vraiment difficile. Et je pense que je ne le saurai pas avant de rentrer à la maison. Parce que c'est vraiment deux choses. La première est que je suis toujours en bonne santé. Et il y a beaucoup de façons différentes de faire cela.

[David Spark]J'ai eu le COVID l'année dernière au RSA.

[Andy Ellis] D'accord, ce n'est certainement pas la façon de le faire. Mais il y a des moments où je m'épuise. Je me cours en lambeaux. Et puis vraiment pour moi, c'est combien de suivis j'ai que j'attends avec impatience. Il y a beaucoup de choses sur lesquelles vous faites un suivi et vous vous dites : "Oh, je dois envoyer une Amelia à cette personne juste parce que j'ai dit que je le ferais, mais je ne suis pas excité à ce sujet." Mais c'est comme, "Oh, j'ai rencontré cette personne vraiment cool. Et je peux leur envoyer un e-mail, et maintenant nous allons avoir une conversation parce que nous avons dit que nous ferions cela." C'est ce que j'attends vraiment avec impatience, c'est de pouvoir évaluer et dire : "J'ai eu d'excellentes conversations pendant que j'étais chez RSA, et j'ai hâte de passer à l'étape suivante."

[David Spark] C'est très bien. Ma frustration face au suivi est le niveau élevé d'intérêt pour RSA et à quel point il devient faible lorsque l'on quitte RSA. [Des rires]

[Andy Ellis] Absolument. Il y a beaucoup de gens qui prétendent être ravis de vous suivre, mais ils ne le sont pas.

[David Spark] Ouais. Eh bien, pour moi, je vais rencontrer beaucoup de sponsors et de sponsors potentiels, ce qui est super. Et aussi rencontrer des invités et des invités potentiels au puits. Donc, c'est toujours… Rien que le réseautage est énorme pour moi aussi. Nous avons une invitée, nous sommes devenues une invitée championne. Nous l'avions déjà eue lorsqu'elle était RSSI sur Twitter. Et maintenant nous l'avons, maintenant qu'elle est le RSSI de BILL. Ce n'est autre que Rinki Sethi. Rinki, merci beaucoup de nous rejoindre à nouveau.

[Rinki Sethi]Merci de m'avoir.

3:21.887

[David Spark] Lors d'une récente apparition à New York, la directrice de la CISA, Jen Easterly, a déclaré : "Les PDG et les membres du conseil d'administration doivent adopter la cyber-responsabilité des entreprises comme une question de bonne gouvernance, et non comme une préoccupation pour les informaticiens". Maintenant, Andy, je veux renverser les tables ici. Que font les membres du conseil d'administration et les dirigeants de la suite C pour faciliter votre travail d'atténuation des risques ? Alors… Et c'est la partie que j'essaie de découvrir ici. Si la C-suite est élevée pour comprendre le cyber-risque, comment a-t-elle mieux fonctionné ?

[Andy Ellis] Je pense qu'ils arrêtent d'être tactiques. L'un des défis que je vois dans de nombreuses entreprises et dont je parle à de nombreux RSSI est qu'ils engagent un nouveau membre du conseil d'administration, et c'est le membre du conseil qui comprend le cyber. Ils plongent immédiatement dans le vif du sujet. Ils sont comme, "Oh, puis-je voir vos contrôles alignés sur le CSF? Ou parlons de détails spécifiques." Et c'est vraiment un peu comme le change. En fait, j'aime utiliser le risque de change pour parler du cyber-risque. Tous ceux qui travaillent dans une multinationale au niveau de la direction ont une compréhension de base de la façon dont le risque de change affecte leur entreprise. surendetté entre nos revenus et notre filiale en Grande-Bretagne et le dollar américain." Mais ils connaissent les bases et comment cela s'articule. Et c'est ce que nous devons élever. Comme les CISO n'ont pas besoin de dire à leur C-suite, "Oh, nous devons nous inquiéter de ce nom spécifique d'un cheval de Troie." Mais s'ils ne comprennent pas fondamentalement comment fonctionne le rançongiciel… et en disant comment cela fonctionne, je parle comme une description en trois phrases… Monte sur une machine, se déplace latéralement, vole toutes nos données.Boom, c'est leur description. Ainsi, lorsque quelque chose se présente, ils ont un cadre clair auquel ils réfléchissent : « Comment cela affecterait-il notre entreprise ? »

[David Spark] Bon point. Rinki, je te lance ça. Avez-vous travaillé avec des degrés divers de conseils d'administration/suites C sensibilisés à la cybersécurité par rapport à pas tellement ? Comment avez-vous vu les deux groupes fonctionner différemment, et comment cela facilite-t-il votre travail d'une manière ou d'une autre ?

[Rinki Sethi]Oui, je pense que c'est intéressant parce que je siège à un conseil d'administration en tant que RSSI, puis j'ai également rendu compte à des conseils d'administration en tant que RSSI.

[David Spark]Vous l'avez donc vu des deux côtés.

[Rinki Sethi] Oui, quelques points de vue différents à ce sujet. Premièrement, je pense que lorsqu'un CISO présente son matériel, il y a beaucoup de mesures et il y a beaucoup de données. Et souvent, les membres du conseil d'administration ont demandé ces données et ont dit : "Oh, nous avons lu certaines choses, et c'est ce que vous devriez présenter." Donc, vous allez chercher ça. Mais est-ce que c'est ça qui m'empêche de dormir la nuit en tant que RSSI ? Je pense que c'est la conversation importante sur l'obtention du soutien dont vous avez besoin de la part des dirigeants. Quels sont les principaux risques qui vous empêchent de dormir la nuit ? Y a-t-il les bons investissements dans ces domaines? Que ce soit dans la salle du conseil d'administration ou avec les membres du conseil d'administration individuellement et avoir ces dialogues pour obtenir le bon type de soutien, je pense que c'est en fait la chose la plus critique.

[David Spark] Et le soutien se traduit-il simplement en argent ? Je veux dire qu'est-ce que le support ? Pouvez-vous creuser un niveau plus profond ?

[Rinki Sethi] Non, pas nécessairement de l'argent. Je pense qu'il s'agit de comprendre les risques, de comprendre si vous n'avez pas fait les investissements qu'il y a un bon, "D'accord, c'est la bonne décision pour l'entreprise et où nous allons." Ou si c'est, "Je ne pense pas que ce soit un écart que nous devrions prendre, faisons les bons investissements." Que ce soit de l'argent ou quoi que ce soit d'autre. Et je pense que c'est vraiment important. J'ai vu des membres du conseil suivre des cours sur la cybersécurité également, et je pense qu'une partie de cela… J'ai vu une partie de la documentation, et elle est un peu dépassée. Je pense qu'ils feraient mieux de parler à un CISO à la place. L'autre chose que j'ai vu des entreprises faire et que j'ai… Et c'est une nouvelle chose que j'ai vue, et je pense que c'est en fait plutôt cool. Qu'ils commencent à créer des conseils consultatifs de RSSI qui conseillent le conseil. Et ainsi vous obtenez une perspective diversifiée des RSSI qui viennent et partagent en quelque sorte leurs connaissances. Vous ne l'entendez pas seulement d'un CISO qui pourrait siéger à un conseil d'administration. Donc, je pense qu'il y a des façons intéressantes de dire que, "Écoutez, nous ne sommes pas conscients en tant que conseil d'administration, nous devons donc nous éduquer. Mais cela pourrait prendre du temps. Alors faisons venir d'autres personnes pour nous aider." Et je vois de plus en plus de conseils faire cela.

[David Spark]Andy, je veux poser juste une des mêmes questions que j'ai posées à Rinki, c'est ce que signifie pour vous le soutien du conseil d'administration.

[Andy Ellis] Donc, le soutien signifie… Je pense que lorsque le conseil d'administration demande : « Avez-vous le bon soutien », ils demandent : « Quand vous dites que quelque chose est important, est-ce que vos pairs vous écoutent ? Parce que si chaque initiative que vous devez accomplir nécessite que le PDG l'approuve, vous n'avez pas de soutien. Le soutien, c'est que vous faites partie de l'entreprise. Et quand vous dites, "Hé, nous devons faire ça", dans la limite du raisonnable et de la même manière que si les RH se présentaient et disaient, "Hé, vous devez faire ça…" Les gens ne repoussent généralement pas tout ce que les RH demandent. Nous repoussons beaucoup de choses. Mais si vous ne rencontrez rien d'autre que du refoulement, vous n'avez pas de soutien.

8:39.144

[David Spark] @myracoonhands sur Twitter… Pas leur vrai nom. À propos, ils s'appellent également AKA Infosecsie. Demandé si…

[Andy Ellis]J'aime le coup de glotte que vous mettez ici.

[David Spark] Juste pour toi. Si vous occupez un poste de direction, comment gérez-vous l'échec ? Plus précisément au sein de votre personnel. Et que pensez-vous de la phrase "L'échec n'est pas une option". Alors, je veux juste citer trois de mes réponses préférées ici. Sean Mollett a déclaré: "L'échec ne consiste pas à faire une erreur. L'échec ne consiste pas à reconnaître et à corriger une erreur." @CyndyL44 a déclaré : "Je travaille dans la gestion de produits logiciels. Et si l'échec n'était pas une option, nous ne construirions jamais rien. Je pense que c'est un non-sens de motivation dépassé." Et Karsten Hahn de G DATA a déclaré : "L'échec n'est pas évitable et est une opportunité d'apprendre et d'améliorer les choses à l'avenir. Il devrait être utilisé pour améliorer les processus au lieu de le considérer comme un échec personnel. La plupart du temps, ce n'est pas causé par une personne mais par le processus." Donc, Rinki, je vais vous lancer ça, mais je vais ajouter un peu de trame de fond sur la phrase, "L'échec n'est pas une option." C'est en fait une phrase attribuée au directeur de vol de la NASA, Gene Kranz, et à la mission d'alunissage Apollo 13. Mais il ne l'a jamais dit. Cela n'a été dit que dans le film de 1995, "Apollo 13". Alors, je vais vous demander, Rinki, comment gérez-vous les échecs avec votre équipe ? Et que pensez-vous de cette phrase, "L'échec n'est pas une option." Est-ce une phrase que vous avez prononcée vous-même ?

[Rinki Sethi] Je ne pense pas avoir prononcé cette ligne moi-même. Notre travail n'est-il pas de trouver des défaillances dans les choses en tant que spécialistes de la cybersécurité ? C'est ce sur quoi nous nous épanouissons. Alors quand je pense à l'échec, je pense aux erreurs. Et je suis d'accord avec certaines des citations que vous avez fournies sur… Je pense que faire des erreurs est la façon dont vous apprenez, comment vous grandissez, comment vous innovez. C'est quand vous continuez à faire les mêmes erreurs encore et encore, ou que l'intention est mauvaise. C'est alors que je pense que ce n'est même plus une erreur. Vous parlez de quelque chose de totalement différent. Mais je pense que vous allez échouer si vous allez grandir. Et apprendre de cela… Et c'est ce qui définit le succès. Donc, je ne pense pas que l'échec ne soit pas une option. Cela ne me parle pas.

[David Spark]Andy, comment gérez-vous les échecs dans votre équipe ?

[Andy Ellis] Donc, je suis juste allé chercher dans mon livre… Désolé, je dois faire référence au livre. Et sur mes 54 chapitres, 6 d'entre eux parlent d'échec.

[David Spark]Avez-vous échoué à les écrire?

[Andy Ellis] [Rires] J'ai échoué à écrire certains des autres chapitres. Il y avait 55 chapitres jusqu'à ce que mon éditeur arrive au livre, et maintenant il n'y en a plus que 54.

[David Spark][Rires] Attendez, je veux savoir, lequel a été coupé ?

[Andy Ellis]Celui qui avait pour titre "Peu importe la qualité de votre équipe de football, si vous la mettez sur une patinoire de hockey, elle est vouée à l'échec."

[David Spark] Ouais, j'aime ça. C'en est une bonne.

[Andy Ellis] Ce que j'aimais en fait, mais cela chevauchait deux des chapitres voisins. De toute façon. Tout d'abord, l'échec est la façon dont les gens grandissent. Comme à chaque fois qu'on veut faire grandir quelqu'un, il faut l'exposer au risque d'échec. Maintenant, vous devriez le faire de manière contrôlée. Vous devriez le mettre en sécurité. Vous ne devriez pas simplement dire : « Oh, alors tu veux te préparer pour le prochain niveau de travail ? Eh bien, laisse-moi juste t'envoyer faire ça sans préparation. Un morceau d'échec est également préparé pour s'excuser d'un échec dans un cadre d'entreprise. C'est quand vous échouez, vous le possédez. Vous dites simplement : "Oui, nous avons échoué. Voici ce que nous avons fait de mal. Voici ce que moi, en tant que leader, je ferai différemment."

Et vous travaillez avec votre équipe, et vous dites, "Voilà comment je vous ai laissé tomber, en ne vous rattrapant pas tout à fait à temps." Mais il est également très important d'échouer dans les projets. Si vous n'échouez pas régulièrement, vous ne faites pas assez de paris. Tout ce que vous faites… Rien n'est sûr. Et donc si tout ce que vous faites réussit, cela signifie que vous avez été beaucoup trop conservateur sur vos investissements. Que ce soit une organisation produit ou même un projet de sécurité. Le nombre de projets que mon équipe a commencés mais jamais terminés parce que nous les parcourions à mi-chemin et que nous voyions que les vents avaient tourné, ce n'était plus nécessaire… Et nous étions prêts à concéder l'échec tôt et à échouer vite plutôt que rester engagé parce que l'échec n'était pas une option.

[David Spark] Rinki, que faites-vous avec votre équipe pour, A, les laisser se pousser pour éventuellement casser quelques choses et leur permettre d'en tirer des leçons ? Y a-t-il quelque chose que vous faites pour en arriver là ?

[Rinki Sethi] Ouais, je pense que ça leur permet de faire des erreurs, de prendre des risques éclairés. Droite? Et donc je ne pouvais pas être d'accord avec certaines des choses qu'Andy a dites plus. Mais quand vous pensez à une équipe rouge avec une entreprise, vous allez casser des choses. Et si l'équipe a trop peur que je supprime quelque chose… un serveur peut tomber en panne… vous n'allez pas prendre de risques pour trouver les choses que vous devez trouver. . Mais ça va. Si tu te trompes, je serai là. Je serai là pour te défendre, et nous en tirerons des leçons et nous nous assurerons de ne plus recommencer. Mais en même temps, c'est ainsi que nous allons trouver les problèmes que nous devons trouver. Et donc il y a eu des moments…

Et je peux vous donner deux situations dans le passé qui se sont produites, une, quand c'était une équipe rouge ou qu'ils enlevaient quelque chose et qu'ils partageaient cela. Et puis nous en tirons des leçons, et soit nous… Soit nous trouvons une lacune que nous devons combler. Il y en a eu un autre où ils l'ont dissimulé. Et pour moi, ce n'est pas le type de comportement que vous voulez. Mais si vous effrayez les gens et que vous créez un environnement où vous n'allez pas permettre l'échec, c'est l'une des choses qui peuvent arriver. Donc, je pense juste responsabiliser les gens, sachant que, "Hé, c'est normal de faire des erreurs. J'ai fait des erreurs aussi. Et même quand je fais des erreurs, j'en fais encore. Et partager que c'était la mauvaise décision, ou c'était la mauvaise chose à faire. Faisons pivoter." Donc, je pense que c'est ainsi que vous montrez… un modèle que les erreurs sont acceptables.

[David Spark] Maintenant, Andy veut encore une fois faire référence à son livre. Allez-y, Andy.

[Andy Ellis] Ainsi, un budget d'excuses est ce qui permet à votre équipe de prendre des risques. Et donc de peaufiner légèrement juste pour que les gens l'entendent différemment. Rinki a dit : "Si tu te trompes, je serai là pour te défendre." C'est en fait un peu différent. C'est, "Je serai là pour m'excuser pour toi." Comme c'est sur moi en tant que CISO que vous avez fait cette chose, et nous avons nui à l'entreprise. Et nous devons nous excuser pour l'entreprise tout en défendant que c'était un risque nécessaire à prendre. Mais je serai là, sans vous soutenir, mais je serai là avec vous et, espérons-le, pour vous remplacer quand les gens diront : "J'ai besoin de crier sur quelqu'un." "Génial, je suis là. Criez-moi dessus. Je suis désolé. C'est mon équipe qui a fait ça à mon instigation." Maintenant, en fin de compte, je pourrais dire : "Vous avez épuisé le budget des excuses pour l'année. J'ai besoin que vous preniez un peu moins de risques et que vous laissiez vos pairs prendre un peu plus de risques." J'ai déjà eu cette conversation avec des gens. Mais c'est ce qu'ils ont vraiment besoin de savoir. Non pas que vous alliez vous battre avec eux, mais que vous encourriez la chaleur d'être le seul à présenter des excuses lorsque vous cassez l'entreprise d'une manière ou d'une autre.

[Rinki Sethi] J'aime la façon dont tu as dit ça. C'est exactement ça. C'est exactement ça.

15:43.021

[David Spark] Avant d'aller plus loin, je veux parler de notre sponsor, OffSec. Donc, c'est plutôt cool. Écoute ça. OffSec, la société d'apprentissage et de développement des compétences en cybersécurité derrière la célèbre certification OSCP et Kali Linux Distro, ils ont maintenant une nouvelle solution créée spécifiquement pour les besoins uniques de l'entreprise. Elle s'appelle Learn Enterprise. Aw, c'est simple à comprendre, non ? Avec un plan Learn Enterprise, vos employés bénéficient d'un accès illimité à la bibliothèque d'apprentissage OffSec qui comprend plus de 1 500 vidéos, 2 000 exercices pratiques et plus de 800 ateliers pratiques. La bibliothèque est régulièrement mise à jour avec du contenu spécifique aux rôles de défense et d'attaque, de fondamental à avancé. Mieux encore, les titulaires de plan bénéficient d'un accès exclusif à la nouvelle gamme de cyber OffSec pour mettre en pratique leurs compétences dans un environnement réel. Google, VMware, Microsoft pour n'en nommer que quelques-uns font tous confiance à OffSec pour les besoins de développement de leur équipe. Vous pouvez en savoir plus sur la nouvelle offre d'OffSec, Learn Enterprise, en vous rendant simplement sur leur site Web. C'est offsec.com. Laissez-moi vous l'épeler. OffSec.com. OffSec.com, allez-y maintenant.

Il est temps de jouer, "Qu'est-ce qui est pire?"

23:00.114

[David Spark] Rinki, je sais que tu sais comment y jouer parce que tu y as déjà joué. Nous allons le rejouer. Et celui-ci vient de… Je vais vous dire, c'est notre soumissionnaire de ruban bleu des scénarios "ce qui est pire". Le problème est que cette personne est anonyme mais porte le pseudonyme d'Osman Young[Phonétique 00:17:36] .D'accord? Donc, c'est le scénario d'Osman. C'est un peu long, alors accrochez-vous pendant que je m'en sors.

[Andy Ellis]Osman devient un peu plus complexe à chaque fois que j'ai remarqué.

[David Spark] Oui, celui-ci est sacrément complexe. Je dirai cela.

[Andy Ellis]J'attends un simple "Pile ou pile. Lequel est le pire ?"

[David Spark] Non non Non. Eh bien, Osman est très créatif. Comme je l'ai dit, Osman pourrait aussi avoir une très bonne carrière dans l'écriture de fiction avec ces derniers. D'accord, une entreprise n'a pas de CISO, et l'infosec est une chose que l'informatique exploite et gère théoriquement parfois quand elle en a envie. Ainsi, les brèches en attente de se produire sont dispersées dans tout l'environnement. D'accord, premier scénario. Et je vais insister sur le fait que vous n'allez vraiment aimer ni l'un ni l'autre. Vous avez un serveur Web DMZ hébergeant une application critique avec beaucoup de PII réglementés dans une base de données SQL locale. La carte réseau, le contrôleur d'interface réseau, est directement exposée à Internet sans pare-feu basé sur le réseau ou l'hôte. Mais elle exécute Windows 2022 et elle est corrigée dans les 24 heures suivant la mise à jour du patch mardi. SQL et tous les autres intergiciels d'application sont également tenus à jour. La base de données SQL regorge d'informations personnelles sur les clients européens, réglementées par le RGPD. Ainsi, vous avez le nom, l'adresse, le téléphone, l'e-mail, la date de naissance, le revenu et l'historique des ventes. à une carte SIM bien réglée. Et le matériel de configuration avancée du système d'exploitation basé sur les recommandations standard de l'industrie, à l'exception du pare-feu. C'est la grande chose qui manque. Scénario numéro deux, vous avez un poste de travail Windows XP sans antimalware ni aucun autre contrôle de sécurité. Il est assis sur votre réseau interne. Vous n'avez pas de segmentation de réseau interne. Il exécute un navigateur Web qui n'a pas été mis à jour depuis 2016. Les stagiaires l'utilisent pendant leur pause déjeuner pour naviguer sur Internet. Le poste de travail Windows XP lui-même ne contient aucune information sensible, mais il sera infecté par quelque chose qui permettra à un attaquant de utilisez-le comme point de départ ou rassemblez une reconnaissance sur le reste du réseau et lancez d'autres attaques. D'accord, Andy, lequel est le pire ?

[Andy Ellis]Puis-je supposer pour le deuxième scénario que j'ai des données précieuses équivalentes quelque part dans mon réseau ?

[David Spark] Oui. Oui. Oui.

[Andy Ellis]D'accord, je voulais juste m'assurer que je ne suis pas… comme le deuxième scénario est que je travaille dans une entreprise qui n'a aucune donnée, ce qui pourrait en fait être une assez bonne.

[David Spark]Littéralement, c'est comme un ordinateur factice qui est juste… C'est comme un hublot vers le reste d'Internet.

[Andy Ellis] C'est un ordinateur factice dans un environnement très sensible. Oh, alors celui-ci est facile pour moi. Je vais totalement avec le numéro deux est le pire des scénarios.

[David Spark] Ouais, mais le fait est que vous pourriez avoir une grande sécurité partout ailleurs. C'est juste que ce truc est...

[Andy Ellis]Vous avez dit que cela pourrait être utilisé comme point de départ, ce qui suggère que je n'ai pas une grande sécurité partout ailleurs, sinon vous l'auriez mentionné.

[David Spark] Non, mais ce magasin en particulier a adopté l'approche de la coque externe dure pour la sécurité du réseau. En interne, il n'y a pas de surveillance du réseau, de connexion ou de contrôle. Donc, une fois qu'un agresseur… Eh bien, vous avez raison. La box XP peut se déplacer librement à l'intérieur du réseau.

[Andy Ellis] Ouais, donc le numéro deux est définitivement le pire. Et j'ai deux raisons pour lesquelles, et je vais les donner toutes les deux. Et je soupçonne Rinki d'être d'accord avec moi, donc je vais gagner cette fois. Ce qui est tout d'abord, ce que nous voyons les adversaires modernes faire, ce sont tous des chemins d'attaque en plusieurs étapes. Donc, cette idée que si les données sensibles ne sont pas sur la machine qui est leur premier point d'entrée, je suis en sécurité doit juste disparaître. Vous devez penser que l'ensemble du réseau est en fait ce qu'ils attaquent, et maintenant vous ' Je leur ai donné un point d'entrée. Donc, c'est la première raison. La raison pour laquelle je ne suis pas en fait… J'aime en fait le scénario numéro un. Je ne pense pas que ce soit si mal. Parce que ce que vous avez postulé, c'est que pour cette machine, tout est bien fait.

Ce qui signifie en fait que je n'ai pas besoin d'un pare-feu, et cela va être très controversé pour beaucoup de gens. Je suis un grand fan des commandes de compensation. Mais un pare-feu est un contrôle compensant l'impossibilité de faire une sécurité parfaite. Mais c'est ce scénario, et Osman Young m'a donné une sécurité parfaite sur cette boîte. Cela signifie qu'il n'y a pas de ports ouverts sur Internet, sauf pour les services que nous exposons à Internet. Qu'un pare-feu exposerait à Internet. Le seul vrai risque que j'ai ici si je n'ai pas de défenses de la couche réseau est le DDAS. Ce serait un problème. Et en fait, si je ne pouvais pas trouver une meilleure solution, ma réponse allait être que je prendrais le scénario un est mon préféré, puis je vais DDAS le diable hors de mon serveur afin que je ne puisse jamais avoir une violation de données .Mais je n'ai même pas besoin d'aller aussi loin. Je vais juste dire que le numéro un n'est en fait pas un mauvais scénario et meilleur que celui de la plupart des entreprises. Donc, le numéro deux est absolument le pire.

[David Spark] D'accord. Bonne réponse. D'accord, Rinki, je suppose que tu es d'accord. Êtes-vous d'accord là-dessus ? Parce que j'ai vu beaucoup de hochements de tête.

[Rinki Sethi] 100 %. Le numéro deux est terrible. La raison pour laquelle vous disposez de toute la sécurité du réseau de sécurité périmétrique est que vous supposez que quelqu'un sera victime d'ingénierie sociale. Vous n'avez pas la sécurité parfaite, et il y a un manque de correctifs et de choses comme ça qui seront ensuite utilisés pour accéder à vos données les plus sensibles. Donc, le fait que ces gens pratiquent une sécurité à 100 %, Andy l'a cloué , c'est DDAS qui m'inquiéterait. Mais même dans ce cas, cela ne mènera pas à une violation, une violation de données. Cela va entraîner un problème de disponibilité. Donc, le scénario numéro deux est définitivement mauvais.

[David Spark]D'accord.

[Andy Ellis]Il y a une raison pour laquelle j'ai construit des services de confiance zéro dans ma dernière entreprise, c'était pour arrêter le scénario numéro deux.

23:00.114

[David Spark] Sur LinkedIn, Matthew Sullivan d'Instacart a déclaré : "Les spécialistes de la sécurité sont invités à repousser autant que vous le souhaitez l'IA ouverte, le chat GPT, le copilote. Mais n'oubliez pas que nous avons déjà traversé cela avec BYOD, Dev Ops, Cloud et la prolifération des bibliothèques. La technologie gagne toujours. Votre travail n'est pas de la combattre. Votre travail consiste à devenir l'expert absolu en la matière et à conseiller vos employés et vos produits pour obtenir des résultats fructueux. Donc, je me rends compte qu'il y a une longue histoire de professionnels de la sécurité qui se plaignent de l'insécurité des nouvelles technologies. Et honnêtement, lorsque les nouvelles technologies décollent, elles intègrent rarement une grande sécurité intégrée. Le populeux ne vient jamais et dit : "La sécurité a raison. Nous devrions arrêter d'utiliser cette chose que nous aimons." Ainsi, l'outil populaire gagne toujours. Rinki, la sécurité doit-elle toujours baisser les bras lorsque des outils mal sécurisés deviennent populaires ? Doivent-ils devenir des experts malgré tout ? Ou peut-être y a-t-il un terrain d'entente ? Qu'en pensez-vous ?

[Rinki Sethi] Je ne pense pas que tu lèves les mains. C'était marrant, je lisais juste un article sur cinq caractéristiques qui font un mauvais RSSI, et l'une d'elles parle exactement de ça. Je pense que c'était CSO Online ou quelque chose sur lequel j'ai lu cet article. Mais c'était l'un d'entre eux, c'est que le CISO arrive et dit : "Vous ne pouvez utiliser aucun de ces outils car ils ne sont pas sécurisés. Nous ne savons pas encore comment ils traitent les données." Et donc les gens trouvent des solutions de contournement. Ils vont utiliser les outils de toute façon, puis le CISO devient la mauvaise personne dans l'organisation. Et donc je pense que vous devez déterminer quel est le risque pour votre organisation et comment vous pouvez éduquer les gens sur les bonnes et les mauvaises utilisations de ces choses. Je pense que c'est quand vous n'adoptez pas une perspective commerciale et que vous ne Je ne comprends pas pourquoi et comment les gens pourraient utiliser cela, et vous essayez de verrouiller les choses si étroitement. Cela crée alors une plus grande vulnérabilité que l'utilisation réelle de l'outil lui-même. Et dans certains scénarios et dans certains environnements à risque, vous ne pouvez tout simplement pas accepter le risque d'utiliser quelque chose comme un Chat GPT, ou Grammarly, ou quoi que ce soit. Mais je pense que comprendre vraiment quels sont les risques de votre organisation, combien vous pouvez surveiller et appliquer, et dans quelle mesure vous pouvez éduquer les utilisateurs. Et donc si c'est votre état d'esprit, vous ne ressentirez pas nécessairement la défaite. Donc, je pense que c'est vraiment la façon dont vous pensez à cela et la façon dont vous prenez en compte le risque par rapport au type de valeur commerciale qui est vraiment important.

[David Spark] Laisse moi te poser une question. Avez-vous eu une situation dans n'importe quel rôle que vous avez eu où quelque chose comme l'entreprise aimait, et vous en tant que professionnel de la sécurité était comme, "Oh mon Dieu, qu'est-ce que c'est que ça?" Et vous venez de dire à toute votre équipe : "Nous devons trouver une solution parce que nous ne pouvons pas lutter contre cela. Cela va être utilisé. Qu'est-ce qu'on va faire ici ?" Avez-vous été dans cette position?

[Rinki Sethi] Tout le temps. [Des rires]

[David Spark]D'accord.

[Rinki Sethi] Tout le temps. Surtout quand il y a des outils qui ont une version entreprise, et que vous vous dites : « Hé, nous n'avons pas le budget pour obtenir la version entreprise qui pourrait être plus sécurisée. Ou dans le cas où il n'y a pas de version d'entreprise et à votre point exact, et nous devons comprendre comment allons-nous autoriser cela, ou allons-nous le bloquer ? Ou existe-t-il des alternatives ? Et quelles sont ces alternatives ? Je pense que c'est quelque chose dont nous devons parler tout le temps. Il y a de nouvelles technologies dans cet espace qui sortent tout le temps et qui ont ces discussions, comprendre le risque et ce que vous êtes capable d'accepter ou non, je pense que c'est… tous les jours, c'est ce que nous faisons.

[David Spark]Andy?

[Andy Ellis] Ainsi, Rinki a fait allusion à la solution pour 99% d'entre eux, à savoir les contrats. Comme les gens s'inquiètent du "Oh, eh bien, et si nous divulguons des données sensibles à Open AI?" Eh bien, c'est pourquoi vous ne devriez probablement pas utiliser la version gratuite. Vous devriez utiliser la version payante et avoir un contrat qui en fait un véritable fournisseur. Et pour que vous puissiez auditer et comprendre ce qu'ils font, à vous de décider si Open AI vous permettra de le faire. Mon inquiétude sur Chat GPT est complètement différente, et je pense que la plupart des professionnels de la sécurité oublient que le plus grand risque est en fait lié à la réputation. Quel est le chat GPT mensonges.

[David Spark]C'est un bon menteur, au fait.

[Andy Ellis] C'est un grand menteur. C'est comme ça [Beep] à un cocktail qui invente des trucs qui sonnent bien. Et si vous avez des personnes dans votre entreprise qui en dépendent et qui ne font que copier, coller et publier ces données, c'est un risque plus important pour votre entreprise pour la plupart des RSSI que le risque que des données sensibles soient divulguées.Maintenant, vous devriez toujours essayer pour gérer le risque lié aux données sensibles, mais ne perdez pas de temps et concentrez-vous sur ce trou de lapin lorsque le vrai problème est que vous avez des gens qui n'en savent pas assez pour qualifier les réponses que ChatGPT leur donne en utilisant Chat GPT. Et ils doivent être éduqués sur la façon de valider que ce que Chat GPT vient de vous dire est correct. Et pour ceux d'entre vous qui pensent que Chat GPT est incroyable, j'adore ça. Je l'utilise tout le temps. Et pour me rappeler avant presque chaque tronçon, je lui demande d'écrire une biographie de moi et de me la renvoyer. Et c'est incroyable ce qu'il pense que j'ai fait dans ma vie. C'est faux.

[David Spark]Cela vous fait-il mieux paraître que vous ne l'êtes?

[Andy Ellis] Différent au moins. Mon préféré est qu'il m'a donné une série de récompenses de l'industrie qui étaient presque mais pas exactement les récompenses de l'industrie que j'avais. Et je me dis, "Eh bien, cet autre Andy a remporté six prix en un an ou presque quand j'ai en fait gagné quelque chose par une publication similaire." C'était très étrange. Donc, ma plus grande inquiétude est que vous allez être tellement occupé à mener cette bataille pour savoir si les gens doivent ou non utiliser Chat GPT que vous n'avez pas la conversation sur le processus d'utilisation de Chat GPT dans d'une manière qui aidera réellement l'entreprise.

28:41.374

[David Spark] Sur Dark Reading, Steve Shelton de Green Shoe Consulting décrit un scénario fictif d'un CISO qui a un PDG bouleversé parce qu'il n'a pas été en mesure d'envoyer ou de recevoir des e-mails pendant des heures. Le CISO a gravi les échelons, assumant plus de responsabilités et de pression. Le RSSI est fier de ses réalisations, mais craint qu'un incident ne se produise et ne ruine sa réputation. Enfin, et c'est celui que je remets en question, la direction attend une protection à 100 % contre les menaces malveillantes et des performances parfaites, ce que l'équipe de sécurité réalise est une attente irréaliste et déraisonnable. Maintenant, ce scénario a été publié en février 2023. Ma question est de savoir dans quelle mesure ce scénario est réaliste, en particulier la dernière partie. Quels sont…? Et je vais vous demander, Rinki, d'abord. Quelles sont les attentes de performance du RSSI et de son équipe de sécurité ?

[Rinki Sethi] C'est intéressant parce que j'estime que c'est mon travail de définir les attentes et de les communiquer, et de les communiquer largement. Et ce que je veux dire par là, c'est comprendre que ce n'est pas seulement mon travail de comprendre et de porter tous les risques sur mes épaules, mais c'est quand quelque chose se passe là où les gens s'attendaient à ce que, "Hé, pourquoi ce genre de chose arriverait-il, et comment se fait-il ces risques ne m'ont jamais été communiqués ni à l'entreprise ? Pourquoi n'y avait-il pas de transparence ? C'est alors que vous avez l'impression de ne pas faire votre travail. Mais au lieu de cela, si vous êtes proactif et que vous venez en disant : "Voici à quoi ressemble la configuration du terrain…" Et ce genre de liens renvoie bien aux communications de notre conseil d'administration et aux communications de la direction : "Voici notre évaluation. Voici ce que nous ' Je fais très bien et ce que vous pouvez attendre de moi dans ces domaines parce que nous avons fait de bons investissements en tant qu'entreprise. Mais voici les domaines où nous manquons des bons investissements ou des bonnes capacités.

Ou nous avons pris des décisions ensemble en tant qu'équipe de direction sur ce sur quoi nous allons accepter des risques. » Ensuite, quand quelque chose se produit, ce n'est pas seulement le RSSI. C'est : « Hé, comment faire… ? Si c'était si important, peut-être devrions-nous revenir en arrière et faire les bons investissements." Et donc j'insiste sur deux choses. Je pense que le rôle du RSSI a changé et est devenu une communication, une éducation, comprendre l'entreprise, communiquer les risques. C'est ainsi, si important de le faire et pas seulement de le garder pour soi. Et qu'il y ait un alignement là-dessus. Et si vous le faites de façon continue, je pense que ça va. Vous ne vous retrouvez pas dans ce genre de situation. Et j'insiste sur le mot continu parce que les risques changent, et il y a peut-être quelque chose que vous dites : « Je pense que c'est un risque énorme, et nous devons faire quelque chose à ce sujet. Je suis celui qui est paranoïaque et qui pense constamment à ces choses, c'est mon travail de lever la main et d'aller le dire aux personnes appropriées, puis de nous aligner sur la façon dont nous voulons y faire face.

[David Spark] Mike Johnson, notre autre co-hôte, a déclaré que si votre PDG ou membre du conseil d'administration pose la question classique sans réponse de "Dans quelle mesure sommes-nous en sécurité", alors vous, en tant que CISO, n'avez pas éduqué le conseil d'administration de manière appropriée. Donc, je veux des réponses rapides de vous deux. Andy, qu'est-ce que tu fais pour t'assurer que cette question n'est pas posée de cette façon, et qu'ils devraient poser… ?

[Andy Ellis] Souvent, ce que dit Mike, c'est : « Où est notre programme de sécurité ? Par exemple, où en sommes-nous ? » Donc, j'aime vraiment cette question parce que vous pouvez la transformer en une invitation à une conversation plus profonde. Il n'y a rien de mal à dire : « Écoutez, c'est une question vraiment complexe. Et j'ai des façons humoristiques de le détourner si j'en ai besoin. En fait, je plaisante sur l'armée et comme si on vous demandait de sécuriser un bâtiment, sécuriser signifie des choses très différentes pour différentes branches du bâtiment. Tout, depuis l'obtention d'un bail lorsque vous êtes dans l'armée de l'air jusqu'à le faire exploser lorsque vous êtes dans les marines, alors faites attention à ce que vous demandez.

Mais vous pouvez avoir cette conversation parce que ce dont vous voulez vraiment pouvoir parler avec le conseil, c'est de dire : « Hé, voici les pertes inacceptables dont nous nous inquiétons. Ce sont les pires choses possibles. Voici ce que nous faisons pour contrôle pour eux. Et nous pensons que c'est raisonnable compte tenu de la taille de notre entreprise et des risques auxquels nous sommes confrontés. Et à un moment donné, ils doivent vous faire confiance. Parce qu'en fin de compte, c'est ce qu'ils font, c'est qu'ils croient que vous êtes leur conseiller, et vous leur dites si le programme actuel est raisonnable. Et leur gouvernance est juste basée là-dessus. Maintenant, vous pouvez essayer de lui communiquer un numéro. "Oh, nous sommes un 75 sur l'échelle Spark." Ou, "Nous sommes un epsilon rouge sur l'échelle d'Ellis", ou toutes les choses folles que vous et moi pourrions proposer. Mais en fin de compte, votre objectif est simplement de pouvoir communiquer clairement. Et tu vas avoir de mauvais jours. Ce que j'ai trouvé fascinant à propos de cette question, le scénario était que c'était quelqu'un au milieu d'un incident qui s'inquiétait pour son travail après l'incident, ce qui me dit en fait qu'il y a un problème. Parce que pendant un incident, vous vous concentrez sur, " Comment réparons-nous l'incident ? Comment communiquons-nous ?"

[David Spark]Eh bien, il est évident dans ce scénario qu'il n'y a pas de bonnes relations avec la haute direction et le CISO.

[Andy Ellis] Il n'y en a peut-être pas, mais il n'y a peut-être pas vraiment de bon modèle d'incident. Dans une organisation saine, vous avez régulièrement des incidents. La plupart d'entre eux n'ont pas de très mauvais résultats. Mais ils sont au moins visibles pour que la direction comprenne que vous êtes capable de gérer des incidents. Parce que c'est ce que je lis entre les lignes. Et c'est peut-être juste mes propres préjugés. Mais comme si c'était fini, et tu répares les choses pour moi. Pourquoi n'est-il pas encore revenu ? Pourquoi le PDG ne comprend-il pas comment fonctionnent les incidents ? Ne leur avez-vous pas appris pendant toutes ces années à réparer les choses que vous ne réparez pas les choses instantanément ?

[David Spark]Il est possible que l'auteur de cette pièce ait besoin d'une formation en écriture de fiction d'Osman Young.

[Andy Ellis]Je pense que c'est une excellente idée.

[David Spark] Ouais. Ouais, c'est ce que je pense. D'accord, Rinki, je veux que tu récapitules pour nous. Que faites-vous si vous êtes confronté à la question du niveau de sécurité ?

[Rinki Sethi] Je pense qu'Andy a réussi. Je pense que si c'est… J'espère que je leur ai brossé un tableau pour leur montrer déjà ce qu'est notre programme de sécurité. Il n'y a pas de réponse à notre niveau de sécurité. Il s'agit plutôt de "Voici quel est notre programme de sécurité, et voici où se situent nos risques." Et j'aimerais qu'ils sortent et disent : "Je comprends très bien où nous avons fait des investissements et où nous manquons d'investissements dans la sécurité. Ou quels risques nous avons pris et avec lesquels nous sommes bons et lesquels nous avons pris 't." Et c'est, je pense, leur réponse à notre niveau de sécurité. Nous recevons ce genre de questions. "Donnez-moi un chiffre qui le définit." Et c'est comme si une telle chose n'existait pas, et cela signifie qu'il y a un manque de compréhension générale autour de cela. Et pour Andy, cela signifie que je n'ai pas fait mon travail en définissant vraiment clairement ce qu'est la sécurité.

35:25.191

[David Spark] Excellent point. Eh bien, cela nous amène à la toute fin de ce spectacle. Merci beaucoup, Rinki, qui… C'était Rinki Sethi, qui est le RSSI de BILL. Juste BILL. Mais vous pouvez les trouver sur bill.com. Et un grand merci à notre sponsor, OffSec, pour avoir soutenu cet épisode. Tout nouveau sponsor de la série CISO. Rappelez-vous, leur site Web est offsec.com. Et si vous souhaitez augmenter votre personnel, ce que je suppose que vous faites parce que tout le monde a besoin d'un personnel encore plus avisé, veuillez les consulter sur offsec.com. Rinki, embauchez-vous en ce moment ?

[Rinki Sethi] Nous recrutons absolument. Et si vous cherchez, nous serions ravis de vous avoir dans l'équipe. BILL se concentre sur la manière dont nous automatisons les opérations financières pour les petites et moyennes entreprises. Et nous sommes également un fournisseur digne de confiance. Nous avons ici une équipe incroyable de professionnels de la cybersécurité qui se soucient vraiment de nos clients et de nos données clients.

[David Spark] Génial. Très bien. Donc, je suppose vérifier le site de BILL. Et peuvent-ils vous contacter via LinkedIn ? Oui?

[Rinki Sethi]Absolument.

[David Spark] Génial. Andy, un dernier mot ?

[Andy Ellis] Oh, j'aime toujours les derniers mots. Mais dans ce cas, si Rinki décide de ne pas vous embaucher, notre portefeuille recrute toujours. Vous pouvez vous rendre sur jobs.ylventures.com.

[David Spark]Donc, vous dites à tout le monde de passer d'abord par bill.com.

[Andy Ellis] Absolument. J'ai voulu travailler pour Rinki toute ma carrière et je n'ai jamais réussi à y arriver, donc je pouvais vivre par procuration à travers nos auditeurs.

[David Spark] Oh. Si vous obtenez un emploi… Au fait, laissez tomber notre nom lorsque vous les contactez. Qui sait ce qui va arriver ? Je n'ai aucun contrôle sur cela. Mais faites, laissez simplement tomber notre nom chaque fois que vous le pouvez. Merci beaucoup Rinki. Merci beaucoup Andy. Et merci à notre public. Nous apprécions grandement vos contributions et pour avoir écouté le podcast de la série CISO.

[Voix off] Cela termine un autre épisode. Si vous n'êtes pas abonné au podcast, n'hésitez pas. Nous avons beaucoup plus d'émissions sur notre site Web, cisoseries.com. Rejoignez-nous les vendredis pour nos émissions en direct, Super Cyber ​​Friday et Cyber ​​Security Headlines - Week in Review. Ce spectacle se nourrit de votre contribution. Nous sommes toujours à la recherche de discussions, de questions et de scénarios "ce qui est pire". Si vous souhaitez sponsoriser le podcast, consultez les vidéos explicatives que nous avons dans le menu des sponsors sur cisoseries.com. Et/ou contactez David Spark directement à david@cisoseriescom. Merci d'avoir écouté le podcast de la série CISO.