Extrait de livre : Construire une défense efficace

Gestion des accès, gouvernance et gestion des risques, opérations de sécurité

Un chapitre du nouveau livre ‘Heuristic Risk Management’ de Michael Lines

CyberEdBoard •
7 juin 2022


Michael Lines, membre exécutif de CyberEdBoard, a travaillé avec Information Security Media Group pour promouvoir la prise de conscience de la nécessité d’une gestion des cyber-risques, et dans le cadre de cette initiative, le CyberEdBoard a publié des projets de chapitres – le dernier que nous avons publié est ici – de son prochain livre , “Gestion heuristique des risques : soyez conscient, préparez-vous, défendez-vous.”

Voir également: Chat au coin du feu | Tolérance zéro : contrôler le paysage où vous rencontrerez vos adversaires

Michael Lines déclare à ISMG : “Avec ce projet d’extrait, nous sommes arrivés à la fin de la série de ces publications sur ISMG. Le livre final est en voie d’achèvement et sera publié avant la fin de l’année. Si vous êtes intéressé à voir le livre terminé dans son intégralité, soyez à l’affût de sa publication sur Amazon et d’autres détaillants de livres en ligne dans le monde. Merci de votre intérêt et restez en sécurité !”

Vous avez donc identifié les attaquants probables, les menaces que représentent leurs attaques et comment, à un niveau élevé, ils mèneront ces attaques. Maintenant quoi?

La réponse traditionnelle (et erronée) consiste à couvrir toutes vos bases en adoptant l’ensemble de contrôles le plus complet possible. Que ce soit NIST CSF, NIST 800-53, ISO 27002 ou ISF, plus c’est mieux, n’est-ce pas ? Mauvais!

Lorsque vous tentez de couvrir tous les contrôles possibles… vous passerez probablement votre temps et vos efforts à vous concentrer sur les activités obligatoires… simplement pour pouvoir montrer des progrès

C’est le stade où, d’après mon expérience, de nombreux programmes de sécurité de l’information déraillent généralement. Plutôt que de me concentrer sur les fondamentaux qui comptent, j’ai souvent vu des responsables de la sécurité et des PDG mandater l’ensemble le plus complet de contrôles de sécurité de l’information possible. L’idée est que si toute possibilité d’échec est éliminée par mandat, l’échec est donc impossible. Au lieu de cela, cette approche est elle-même une prescription pour l’échec, sous la métaphore de “faire bouillir l’océan”.

Lorsque vous essayez de couvrir tous les contrôles possibles, le résultat est que vous consacrerez probablement votre temps et vos efforts à des activités obligatoires faciles, bon marché ou sexy – au sens technologique, simplement pour pouvoir montrer des progrès. Au lieu de cela, vous devez vous concentrer sur les activités les plus efficaces pour réduire les risques, ce qui est souvent difficile, coûteux – du point de vue de la main-d’œuvre, et pas sexy.

L’activité n’est pas synonyme d’efficacité.

En examinant l’historique des violations de données majeures dans les grandes entreprises, la cause profonde a souvent été retracée aux échecs de mise en œuvre et de gestion appropriées des contrôles de sécurité fondamentaux. Des exemples de ces erreurs de contrôle fondamentales incluent des correctifs inefficaces, l’incapacité à configurer correctement l’équipement ou la non-modification des informations d’identification par défaut. Ce qui est curieux, c’est qu’il s’agit d’organisations qui dépensent des dizaines, voire des centaines de millions de dollars pour la sécurité de l’information et qui ont des organisations de sécurité avec des centaines, voire des milliers d’employés dédiés à la sécurité. Comment ces événements peuvent-ils se produire si fréquemment avec toute cette attention portée à la sécurité ?

Ils se produisent à cause de l’erreur consistant à confondre complexité croissante et sécurité croissante : activité n’est pas synonyme d’efficacité. Le gouvernement perpétue ce problème en ajoutant davantage de réglementations et d’exigences de sécurité après chaque violation importante de la sécurité. Le résultat est que la sécurité est diminuée, plutôt qu’augmentée, au sein des organisations affectées par la distraction accrue que ces mandats apportent.

La réponse au problème de la complexité toujours croissante est de commencer par les fondamentaux, de s’assurer que vous les faites bien, de les faire évoluer progressivement et de n’implémenter que les contrôles que vous pouvez gérer correctement. Dans le monde de la sécurité de l’information, la meilleure description de ce qui constitue les contrôles fondamentaux sont ceux qui sont produits par le Center for Internet Security Inc., ou CIS.

CyberEdBoard est la première communauté d’ISMG composée uniquement de cadres supérieurs et de leaders d’opinion dans les domaines de la sécurité, des risques, de la confidentialité et de l’informatique. CyberEdBoard offre aux cadres un puissant écosystème collaboratif axé sur les pairs, des réunions privées et une bibliothèque de ressources pour relever les défis complexes partagés par des milliers de RSSI et de hauts responsables de la sécurité situés dans 65 pays différents à travers le monde.

Rejoignez la communauté – CyberEdBoard.io.

Michael Lines est un responsable de la sécurité de l’information avec plus de 20 ans d’expérience en tant que directeur de la sécurité de l’information, ou CISO, pour de grandes organisations mondiales, notamment PricewaterhouseCoopers, Transition et FICO. En outre, il a dirigé plusieurs pratiques de services consultatifs, offrant des services professionnels de sécurité, de risque et de confidentialité à de grandes entreprises. Lines écrit, blogue, prend la parole lors de conférences et de webinaires et propose des interviews sur une grande variété de sujets de sécurité de l’information, principalement concernant ce qu’il faut pour développer et exécuter des programmes de sécurité de l’information efficaces et pourquoi tant d’entreprises continuent de subir des failles de sécurité en raison de risques inefficaces .la gestion.

.

Leave a Comment