3 façons de transformer vos employés de risques de cybersécurité en ressources de cybersécurité

Nisha Kappillil, analyste principale chez CybelAngel, a rejoint les membres de notre équipe mondiale à San Francisco la semaine dernière pour une conférence de presse. RSA 2020. Motivée par les conversations qu'elle a eues avec d'autres professionnels de la sécurité de l'information au cours de l'événement, elle partage ses idées et ses recommandations sur la manière de changer la vision de l'homme comme variable de risque en celle de l'homme comme ressource précieuse pour la sécurité.

RSA 2020 a été, malgré toutes les craintes d'une baisse de la fréquentation, une journée très riche en activités. Aux côtés de l'équipe de CybelAngel, j'ai discuté de l'évolution des profils de risque, des expériences en matière de sécurité et des meilleures pratiques avec des professionnels de la sécurité de l'information de tous les secteurs d'activité. Que je me plonge dans les défis auxquels sont confrontées les équipes des services financiers, des biens de consommation ou de l'industrie lourde, j'ai été frappé par le fait que de nombreux risques de cybersécurité sont véritablement universels. Les risques de cybersécurité représentent une menace commune qui n'est pas discriminatoire ou préjudiciable. Tout le monde peut être une cible potentielle. Aussi terrifiant que cela puisse être, c'est aussi un facteur d'unité, qui rassemble la communauté de la sécurité autour d'un objectif commun : atténuer ce risque. À suivre Le thème de la RSA : "L'élément humain". L'une des préoccupations communes qui est ressortie de mes discussions avec les RSSI et les DSI était que les humains sont, essentiellement, des facteurs de risque ambulants. Mon point de vue sur cette négativité est en fait inversé. Je vois les humains - les employés - comme des ressources intégrales dans la lutte d'une organisation contre les fuites ou les violations de données, à condition qu'ils soient engagés correctement. Si vous cherchez des moyens de faire passer vos employés du statut de risques à celui de ressources en matière de sécurité, voici mes trois conseils : 1. Développer la sensibilisation et la formation pour lutter contre la négligence humaine. Les activités malveillantes sont, pour être franc, un sujet sexy dans le domaine de la sécurité. Dark web, pirates informatiques, acteurs étrangers malveillants - autant de sujets qui attirent l'attention. Pourtant, parmi les alertes de fuites de données les plus critiques que CybelAngel envoie à ses clients, 93% sont causées par la négligence. L'éducation des employés au-delà de l'identification des tentatives d'hameçonnage et de la protection de leurs mots de passe est essentielle pour réduire la négligence. L'introduction d'une formation sur les meilleures pratiques dans des domaines tels que le partage de données avec des tiers, l'évitement des outils non autorisés ou de l'informatique parallèle, la garantie d'une configuration correcte sur les plateformes en nuage et la manière d'utiliser en toute sécurité les appareils personnels tels que les disques NAS peuvent contribuer à réduire le risque de fuites par négligence de la part d'employés bien intentionnés. Pour aller plus loin, pourquoi ne pas partager les meilleures pratiques et le matériel de formation de votre organisation avec vos fournisseurs, partenaires et autres tiers ? Ils n'ont peut-être pas les mêmes ressources ou la même maturité que vos équipes, et le partage de ces connaissances les aidera à préserver la sécurité de vos données sensibles. 2. Cessez de penser que la technologie résoudra tous vos problèmes. La bonne technologie, qu'elle soit intégrée dans vos réseaux ou qu'il s'agisse de services fonctionnant en dehors de vos systèmes, contribuera sans aucun doute à réduire le risque de fuites de données. Mais elle ne peut pas faire tout le travail. L'une des choses que j'ai trouvées les plus excitantes lorsque j'ai rejoint CybelAngel, c'est qu'il y avait une intelligence artificielle et un apprentissage automatique robustes à l'œuvre dans la solution - un apprentissage automatique qui avait été affiné pendant plus de 5 ans, et qui continuait à être innové. Mais une fois que j'ai plongé dans mon travail de cyberanalyste au service de nos clients, j'ai réalisé que la technologie n'est pas une magie en soi. Il ne faut pas sous-estimer la valeur du contact humain. La technologie vous aidera à étendre votre couverture de sécurité, mais rien ne remplacera la valeur que les humains apportent à la contextualisation des risques et à la fourniture d'informations exploitables. 3. Veiller à ce que les équipes se concentrent sur le travail qui compte. Personne ne dispose jamais d'un budget ou de ressources suffisants. Les effectifs des équipes peuvent être difficiles à augmenter, et il est donc particulièrement important que les équipes de sécurité hautement qualifiées de votre organisation travaillent sur les bonnes choses. Comment cela aide-t-il à faire passer les humains du statut de risque de sécurité à celui de ressource ? Les employés chargés de la sécurité qui se débattent avec une bande passante surchargée ne pourront pas effectuer leur travail aussi efficacement, et des choses risquent de passer à travers les mailles du filet. Dans le cadre de mon travail avec les clients, je fournis des rapports d'incidents qui sont utilisés par les équipes SOC pour établir des priorités et orienter leurs activités. Comme ces rapports sont tous validés (pas de faux positifs ou de résultats simplement suspects), je reçois des commentaires selon lesquels je les ai aidés à éviter d'avoir à essayer de passer à travers le flot d'alertes sans valeur ajoutée que leur envoient d'autres fournisseurs de services de sécurité. Je vous encourage à examiner les domaines dans lesquels les compétences de vos équipes sont les plus fortes, et à vous concentrer sur la hiérarchisation de leur travail pour leur permettre d'y consacrer leur temps et leur énergie. La recherche d'adresses IP ouvertes dans Shodan, l'exploration ad hoc de noms de domaine, voire le travail de remédiation, ne constituent peut-être pas une utilisation stratégique de leur bande passante limitée et peuvent être externalisés. L'une des choses que j'ai préférées à RSA 2020, c'est d'avoir l'occasion d'entrer en contact avec des personnes du monde entier, issues de tous les secteurs d'activité, toutes animées par des objectifs communs en matière de sécurité. Comme beaucoup d'entre nous passent leurs journées devant un écran (ou plusieurs écrans !), le fait d'être ensemble en personne, de discuter, d'explorer et de partager nos idées a été d'une valeur inestimable. C'est exactement "l'élément humain" que j'apprécie tant dans mon travail en cybersécurité.