jeudi, 28 mars 2024

Jamil Farshchi d’Equifax : La sécurité ne devrait pas être un secret commercial

Jamil Farshchi (Equifax)

Crédit : Equifax

Le CISO d’Equifax, Jamil Farshchi, a levé les rideaux sur les opérations de cybersécurité, déclarant qu’il pense que « la transparence envers toutes les parties prenantes au plus profond du sens » produit une entreprise plus sûre et sécurisée.

« Si nous avons de la transparence, cela garantit que nous dépendons de snuff dans tous les aspects de notre programme. Cela garantit que personne ne regarde un journal de correctifs et déclare » Ce n’est pas une grosse offre « , car ils savent que tout le monde regarde , » il déclare. « Je pense que cela vous rend finalement plus sûr et que vous êtes capable de résister à toute sorte de ciblage. »

Farshchi n’est pas simplement en train de devenir philosophique : il partage en réalité des détails sur le travail que lui et son que le groupe fait, les risques auxquels il est confronté et les défis auxquels il est confronté.

L’entreprise, un société multinationale d’évaluation du crédit client, a publié en mars son rapport annuel sur la sécurité 2021. Il détaille les investissements financiers de l’entreprise en matière de cybersécurité et fournit des informations sur ses politiques et ses traitements.

« Si vous êtes un consommateur ou un financier, il ne devrait pas vous falloir une brèche pour découvrir l’offre d’une entreprise Les entreprises devraient être tenues de révéler l’état de leur propre cybersécurité », déclare-t-il.

Comme la plupart des RSSI expérimentés le comprennent, la technique de Farshchi n’a pas été la position historique de la profession. Au contraire, les fonctions de la fonction de sécurité ont généralement été non transparentes pour les groupes externes – en particulier les clients – en plus des unités de service internes et des collègues de la direction.

Cette opacité, cependant, a eu un coût.

« L’ouverture n’est pas la norme en matière de sécurité, et elle nous nuit. Elle perturbe les chaînes d’approvisionnement numériques, expose des vulnérabilités adressables, entrave notre intelligence collective, sape la bonne volonté et prolonge inutilement les temps de réponse », déclare Farshchi.

Poussés en partie par le niveau toujours croissant des risques, les RSSI et leurs équivalents exécutifs ont voulu voir l’intérêt pour chacun d’avoir une meilleure compréhension de la fonction de sécurité et de son importance.

« La sécurité par l’obscurité ne fonctionne pas »

Même les dirigeants nationaux exigent plus de partenariat et de coopération. Le président Biden a exigé davantage de partenariats dans son décret exécutif de mai 2021 sur l’amélioration de la cybersécurité de la nation.

La Securities and Exchange Commission (SEC) a proposé en mars 2022 un changement de règle « pour améliorer et normaliser les divulgations relatives à la gestion des dangers, à la technique, à la gouvernance et aux rapports d’incidents de cybersécurité par les entreprises publiques ».

Et le Congrès a adopté ce printemps sa loi sur le signalement des incidents cybernétiques pour les installations essentielles, exigeant que les entreprises du secteur des installations vitales alertent la Cybersecurity and Infrastructure Security Agency (CISA) dans les 72 heures suivant un cyber événement considérable et dans les 24 heures suivant un paiement dans les cas de ransomware.

Pris complètement, dit Farshchi, les actions actuelles représentent une avancée solide. Il pense qu’il faut faire plus si les entreprises et les communautés du pays souhaitent devenir plus protégées, appelant à plus de communication et de partenariat ainsi qu’à une augmentation du nombre de RSSI prêts à parler ouvertement de ce qui fonctionne en matière de cybersécurité et de ce qui ne le fait pas.

« Je ne pense pas que nous devions cacher quoi que ce soit », déclare Farshchi, décrivant qu’il pense que les organisations de sécurité doivent une telle franchise à leurs électeurs parce que sinon « c’est moi qui fais un choix de risque pour eux sans qu’ils le sachent même. L’idée de garder [cette information] sous clé et l’essentiel va à l’encontre de la raison. La sécurité par l’obscurité ne fonctionne pas. »

Il ajoute : « Nous avons fait notre part chez Equifax pour augmenter la transparence. »

Farshchi spécifie l’ouverture comme « fournir aux groupes constituants la présence dont ils ont besoin pour faire de bien meilleurs choix de sécurité. »

« Vous pouvez avoir un message différent pour différents publics », explique-t-il.

Pour les parties prenantes De manière générale, cela signifie fournir le rapport annuel (le rapport 2021 étant le deuxième rapport annuel) et expliquer comment l’entreprise progresse dans l’amélioration de la sécurité.

Pour les clients, cela signifie organiser des sommets d’information et discuter des contrôles et les meilleures pratiques en termes qu’ils comprendraient.

Pour la communauté de la sécurité au sens large, cela signifie héberger des instructions tirées des enseignements « pour donner un coup de main à d’autres organisations » et s’associer à d’autres, composées d’entités gouvernementales, « afin qu’ils puissent aider à élaborer des politiques qui peuvent aider l’univers plus large des parties prenantes », déclare Farshchi.

« Nous ne pouvons pas résoudre les cyber-obstacles d’aujourd’hui sans en parler et travailler ensemble », dit Farshchi. « La cybersécurité est déjà imprégnée d’une complexité et d’un secret suffisants ; nous ne devrions pas ajouter à ce problème en restant pacifiques ou en ne parlant que dans nos 4 murs.

 » Si nous voulons changer la tendance des attaques réussies- – si nous souhaitons rendre notre entreprise et nos quartiers plus sûrs – nous avons besoin de plus d’interaction, de plus de partenariat et de plus d’ouverture en matière de sécurité, pas moins. « 

Il inclut : « Nous avons en fait choisi cette méthode car la sécurité ne devrait pas être une astuce commerciale. »

Une condition requise pour le changement

En tant que CISO, Farshchi déclare qu’il comprend l’importance et la valeur de cette ouverture – et les problèmes produits lorsqu’elle n’est pas là.

Comme beaucoup de responsables de la sécurité aujourd’hui, il dit que son entreprise recherche des informations auprès de ses propres partenaires organisationnels et fournisseurs sur leurs programmes de sécurité pour s’assurer qu’ils satisfont à des exigences spécifiques et, par conséquent, limitent la possibilité d’introduire un danger supplémentaire pour Equifax.

Néanmoins, Farshchi reconnaît que de tels efforts ne sont pas toujours fournir des informations appropriées et l’exposition nécessaire pour faire des choix vraiment avisés.

Equifax a également été de l’autre côté : l’entreprise a subi une violation considérable en 2017, un événement extrêmement médiatisé qui a poussé les dirigeants de nombreux autres entreprises à améliorer leur sens de la cybersécurité et d investissements et ont incité une nouvelle technique de cybersécurité chez Equifax même.

Farshchi a rejoint Equifax en tant que CISO en février 2018 après avoir agi en tant que CISO chez The House Depot pendant 3 ans. Il est arrivé à Equifax avec une demande de changement.

« Il y a peu ou pas d’aspect de notre programme de sécurité qui n’a pas été totalement remanié par rapport à ce qui restait en place en 2017 », dit-il.

« Nous avons investi plus de 1,5 milliard de dollars pour restaurer nos systèmes de sécurité et de technologie à partir de zéro. Nous avons employé plus de 600 experts hautement qualifiés en cybersécurité pour protéger les données des consommateurs. Plusieurs scores indépendants montrent maintenant que notre maturité en matière de sécurité et sa posture surpassent toutes les moyennes significatives du marché. »

En plus de sa fonction chez Equifax, Farshchi siège au conseil d’administration du National Innovation Security Union, du Georgia Institute of Technology Institute for Information Security Privacy, et le Piedmont Park Conservancy à Atlanta.

Farshchi pense que la pression pour plus de transparence – de sa part, d’Equifax, d’autres responsables de la sécurité et du gouvernement – a la possibilité d’avoir un effet significatif et de générer une réelle amélioration.

Il souligne les actions de la SEC en matière de cybersécurité, déclarant qu’elles pourraient « changer la donne dans notre espace en forçant la cybersécurité dans la salle de réunion [avec] une modification des politiques motivant toute cette notion de transparence. »

« C’est substantiel, c’est une extension de ce que nous essayons de faire chez Equifax, mais à une échelle beaucoup plus grande. Je pense que cela peut garantir que les RSSI ont une place à la table et cela offre la possibilité à la sécurité de s’engager vraiment avec les membres du conseil d’administration. Dans de nombreuses organisations, ce n’est tout simplement pas le cas aujourd’hui. »

Une telle modification ne peut pas arriver assez tôt, selon Farshchi. Les organisations sont confrontées à beaucoup plus de dangers car elles finissent par devenir plus numériques. « Lorsque vous considérez l’effet que le cyber peut avoir sur une organisation – n’importe quelle organisation – et que vous envisagez la possibilité qu’une attaque se produise, il n’y a aucun danger plus important que celui-ci.

 » Et cela ne fera qu’augmenter à mesure que nous avançons. Et à partir de là, nous allons devoir nous rendre à un bien meilleur endroit en termes de sécurité. »

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici