Pour célébrer le dernier jour du Mois de l'histoire des femmes de cette année, LzBeth Malig, cliente d'Alyne et directrice de la sécurité de l'information et de la conformité chez Concord Technologies, s'est entretenue en exclusivité avec Tyler Gowen, responsable d'Alyne pour l'Amérique du Nord, afin de partager des informations sur l'industrie.
Entretien exclusif avec LzBeth Malig
Pour célébrer le dernier jour du Mois de l'histoire des femmes de cette année, LzBeth Malig, directrice de la sécurité de l'information et de la conformité chez Concord Technologies, s'est entretenue en exclusivité avec Tyler Gowen , responsable d'Alyne pour l'Amérique du Nord, afin de partager la manière dont Concord Technologies a utilisé Alyne pour rationaliser ses processus de sécurité de l'information et de conformité, ainsi que quelques idées sur l'industrie en tant que femme leader dans le domaine de la sécurité.
À propos de Concord Technologies
Concord Technologies est un acteur majeur du secteur, qui développe de nouvelles technologies d'intelligence artificielle. Concord a été fondée sur un principe simple : prendre soin des gens et faciliter l'échange d'informations. Au cours des 20 dernières années, Concord est passée d'une modeste entreprise gérée et exploitée à Seattle à une organisation internationale à laquelle plus de 200 000 utilisateurs font confiance pour leurs données critiques. Aujourd'hui, Concord est responsable de l'envoi et de la réception de millions de documents chaque jour dans les secteurs de la santé, de la technologie et des marchés financiers. Avec un taux de fidélisation des clients de 97 % et une fiabilité de livraison inégalée dans le secteur, Concord s'engage à être le partenaire auquel les organisations peuvent confier leurs données.
À propos de LzBeth Malig
Lzbeth Malig est une femme leader dans le domaine de la sécurité chez Concord Technologies. Elle considère la sécurité comme un catalyseur de l'activité plutôt que comme un centre de coûts. Elle est fermement convaincue que la sécurité doit être un équilibre entre le risque, la facilité d'utilisation et le coût, et que la pratique de la sécurité devrait être la norme dans toute organisation. LzBeth Malig travaille dans le domaine des technologies de l'information depuis plus de 20 ans et s'est toujours intéressée à la sécurité, qu'elle trouve extrêmement fascinante. Selon LzBeth, heureusement (ou malheureusement), ce n'est pas aussi excitant que ce que dépeint l'industrie du divertissement, et dans ce secteur, les méchants ne portent pas de sweat à capuche. Ils sont beaucoup plus sophistiqués. Dans le cadre de ses fonctions actuelles, elle se trouve derrière un bureau et lit et écrit beaucoup, car une grande partie de la sécurité concerne les politiques, les processus et les contrôles - elle collabore quotidiennement avec le service juridique en ce qui concerne les contrats et les accords. Elle travaille également au sein de l'entreprise pour le programme de gestion des risques, la continuité des activités, l'obtention d'approbations pour les "trucs" de sécurité, et elle est également chargée de diriger les audits annuels.
Comment Concord s'appuie sur Alyne pour rationaliser ses processus de sécurité de l'information et de conformité
Tyler : Quels étaient les plus grands défis auxquels votre organisation était confrontée avant d'utiliser Alyne ?
LzBeth : De nombreux outils de GRC fournissent une déclaration de contrôle sans fournir le contexte approprié. Ainsi, le département de sécurité de l'information et de conformité doit fournir des détails sur les contrôles, convertir chaque contrôle en une question, déterminer les artefacts nécessaires, etc. Cela demande du temps et des efforts.
L'une des capacités uniques d'Alyne qui a permis de résoudre ce problème est le format de question et de réponse d'Alyne qui facilite la documentation des contrôles, la mise en correspondance avec les réglementations et l'exécution des évaluations. Avec Alyne, outre la déclaration de contrôle, il existe une question d'évaluation spécifique, des options de réponse spécifiques à l'échéance et la possibilité d'automatiser la suggestion de preuves pertinentes pour étayer les réponses de l'évaluation. En outre, chaque sujet d'évaluation ou question individuelle peut être délégué à différentes personnes, de sorte qu'il n'est pas nécessaire de courir après les gens par courrier électronique. Cela permet de gagner du temps et d'améliorer l'efficacité opérationnelle.
Tyler : Comment votre organisation tire-t-elle parti de la solution d'Alyne ?
LzBeth : Actuellement, Alyne se concentre sur les évaluations des contrôles.
Tyler : Qu'est-ce qui rend Alyne unique ?
LzBeth : Une particularité que je trouve très utile est l'analyse des risques en aval. Alyne est le seul outil qui fournit une analyse automatique des risques en aval des évaluations de contrôle. Une fois que l'on a répondu aux questions d'évaluation spécifiques au contrôle, il y a une liste de risques potentiels soulevés à la suite de la réponse à l'évaluation. En effet, Alyne a mis en correspondance chaque contrôle avec une vaste bibliothèque de risques, ainsi qu'avec les réglementations, les lois et les normes internationales. Cela permet d'identifier des risques potentiels qui, autrement, n'auraient pas été définis.
Tyler : Quels conseils donneriez-vous aux décideurs lorsqu'ils choisissent une solution RegTech telle que la nôtre ?
LzBeth : Il existe de nombreuses solutions, il faut donc veiller à hiérarchiser les besoins avant de comparer les fournisseurs. Certaines solutions sont plus adaptées à l'analyse des risques, d'autres à la révision des processus, etc.
Tyler : Pouvez-vous nous dire comment votre organisation va utiliser les capacités d'Alyne ?
LzBeth : Nous prévoyons d'utiliser la fonctionnalité "Documents" d'Alyne pour créer et gérer des politiques nouvelles et existantes directement dans Alyne. Nous relierons nos politiques à la bibliothèque de contrôles d'Alyne afin que les mises à jour des politiques et des contrôles soient automatisées.
Faire carrière en tant que responsable de la sécurité à Seattle
Tyler : Vous avez déclaré : " Trop souvent, les responsables de la sécurité peuvent avoir la réputation de dire " non " par défaut. Comment s'assurer de ne pas avoir la réputation de dire non et que faire lorsque quelqu'un vous dit non ?
LzBeth : Je pense que je formulerais la question à la sécurité de l'information différemment. Au lieu de "Puis-je faire x?", j'aime penser à "Je dois faire x, comment pouvez-vous m'aider à le faire en toute sécurité ? j'aime à penser que c'est "J'ai besoin de faire x, comment pouvez-vous m'aider à y parvenir en toute sécurité ?" Avec une discussion ouverte, nous pouvons travailler ensemble pour trouver la solution optimale, même si ce n'est pas la solution que l'on a à l'esprit. La sécurité de l'information ne doit pas être et n'est pas un obstacle à la réussite, notre objectif n'est pas de rendre la vie difficile - croyez-moi, vraiment, notre objectif est d'équilibrer les risques et les opportunités.
Tyler : Vous êtes situé à Seattle, un centre technologique. Quelles différences régionales, s'il y en a, observez-vous dans l'approche des risques par les entreprises ?
LzBeth : Je ne pense pas qu'il y ait une grande différence, car nous sommes tous très connectés de nos jours. Seattle était un noyau de start-up et reste dans le top 10 national en termes de croissance des start-up. Comme les start-ups ont tendance à alimenter beaucoup de créativité et d'invention, à être plus agiles pour explorer les nouvelles technologies, peut-être y avait-il plus d'idées originales ? Cependant, Seattle abrite également deux des plus grandes entreprises technologiques du monde et dispose de ressources extrêmement mûres. Je pense qu'il y a un bon équilibre entre les approches fondamentales, conventionnelles et innovantes dans tous les domaines technologiques.
Le paysage actuel des risques
Tyler : Quel est actuellement le thème ou la question de risque le plus surestimé ?
LzBeth : Je vais maintenant m'attirer toutes sortes de controverses - ou d'ennuis. À mon avis, on met beaucoup l'accent sur les certifications plutôt que sur les capacités réelles en matière de sécurité. Le respect de certaines normes est un excellent point de départ, mais j'ai également vu beaucoup trop d'efforts pour obtenir des certifications. J'ai été confronté à ce genre de situation au cours de mes années d'audit : des employés "non formés" déplacés à d'autres étages pour éviter d'être soumis aux questions des auditeurs pendant la semaine d'audit. Si seulement l'entreprise consacrait autant d'efforts à la réalisation du travail réel.
En tant que professionnel de la sécurité, la raison d'être des certifications devrait être la réalisation d'une norme de sécurité, et non la stimulation des ventes. Cependant, en tant que dirigeant, je comprends également que les revenus sont la raison d'être de toute entreprise à but lucratif. C'est une divergence de longue date qui rend les choses intéressantes.
Tyler : Quel est le thème de risque qui ne reçoit pas l'attention qu'il mérite ?
LzBeth : Traitez-moi de paranoïaque, car je pense qu'il existe des risques inhérents aux processeurs informatiques eux-mêmes. Nous n'en entendons pas autant parler parce que ce n'est pas sensationnel et que l'impact est difficile à quantifier.
Voici quelques articles que LzBeth recommande aux professionnels de la technologie de lire :
L'évolution future du risque
Tyler : Comment le risque évoluera-t-il au cours des cinq prochaines années ?
LzBeth : Je pense que l'apprentissage automatique va continuer à renforcer la prise de décision humaine afin d'améliorer l'efficacité des outils de sécurité, d'aider à éliminer le bruit pour ainsi dire. Cela nous permettra, à nous les humains, de nous concentrer sur ce qui est important plutôt que de passer beaucoup de temps à essayer de trouver ce qui est important. La protection de la vie privée reste l'un des risques les plus importants pour de nombreuses entreprises. Avec la multiplication des réglementations en matière de protection de la vie privée dans le monde, il est difficile pour les entreprises de concilier toutes les lacunes possibles en matière de conformité.
Travailler à distance est devenu la norme pour la plupart d'entre nous aujourd'hui, et je pense que l'architecture de confiance zéro pour protéger les systèmes d'entreprise va se généraliser. Défendre le périmètre, en utilisant uniquement le nom d'utilisateur et le mot de passe, n'est plus suffisant. Il est donc essentiel de "ne jamais faire confiance, toujours vérifier" pour chaque requête, qu'elle soit à l'intérieur ou à l'extérieur du réseau. Le NIST SP 800-207 traite de la confiance zéro, Microsoft a des blogs consacrés à la confiance zéro, c'est à chaque RSSI de décider ce qui est le mieux pour son entreprise.
Tyler : Quelle est la capacité de risque qui n'existe pas aujourd'hui et que vous souhaiteriez voir exister ?
LzBeth : C'est intéressant. J'aimerais vraiment voir une signature numérique de courriel / un protocole de cryptage qui fonctionne avec tous les fournisseurs de messagerie / plateformes / clients. Je pense que la plupart du temps, la signature numérique ne fonctionne qu'au sein du même réseau / plateforme / fournisseur, sinon le courriel envoyé ne s'affichera pas correctement pour le destinataire. Dans mon cas d'utilisation, j'utilise les signatures numériques principalement pour la lutte contre l'usurpation d'identité et l'intégrité des messages. Il est frustrant de constater qu'elles ne fonctionnent pas toujours comme prévu.
Comment LzBeth fait-elle pour rester en tête dans son rôle ?
Tyler : Quelles ressources utilisez-vous pour obtenir des informations et des mises à jour pertinentes sur le secteur ?
LzBeth : Je fais partie de tellement de listes de diffusion que ce n'est même pas drôle ! Cependant, j'aime bien ICS-CERT, US-CERT, différents blogs, par exemple Tripwire, Cisco Talos, Heimdal, Guardian, etc. Je suis également les blogs de personnes comme Bruce Schneier, Troy Hunt, Marco Ramilli, qui couvrent un large éventail de sujets dans le domaine technique.
Tyler : Quelle est l'idée fausse la plus courante que les entreprises se font de vous et de votre rôle ?
LzBeth : Cela dépend vraiment de l'entreprise. J'ai des emplois où l'on me considère surtout comme une technicienne, où je prends des décisions techniques et, parfois, où j'aide les équipes techniques. Dans d'autres cas, je suis considérée comme non technique et je m'occupe principalement des questions juridiques et de conformité. La plupart des secteurs d'activité penseraient qu'elle répond aux questions de sécurité, qu'elle s'occupe de la sécurité des clients, qu'elle réalise des audits, qu'elle élabore des politiques et des exigences de sécurité, qu'elle explique le GDPR, le PCI, etc.
Cependant, je fais aussi beaucoup d'examens de solutions techniques, d'analyses coût-bénéfice, de mise en ligne de systèmes et d'analyses de l'architecture de sécurité.
Tyler : Quelle est la pratique la plus courante en matière de sécurité ou de risque que les gens mettent en œuvre, mais qu'ils ne mettent pas en pratique ?
LzBeth : Je ne note jamais le mot de passe. Je verrouille toujours mon ordinateur lorsque je quitte mon bureau.
