Une nouvelle solution au déficit de compétences en cybersécurité : intégrer la sécurité aux équipes opérationnelles

Les responsables de la sécurité tirent la sonnette d'alarme depuis des années sur la pénurie continue de compétences en cybersécurité. Même si les cyberattaques deviennent de plus en plus sophistiquées et fréquentes, les entreprises les équipes de la défense ont plus de mal à pourvoir les postes vacants. Le problème peut sembler insurmontable, mais il ne devrait pas l'être.

Une solution que peu d'entreprises ont envisagée consiste à extraire l'équipe de sécurité des opérations. Considérez à quel point le problème du déficit de compétences semblerait moins décourageant si la sécurité des entreprises se concentrait sur la gouvernance, la surveillance, la supervision et l'audit, tout en poussant la mise en œuvre et la gestion des systèmes de sécurité vers le équipes opérationnelles qui les utilisent.

Un tel changement serait dramatique. La fonction de sécurité d'entreprise se réduirait considérablement, à la fois en termes de personnel et de nombre de tâches spécifiques dont elle est responsable, mais elle deviendrait plus stratégique et plus efficace.

L'approche la moins efficace d'aujourd'hui

L'équipe de sécurité typique s'implique aujourd'hui dans toutes sortes d'activités opérationnelles. Par exemple, lorsque le groupe de développement crée une nouvelle application, le personnel de sécurité peut s'impliquer dans les détails de conception, les paramètres des technologies sous-jacentes et déterminer quels utilisateurs peuvent accéder aux serveurs de développement.

Mais l'équipe de sécurité centralisée peut ne pas disposer immédiatement des connaissances opérationnelles nécessaires pour prendre ces décisions. Ils peuvent avoir à consacrer beaucoup de temps à comprendre les moteurs commerciaux derrière l'application, la structure et l'expertise des membres de l'équipe de développement, etc.

Les responsables de l'équipe de développement ont déjà l'expertise requise dans les aspects opérationnels de la construction de leur solution. L'équipe de sécurité de l'entreprise possède une expertise dans les contrôles nécessaires pour prévenir des attaques spécifiques. Pourquoi pas laisser chaque groupe se spécialiser dans sa compétence de base?

Comment ça marcherait

Comme je l'envisage, l'équipe de sécurité pourrait prendre la responsabilité d'établir, à un niveau abstrait, les contrôles nécessaires pour protéger l'application, à la fois pendant le développement et après le lancement. Mais ils pourraient confier la responsabilité au groupe de développement de la construction de ces contrôles. L'équipe de développement peut décider des logiciels de sécurité et des configurations dont elle a besoin, définir des politiques de sécurité spécifiques et déterminer les autorisations des utilisateurs. Ensuite, l'équipe de sécurité de l'entreprise pourrait inspecter l'environnement de développement - et l'application résultante - pour s'assurer que les contrôles demandés ont été mis en œuvre et fonctionnent comme prévu.

Cette approche mettrait la prise de décision détaillée entre les mains des personnes les plus proches de ces décisions. L'équipe de sécurité aurait besoin d'en savoir un peu plus sur les technologies utilisées par le groupe de développement, mais la plupart du temps, il faudrait simplement qu'il s'agisse d'experts en contrôle qui définissent les attentes en matière de résultats de sécurité que les groupes d'exploitation devraient atteindre.

Pensez au contrôle d'accès. Comment les personnes doivent-elles s'authentifier pour entrer dans l'environnement de développement de l'entreprise ? Quelles informations d'identification sont suffisantes pour prouver qu'ils sont qui ils prétendent être ? Il est logique que le groupe de sécurité de l'entreprise soit responsable de la gouvernance de haut niveau du contrôle d'accès, mais il lui faudrait en apprendre beaucoup sur l'environnement de développement et l'équipe de développement pour répondre efficacement à ces questions. Pendant ce temps, les membres de l'équipe de développement ont déjà ces connaissances. Les laisser prendre les décisions dans les mauvaises herbes des politiques de contrôle d'accès de leur groupe n'est que logique.

Les processus de développement en sont un exemple. L'équipe de sécurité que j'envisage ne serait pas impliquée dans la construction de réseaux ; ils fourniraient les exigences de contrôle à l'équipe de mise en réseau, puis s'assureraient que ces exigences étaient respectées. Dans un environnement cloud, l'équipe de sécurité peut définir des attentes de haut niveau, puis effectuer une analyse d'inspection, à la recherche d'anomalies. Mais ce serait l'étendue de leur implication dans les décisions de sécurité du cloud.

Ce que ce changement signifierait

Évidemment, ma vision nécessiterait une restructuration totale de l'informatique. À certains égards, cela déplacerait davantage les activités de sécurité là où elles se trouvaient il y a un quart de siècle. À l'époque où la sécurité n'était généralement pas une fonction distincte, les entreprises enseignaient les meilleures pratiques de sécurité aux experts opérationnels en la matière dans toute l'organisation. L'expertise était largement distribuée, mais la sécurité n'était qu'une petite partie des responsabilités professionnelles de chacun.

La consolidation des activités de sécurité dans une fonction centralisée a créé des experts spécialisés sur le sujet. Ces professionnels hautement qualifiés et difficiles à trouver doivent se concentrer sur l'orientation générale de la stratégie de sécurité de l'entreprise, dicter les contrôles nécessaires pour prévenir certains types d'attaques et assurer la gouvernance et la surveillance pour garantir l'efficacité de ces contrôles.

J'aimerais voir l'industrie réévaluer si d'autres responsabilités plus opérationnelles - la maintenance de routine du pare-feu ou la configuration des applications SaaS, par exemple - sont appropriées pour le groupe de sécurité central. Je pense que ces tâches sont mieux adaptées aux personnes qui connectent, élaborent, conçoivent, mettent en œuvre et configurent les systèmes de l'entreprise. Ils ont l'expertise nécessaire pour prendre les bonnes décisions concernant la sécurisation des systèmes et des processus avec lesquels ils sont intimement familiarisés.

Une structure organisationnelle qui transfère les décisions de sécurité aux groupes opérationnels peut réduire certaines des responsabilités quotidiennes de l'équipe de sécurité. Cependant, cela élèverait également le niveau de prise de décision de l'équipe, libérerait du temps au personnel pour des activités plus stratégiques et fournirait une solution ordonnée au défi perpétuel de trouver des professionnels avec des informations d'identification spécifiques à la sécurité.

Intelligence de données générative

Une nouvelle solution au déficit de compétences en cybersécurité : intégrer la sécurité dans les équipes opérationnelles

L'approche la moins efficace d'aujourd'hui

Comment ça marcherait

Ce que ce changement signifierait

Évitez ces 5 erreurs courantes commises par tout novice en IA – KDnuggets

Les aéroports européens commémorent le 20e anniversaire de l'élargissement de l'UE, mettant en avant les avantages de l'aviation

Dernières informations

La Commission européenne et les autorités chargées des consommateurs combattent les allégations écologiques trompeuses de 20 compagnies aériennes – A4E répond

Hunter x Hunter : Nen x Impact révèle Genthru

Mise à jour « Thrills & Frills » de Disney Dreamlight Valley disponible cette semaine, notes de mise à jour et bande-annonce

Décoder le paysage des données : Dr Kiran R sur la science des données et l'innovation

Formation des pilotes 797 – Podcast Airplane Geeks

Le groupe Avianca annonce un bénéfice net de 13 millions de dollars au premier trimestre