Récapitulatif des conseils pour mai 2021

NRZ.Digital
0 0

Bienvenue dans notre série, Cybersécurité Mensuel, où nous vous présenterons un résumé des mises à jour de l’un des experts en sécurité d’Impact, vCISO Humberto Gauna.

Vous découvrirez les tendances et les stratégies de sécurité des PME et comment vous pouvez améliorer l’approche de votre organisation pour garantir les meilleures pratiques de cybersécurité.

Si vous souhaitez en savoir plus, consultez les entrées précédentes dans le Cybersécurité Mensuel séries de février, mars et avril.

Regarde!

Image vectorielle d'ampoule sur fond orange |  Cybersecurity Monthly : résumé des conseils pour mai 2021

Jour commémoratif

Pendant mon séjour dans les Marines, j’ai perdu des frères et sœurs dont nous nous souvenons pendant le week-end du Souvenir. En leur honneur, je me concentre sur devenir meilleur.

J’ai utilisé le week-end non seulement pour réfléchir à la chance que j’avais de rentrer à la maison, mais aussi pour continuer à servir la société. En tant qu’expert en matière de sécurité, je suis heureux de fournir des conseils à ceux qui le demandent.

Le week-end commémoratif a également été un moment où je me suis consacré à l’apprentissage d’une nouvelle compétence : l’intelligence open source, ou OSINT.

J’ai eu la chance d’avoir travaillé dans des organisations qui disposaient de leurs propres équipes « Intelligence Gathering », qui fournissaient ensuite les informations requises.

J’apprends à pêcher, puis j’enseignerai aux autres à pêcher quand je serai compétent.

Qu’avez-vous appris le Memorial Day?

Lentement mais surement, on réussit

Tout ce que nous faisons doit être traité avec deux objectifs : la disponibilité du service et la livraison de produits sécurisés.

Nous avançons à la vitesse de la loi de Moore. Nous avons le « besoin » de mettre en œuvre de nouvelles technologies et de nouveaux services en tant que premiers sur le marché.

Et si nous étions les premiers à commercialiser de manière sécurisée ? Faisons-nous preuve de diligence raisonnable? Vérifié tout ce que nous pouvons et correctement la première fois ?

J’ai toujours dit à mes accusations, si vous avez le temps de refaire les choses, vous avez le temps de les faire correctement. Je comprends tout le modèle consistant à sortir les choses, à gagner de l’argent, puis à apporter des améliorations. Avec les profils de risque qui existent, cette méthode ne devrait plus être acceptable en cybersécurité.

Ne vous méprenez pas, j’apprécie la sécurité d’emploi que j’ai. La plupart de mon temps est passé à m’assurer que les bases de base de la sécurité sont mises en œuvre en premier, la phase d’exploration.

Passez ensuite à la phase de marche, qui consisterait à documenter et à mesurer.

La phase d’exécution est celle où les vrais experts viennent jouer, s’améliorant en fonction des besoins, de l’automatisation, des tests avancés et du bonheur (Remarque : il s’agit d’un point de vue personnel et les résultats peuvent différer sur une base individuelle).

Si vous faites, la diligence raisonnable est notre meilleur ami. Si vous mettez en œuvre, lent et régulier gagne la course.

Apprendre à prioriser

Que protégez-vous ? Avez-vous défini le niveau de protection dont vous avez besoin ? Avez-vous effectué une évaluation des risques pour vous aider à hiérarchiser vos ressources ?

Ce sont des choses qui sont nécessaires pour établir une analyse de rentabilisation pour un niveau de sécurité adéquat.

Tout n’a pas besoin d’une sécurité de niveau Fort Knox ; certains nécessitent une sécurité de niveau présidentiel, tandis que d’autres nécessitent une serrure à combinaison (trois disques). L’utilisation de la gestion des risques maximise les ressources lorsque cela est nécessaire tout en identifiant les risques, les processus et les lacunes.

Apprendre de l’ISACA a vraiment réorienté mon attention sur les évaluations des risques, les cadres, la mesure des risques et la communication de la valeur de l’atténuation des risques.

Il y a un élément que je suis coupable d’omettre : le troisième axe. La plupart des évaluations des risques se concentrent sur le niveau de conséquence et de probabilité. Ce qui manquait dans mes précédentes évaluations des risques, les occurrences par an et la valeur de chaque occurrence.

Deux choses que nous devrions nous concentrer sur la réduction, le niveau de conséquence et l’occurrence.

Pensez à vos mots de passe

Mai abrite de nombreux jours spéciaux, comme Cinco de Mayo et bien sûr Star Wars Day ! Le plus important pour nous en matière de cybersécurité, cependant, est la Journée du mot de passe.

Qu’est-ce que le jour du mot de passe ? C’est un rappel non seulement pour tous les internautes de vérifier et de modifier leurs mots de passe, mais c’est aussi un rappel pour les administrateurs d’aller vérifier leur politique globale de mot de passe sur leur entreprise.

Modifions également l’utilisation du mot de passe à mot de passe ! Même la Grotte des Merveilles nécessitait l’utilisation d’une phrase secrète.

L’utilisation d’une phrase secrète serait plus facile pour créer une chaîne de 16 caractères contenant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.

Considérons également le cycle de vie de la phrase secrète, 90 jours semble être la norme pour que les utilisateurs changent leurs mots de passe, ou phrase secrète, ce qui cause de la fatigue puisqu’ils en ont besoin d’un pour une douzaine de plates-formes ou plus. C’est beaucoup d’informations d’identification à maintenir.

Aidez vos utilisateurs finaux, procurez-leur un mot de passe ou un gestionnaire d’informations d’identification pour les aider à gérer ces mots de passe et ne pas les réutiliser sur différentes plates-formes.

L’un des principaux facteurs de compromission des comptes est la réutilisation des mots de passe. Aidez à arrêter cette pratique.

Les organisations doivent créer une liste de mots interdits à utiliser dans les phrases secrètes. Cette liste doit inclure les saisons, les noms d’organisations, les noms de projets et les années !

C’est tout de Humberto ce mois-ci pour la cybersécurité mensuelle. Pour en savoir plus sur la cybersécurité, vous pouvez regarder notre webinaire 2020 Cybersecurity in Review, où Humberto rejoint le directeur des services de sécurité du MIT d’Impact, Jeff Leder, alors qu’ils évaluent 2020 du point de vue de la sécurité, analysant les plus grandes violations et fournissant des informations précieuses sur ce que les entreprises peuvent faire mieux. Regardez ici.


Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleppy
Sleppy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

9 conseils pour aligner la création et le marketing pour de meilleurs résultats de contenu

Comme beaucoup dans le marketing, les créatifs font plus avec moins depuis longtemps. L’année dernière, cependant, a amené les choses à de nouveaux extrêmes. Malgré une réduction des ressources d’environ un tiers, tant dans le personnel (31 %) que dans les compressions budgétaires (31 %), plus de la moitié (58 […]

Abonnez-vous maintenant