CSO secret : Mike Wilkes, SecurityScorecard


Nom: Mike Wilkes

Organisation: Carte de pointage de sécurité

Titre d'emploi: RSSI

Date de début du rôle actuel : Août 2020

Emplacement: New York, NY, États-Unis

Mike Wilkes est un évangéliste de la technologie et responsable de la sécurité de l'information qui a construit, transformé et protégé des entreprises telles que ASCAP, Marvel, AQR Capital, CME Group, Sony, Macy's ainsi que des banques et des compagnies aériennes européennes. Diplômé de l'Université de Stanford, il est conférencier invité lors de conférences technologiques et professeur à l'Université de New York, enseignant des cours de cybersécurité. Passionné de jazz et musicien, il est également membre du conseil d'administration du National Jazz Museum de Harlem.

Quel a été votre premier emploi? Cuisinier à la commande au restaurant A&W Root Beer – prédit combien de hamburgers à mettre sur le gril alors qu'un break rempli de joueurs de baseball de la Petite Ligue arrivait.

Comment vous êtes-vous impliqué dans la cybersécurité ? J'ai toujours dû faire attention à infosec, mais ce n'était pas mon objectif jusqu'à ces dernières années. Le développement du premier site Web de Starbucks en 1998 alors que je travaillais chez Organic pendant le boom des dot com m'a fourni l'un de mes premiers souvenirs de cybersécurité réels et amusants. Microsoft a fait don du matériel pour le site afin qu'ils puissent revendiquer le droit de se vanter qu'il fonctionnait sur Windows et leur serveur Web IIS. Mais je savais qu'il tomberait après avoir effectué des tests de charge basés sur des mesures estimées de concurrence. Il s'agissait essentiellement d'un « site Web de brochure » ​​sans réelle capacité de commerce électronique. Ma propre nuit de repos serait sacrifiée si le site tombait en panne. J'ai décidé de mettre un serveur Sun Solaris exécutant Apache devant lui en tant que proxy inverse. Je ne voulais pas que quiconque le remarque, alors j'ai recompilé le démon httpd pour qu'il s'identifie en tant que serveur IIS dans les en-têtes.

C'était, en termes modernes, ma première utilisation de la tromperie à des fins de sécurité. Infosec repose sur trois piliers : disponibilité, intégrité et confidentialité. Le NIST a maintenant des conseils pour que les programmes de sécurité intègrent la tromperie dans leurs domaines de conception proactive, mais je l'ai fait par autoconservation. Avec le recul, je pense que c'était l'un de mes premiers pas réels pour devenir un RSSI pratique et à l'esprit technique. Mes premières expériences restent dans ma philosophie de la cybersécurité : cela doit être la responsabilité de tous même si seules certaines personnes ont le mot « sécurité » dans leur intitulé de poste.

Quelle a été votre éducation ? Détenez-vous des certifications ? Que sont-ils? Les écoles publiques de Pittsburgh, PA, puis une banlieue de Milwaukee, WI. Diplôme de premier cycle à l'UW-Madison et maîtrise de Stanford en philosophie de l'éducation. J'ai une certification ITIL de 2013.

Expliquez votre cheminement de carrière. Avez-vous fait des détours ? Si oui, discutez. Oui, j'ai bien fait un détour. Mon premier vrai travail a été dans un groupe de réflexion du ministère américain de l'Éducation. J'ai géré des programmes de technologie éducative K-12 pour plusieurs États occidentaux, diffusant des informations sur des programmes de technologie modèles, des programmes d'apprentissage à distance et des subventions de technologie éducative. Mais après environ un an là-bas, j'ai réalisé qu'il n'y avait pas grand-chose que je puisse faire pour changer réellement l'éducation. Il y avait plus d'ordinateurs dans les bennes à ordures de Palo Alto que dans les salles de classe à l'époque. J'ai donc renoncé à ma servitude sous contrat au think tank et mon hobby des ordinateurs est devenu ma carrière. J'ai commencé à travailler dans une entreprise très prémonitoire appelée Internet Profiles, auditant le trafic Web des principales propriétés de l'époque comme Yahoo!, Geocities, Netscape, Microsoft et des centaines d'autres sites financés par la publicité. À partir de là, j'ai utilisé mes connaissances en analyse Web pour décrocher un emploi dans la société de conception Web Organic.

J'ai survécu à cinq séries de licenciements lorsque la bulle s'est effondrée, puis un jour, j'ai décidé de quitter le bio et de déménager en Europe pendant un an ou deux. J'ai fini par y vivre et y travailler pendant onze ans ! Je suis retourné aux États-Unis en 2013 et j'ai rejoint le groupe CME. Après cela, j'ai dirigé l'équipe d'infrastructure chez AQR Capital et j'ai aidé à construire et à améliorer la pile technologique de leur fonds spéculatif de 184 milliards de dollars. Ensuite, j'ai dirigé les équipes de devops, d'architecture d'entreprise et d'infosec chez Marvel, j'ai construit un programme de sécurité à partir de zéro pour ASCAP et je dirige maintenant la sécurité pour SecurityScorecard. Ce fut un voyage incroyable, travailler dans tant d'industries et de secteurs différents, du voyage à l'énergie en passant par les services financiers, le divertissement et maintenant avec un fournisseur de sécurité. Mais à travers tout cela, j'ai toujours prêté attention à la sécurité, à l'infrastructure et aux équipes qui ont littéralement construit Internet.

Y a-t-il quelqu'un qui vous a inspiré ou encadré dans votre carrière ? J'ai vraiment eu la chance d'apprendre de tous ceux avec qui j'ai travaillé au fil des ans. Personne en particulier n'a été mon mentor, mais je peux honnêtement dire que tout le monde a quelque chose à enseigner. Nous devons juste nous assurer que nous sommes capables de l'entendre et d'intégrer l'expérience et les capacités des autres dans notre propre chemin de conscience de soi et d'amélioration de soi. Maintenant, je suis plus soucieux de transmettre ma propre expérience et mes idées aux autres. C'est pourquoi j'ai commencé à enseigner l'année dernière à NYU. La capacité d'aider à influencer la prochaine génération de professionnels de l'infosec est vraiment excitante, surtout lorsque je parle de philosophie avec eux dans le cadre de mes cours et de mes devoirs. Être un bon technologue ou un bon leader de la sécurité n'est pas seulement une question d'outils, de scripts et de technologie. Il s'agit aussi d'appliquer l'éthique, la psychologie et la logique.

Selon vous, quel est l'aspect le plus important de votre travail? J'ai entendu des réponses intelligentes à ce genre de question que j'aime transmettre à tous ceux qui lisent ce profil. Nous ne devrions pas être en train de déployer des fonctionnalités de sécurité, nous devrions être en train de déployer des fonctionnalités en toute sécurité. Infosec ne doit pas être perçu comme un obstacle sur le chemin du développement à la production ; il doit être intégré dans l'ensemble du SDLC, de la conception et des exigences à la mise en œuvre. En tant que managers, nous exécutons un plan, en tant que leaders, nous gérons la rareté et en tant que dirigeants, nous gérons l'ambiguïté. Je crois que c'est mon travail de m'assurer d'aider à créer davantage d'ingénieurs et de leaders en sécurité.

Quelles métriques ou KPI utilisez-vous pour mesurer l'efficacité de la sécurité ? Cela dépend un peu de l'industrie ou de l'entreprise, car les actifs qui doivent être protégés varient. Quand je travaillais chez Marvel, j'ai plaisanté en disant que c'était mon travail de garder Iron Man en sécurité. Il est la propriété intellectuelle et un modèle pour beaucoup. Une sécurité si efficace dans ce cas consiste à s'assurer que nous disposions d'une authentification multifacteur sur nos comptes de réseaux sociaux pour lui et pour tous les autres héros, dieux et mutants. Nous ne pouvions pas laisser une violation conduire ces comptes à tweeter quelque chose de peu recommandable ou hors marque. À l'ASCAP, il s'agissait de protéger les moyens de subsistance de 800 000 membres et leurs paiements de redevances. Maintenir la confiance dans l'organisation pour protéger la communauté contre la fraude n'était qu'une des nombreuses mesures quantifiables à suivre.

La pénurie de compétences en sécurité affecte-t-elle votre organisation ? Quels rôles ou compétences trouvez-vous les plus difficiles à remplir ? Heureusement, non. Nous recherchons toujours les meilleurs talents pour rejoindre notre entreprise – et bien que je trouve que la pénurie globale de compétences est problématique – SecurityScorecard a réussi à recruter, attirer et retenir des professionnels talentueux pour nous aider à développer notre plate-forme et à remplir la mission d'aider à faire le monde un endroit plus sûr. Je suis un gestionnaire de recrutement difficile, cependant. Seulement environ 3% de mes écrans de téléphone parviennent au deuxième tour. Et c'est généralement un appel téléphonique de 20 minutes pour prendre une décision.



Source link

On voit clairement qu’il est vraisemblable de se lancer dépourvu argent et sans connaissance technique particulière. Je vous conseille de vous jeter rapidement en dropshipping et de impérieusement ne pas mettre trop d’argent sur votre site. Il vous faut particulièrement avoir un budget marchéage pour exécuter venir les visiteurs sur votre boutique : c’est le tendon de la guerre. Car tel que nous-mêmes l’ai dit, vous pouvez avoir la plus belle boutique. Sans trafic, vous ne ferez ne de chiffre d’affaires. Une que vous aurez testé, votre marché vous allez pouvoir alors soudoyer un stock.