Le CISO pour le comté de Los Angeles, accusé de sauvegarde 38 départements et de 100 000 employés, partage des conseils sur le partage d’informations inter-agences, les audits en cours et la formation de sensibilisation agressive.
Il a coûté à un comté de San Bernardino voisin 1,1 million de dollars pour résoudre une attaque de ransomware contre le département de son shérif plus tôt cette année. Jeff Aguilar, le directeur de la sécurité de l’information du comté voisin de Los Angeles, espère empêcher un sort similaire dans l’un des 38 départements du comté qu’il a accusés de sauvegarde.
Aguilar, qui a occupé des postes de sécurité de haut niveau dans le comté de LA depuis 2018 et est devenu son CISO l’année dernière, est très conscient de la vulnérabilité croissante des agences fédérales, étatiques et municipales – les cyberattaques ciblant le secteur public ont augmenté de 40% au deuxième trimestre de 2023 au cours de la même période l’année précédente. Et bien que le comté de Los Angeles ait jusqu’à présent évité un incident majeur, Aguilar sait que le maintien de ce dossier nécessitera une diligence, une résolution et – c’est essentiel – la communication et la coordination convaincantes avec les pairs de l’industrie ainsi que les employés du comté sous sa montre.
Cela aide avec les efforts d’analyse comparative de son propre département, pour être sûr. Et plus que ça.
En fait, contrairement à de nombreux CISO, il croit fermement à partager des idées utiles qui pourraient aider d’autres agences gouvernementales et gouvernementales locales à contrer les menaces. Cette volonté d’entendre et de partager des points de vue variés est peut-être supportée par son propre CV varié, qui comprend des séjours dans le gouvernement, les soins de santé, les services financiers et les transports.
Focal Point a rattrapé Aguilar pour en savoir plus sur son approche collaborative et ce qui fait de lui l’un des principaux chefs gouvernementaux du pays.
À première vue, la structure de rapports du comté de Los Angeles – qui rapporte à qui – semble, bien, assez complexe.
Nous avons un modèle fédéré: je relève du CIO du comté. Chaque département agit comme une entreprise indépendante et possède son propre CIO et responsable de la sécurité de l’information. Leur travail consiste à adopter les politiques et la stratégie de cybersécurité que mon équipe énonce au niveau du conseil d’administration.
J’ai deux députés qui me relèvent et j’en embauche deux autres. Nous organisons le comté en grappes (à des fins opérationnelles), chaque cluster représentant un domaine spécifique de notre entreprise. Ainsi, par exemple, les soins de santé sont une ligne d’activité et les forces de l’ordre en sont une autre. Mes députés couvriront différents grappes en fonction de leurs compétences et des besoins des grappes. Nous établissons les garde-corps de la cybersécurité dans une perspective de haut niveau et les départements travaillent au sein de ceux-ci.
Le LA Unified School District et la LA Housing Authority ont récemment subi des violations de données. Lorsque vous voyez ces choses si près de chez vous, cela soulève-t-il des sonnettes d’alarme pour vous?
Oui, toute organisation avec des données sensibles est une cible potentielle.
Je parle à beaucoup d’État et de cisos municipaux locaux. Nous partageons constamment des leçons apprises et demandons: «Qu’est-ce qui a fonctionné, qu’est-ce qui ne l’a pas fait, et que puis-je imiter pour que je n’ai pas à réinventer la roue?» Je pense que c’est l’une des choses que, peut-être, le comté de LA fait différemment des autres agences gouvernementales. Nous poussons la collaboration au gouvernement. Il y a la transparence.
Évidemment, je ne veux pas entrer dans les mauvaises herbes avec ce que nous faisons spécifiquement. Mais nous avons constamment de grandes discussions, en particulier autour de la stratégie et de la réponse aux incidents, d’un point de vue régional.
Vous supervisez la politique de cybersécurité pour les départements avec plus de 100 000 employés. Tout ce qu’il faut, c’est l’un de ces départements pour aller Rogue pour une bonne planification pour aller sur le côté. Comment assurez-vous la conformité?
Oui, c’est un défi. Heureusement pour nous, nous sommes constamment sous audit interne. Je sais que beaucoup de gens ne considèrent pas les audits comme l’ajout de valeur. Mais je le fais parce que vous ne savez que ce que vous savez, et les audits sont un excellent moyen d’assurer la conformité et d’identifier les lacunes.
Ainsi, notre département faisant ces audits fonctionne à travers une liste de contrôle. Ils recherchent une conformité contre la politique du conseil d’administration interne. Nous avons des directives technologiques et des normes. Chaque département est examiné et doit ensuite être validé par rapport à ces politiques et directives. C’est en cours. Chaque département est frappé plusieurs fois par an.
Et puis, de temps en temps, nous verrons également un audit fédéral.
Avec nos audits internes, je montre souvent où je pense que les lacunes pourraient exister et leur laisser voir ce qu’ils peuvent trouver. Une fois leur rapport, nous créerons généralement un plan d’amélioration. Cela augmente la chaîne de leadership de l’organisation à des fins de sensibilisation. De cette façon, nous savons que nous obtenons la bonne attention à résoudre quels que soient les problèmes.
Avec autant d’employés du comté, vous devez avoir vos mains pleines.
À coup sûr. L’un des principes de sécurité fondamentaux est la personne – l’employé – est toujours le maillon le plus faible.
Les organisations jettent des millions de dollars dans un environnement de contrôle, et ils peuvent tous être contournés par un seul clic manqué. Donc, nous avons été extrêmement agressifs avec une formation de sensibilisation à chaque secteur d’activité individuel – car la façon dont les affaires se font d’un département à l’autre pourrait être complètement différente.
Pour le Mois national de la sensibilisation à la cybersécurité, nous parlons aux employés et faisons venir des vendeurs et des chefs de file de l’industrie pour partager les leçons apprises ainsi que pour partager des DO de sécurité et à ne pas faire. Et je pense que nous sommes devenus mieux à raconter l’histoire.
Nous demandons aux utilisateurs finaux de se soucier de ces erreurs de clics en créant une réponse émotionnelle qui va au-delà de l’environnement du comté. Ils peuvent prendre ce qu’ils apprennent à la maison et l’appliquer dans leur vie personnelle.
Nous avons la saison des achats des Fêtes à venir, par exemple, et il y aura une augmentation entière des tentatives de phishing qui prétendent provenir, disons, Amazon Marketplace, eBay, l’IRS ou tout ce dont ils auront besoin pour faire attention pour. Les gens voient ces choses et ont une réponse émotionnelle et pourraient simplement cliquer sans réfléchir. Nous avons vraiment augmenté notre programme pour aider à les éduquer sur de telles choses, à la fois au travail et à la maison.
Comment savez-vous si votre formation à la sensibilisation est efficace?
Nous effectuons un forage constant. Nous faisons des dessus de table. J’ai des tarifs de clic pour chaque département et un roll-up au niveau du comté. Je suis capable de tendance cette année après année, et nous ajustez la formation là où cela a du sens. Nous ne faisons pas de formation à la biscuit qui est la même chaque année. Nous l’ajusterons aux hotspots de l’industrie et aux points chauds du comté.
Ainsi, par exemple, nos campagnes de phishing sont un peu différentes de ce qu’elles l’étaient en ce moment parce que nous entrons dans une élection principale l’année prochaine. Nous avertissons les employés des e-mails de phishing avec des messages destinés à les faire avancer, comme: «Votre affiliation du parti a changé; Cliquez sur ce lien si vous n’aviez pas l’intention que cela se produise. «
Nous examinons toujours les problèmes régionaux et géopolitiques et ajustez périodiquement notre formation en conséquence.
Faites-vous quelque chose comme des chasses sur les menaces pour trouver des vulnérabilités potentielles?
Oh oui, bien que nous sous-traitons des choses comme ça à cause du niveau d’expérience dont il a besoin. Nous essayons de développer cette compétence en interne. Mais pour nous, il est logique d’avoir des partenaires de confiance pour aider à des exercices de menace. La chasse aux menaces est un excellent outil, et ce n’est pas nouveau. Mais il est probablement encore assez nouveau pour la plupart des agences gouvernementales, car elle implique la gestion des points finaux et un niveau d’expertise spécifique, qui peut être complexe.
Je suis un grand fan du framework Mitre ATT & CK (une référence de tactiques et de techniques couramment utilisées par les attaquants pendant les intrusions de réseau), et nous faisons beaucoup de dessus de table, en fonction du paysage de menace que nous voyons, pour identifier ce qui pourrait se produire à l’intérieur notre région ou d’autres juridictions.
Encore une fois, tout revient à la collaboration. Parce que si la ville de Los Angeles est frappée par quelque chose qui pourrait être lié à nous, cela pourrait également se produire à Pasadena, Santa Monica, Burbank ou ailleurs.
Parlez-nous d’une dure leçon que vous avez apprise l’année dernière.
Eh bien, heureusement, nous n’avons pas eu de gros incidents. Mais nous sommes préoccupés par la gestion des risques de la chaîne d’approvisionnement et pour essayer de s’améliorer.
Le piratage de Solarwinds (où les pirates ont inséré du code malveillant dans des logiciels couramment utilisés pour enfreindre des dizaines de milliers de réseaux gouvernementaux et d’entreprises) a mis cela à la lumière. Nous sommes un grand comté. Nous avons beaucoup de vendeurs. Donc, se mettre au courant du risque de la chaîne d’approvisionnement est essentiel pour nous. Nous demandons toujours: «Quel est notre risque tiers? Quel est le risque tiers dans tout le paysage? Et comment valider les fournisseurs respectés à nos exigences de sécurité? »
Pour y remédier, nous avons créé quelque chose appelé notre exposition de sécurité et de confidentialité, qui présente les engagements et l’accord du comté et des entrepreneurs pour respecter leurs obligations en vertu des lois, règles, règles ou réglementations fédérales applicables, ainsi que les normes de l’industrie applicables concernant la confidentialité. Il entre dans tout, des audits à la réponse des incidents, etc.
Nous avons un addendum pour différents services cloud, et pour le moment, nous le réécrivons pour aborder également l’utilisation de l’IA générative parce que nous sommes convaincus qu’il est là pour rester. En fait, nous voulons mettre en place des garde-corps pour cela maintenant pendant qu’il y a du temps.
Comment restez-vous en avance sur la courbe de ces nouvelles technologies émergentes?
Je pense que la plupart des cisos ont le même manuel pour cela. Nous nous parlons et nous faisons attention à ce qui se passe dans l’industrie.
Étant le CISO pour une organisation gouvernementale, je reçois également beaucoup de mémoires des partenaires fédéraux, notamment MS-ISAC (le centre de partage et d’analyse d’informations multiples).
Il y a beaucoup d’informations utiles qui sortent de tout cela. Nous avons également des réunions mensuelles avec le FBI pour avoir une bonne idée de ce qui se passe du point de vue de la menace nationale. Et puis, il y a votre propre curiosité. En examinant les implications de quelque chose comme Chatgpt, qui prend de l’ampleur, et en regardant vers l’avenir et en pensant à la sécurité dans un monde informatique quantique.
Les dirigeants forts ont la prévoyance de regarder ces choses prêtes à l’emploi et de considérer la prochaine étape. Ils ne sont peut-être pas ici aujourd’hui, mais vous devez comprendre ce qui pourrait arriver s’ils arrivent.
Apprenez à protéger vos points de terminaison critiques et vos charges de travail cloud avec la plate-forme Tanium.
