Nom : Howard (Chaim) Taylor
Organisation : Radware, Ltd.
Intitulé du poste : RSSI
Date de début du poste actuel : février 2019
Lieu : Tel Aviv, Israël
Howard Taylor a plus de 40 ans d'expérience dans l'infrastructure informatique, la gestion des opérations, la sécurité des informations et la gestion des risques technologiques. Avant de rejoindre Radware, Taylor a été consultant principal pour BDO Israël, où il a soutenu à la fois des start-ups de haute technologie et de grandes entreprises, telles que Teva et Amdocs. Avant son déménagement en Israël, Taylor a eu une carrière de 29 ans en tant que vice-président de la gestion des risques technologiques chez JPMorganChase. Taylor a été l'un des premiers CISO du secteur bancaire, responsable de l'établissement de la stratégie de sécurité pour la présence initiale de l'entreprise sur Internet, de l'élaboration des politiques et de la conformité réglementaire.
Quel était votre premier emploi ? Pour payer mes études universitaires, j'ai travaillé pour le centre de données de l'université de New York, en programmant leur système de facturation informatique. C'est là que j'ai développé mon amour pour le matériel informatique et les systèmes d'exploitation.
Comment vous êtes-vous impliqué dans la cybersécurité ? Au bon vieux temps, il y avait un dicton : "Rien ne se passe sans un mauvais audit !" Un auditeur externe était prêt à fermer une importante application de transfert/compensation de fonds à moins que tous les contrôles (sécurité, gestion des modifications et continuité des activités) ne soient considérablement améliorés. Ils nous ont donné un an pour accomplir un miracle, et j'ai été chargé de le faire ! J'ai mis sur pied la première équipe de gestion des risques technologiques de mon entreprise.
Quelle a été votre formation ? Avez-vous des certifications? Quels sont-ils ? J'ai un B.S. en informatique de la City University of New York, School of Engineering. Je n'ai jamais eu le temps de poursuivre des certifications car j'avais toujours trop de travail dans la file d'attente. Cependant, je recommande fortement la certification CISSP pour les aspirants RSSI.
Expliquez votre parcours professionnel. Avez-vous fait des détours ? Si oui, discutez-en. Mes débuts dans la gestion de l'infrastructure informatique m'ont fourni les meilleures bases pour devenir un professionnel de la gestion des risques. Je connaissais les processus et les procédures de bout en bout. J'ai compris les enjeux de sécurité et j'ai rapidement noué les relations nécessaires pour y faire face. Une fois que j'ai quitté JPMorganChase pour devenir consultant, ces compétences ont vraiment porté leurs fruits. J'ai pu passer rapidement d'un client à l'autre et d'une technologie à l'autre. Maintenant, en tant que CISO pour Radware, une société de sécurité leader du secteur, je suis satisfait de la direction que ma carrière a prise. Aucun détour à signaler.
Y a-t-il quelqu'un qui vous a inspiré ou encadré dans votre carrière ? Lors de ma première mission de gestion des risques chez JPMorganChase, j'ai travaillé en étroite collaboration avec deux associés principaux d'un grand cabinet comptable. Ils approchaient de la retraite et me voyaient comme faisant partie de la nouvelle génération pour continuer leur mission de sécurité et de gestion des risques. Après de nombreuses discussions animées et beaucoup de travail acharné, nous avons considérablement amélioré l'environnement de contrôle et maintenu l'entreprise en activité ! Ils m'ont enseigné une approche qui m'est restée jusqu'à aujourd'hui. Les principes de base ne se démodent jamais.
Quel est selon vous l'aspect le plus important de votre travail ? Maintenir l'équilibre ! Le RSSI doit répondre à de nombreuses exigences, même si certaines entrent en conflit avec d'autres. Par exemple, la R&D a besoin d'un accès largement ouvert à tout, de partout. Les clients exigent des contrôles plus stricts et une surveillance étendue. Les services métier de base doivent être protégés contre les menaces internes et externes. Le RSSI doit évaluer ces objectifs et définir les moyens d'harmoniser le chaos.
Quelles statistiques ou KPI utilisez-vous pour mesurer l'efficacité de la sécurité ? Ne pas voir vos incidents de sécurité signalés en première page est un excellent KPI ! (Je rigole). Définir et suivre les bons KPI de sécurité reste un défi. Les KPI du programme de Radware se concentrent sur les bases, telles que l'état de mise à jour du système d'exploitation de gestion des correctifs, l'avancement des plans de correction, les temps de réponse aux incidents et les statistiques de formation à la sensibilisation à la sécurité. Ce ne sont peut-être pas les KPI les plus excitants, mais ce sont des indicateurs significatifs de la santé et du succès de la sécurité du programme.
La pénurie de compétences en sécurité affecte-t-elle votre organisation ? Quels postes ou compétences trouvez-vous les plus difficiles à pourvoir ? Radware a la réputation d'être un lieu de travail formidable. Nous avons également une excellente équipe de recrutement RH. Alors, ça peut prendre un peu de temps, mais ils arrivent à trouver les meilleurs candidats.
La cybersécurité est en constante évolution : comment continuez-vous à apprendre ? Radware est une société de sécurité, composée de nombreux experts prêts à partager leurs connaissances. Outre le partage d'informations internes, Radware propose des livres blancs, des webinaires et d'autres informations au public via le site Web Radware.com.
Quelles sont les conférences sur votre liste des incontournables ? Je n'ai jamais trouvé de conférences d'une grande valeur. Si je n'ai pas l'information dont j'ai besoin à la maison, je passe quelques appels pour la trouver.
Quelle est la meilleure tendance actuelle en matière de cybersécurité ? Le pire ? Je pense que la meilleure tendance est l'accent nouvellement mis sur l'entretien ménager de base, comme la gestion des correctifs. Cela a été mis au premier plan par l'incident de Solar Winds. La racine de nombreuses cyber-infractions est un mauvais cyber-entretien. La pire tendance actuelle consiste à tenter de mettre en œuvre « l'automatisation des processus » sans avoir des processus bien définis. Certains RSSI considèrent les outils comme un moyen de mieux sécuriser leur environnement. S'ils n'ont pas d'objectifs et de processus de contrôle définis, les outils peuvent ne pas fournir le retour sur investissement qu'ils attendent. Un gaspillage de ressources évitable.
Quel est le meilleur conseil de carrière que vous ayez jamais reçu ? Le meilleur conseil de carrière a été de quitter ma zone de confort de l'infrastructure informatique et de passer à l'espace de la sécurité et de la gestion des risques.
Quel conseil donneriez-vous aux futurs responsables de la sécurité ? La cybersécurité est un catalyseur pour les entreprises ! Travaillez en étroite collaboration avec votre entreprise et trouvez des moyens de mettre en œuvre leurs exigences de manière sécurisée. Bref, évitez de dire NON !
Quelle a été votre plus grande réussite professionnelle ? J'y travaille toujours ! Je reçois une immense satisfaction de voir le succès des jeunes professionnels de la cybersécurité avec qui j'ai travaillé.
Avec le recul de 20 h 20, qu'auriez-vous fait différemment ? PAS UNE CHOSE !
Quelle est votre citation préférée ? "Il n'y a rien de nouveau sous le soleil" Roi Salomon. Que lisez-vous maintenant ? Un roman policier - Schrems II. Pendant mon temps libre, j'aime… Faire des randonnées dans la nature avec ma famille et photographier le magnifique pays dans lequel je vis. La plupart des gens ne savent pas que j'ai… monté et entraîné des chevaux de concours (selle anglaise). Demandez-moi de faire quoi que ce soit, mais… cela doit être conforme à la politique ! |