211service.com
La loi de Yoran et Spaf
eWeek a un bon aperçu du premier principe d'administration de la sécurité de Spaf : Si vous êtes responsable de la sécurité mais n'avez pas le pouvoir d'établir des règles ou de punir les contrevenants, votre propre rôle au sein de l'organisation est d'assumer la responsabilité lorsque quelque chose de grave tourne mal.
Le principe a été publié pour la première fois dans le livre que j'ai co-écrit avec le professeur Gene Spafford de l'Université Purdue, Pratique UNIX et sécurité Internet . C'est directement applicable au cas d'Amit Yoran, qui a démissionné de la division nationale de la cybersécurité du département de la sécurité intérieure. Selon l'auteur Ben Rothke, Yoran manquait à la fois d'un titre important et d'une autorité appropriée, qui sont tout au gouvernement.
Personnellement, je pense que le problème de la cybersécurité doit être résolu en établissant lentement un consensus - non pas avec l'establishment de la sécurité informatique, mais avec les utilisateurs d'ordinateurs dans l'ensemble du gouvernement. Nous avons un problème très profond qui vient du déploiement d'une série de systèmes informatiques très difficiles à sécuriser. Réparer la situation va être un projet pluriannuel, un projet où l'autorité viendra du consensus, de la construction de ponts et de la force de persuasion des arguments, et non des organigrammes et des lignes budgétaires.
Toute l'approche du tsar de la sécurité du cyberespace est fondamentalement erronée. J'espère que la prochaine administration pourra démarrer les choses avec une nouvelle approche.
Je dois noter que j'ai co-écrit Pratique et sécurité UNIX avec le Dr Spafford, mais la loi n'appartient qu'à lui.