Month: September 2017

Kantoku: Fin du projet et retour possible

This post was published when this blog was also in French. This post is available in English.

Kantoku logoKantoku était une application autohébergée pour les entreprises afin de pouvoir gérer facilement leur gouvernance, risque et conformité TI (GRC). Comme mentionné dans une publication précédente, j’ai développé cette application pendant les premiers mois de 2016. Au début du projet, c’était une solution Software-as-a-Service (SaaS) avec une infrastructure en haute disponibilité sur AWS. Toutefois, j’avais rapidement décidé de retirer cette infrastructure en arrière de la solution SaaS. Principalement une question de priorités dans mes projets. Dans le but de garder le projet actif, une alternative était de toujours offrir Kantoku, mais en tant qu’application autohébergée. Dans ce cas, il était possible pour les entreprises de faire l’acquisition d’une licence et d’installer l’application sur ses propres serveurs.

Fin du projet

J’ai principalement développé cette application pour aider les petites et moyennes entreprises (PME) à gérer plus efficacement leur GRC TI. Même les PME ont des exigences de conformité à respecter. Ma stratégie était de pouvoir cibler un marché très spécifique afin d’offrir une alternative aux autres solutions pour les grandes entreprises. Une application plus simple et abordable pour tous. C’était aussi un complément intéressant de mes services-conseils. Toutefois, j’ai oublié de considérer les deux situations suivantes:

Petites et Moyennes Entreprises

Les PME sont déjà chanceux s’ils ont une personne à l’interne qui est conscient des principaux concepts de la GRC TI. Ils ont possiblement un consultant qui s’occupe de mettre en place les éléments de la GRC. C’est probablement plus rentable pour les entreprises qu’avoir un employé à temps plein. Leurs besoins de GRC ne sont donc souvent pas suffisamment complexes pour justifier l’implémentation d’une application dédiée. Ils préfèrent travailler avec plusieurs documents et ne pas perdre trop de temps à apprendre une nouvelle application. Les PME ne voient pas nécessairement les bénéfices à surveiller leur GRC et je peux très bien comprendre. Ils doivent se concentrer sur les principaux besoins de leurs organisations où il sera possible de générer de nouveau revenu.

Je dois aussi admettre que la vente n’est pas nécessairement une de mes forces. Je dois vraiment être convaincu que mon produit et/ou service sera bénéfique pour le client. Sinon, je ne veux pas vendre n’importe quoi à mes clients et ce n’était malheureusement pas le cas avec Kantoku. La plupart des entreprises ont principalement un besoin en services-conseils sur leurs stratégies de GRC. Évidemment, je vois un avantage pour eux d’avoir un consultant externe pour les guider dans cet univers. Pas une application qu’ils vont à peine savoir utiliser. Si je dois insister trop dans mes explications à propos des fonctionnalités d’une solution, peut-être que ce n’est pas la bonne solution pour le client.

Grandes Organisations

Pour les grandes organisations, ils ont souvent le budget pour acquérir une solution bien connue avec toutes les fonctionnalités avancées tel que RSA Archer, Resolver, MetricStream, Reciprocity, etc. C’est vraiment difficile de compétitionner avec des solutions qui coutent plus que juste quelques milliers. De plus, ces organisations ne vont pas faire la différence entre les solutions. Ils recherchent les mêmes fonctionnalités, peu importe la solution, et c’est compréhensible.

Retour possible

Tel que mentionné précédemment, même si je suis vraiment fier de cette application de GRC TI, Kantoku ne sera plus offert. Une autre raison est aussi que mes projets en lien avec la vie professionnelle sont tous autour de la GRC TI et j’ai simplement besoin d’un projet dans un domaine différent afin de me diversifier un peu. C’est aussi important pour moi de rester indépendant lorsque c’est le temps d’offrir mes services en consultation. Je ne peux pas offrir une solution et être impartial avec les autres solutions existantes. Il y a aussi une solution alternative “open source” bien intéressante, Eramba. Ça pourrait définitivement être une alternative pour plusieurs PME avec un intérêt envers leur GRC TI. J’ai eu l’occasion d’échanger quelques courriels avec le fondateur et j’aurais une préférence de collaborer avec eux dans le futur.

Pourquoi un retour possible? Je travaille déjà sur un autre projet, mais je ne veux pas en mentionner trop pour le moment. Ça ne sera pas une application dans un marché précis, tout simplement parce qu’il existe déjà plusieurs autres applications similaires. Toutefois, je ne suis toujours pas satisfait des solutions existantes. Cette fois, ça sera une solution SaaS et je vais probablement utiliser de nouveau le nom de domaine “kantoku.io”.

Kantoku: Project Shutdown and Future Comeback

Kantoku logoKantoku is a self-hosted application for companies to manage their IT governance, risk management and compliance (GRC). As mentioned in a previous post, I developed this application during the first part of 2016. At first, it was a Software-as-a-Service (SaaS) solution with a really nice high availability infrastructure on AWS. However, I had to put aside the infrastructure behind the SaaS solution. Back then, it was mostly a question of priorities. To keep the project alive, one alternative was to offer Kantoku as a self-hosted application. In that case, companies would still be able to buy a licence and to install the application on their own servers.

Shutdown

I mainly developed this application to help small and medium enterprises (SME) to manage more efficiently their IT GRC. Even SME have compliance obligations. I thought it was a niche market where it could have been possible to offer something different than the existing solutions. An application that would be simpler and more affordable for everyone. It was also an interesting complement to consulting services. However, I did not account for these two situations:

Small and Medium Enterprises

SME are fortunate enough if they have someone who is aware of the main IT GRC concepts. They will probably have a consultant who will help them with their compliance obligations. It could be cheaper for them than having a full-time employee. However, their GRC needs are often not complex enough to justify the implementation a dedicated application. They will prefer to work with many documents such as spreadsheets and emails than to learn a new application workflow. SME don’t necessarily see the value in monitoring their GRC and I understand them. They want to concentrate on their core business where they will be able to generate a direct income.

I also have to admit that one of my weaknesses is the selling side of a business. I really need to be convinced that my product and/or service will be beneficial for the client. Otherwise, I don’t want to sell anything since I care about my clients. This was not always the case with Kantoku and SME. Most enterprises need help on their IT GRC strategies and I obviously see the value for them having a consultant to help them. Not an application that they will barely know how to use. If I have to push too much in my explanation about a solution’s features, maybe it is not the right solution for the client.

Larger Organizations

For larger organizations, they often have the budget to acquire a well-known solution with all advance functionalities such as RSA Archer, Resolver, MetricStream, Reciprocity, etc. It is really hard to compete with solutions that cost more than just a few thousands. Furthermore, these organizations will not make the differences. They are expecting the same features which is understandable.

Future Comeback

As I said before, even if I am really proud of this IT GRC application, Kantoku will be shut down. One other reason is also that my professional life and other projects all evolve around the IT GRC fields. I need a project that will be in a completely different field. It is also important for me to stay neutral when it is time to provide consulting services in IT GRC. I can’t provide a solution in IT GRC and be impartial with other existing solutions. There is also an open source solution that I really like, Eramba. It could be an interesting alternative for many SME with an interest in their IT GRC. I exchanged a few emails with the founder and I would prefer to work with them in the future.

Why a future comeback? I am already working on something else, but I don’t want to mention too much about it, yet. It will be an application that it is not in a niche market since there are many other applications like this one. However, I am still not satisfied with current offers. This time, it will be a SaaS solution and I will probably reuse the domain name kantoku.io.

CISSP: Réussi, et une autre étape complétée

This post was published when this blog was also in French. This post is available in English.

CISSP By (ISC)² [Public domain], via Wikimedia Commons

Terminé. Cet examen de 6 heures avec ses 250 questions est enfin du passé. Eh oui, je parle bien du légendaire CISSP ou l’examen pour le “Certified Information Systems Security Professional” de ISC2. C’est probablement la certification que la plupart des professionnels en sécurité de l’information souhaitent obtenir à un moment donné dans leur carrière. Pourquoi? Pour plusieurs recruteurs et compagnies à la recherche d’un professionnel en sécurité de l’information, le CISSP est depuis longtemps la certification de référence pour un emploi dans ce domaine.

Préparation

J’ai commencé le processus en 2015. En fait, j’avais décidé de poursuivre le SSCP ou le “System Security Certified Practitioner” de la même organisation. C’est un examen plus court qui est théoriquement un peu plus technique, mais pas très technique non plus en comparaison à d’autres certifications. Toutefois, c’est un examen qui m’a aidé à avoir une première expérience avec un examen de l’ISC2 avant de poursuivre le CISSP. Les deux examens partagent des domaines similaires, mais pas nécessairement au même niveau.

Pour me préparer à l’examen, j’ai seulement acheté le guide d’étude officiel, le CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide (en anglais); celui-ci est vraiment bien écrit pour un livre officiel en provenance de l’organisation de certification. Aucunement besoin d’acheter plusieurs livres et de lire de nouveau le livre plusieurs fois. Il est surtout important de se pratiquer et de comprendre les types de questions et réponses de l’ISC2. Je sais pertinemment que je performe toujours mieux avec la pratique, donc j’ai utilisé le livre officiel avec les questions de pratique, le CISSP Official (ISC)2 Practice Tests (en anglais) et même l’application mobile (en anglais); celle-ci est vraiment un outil pratique à utiliser lors du transport quotidien.

L’examen est comme tout autre examen, juste plus long et probablement plus dispendieux. Il faut prendre les questions une à la fois et prendre son temps pour bien évaluer les réponses. Qu’en est-il de la durée? Environ 4 heures. J’ai été en mesure de répondre aux questions et d’en réviser quelques-unes.

Critique

Il y a certaines critiques à l’égard de cette certification parmi les professionnels de la sécurité de l’information. Il semble y avoir une mauvaise compréhension au sujet des connaissances et expériences acquises suite à l’obtention de cette certification. Il faut dire que dans ces temps-ci, une organisation demandera tout d’abord un candidat avec un CISSP pour tout rôle en lien avec l’univers de la sécurité de l’information. De l’analyste en sécurité de l’information jusqu’aux rôles plus techniques tels que les “penetration testers”, les architectes de sécurité, les spécialistes en chiffrement, les spécialistes en sécurité infonuagique, etc. C’est la plus grande erreur.

À mon avis, le CISSP est une certification concernant la gestion de la sécurité de l’information permettant d’avoir une meilleure maitrise des politiques et standards de sécurité. Le CISSP pourra certainement guider et gérer les objectifs de la sécurité de l’information d’une organisation. Toutefois, cette personne avec ce rôle sera supportée par des personnes avec de meilleures compétences techniques. Ce n’est certainement pas une certification technique. Évidemment, ça dépend toujours de l’expérience professionnelle de la personne puisqu’il est tout à fait possible de rencontrer un détenteur du CISSP avec des connaissances avancées des concepts techniques.

Certification

Bon, c’est de nouveau la période d’attente. Je devrais obtenir la certification CISSP au courant de 2019 après avoir accumulé l’expérience professionnelle requise. Chaque détenteur doit avoir entre 4 à 5 ans d’expérience directement reliée à la sécurité de l’information dans au moins 2 des 8 domaines. Par contre, je dois admettre que c’est un des avantages de cette certification. Il est possible d’obtenir un an de moins selon les études et autres certifications. J’ai aussi eu une situation similaire avec le CISA où il y a une exigence de 2 à 5 ans d’expérience professionnelle.

Quelle est la prochaine étape après le CISSP?

Je suis encore indécis au sujet de la prochaine étape. Je crois avoir complété la majorité des certifications les plus pertinentes pour mes intérêts. D’un autre côté, je suis toujours curieux au sujet des questions sur la vie privée et je voudrais certainement en apprendre plus à ce sujet. Il y a d’ailleurs une certification qui a attiré ma curiosité de l’ International Association of Privacy Professionals , mais ça sera pour une autre publication…