“ถ้าคุณต้องการมีวัฒนธรรมที่ดี คุณต้องเริ่มที่ทีมรักษาความปลอดภัยของคุณก่อน และพวกเขาต้องมีวัฒนธรรมที่ดีด้วย ดังนั้นการลงทุนกับพวกเขา การรักษาพวกเขาไว้ การฝึกอบรมภายในองค์กร การฝึกอบรมภายนอก เส้นทางอาชีพ ทั้งหมดนี้ สิ่งที่สำคัญ”
Lindsey O’Donnell-Welch: อะไรคือสิ่งสำคัญสำหรับการสร้างวัฒนธรรมความปลอดภัยในธุรกิจ?
Rick Holland: มันเป็นเรื่องของผู้คน มีแนวโน้มที่จะซื้อเทคโนโลยีล่าสุดหรืออะไรแฟนซีจาก RSA หรือ BlackHat ในเวกัส แต่คุณรู้ไหม ถ้าคุณต้องการมีวัฒนธรรมที่ดี คุณต้องเริ่มที่ทีมรักษาความปลอดภัยของคุณก่อน และพวกเขาต้องมีวัฒนธรรมที่ดีด้วย ดังนั้น การลงทุนกับพวกเขา รักษาพวกเขาไว้ รับการฝึกอบรมภายใน การฝึกอบรมภายนอก อาชีพ เส้นทางทั้งหมดที่สำคัญ เพราะฉันคิดว่าถ้าคุณไม่มีวัฒนธรรมที่ดีในหน่วยรักษาความปลอดภัยของคุณ คุณจะล้มเหลวในการมีวัฒนธรรมที่ดีในวงกว้างมากขึ้นทั่วทั้งบริษัท เพราะทีมรักษาความปลอดภัยของคุณไม่ได้ถูกซื้อ ไม่มีใครอื่นที่จะ จะซื้อใน. ดังนั้นฉันคิดว่านี่เป็นองค์ประกอบที่สำคัญจริงๆ
เมื่อฉันเป็นเจ้าหน้าที่รักษาความปลอดภัยคนเดียว ฉันอาจเรียนรู้ทุกอย่างผิดวิธี – ฉันรู้สึกภูมิใจเล็กน้อยที่เป็นแผนก No Man – และ CIO ของฉันซึ่งเป็นเจ้านายของฉันในตอนนั้นได้ให้ข้อเสนอแนะที่ดีแก่ฉันเมื่อพูดถึงการเปิดใช้งาน ผู้คนและช่วยให้พวกเขาทำงาน พวกเขาแค่พยายามทำงาน ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยเช่นคุณ และฉันคิดว่านั่นยังสำคัญมากจนถึงทุกวันนี้ ถ้าคุณคิดลบกับลูกค้า คู่ค้า เพื่อนร่วมงาน คุณจะมีวัฒนธรรมเชิงบวก วัฒนธรรมที่มุ่งเน้นความปลอดภัยได้อย่างไร? และฉันคิดว่าการมีเทคโนโลยีที่โปร่งใส การตระหนักว่าการจัดการรหัสผ่านเป็นเรื่องน่าปวดหัวสำหรับผู้คน และการมีความเห็นอกเห็นใจต่อบุคคลเหล่านี้ที่เราพยายามปกป้องนั้นเป็นกุญแจสำคัญในการมีวัฒนธรรมการรักษาความปลอดภัยที่แข็งแกร่ง
Lindsey O’Donnell-Welch: เมื่อพิจารณาถึงการสร้างโปรแกรมความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ มีขั้นตอนสำคัญสองสามขั้นตอนที่คุณจะกล่าวว่าสำคัญที่สุดหรือไม่
Rick Holland: ใช่ ฉันคิดว่าอย่างแรกคือการจัดโปรแกรมให้สอดคล้องกับงาน เราไม่ได้ทำการรักษาความปลอดภัยเพื่อรักษาความปลอดภัย เราทำการรักษาความปลอดภัยสำหรับธุรกิจของเราหรือองค์กรไม่แสวงหากำไร หรือองค์กรใดก็ตามที่เรากำลังพยายามปกป้อง และสิ่งสำคัญอย่างยิ่งที่จะต้องเข้าใจว่าวัตถุประสงค์และเป้าหมายสำหรับบริษัทหรือองค์กรนั้นคืออะไร คีย์แล้วเปลี่ยนเป็นโปรแกรมรักษาความปลอดภัยนี้ ฉันจะให้ตัวอย่างนี้แก่คุณที่นั่น สิ่งหนึ่งที่ฉันพูดถึงมานานหลายปีก็คือ ส่วนใหญ่ใช้กับบริษัทมหาชน แต่ยังคงใช้กับบริษัทเอกชน บริษัทมหาชนมีการยื่น SEC และหนึ่งในเอกสารที่ยื่นต่อ SEC คือ Type 10-Okay และแบบฟอร์ม 10-Okay นี้มีส่วนปัจจัยความเสี่ยง และโดยปกติจะอยู่ที่ 8 ถึง 20, 10 ถึง 15 ตามบรรทัดเหล่านี้คือความเสี่ยงที่บริษัทมีต่อธุรกิจโดยรวม และจะมีสิ่งต่างๆ เช่น ห่วงโซ่อุปทาน บางแห่งอาจได้รับผลกระทบจากไฟป่า พายุเฮอริเคน หรืออย่างอื่น แต่การที่จะสามารถสนทนาทางธุรกิจและเข้าใจว่าความเสี่ยงสำหรับธุรกิจคืออะไร และคุณจะลองทำได้อย่างไร เพื่อลดความเสี่ยงเหล่านี้ในแง่ของความปลอดภัยทางไซเบอร์หรือความปลอดภัยทางกายภาพ และถ้าคุณดูการค้าปลีกกับ Black Friday ถ้าคุณดูที่ 10-Okay จากผู้ค้าปลีกสาธารณะ เป็นไปได้ว่าจะเกี่ยวกับพนักงานของพวกเขา โปรแกรมรางวัล และนั่นคือกุญแจสำคัญในการรักษาความภักดีและความเหนียวแน่น กับลูกค้า ดังนั้น หากคุณกำลังเข้าสู่โปรแกรมใหม่ ดูที่แบบฟอร์ม 10-Okay หรือเพียงแค่รายงานประจำปี การรู้ว่าธุรกิจมุ่งเน้นที่ใด ธุรกิจกำลังจะเติบโตที่ใด จากนั้นจึงทำแผนที่กับผู้คน กระบวนการ และเทคโนโลยี และการรู้ว่าคุณจะมองเห็นความเสี่ยงได้อย่างไร จากนั้นจึงลดความเสี่ยง เป็นสิ่งที่ค่อนข้างจะมาจากบนลงล่างของโปรแกรม วางแผน. แต่มันยังให้คุณพูดอย่างมีวิจารณญาณในแง่ของ “สิ่งที่งานนั้นสนใจ” ใช่ไหม? ฉันได้เห็นการคาดการณ์และคำแนะนำมากมายสำหรับการวางแผนปี 2023 ในตอนนี้ แต่ส่วนใหญ่มุ่งเน้นไปที่ว่าคุณควรลงทุนในความปลอดภัยของ API หรือลงทุนในความปลอดภัยบนคลาวด์ สิ่งที่เราต้องทำจริงๆ คือใช้เวลาทำความเข้าใจกับเป้าหมายทางธุรกิจในปี 2566 จากนั้นทำความเข้าใจว่าบุคลากร กระบวนการ และเทคโนโลยีใดที่จำเป็นเพื่อให้การมองเห็นความเสี่ยงและบรรเทาความเสี่ยงเหล่านั้น ธุรกิจกำลังขยายไปยังภูมิภาคใหม่ของโลกหรือไม่? อะไรคือภัยคุกคามที่นั่น? คุณจะปกป้องพนักงานในขณะที่พวกเขาอยู่ที่นั่นได้อย่างไร? ธุรกิจกำลังเปิดตัวซอฟต์แวร์ชิ้นใหม่ที่จะคิดเป็น 20 เปอร์เซ็นต์ของรายได้ใหม่สุทธิสำหรับปีหรือไม่ คุณจะให้สิ่งนี้ได้อย่างไร? ดังนั้น แบบฟอร์ม 10-Ks ถ้าฉันอยู่ในบริษัทมหาชน ฉันจะฟังการเรียกรายไตรมาสของ CEO ทุกไตรมาส และตอนนี้ถ้าคุณไม่ใช่บริษัทมหาชน คุณก็ยังมีคณะกรรมการความเสี่ยงอยู่ นั่นเป็นอีกที่หนึ่งที่คุณสามารถเข้าไปมีส่วนร่วมกับคณะกรรมการความเสี่ยง ทำความเข้าใจกับความเสี่ยง แต่ไม่สามารถเข้าถึงไฟล์สาธารณะที่นั่นได้ ดังนั้นนี่คือจุดที่ฉันต้องการเริ่มต้นในฐานะสวัสดี ตรวจสอบให้แน่ใจว่าฉันเห็นด้วยกับเป้าหมายทางธุรกิจคืออะไรและฉันจะทำได้อย่างไร
ส่วนอื่น ๆ ย้อนกลับไปที่ผู้คน ซึ่งสำหรับฉันแล้ว เป็นส่วนสำคัญที่สุดของผู้คน กระบวนการ และเทคโนโลยี คุณจะสรรหาคนได้อย่างไร? อย่าพยายามจ้างยูนิคอร์นเสมอไป มันเป็นตลาดที่มีการแข่งขันสูง ไม่มีคำอธิบายงานที่ไร้สาระเหล่านี้ที่เสแสร้งเป็นคนไม่มีประสบการณ์ แต่จริงๆ แล้วคุณต้องมีประสบการณ์ 10 ปีจึงจะได้รับบทนี้ มีการผสมผสานระหว่างคนที่มีประสบการณ์และอายุน้อยที่คุณสามารถฝึกแล้วทำในสิ่งที่สร้างสรรค์ ทำงานจากระยะไกล ทำงานที่ยืดหยุ่นได้ ฉันจะให้ชั้นเรียน SANS แก่คุณทุกปีหรือกรณีใดก็ตาม หลักสูตรที่แท้จริงเพื่อพยายามปกป้องคนเหล่านี้ . และฉันคิดว่าสิ่งที่เจ็บปวดที่สุดในโปรแกรมคือการมีคนที่คุณหาเวลาให้และจากไปก่อนเวลาอันควร เรารู้ว่าทุกคนจะจากไปเมื่อถึงจุดหนึ่ง แต่ถ้าคุณลงทุนและสูญเสียหนึ่งในหนึ่งปีถึงหนึ่งปีครึ่ง บางทีคุณอาจได้รับมันเพิ่มอีกปี และคุณรู้ไหมว่านั่นค่อนข้างสำคัญใช่ไหม หากคุณต้องการเร่งความเร็ว ให้เรียนรู้องค์กรใหม่ เรียนรู้เครื่องมือและอะไรทำนองนั้น ดังนั้นฉันคิดว่ากลยุทธ์ขององค์กรโดยรวมคืออะไร? คุณจะจับคู่และพูดในแง่ของความกังวลเกี่ยวกับงานได้อย่างไร? แล้วคุณจะสรรหาคนที่จำเป็นเพื่อทำตามสัญญาทั้งหมดที่คุณให้ไว้กับธุรกิจเพื่อช่วยรักษาความปลอดภัยและลดความเสี่ยงได้อย่างไร
#ถามตอบ #รก #ฮอลแลนด #ถอดรหส
