Vroue in kuberveiligheid, die bestuur van risiko en die belangrikheid van kommunikasie: 'n Onderhoud met Jane Frankland

Hoe kuberveiligheidsbedreigings besighede raak

Dwarsdeur 2017 het dit gevoel asof daar byna elke dag 'n nuwe kuberveiligheidsramp was. Maar watter gebeurtenis het die grootste ontwrigting van verlede jaar veroorsaak en het ons gevolglik iets geleer?

“Dis 'n moeilike vraag. Alhoewel die Amerikaanse verbruikerskredietverslaggeweragentskap Equifax een van die ergste aanvalle in onlangse jare gely het met byna 143 miljoen Amerikaanse burgers wat geraak is, was die grootste rampe vir my WannaCry en NiePetya.

“WannaCry was anders as die meeste ander losprysware-aanvalle. Met die hulp van EternalBlue het dit afstandtoegang gekry en kon losprysware blitsvinnig oor netwerke versprei. WannaCry het meer as 300,000 4 rekenaars wêreldwyd besmet en twee verskillende maniere gebruik om swakhede uit te buit – albei van die NSA-lekkasie deur Shadow Brokers. Die finansiële impak daarvan was ook groot, met 'n benaderde koste van $XNUMX miljard dollar se verliese.

“NotPetya het groter gesofistikeerdheid getoon in terme van die kompleksiteit van sy aanval en oplossing. Dit was ook 'n vorm van wiper malware. Dit het die voorkoms van 'n losprys nageboots, maar die ware bedoeling daarvan was vernietiging.”

En ek veronderstel wat dit vir ons gewys het, is dat enige organisasie van enige grootte 'n teiken vir kubermisdaad kan wees. Dink jy daar is genoeg onderwys beskikbaar vir organisasies om hulself te help beskerm en hul inligting en kubersekuriteit te bestuur?
"Ek doen. Daar is 'n ton inligting beskikbaar. Probleme ontstaan ​​omdat oplossings om risiko te verminder, verskil van maatskappy tot maatskappy. Baie organisasies weet tegnologie sal hulle help, maar dat dit nie 'n silwer koeël is nie. Hulle is bewus dat hulle 'n volgende vlak, veelvlakkige bedreigings in die gesig staar wat beide bekend en onbekend is.

“Hulle weet dat soos tegnologie slimmer word, die wolk en die internet van dinge (IoT) meer met mekaar verbind sal word. Hulle weet hulle speel ook inhaal, want hul toekoms maak staat op die tegnologie van die verlede – bedryfstelsels, rekenaartale, sagteware-omgewings, wat kwesbaar is en dikwels nie ondersteun word nie.

"Dit is hoekom hulle hul begrip van bedreigings, risiko's en oplossings in 'n voortdurend veranderende landskap wil herevalueer en herdefinieer. Dit is hoekom hulle vra: Op watter dreigemente moet hulle voorberei? Watter risiko's is betrokke? Watter prosesse en prosedures moet hulle implementeer? Watter tipe mense het hulle nodig om hulle te help om dit te doen?

“Dit is ook hoekom kuberveiligheidsprofessionals al hierdie vrae moet kan beantwoord en weet hoe om aanvalle op te spoor, daarop te reageer en vinnig en met minimale impak op die besigheid daarvan te herstel.

“Dit is hoekom hulle in staat moet wees om die sleutelbelanghebbendes binne hul organisasies op te voed en hulle te help om te verstaan ​​hoe sekuriteit elke persoon se rolle affekteer, en dan die oplossings te implementeer – of dit nou mense, proses en tegnologie is. Hulle moet in staat wees om nie net die organisasie te beskerm nie, maar om dit moontlik te maak en dit ten volle te dien.”

Data privaatheid uitdagings vir organisasies

So in jou rol as 'n CISO-adviseur, wat is die grootste uitdagings waaroor jy organisasie hoor praat met betrekking tot die bestuur van hul inligtingsekuriteit en voldoen aan regulasies soos GDPR?
“Die grootste uitdagings wat ek nou hoor, is meer te doen met hulpbronne, veral om die regte mense aan te stel om die omgewings te beveilig of nuwe regulering aan te pak soos die BBP.

“Sekuriteit is 'n mensebesigheid en met 'n tekort aan beskikbare talent, moet organisasies óf salarisbiedende oorloë begin om mense weg te lok, óf aanvaar dat hulle intern talent moet ontwikkel, wat tyd sal neem en hulle moontlik blootstel aan risiko, al is dit korttermyn.”
Hoekom dink jy is daar so baie verwarring rondom GDPR?
“Die GDPR is die grootste opskudding van databeskermingswette in meer as 20 jaar.

"Alhoewel die BBP behoort nie veel van 'n uitdaging vir Britse organisasies te bied nie, aangesien hulle almal by die DPA moet hou en hul data noukeurig moet oorweeg en beskerm, ons weet dit is. Ons weet ook dat baie organisasies sal neem die beskerming van data ernstig vir die eerste keer ooit. Aangesien dit op alle organisasies van toepassing is, maak nie saak wat hul omset of personeelgrootte is nie, die grootste uitdaging vir hulle sal wees om uit te vind wat hul organisasie moet doen om aan voldoening te voldoen.

“Dit sal weereens neerkom op hul aptyt vir risiko. Terwyl die boetes vir die oortreding van die GDPR baie aksie dryf, is daar 'n ernstige risiko dat die sleutelbeginsels van deursigtigheid en aanspreeklikheid in die geraas verlore gaan.”

Kommunikeer en bestuur risiko

Ons het dus oor risiko en kommunikasie gepraat. Die NCSC het risikobestuursriglyne vir kuberveiligheid gepubliseer. Dink jy dit gaan ver genoeg om mikro- en klein organisasies te help, gegewe die bekommernisse wat jy hoor?

"Geen. Alhoewel dit 'n goeie begin is, het hulle 'n fundamentele kommunikasiefout begaan. Hulle het hulself nie in hierdie organisasie se skoene geplaas en dinge deur hul lens gesien nie.

“Hulle webwerf het te veel inligting om deur te waad en skakels om op te klik. Dit is ryk aan jargon en is slegs in een formaat gegee, teks.

"Soos baie mense anders leer, sou dit beter gewees het as hulle e-boeke, oudio's en video's vir KMO's en mikro-organisasies vervaardig het."

In jou boek, IN Sekuriteit, maak jy die punt dat vroue 'n natuurlike vermoë het om bestuur risiko, veral met betrekking tot kuber. Vertel ons 'n bietjie meer oor jou teorie daaragter.

“Vroue verskil fundamenteel van mans. Hulle is verskillende weergawes van dieselfde spesie. Terwyl vorige navorsing aangedui het dat mans en vroue se brein verskillend bedraad is, dui nuwe navorsing daarop dat byna almal 'n unieke reeks manlike en vroulike strukture het. [2]

“Wat hormone betref, verskil vroue en mans egter, aangesien beide geslagte dieselfde hormone produseer, maar op verskillende vlakke. Die hoof geslagshormonale drywer vir vroue is estrogeen, en dit moedig binding, samewerking, samewerking en verhoudings aan. Dit ondersteun ook die deel van die brein wat sosiale vaardighede en waarnemings behels, plus dit help vroue om te bepaal hoe hulle risiko waarneem en konflik vermy.

“Serotonien is die hormoon wat verantwoordelik is vir die stabilisering van buie en die regulering van angs. Volgens navorsers produseer vroue 52% minder serotonien as mans, wat kan aandui hoekom hulle meer geneig is om bekommerd te wees as mans. Dan is daar testosteroon, die hoofgeslagshormoon vir mans, wat geassosieer word met aggressie, impulsiwiteit, eensaamheid, onafhanklikheid, 'n gebrek aan samewerking, krag, wen en risiko's.

“Laasgenoemde is natuurlik vir ons van groot belang in kuberveiligheid. Talle studies het getoon dat vroue en mans risiko verskillend meet. Vroue is baie beter om kanse as mans te bepaal, en dit manifesteer dikwels as 'n verhoogde vermyding van risiko. Aangesien vroue tipies meer risiko-sku is, maak hul natuurlike gedetailleerde verkenning hulle meer ingestel op veranderende patroongedrag – 'n vaardigheid wat nodig is om bedreigingsakteurs korrek te identifiseer en omgewings te beskerm.

“Toe die Noorse maatskappy CLTRe en Gregor Petric, PhD, medeprofessor in sosiale informatika en voorsitter van die Sentrum vir Metodologie en Informatika by die Fakulteit Sosiale Wetenskappe, Universiteit van Ljubljana (Slowenië) meer as 10,000 XNUMX werknemers oor vyf vertikale in twee lande bestudeer het binne die Nordiese lande het hulle gevind dat vroue aan reëls voldoen, en meer organisatoriese beheermaatreëls en tegnologie as mans omhels. Daarbenewens, terwyl mans hul kennis en bewustheid van IT-sekuriteit, beheer en gedrag baie hoër as vroue, het mans hoër vlakke van riskante gedrag gerapporteer, beide op hul eie kant en dié van hul kollegas. [4]

"Hierdie bevindinge korreleer met ander verslae wat geslagsverskille met betrekking tot nakoming en vertroue aanlyn uiteensit. Toe HMA, 'n virtuele private netwerk diensverskaffer, 'n studie van internetgebruikers in die VSA laat doen het, het hulle gevind dat meer vroue meer oorweeg wat hulle aanlyn gedeel het as mans; was meer onwaarskynlik om weg te gee persoonlike inligting soos hul geboortedatum, werklike adres of sosiale sekerheid nommer op 'n sosiale media profiel as mans; en was meer onwaarskynlik om hierdie inligting aan te bied terwyl hulle aanlyn met 'n vriend gesels as mans.

“Hulle het ook gevind dat mans gerapporteer het dat hul rekeninge gekompromitteer of gekap is, of dat hulle per ongeluk spioenware, wanware of 'n virus meer gereeld as vroue installeer. Tog het hulle gevind dat nadat vroue 'n sekuriteitsprobleem ervaar het, vroue meer geneig was as mans om blywende veranderinge aan hul aanlyngedrag aan te bring om hulself teen toekomstige probleme te beskerm. Mans, aan die ander kant, was geneig om terug te val op tegniese middele van beskerming.[5]

“Benewens hierdie eienskappe, word vroue erken dat hulle ook hoogs intuïtief is. Mans, aan die ander kant, is geneig om meer pragmaties te wees met hul denke. Of jy glo dit is omdat vroue deur die eeue inligting weerhou is en intuïtiewe vaardighede moes ontwikkel, is onbelangrik. Wat saak maak, is hul vermoë om anders te dink, want wanneer twee stelle mense 'n probleem aanval, is hulle in staat om dit uniek en baie vinniger op te los. Aangesien nie alle risiko dieselfde is nie, is die dialoog oor hoe om dit te benader ook ryker.

“Vroue behaal hoogs punte wanneer dit kom by emosionele en sosiale intelligensie, wat baie voordele meebring, insluitend die vermoë om kalm te bly tydens tye van onstuimigheid – 'n eienskap wat vereis word wanneer oortredings en groot voorvalle plaasvind.[6]

"Verder, in 'n wêreld wat spoed en behendigheid waardeer, word die vermoë om intuïtiewe denke te gebruik en vinnig goeie besluite te neem sonder om al die inligting te hê, meer noodsaaklik."[7]

Vroue in kuberveiligheid

In jou boek het jy ook baie praktiese raad gegee vir vroue wat die kuberveiligheidsbedryf wil betree. As daar net een stukkie raad was wat jy kon gee, wat sou dit wees?
“Dit sal wees om hul netwerk in kuberveiligheid te bou. Dit bied soveel voordele van werk kry en ondersteuning tot die aanleer van nuwe maniere van dink. Dit is welbekend dat vroue swakker bande as mans met kollegas en kohorte het by die werk en buite. Trouens, volgens 'n studie deur Lean.in org en McKinsey & Co., erken 10% van senior vroulike bestuurders dat hulle vier of meer bestuurders het wat hulle ondersteun om hul loopbane te bevorder in vergelyking met 17% van mans. Boonop het meer as 50% van hierdie senior vroue gesê hulle glo dat hoërvlak-borgskap noodsaaklik is vir loopbaanontwikkeling.

“Swak bande wat uit netwerke ontstaan, word tipies geassosieer met die vind van werk. Totdat die sosioloog Mark Granovetter sy navorsing gepubliseer het, het die meeste mense geglo dat werk gevind word deur sterk bande - persoonlike verbintenisse met vriende, familie of eweknieë by die werk. Wat Granovetter ontdek het, was dat die primêre bron van werkleiers uit swak bande gekom het - verafgeleë kennisse, of vriende van 'n vriend.

“Dit blyk dat mense selde hul noue verbintenisse vir werk verwys omdat hulle óf bekommerd is dat dit sleg op hulle sal reflekteer as dit nie uitwerk nie, óf omdat hulle meer geneig is om te weet van hul noue verbintenisse se foute en swakhede, wat hulle glo kan inmeng om 'n goeie werknemer te wees.

“Maar dit was nie al wat Mark ontdek het nie. Wat inligting betref, het 'n los en diverse netwerk van kennisse mense in staat gestel om baie wyer inligtingsbronne te benut en hul denke uit te brei. Deur 'n netwerk van eendersdenkende kontakte te hê wat in dieselfde kringe as jy werk, leer jy selde iets nuuts. Wanneer jy egter toegang tot 'n wyer gemeenskap het, kan jy toegang tot verskillende soorte denke kry en uitdagings met selfvertroue uitsorteer. “
Wat kan ons almal doen om 'n meer diverse kuber- en infosec-werkmag te kry?
“Dit is 'n groot vraag en soos meeste dinge is daar geen silwer koeël nie. Omgewings is divers en kompleks. Oplossings verskil dus. Wat reg is vir een organisasie, sal nie reg wees vir 'n ander nie. Kultuur speel groot rol en organisasies moet kyk wat hulle doen om 'n meer diverse infosec-werksmag te lok, aan te stel en te behou. Hulle moet die doeltreffendheid van die aksies wat hulle neem, meet en aanvaar dat hulle dit nie heeltyd sal regkry nie. Dit sal noodsaaklik wees om dit met 'n entrepreneuriese ingesteldheid te benader.

“Wanneer ek by konferensies hieroor praat, verdeel ek dit gewoonlik in vyf areas. Die eerste is onderwys. Volgens Raytheon en die National Cybersecurity Alliance, toe hulle die loopbaanbelange en opvoedkundige paraatheid Millennials in 12 lande ondersoek het, het hulle gevind dat 62% van mans en 75% van vroue gesê het dat geen sekondêre of hoërskool rekenaarklasse die vaardighede bied om hulle te help om 'n loopbaan te volg nie. in kuberveiligheid. Ons moet dit verander en die manier waarop ons kinders en jong volwassenes oor kuberveiligheid onderrig, verbeter.

“In almal behalwe enkele universiteite regoor die wêreld word voorgraadse studente nie geleer dat jy in kuberveiligheid mense, besigheid, beginsels en konsepte, sowel as tegnologie, of gegewe metodes moet verstaan ​​om dit te doen nie. Boonop word hulle nie voorberei vir spanwerk nie. Daar sal egter van hulle verwag word om te skakel en saam te werk met kundiges op baie gebiede, soos fisiese veiligheid, besigheid, regulasies, bemarking, finansies, ensovoorts. En baie is, verstommend, onbewus daarvan dat hulle op hoogte sal moet bly van vooruitgang aan beide die offensiewe en verdedigende kante, aangesien daar van hulle verwag sal word om advies te gee oor watter kuberveiligheidstegnologie aan 'n spesifieke besigheidsvereiste sal voldoen, asook om te verstaan hoe hulle by 'n organisasie se algehele kuberveiligheidsposisie inpas.

“Gegradueerdes in kuberveiligheid kom boekslim uit die universiteit, maar nie werkgereed nie, en baie huurbestuurders vertel hul ontevredenheid met die huidige onderwysstelsel, en die implikasies in terme van verhoogde vatbaarheid vir kuberaanvalle. Aangesien kuberveiligheid 'n dinamiese veld is, met nuwe bedreigings en verdediging wat daagliks verskyn, is hulle reg om te kla, want daar is 'n werklike behoefte aan 'n bevoegde werksmag met 'n grondige kennis van hoe om te implementeer, tesame met ondervinding en praktiese vaardighede.

“Wanneer dit kom by loopbaanspilpunte en maniere om kuberveiligheid uit ander loopbane te bereik, moet ons dit aanspreek, want daar is 'n werklike behoefte. Daar is egter skaars inligting oor presies hoe om dit te doen.

“Die tweede area is bemarking. Vandag is daar steeds 'n wanopvatting dat kuberveiligheid 'n suiwer tegniese domein is. Die waarheid van die saak is egter dat kuberveiligheid nog nooit 'n selfstandige dissipline was nie. Dit is uit IT gebore, is 'n spesialiteit binne IT, en om dit anders te hanteer, kan 'n duur fout vir kuberveiligheid wees.

“Dit bring my by die derde area, professionaliteit, aangesien baie in die bedryf dit wil professionaliseer, soos rekeningkunde, regte, medisyne en ingenieurswese, met handveste, regulerende liggame en formele onderwysprogramme. Ander wil hê dit moet beroepsgerig bly. Diegene wat 'n meer beroepsgerigte roete verkies, wys 'n paar dinge uit. Die eerste is dat diegene van die gewapende magte en polisie, wat 'n groot persentasie van ons arbeidsmag uitmaak, nie uit 'n IT-agtergrond kom nie. Hulle het egter die basiese beginsels van fisies geneem sekuriteit of intelligensie en dit op kuber toegepas met sukses. Die tweede is dat kuberveiligheid gesien moet word as 'n loopbaan vir diegene in IT om na te streef, en nie 'n beroep met intreevlakposisies nie. Hulle hou vol dat alle poste in kuberveiligheid verdien moet word met aansienlike ondervinding in IT en dat 'n graad wat spesifiek tot kuberveiligheid is, nie vereis word nie. Huurbestuurders moet eerder groot talentspotters word, en eers binne hul organisasies soek na vaardige professionele persone wat, ondanks die feit dat hulle geen verklaarde ervaring in kuberveiligheid het nie, vinnig by kuberveiligheidsrolle kan aanpas. Professionele persone kan dus binne IT of daarbuite wees, soos HR, reg, kliëntedienste, persoonlike assistente, of selfs verkope, PR of bemarking.

“Die vierde area is aanstelling en werwing. Dit kan geweldig verbeter word deur geformaliseerde prosesse en tegnologie. Danksy vooruitgang in laasgenoemde kan data ook help om vooroordeel in te lig en te verminder. Gereedskap, soos Textio, kan die taal wat in posbeskrywings gebruik word, ontleed en verseker dat dit neutraal is. Sekerlik, wanneer dit by vroue kom, is taal dikwels onbedoeld, geslagsgekodeer en speel dit in op 'n reeks stereotipes, ideologieë en geloofstelsels wat die status quo in die geheim probeer regverdig. Wanneer posbeskrywings nie vir geslagsvooroordeel nagegaan word nie, kan hulle baie vroulike talent afsit om aansoek te doen.

“Laastens, die vyfde area is omgewing. Uit die gesprekke wat ek met vroue in die veld gehad het, weet ek dat die redes wat hulle aanvoer vir die verskuiwing van poste, wanbelyning met hul organisasie se kultuur, uitbranding, onregverdige behandeling, die gevoel omseil vir bevordering, of as gevolg van familie, is. Korporatiewe kulture kan vyandige omgewings vir vroue in kuberveiligheid wees, aangesien sommige steeds rondom manlike binding gebou word en deur die seksuele objektivering van vroue gefasiliteer word.

“Verbeterings in kultuur kan ’n enorme verskil maak aan die manier waarop elke kuberveiligheidsprofessional in die werkplek funksioneer, nie net vroue nie. Een om proaktief aan te pak is die werk-harde, speel-harde kultuur – daardie meedoënlose, macho-kompetisie om vroeg te kom, laat te bly, harder te werk en partytjie te hou, wat steeds algemeen voorkom onder baie kuberveiligheidsorganisasies en konsultante, maar tog is getoon dat dit omsetkoerse verhoog en afwesigheid, en onderdruk prestasie en winste.

“Die onuitgesproke outydse reël vir bestuurders, of enigiemand wat daarna streef om een ​​te wees, is dat as jy voor 'n sekere tyd vertrek, jy nie verbind is tot jou werk nie, en bevordering sal onwaarskynlik wees. Die druk is veral opvallend vir vroue, veral as hulle ma's of versorgers is. In omgewings soos hierdie, aanvaar baie vroue óf die realiteit dat as hulle nie aan verwagte standaarde sal voldoen nie, hul loopbane gesmoor sal word, óf oormatig vergoed sal word deur harder te werk, later te bly en meer van 'n manlike persona aan te neem. Hulle sal probeer om in te pas, anders steek hulle hul gesinsreëlings weg.

“As iemand 'n aptyt het om meer te leer, sal ek hulle aanmoedig om my boek, IN Security, te lees. Dit is beskikbaar op Amazon in 'n sagteband- en Kindle-formaat. Hulle kan my ook nader vir praatjies, opleiding, afrigting en konsultasie.”
Om uit te vind oor Jane en die werk wat sy met entrepreneurs doen, besoek haar webwerf. Jane werk ook met leiers en praktisyns en jy kan meer daaroor uitvind by Cyber ​​Security Capital.

Die inligting in hierdie blog is vir algemene leiding en vorm nie regsadvies nie.

Jane se verwysings:

[1]. https://www.livescience.com/41619-male-female-brains-wired-differently.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effective-leadership/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]