Będąc dyrektor ds. bezpieczeństwa informacji (CISO) dla głównego dostawcy wiąże się z wyzwaniami: pracujesz z ludźmi, którzy rozumieją Twoją pracę równie dobrze jak Ty, a atakujący ma przed sobą duży cel.
Spotkanie ze Stephenem McDermidem, regionalnym dyrektorem ds. bezpieczeństwa (CSO) w regionie EMEA o godz Oktaotwarcie mówi o utrzymywaniu silnych więzi z klientami i partnerami oraz zapewnianiu wszystkim bezproblemowej obsługi – ma to doświadczenie zdobyte na wysokich stanowiskach związanych z bezpieczeństwem cybernetycznym w takich firmach jak Salesforce i szkocka policja.
Mówi, że wewnątrz Okty pełni rolę oczu i uszu firmy CISO David Bradbury, dzięki czemu może kontaktować się z klientami i pomagać im zrozumieć koncepcje bezpieczeństwa Okty, oferować wsparcie „i robić wszystko, co właściwe w zakresie strategię firmy”.
Jeśli chodzi o klienta, McDermid twierdzi, że postrzega go bardzo jako partnera firmy, ponieważ zapewnia mu się możliwie największą ochronę.
„Zajmujemy się robieniem rzeczy typowo SaaS [software as a service] dostawca nie zrobiłby tego; jeśli jesteś zwykłym dostawcą SaaS, nie monitorowałbyś proaktywnie ataków atakujących Twojego klienta, ale Okta robi to, ponieważ wiemy, że jeśli wiesz, że mamy taką widoczność, możemy to zobaczyć i czy możemy to zatrzymać i zaalarmować klientem, to będzie to dobra rzecz.”
Ta koncepcja A model wspólnej odpowiedzialności McDermid chętnie naciskał, chwaląc pracę wykonaną przez kadrę kierowniczą wyższego szczebla firmy, która umożliwiła Okcie współpracę z zespołem ds. bezpieczeństwa, aby zapewnić poparcie korporacyjne i zapewnić bardziej bezproblemowe doświadczenia wewnętrzne.
„Myślę, że ostatecznie bezpieczeństwo to nadal sprawa ludzi” – mówi. „Mimo że mamy ludzi, którzy są niesamowitymi ekspertami [working for Okta]ostatecznie bezpieczeństwo to sprawa ludzi. To serca i umysły. Nawet samo wyjaśnienie, dlaczego to robimy, jest ważne, ponieważ nawet jeśli mogą tego nie zrozumieć, warto to zrobić, ponieważ tak naprawdę chodzi o plan działania”.
Jeden kierunek
McDermid wspomniał o Zobowiązanie Okta do bezpiecznej tożsamościwystrzelony w lutym 2024 rktóry, jego zdaniem, określa misję firmy, dzięki czemu nie tylko klienci i partnerzy znają kierunek firmy, ale ostatecznie ich pracownicy wiedzą, dokąd firma stara się osiągnąć i jaka jest jej długoterminowa wizja.
„Myślę, że naprawdę ważne jest, aby wyjaśnić ludziom „dlaczego” niezależnie od tego, czy przebywają w strefie bezpieczeństwa, czy nie, ponieważ ostatecznie pozwoli im to w pewnym sensie wejść na pokład i zabrać ich ze sobą, zamiast po prostu im mówić coś zrobić.”
Jednym z przykładów, który przytoczył, było użycie symulacje phishingu jako metodę szkoleniową, w celu określenia zarówno gotowości, jak i jej wpływu na sposób myślenia użytkownika.
„Jak każda organizacja organizujemy szkolenia dotyczące phishingu i mierzymy skuteczność phishingu, a także wysyłamy szkolenia, a następnie, dosłownie, następną rzeczą, którą otrzymają, jest legalny e-mail z prośbą o przesłanie nam opinii” – mówi. „To nastawienie, że wiemy, kiedy jest to dobre, a kiedy nie”.
Bez tarcia
Mówi, że celem bycia mniej tarciowym jest zapobieganie wymuszaniu zmian na ludziach, „bez ich pełnego zrozumienia lub zrozumienia, dlaczego to robisz i jak może wyglądać koniec”. Doprowadziło to do utworzenia zespołu ds. kultury bezpieczeństwa, aby zapewnić skupienie się na wewnętrznym przesyłaniu wiadomości oraz mierzeniu i monitorowaniu tej kultury, ponieważ „ostatecznie w ten sposób zamierzamy podnosić i podnosić poprzeczkę bezpieczeństwa, którą posiadamy, i kontynuować postęp i wprowadzanie tych ulepszeń.”
Przyznaje, że koncepcja „działu nie”, z którą często wiąże się bezpieczeństwo, i która często się sprawdza, ponieważ jest „często najmniej ryzykowną opcją”, przyznaje jednak, że takie podejście nie pomaga firmie w rozwoju i nie też nie pomaga klientom.
„Więc rzeczywistość jest taka, że musimy znaleźć się na takiej pozycji, która umożliwia przedsiębiorstwom i uświadamia im, jakie niesie ze sobą ryzyko”. Utrzymując personel w dobrej kondycji i na boku, powinni czuć się bardziej zaangażowani w plan działania w zakresie bezpieczeństwa i rozumieć, gdzie napotykane są blokady, a nie polegać na zapobieganiu im lub spowalnianiu ich.
Ataki na innych
Ta uwaga dotycząca ryzyka prowadzi mnie do zastanowienia się, w jaki sposób CISO dużej firmy zajmującej się bezpieczeństwem cybernetycznym postrzega ataki na inne firmy i wyciąga z nich wnioski? McDermid mówi: „Jak reagujemy kiedy zobaczymy te zdarzenia w prasie; reagujemy, przyglądając się temu, co się stało, przyglądając się podmiotowi zagrażającemu i przyglądając się, jak byśmy na to zareagowali. Daje nam to możliwość myślenia o tych zagrożeniach z realnej perspektywy, zamiast zastanawiać się, co by było, gdyby do tego doszło”.
Powiedział też, że nadchodzi okres autorefleksji i zastanowienia się, jaki wpływ będzie to miało na klientów i jakie pytania będą mieli do Okty. „Daje nam to szansę na przygotowanie i przeanalizowanie własnych możliwości oraz daje nam możliwości uczenia się – monitorujemy te rzeczy i możemy się z tego uczyć”.
McDermid twierdzi, że wszystko, co dotyczy klientów, będzie sprawą najwyższej wagi, a zajęcie się wszelkimi problemami umożliwi firmie natychmiastowe zajęcie się nimi – na przykład w przypadku wykorzystania typowej luki w zabezpieczeniach lub exploita albo jeśli osoba atakująca identyfikowała cele w określonych branżach.
W branży tak ze sobą powiązanej, jak bezpieczeństwo cybernetyczne, McDermid twierdzi, że gdyby poszkodowana firma była partnerem lub klientem, skontaktowałby się z nimi, aby zaoferować jakąkolwiek pomoc, ponieważ „doceniana jest nawet druga para uszu, która może coś odbić”.
Chętnie podkreśla fakt, że można i należy uczyć się na przykładach, a kluczem dla Okty jest potrzeba zachowania przejrzystości „i w ten sposób zdobywa się zaufanie – co się stało, co z tym robisz, jakie zmiany co robisz, i myślę, że właśnie w tym miejscu możesz naprawdę uczyć się na błędach innych ludzi, a następnie oczywiście spróbować podnieść swoją własną pozycję”.
Około 12 miesięcy od dobrze opisanego zdarzenia naruszenie tokenów dostępuOkta czyni postępy w dziedzinie bezpieczeństwa cybernetycznego i udowadnia, że incydent tego nie cofnął. W rzeczywistości firma rozwija obecnie swoją rolę dostawcy bezpiecznej tożsamości i podmiotu umożliwiającego świadczenie usług w chmurze, a jej pozornie silny rdzeń wewnętrznie służy w tym procesie.