Harvey Ewing: Wenn Sie sagen, dass Sicherheit ein Mannschaftssport ist, treffen Sie den Nagel auf den Kopf. Dies ist etwas, bei dem wir mit unseren Bedienern, unseren Klinikern, den Leuten, die den Prozess unterstützen, an vorderster Front, in der Mitte und im Hintergrund, sowie mit unseren Technikern genau hinschauen müssen. Wir konzentrieren uns auf dieses gesamte Spektrum. Ich glaube, man kann es heute nicht besser ausdrücken: Es muss ein Mannschaftssport sein, denn wie Sie wissen, gibt es heutzutage im Wesentlichen keine Grenzen mehr. Wir müssen uns vom menschlichen Aspekt bis hinunter zur untersten Ebene unseres Technologie-Stacks konzentrieren.
Ansager 1: Hallo und willkommen bei Security Visionaries. Die Arbeit im Gesundheitswesen bringt viele Herausforderungen mit sich, doch Patientendaten haben höchste Priorität. Von Ärzten bis hin zu Betreibern und Technikern müssen diese Daten sicher und privat bleiben. Harvey Ewing, Chief Information Officer bei R1 RCM, stellt sicher, dass jeder in seiner Organisation als menschliche Firewall fungiert. Harvey verfügt über mehr als 25 Jahre Erfahrung in den Bereichen Cybersicherheit, Governance-Risiken und Compliance. Bei R1 RCM ist er für die Sicherheit, Bereitstellung und Verbesserung der Unternehmenstechnologie verantwortlich. Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Bei Netskope definieren wir die Cloud-, Daten- und Netzwerksicherheit neu mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Menschen, Geräte und Daten bietet, wo immer sie sich befinden. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer frechen Reise alles vorzubereiten, besuchen Sie NETSKOPE.com. Viel Spaß mit diesem Interview zwischen Harvey Ewing und Ihrem Gastgeber Mike Anderson.
Mike Anderson: Willkommen zur heutigen Folge von Security Visionaries. Ich bin Ihr Gastgeber Mike Anderson. Ich bin unser Chief Digital and Information Officer bei Netskope. Heute ist Harvey Ewing bei uns zu Gast und Harvey hat eine unglaubliche Geschichte, denn er begann seine Karriere als Sicherheitsleiter und wurde schließlich CIO. Wenn wir also über unser Thema „Sicherheit als Mannschaftssport“ sprechen, denke ich, dass Harvey der beste Gast wäre, um mit uns über diese Reise zu sprechen. Also, Harvey, wie geht es dir? Erzählen Sie uns ein wenig über Ihren Hintergrund und Ihren Weg und Ihre Umstellung vom CISO zum CIO.
Harvey Ewing: Auf jeden Fall. Dir geht es gut, Mike. Schön, hier zu sein. Danke, dass ich hier sein darf. Sehr interessante Geschichte. Ich habe eigentlich vor vielen Jahren im betriebswirtschaftlichen Bereich angefangen und verfüge daher über einen Abschluss in Betriebswirtschaft. Mitte der 90er Jahre entwickelte sich daraus sehr schnell die Informationssicherheit, die bis heute meine Leidenschaft ist. In meiner letzten Position bei MoneyGram International wurde ich dort als Chief Information Security Officer eingestellt. Ungefähr acht Monate nach meinem Amtsantritt kam meine damalige Chefin, Camilla Chittle, auf mich zu und sagte: „Hey, wir würden Sie gerne in die Rolle des CIO befördern. Ich denke, das ist eine hervorragende Gelegenheit, die Teams zusammenzubringen.“ Ich war zunächst etwas zurückhaltend und dachte, dies sei eine bedeutende Veränderung. Eine Sache ist mir jedoch im Gedächtnis geblieben: Ich kann ein paar Gruppen von Technikern zusammenbringen, die normalerweise nicht gut zusammenarbeiten. Das war der eigentliche Grund, warum ich die Rolle des CIO bei MoneyGram übernommen habe. Gleichzeitig behielt ich die Rolle des CISO, was eine ganz besondere Erfahrung war. Offensichtlich war es für MoneyGram großartig, zwei Jobs zum Preis von einem zu erledigen, aber auch für mich von Vorteil.
Mike Anderson: Das ist großartig. Jetzt sind Sie zu R1 gewechselt und haben den Bereich der Finanzdienstleistungen verlassen. Ich weiß, dass Sie im Energiesektor und in verschiedenen Branchen tätig waren. Viele unserer Zuhörer sind vielleicht nicht mit R1 vertraut. Geben Sie uns also vielleicht ein paar Hintergrundinformationen zu R1, dem Geschäft, in dem Sie heute tätig sind. Wir werden uns mehr mit dem Mannschaftssport befassen.
Harvey Ewing: Ja, absolut. Sie haben also Recht, es ist ein großer Übergang von Finanzdienstleistungen zum Gesundheitswesen. R1 ist ein Unternehmen für Umsatzzyklusmanagement. Das bedeutet, dass R1 Gesundheitsorganisationen dabei unterstützt, die Art und Weise zu optimieren, wie sie die Einnahmequellen ihrer Patienten verwalten. So ermöglichen wir es den Gesundheitsdienstleistern im Wesentlichen, sich auf das zu konzentrieren, was ihnen am wichtigsten ist: ihre Patienten und die Pflege, die sie leisten. R1 unterstützt bei der Aufnahme von Patienten, der Betreuung der Patienten während des gesamten Zahlungs- und Anspruchsprozesses und in einigen Fällen auch bis hin zur Nachsorge. Deshalb haben wir vor Kurzem auch ein Unternehmen übernommen, das sich ebenfalls auf Revenue Intelligence konzentrieren wird. R1, die zusammengeschlossenen Unternehmen, konzentrieren sich wirklich darauf, Gesundheitsdienstleistern die Möglichkeit zu geben, für die erbrachten Leistungen eine Vergütung zu erhalten, sodass sie sich auf das Wesentliche konzentrieren können, nämlich die Gesundheitsversorgung ihrer Patienten.
Mike Anderson: Wenn ich Sie also richtig verstehe, wenn ich meine Arztrechnung bezahle und meine Kreditkarte einlege, sind Sie es, der meine Kreditkarte verarbeitet und die Einzüge für Sie vornimmt.
Harvey Ewing: Das ist genau richtig. R1 hilft also in dieser Hinsicht. Das ist richtig.
Mike Anderson: Das ist großartig. Ich kann mir also vorstellen, dass Sicherheit von größter Bedeutung sein wird, wenn es um die Gesundheitsversorgung und die Entgegennahme von Zahlungen von Patienten geht, die dorthin gehen. Ich kenne Ihren CISO Cecil und wir haben viele gute Gespräche. Sprechen Sie über Sicherheit und den Schwerpunkt, den Sie darauf legen, wenn Sie das Geschäft von R1 betrachten, und wie priorisieren Sie dies im Vergleich zu anderen Investitionsbereichen, die Sie als Organisation tätigen?
Harvey Ewing: Ja, das ist eine großartige Frage und etwas, worauf sich R1 unglaublich konzentriert. Wenn man die Menge an Informationen bedenkt, auf die R1 aufgrund der Dienstleistungen, die wir unseren Kunden anbieten, Zugriff hat, handelt es sich um jede erdenkliche private Information, von PII über private Gesundheitsinformationen bis hin zu Zahlungsinformationen bei der Erbringung von Dienstleistungen. Sicherheit steht also im Vordergrund, und das ist eine großartige Sache. Bei R01 gibt es enorme Unterstützung für Cecil und den Aspekt der Cybersicherheit. Natürlich ist HIPAA ein sehr wichtiger Teil all unserer Aktivitäten. Sowohl die Sicherheits- als auch die Datenschutzrolle bestimmen einen Großteil unserer Reaktion. Aber ich möchte sagen, dass wir das nicht alleine schaffen können. Wenn Sie also sagen, dass Sicherheit ein Mannschaftssport ist, treffen Sie den Nagel auf den Kopf. Dies ist etwas, bei dem wir mit unseren Bedienern, unseren Klinikern, den Leuten, die den Prozess unterstützen, an vorderster Front, in der Mitte und im Hintergrund, sowie mit unseren Technikern genau hinschauen müssen. Wir konzentrieren uns auf dieses gesamte Spektrum und ich glaube, man kann es heute nicht besser ausdrücken: Es muss ein Mannschaftssport sein, denn wie Sie wissen, gibt es heutzutage im Wesentlichen keine Grenzen mehr und wir müssen uns auf den menschlichen Aspekt konzentrieren, bis hinunter zur untersten Ebene unseres Technologie-Stacks.
Mike Anderson: Nein, absolut. Sie haben vorhin erwähnt, dass es zwischen den Sicherheitsteams und möglicherweise auch den anderen Teams, mit denen sie zusammenarbeiten müssen, zu leichten Reibereien kommen kann. Cecil ist für die Sicherheit zuständig, das Infrastrukturteam ist für einen Großteil der Netzwerkseite zuständig und natürlich müssen auch die Anwendungsteams ein wesentlicher Bestandteil davon sein. Wie helfen Sie dabei, Brücken zwischen diesen Teams zu bauen, um sicherzustellen, dass sie gut zusammenarbeiten, damit Sie einige der sicheren Ergebnisse erreichen können, die Sie anstreben?
Harvey Ewing: Auf jeden Fall, und das ist eine weitere gute Frage, Mike. Der erste Schritt bestand darin, ähnlich wie bei MoneyGram, die entsprechenden Infrastruktur-, Sicherheits- und Netzwerkleute in einen Raum zu bringen, um sicherzustellen, dass wir zusammenarbeiten und Informationen austauschen. Außerdem wurden viele Dinge, die in herkömmlichen Infrastrukturen offensichtlich vorkommen, nicht emotional inszeniert und es wurde wirklich sichergestellt, dass diese Teams als Team agieren. Eines der Dinge, über die ich in der IT spreche, ist etwas, das ich als gesunden Konflikt bezeichne. Das bedeutet, dass wir bestrebt sind, auf positive Weise unser Bestes zu geben. Ich möchte sicherstellen, dass jeder im Team, unabhängig von seiner Position in der Organisation, weiß, dass er den Status Quo in Frage stellen muss, dass er versteht, dass seine Stimme zählt, und dass er dies auf positive Weise tut, was manchmal schwierig sein kann. Alle Techniker scheinen glauben zu wollen, dass sie die Besten und Klügsten im Raum sind, was nicht immer eine schlechte Sache ist. Manchmal müssen wir jedoch sicherstellen, dass wir dies ohne Emotionen tun und dass die Leute sich keine Sorgen machen, wenn jemand in Frage stellt, was sie getan haben oder wie wir es immer getan haben. Ich denke, das ist eine gute Sache, und ich hasse den Satz: „Nun, so haben wir es schon immer gemacht“, und die Infragestellung dieses Satzes ist die Grundlage unseres Handelns. Der andere Aspekt, den Sie ebenfalls erwähnt haben, ist das Zusammenbringen von Anwendungsentwicklern. Viele Leute reden von einer Linksverschiebung, aber es geht nicht wirklich darum, von einer Linksverschiebung zu sprechen, sondern tatsächlich um eine Linksverschiebung. Das kann schwierig sein, denn während wir den CICD-Prozess durchlaufen, die Leute in die Cloud wechseln, die Infrastruktur unternehmensweit weniger eine Herausforderung darstellt und kein kritischer Pfad mehr ist, können wir uns darauf konzentrieren, wie wir wirklich sicheren Code erstellen. Ich habe mich auch darauf konzentriert, Anwendungsentwickler und Anwendungssicherheitsingenieure in dasselbe Team zu bringen. Sogar diese beiden Gruppen berichten an unterschiedliche Personen. Sie zur Zusammenarbeit zu bewegen und sicherzustellen, dass sie zusammenarbeiten, anstatt dass Anwendungssicherheitsingenieure einfach nur Leute sind, die Schwachstellen oder Probleme mit dem Code finden und diese dann an den Entwickler zurückgeben und sagen: „Hey, du musst das beheben“, was schwierig sein kann. Es geht wirklich darum, sicherzustellen, dass die Anwendungssicherheitsingenieure als Partner angesehen werden. Stellen Sie also Programmierer ein, integrieren Sie sie aus Sicherheitsgründen in das Team und stellen Sie den Entwicklern dann die Lösung zur Verfügung. Sie verschieben diese Iteration also tatsächlich auf die linke Seite der Gleichung. Sobald die Entwickler wissen, dass die Anwendungssicherheitsingenieure da sind, um gemeinsam den Code zu erstellen und guten Code zu produzieren und bereitzustellen, iterieren Sie auf der linken Seite etwas mehr, geben aber auf der rechten Seite richtig Gas. Sobald das Team gefestigt ist und versteht, dass wir nicht da sind, um mit dem Finger auf andere zu zeigen und ihnen vorzuwerfen, dass sie schlechte Arbeit geleistet haben. Wir sind nur da, um das Problem zu beheben, damit das Unternehmen sicher sein kann, dass wir den bestmöglichen Code bereitstellen. Es scheint, als würde alles sehr, sehr gut funktionieren. Es handelt sich also wirklich um einen kollaborativen, kombinierten Ansatz und beide Teams sind bestrebt, den bestmöglichen Code zu liefern. Wenn Sie also alle diese Aspekte zusammenfassen, Mike, und ich weiß, dass dies eine wirklich langatmige Antwort auf Ihre Frage ist, wird dadurch der emotionale Aspekt der Sache wirklich aufgebrochen. Es geht auch darum, ein Team zu bilden, das weiß, dass wir wirklich zusammenarbeiten werden, um intern erfolgreich zu sein, damit das Unternehmen auch extern erfolgreich sein kann.
Mike Anderson: Ich habe einen Freund namens Matt LeMay, der ein Buch mit dem Titel „Agile for Everybody“ geschrieben hat. Darin geht es darum, Silos aufzubrechen. Die Leute gewöhnen sich daran, in dem Silo zu arbeiten, in dem sie sich befinden, und konzentrieren sich dort oft auf ihre Arbeit. Wenn Ihnen niemand sagt: „Sie müssen den Kopf hochheben und mit anderen Leuten zusammenarbeiten“, erhalten Sie nicht die Agilität, die Sie wirklich suchen. Es ist also großartig, dass Sie das vorantreiben, und es klingt, als hätten Sie wirklich verstanden, was ich mitbekommen habe, als Sie sagten, dass die Geschwindigkeit, mit der Sie Veröffentlichungen herausbringen können, wirklich zunimmt. Denn ich könnte mir vorstellen, dass Sie eine Verringerung der Sicherheit feststellen, die verhindert, dass Dinge in die Produktion gehen, weil sie von vornherein eingebaut ist und nicht wie ein Tor ganz am Ende wirkt, das Dinge oft zurückschickt, manchmal zum Ausgangspunkt, wo sie neu strukturiert oder umgestaltet werden.
Harvey Ewing: Genau das ist es, Mike. Sie haben es in etwa fünf Absätzen weniger auf den Punkt gebracht als ich. Aber das ist die Absicht und genau das, was wir tun wollen, und Sie haben Recht. Anstatt zu iterieren und ganz zum Anfang zurückzukehren und zu versuchen, eine dedizierte Geschwindigkeit für die Behebung von Schwachstellen zu erreichen, werden Sie, wenn Sie dies als Teil des Entwicklungsprozesses tun, beim Durchlaufen der Tests und in höhere Umgebungen und dann in die Produktion wirklich schneller vorankommen.
Mike Anderson: Ich muss es mir vorstellen, es ist interessant, weil Sie beide Perspektiven haben. Wenn ich mit CISOs spreche, reden sie immer über Sicherheit. Es ist so, dass man ständig mehr Geld hineinsteckt und versucht herauszufinden: „Okay, wann wird sich das auf einen Prozentsatz einpendeln, bei dem ich die Sicht des CFO vorhersagen kann“, richtig? Aber gleichzeitig gibt es – ich glaube, es war der CISO von McKesson –, der sagte: „Ich bin für die Umsatzgenerierung zuständig, denn wenn wir kein gutes Sicherheitsprogramm haben, können wir keine New Geschäfte machen, weil die Leute uns ihre Daten nicht anvertrauen.“ Ich kann mir vorstellen, dass das für Sie eine große Rolle spielt. Wie haben Sie das erlebt? Denn ich denke an Mannschaftssport. Das betrifft nicht nur die IT und Sicherheit, sondern die gesamte Organisation hat eine Sicherheitsmentalität, weil jemand anderes Ihnen seine Daten anvertraut. Sie müssen das Gefühl haben, dass Sie über mindestens ebenso gute oder sogar bessere Sicherheitskontrollen verfügen wie sie.
Harvey Ewing: Ja, absolut. Auch das ist ein guter Punkt, Mike. Er ist wichtig und wir werden von diesen Teams in die kommerzielle und vertriebliche Seite einbezogen, um genau diese Fragen zu beantworten. Es ist offensichtlich, dass es sich bei den Informationen, mit denen wir es zu tun haben, um die sensibelsten Informationen handelt, die wir für Sie verarbeiten werden, und sie möchten sicherstellen, dass wir sie angemessen behandeln, und ich kann durchaus verstehen, warum. Das Wichtigste ist also, sich mit den Kunden zusammenzusetzen und ihnen zu versichern, dass wir das Richtige tun. Wir führen die schwierigen Gespräche darüber, wie wir heute mit Risiken umgehen. Wir blicken auf den strategischen Horizont. Wir stellen sicher, dass wir uns mit den bestehenden Bedrohungen und Risiken weiterentwickeln. Ich denke, wenn wir diese Hürde aus technologischer Sicht erst einmal überwunden haben, müssen wir auch sicherstellen, dass die Unternehmensleiter, mit denen wir zusammenarbeiten, damit einverstanden sind, wie wir mit ihren Daten umgehen, wie wir ihre Daten kontrollieren, wie wir den Zugriff auf die Daten überwachen, wer Zugriff hat, wann er Zugriff hat und wohin die Daten fließen. Dies sind alles sehr wichtige Aspekte und wenn uns das gelingt, verschaffen wir dem Vertriebsteam einen Wettbewerbsvorteil. Das Sicherheitsteam kann sich darum kümmern, dass wir auf die Fragen des Kunden eingehen. Anschließend teilen wir dem Unternehmen mit, dass wir den gesamten Prozess vorantreiben und unsere Anstrengungen mit denen der anderen Teams im Unternehmen, insbesondere der Vertriebsteams, bündeln, um ihre Versprechen zu halten. Und wir können dies effektiv tun und sicherstellen, dass wir die Daten schützen, die sie schützen müssen, um ihre Kunden zu bedienen. Wir können auf diese Daten angemessen zugreifen. Wir können unsere Arbeit machen, damit sie ihre Arbeit besser machen können, nämlich sich um ihre Patienten zu kümmern.
Mike Anderson: Das ist großartig. Ich muss mir vorstellen, wie Sie das an den Vorstand weitergeben, wenn Sie auf Ihren Vorstand schauen. Denn sie sind auch irgendwie Teil dieses Mannschaftssports. Sie müssen den Vorstand davon überzeugen, welches Risikoniveau er bereit ist einzugehen. Wenn Sie mit Ihren Kollegen sprechen, welchen Rat würden Sie ihnen angesichts Ihrer Erfahrungen als Sicherheits- und IT-Leiter geben? A, wie führen Sie diese Vorstandsgespräche? Zweitens: Welchen Rat würden Sie einem Kollegen geben, der über seinen Umgang mit der Sicherheit und die Fragen nachdenkt, die der Vorstand stellen wird? Das sind zwei Fragen. Vielleicht nehmen Sie beide teilweise.
Harvey Ewing: Ja, absolut. Ich denke, das ist sehr, sehr wichtig. Jeder Techniker, der dem Vorstand einen Vortrag hält, muss meiner Meinung nach eine Sache tun, die zwingend erforderlich ist. Dabei handelt es sich nicht um Fachjargon, sondern um Geschäftssprache. Wenn Sie über Risiken sprechen, ist das Risiko der Schlüsselfaktor. Jedes Unternehmen auf der Welt geht ein gewisses Risiko ein. R1 ist nicht anders. Wenn man also mit dem Vorstand spricht, geht es eher darum, welches Risikoniveau das Unternehmen bereit ist einzugehen. Was aus meiner Sicht im Cyberbereich wichtig sein mag, ist für den Vorstand im Hinblick auf unsere weitere Entwicklung und die Risikobereitschaft möglicherweise nicht so wichtig. Es geht also im Grunde darum, eine einfache Gleichung zu erstellen, die das Risikoniveau angibt, das wir in einem bestimmten Bereich haben und möglicherweise haben. So lässt sich ermitteln, wie viel es kosten wird, ein bestimmtes Risikoniveau zu mindern, um das Risikoniveau zu erreichen, das der Vorstand eingehen möchte. Sie werden nicht eine Million Dollar ausgeben wollen, um ein Risiko von Hunderttausend Dollar zu reduzieren. Ich denke, wenn Sie die Gelegenheit hatten, diesen Algorithmus zusammenzustellen und die Geschäftsfaktoren wirklich zu berücksichtigen, und Sie eine Gleichung vorlegen, die für den Vorstand von Bedeutung ist, um ihm eine Entscheidung darüber zu ermöglichen: „Okay, hier ist unser quantifizierbares Risikoniveau, hier ist, wie viel wir unserer Meinung nach ausgeben müssen, um dieses Risikoniveau zu mindern, um ein Restrisikoniveau von X zu erreichen“, dann sind sie entweder damit zufrieden oder nicht. Wenn sie damit nicht zufrieden sind und das Risiko weiter minimieren möchten, geben sie Ihnen möglicherweise mehr Geld. Sie könnten sagen: „Nein, wir wollen dieses Risiko senken.“ Eindrucksvoll. Sie könnten auch sagen: „Nein, wir sind bereit, in diesen bestimmten Bereichen Risiken einzugehen. Deshalb möchten wir, dass Sie vorerst weniger ausgeben. Vielleicht kommen wir später noch einmal zurück und kümmern uns mit mehr Geld um zusätzliche Risikostufen.“ Aber es geht wirklich darum, eine Beziehung zu den Vorstandsmitgliedern aufzubauen. Der Vorstand von R1 legt großen Wert darauf, die verschiedenen Ebenen des Cyberrisikos zu verstehen, wie wir mit ihnen umgehen, wie wir uns mit ihnen weiterentwickeln und was sie wirklich für das Unternehmen bedeuten. Marke und Ruf sind in dieser Branche sehr, sehr wichtig. Wir alle, R1 eingeschlossen, hatten Herausforderungen. Wir haben uns diesen Herausforderungen gestellt, wir haben uns neu ausgerichtet, wir müssen einige unserer Risiken aufgrund der Veränderungen in der Bedrohungslandschaft neu bewerten, und wir müssen diese Gespräche führen und transparent sein. Man muss nicht auf jede Frage die Antwort wissen. Es ist in Ordnung zu sagen: „Nein, ich weiß es nicht, ich gebe Ihnen diese Information noch einmal.“ Aber es ist unbedingt erforderlich, dass Sie die Menschen nicht mit der alten Angst, Unsicherheit und den Zweifeln überwältigen. Es geht darum, quantifizierbare Informationen basierend auf den Risiken bereitzustellen, die das Unternehmen betreffen, oder Risiken, die es kennen muss, in angemessener Weise aufzuzählen und dann einen pragmatischen Ansatz zu entwickeln, um zu ermitteln, was unserer Meinung nach das Risiko ist und was unserer Meinung nach die Kosten für die Minderung dieses Risikos sein werden. Ist das akzeptabel? Sind Sie bereit, mehr oder weniger Risiko einzugehen? Wie auch immer die Antwort ausfällt, wir können unsere Lösung auf der Grundlage des Risikos anpassen, das das Unternehmen bereit ist einzugehen, und das bestimmt, wohin wir aus Investitionssicht gehen.
Mike Anderson: Nein, das macht sehr viel Sinn. Angesichts dieser einzigartigen Perspektive und Ihres Hintergrunds sind Sie offensichtlich sehr stark in das Sicherheitsthema innerhalb von R1 involviert. Sind Sie der Meinung, dass andere CIOs und andere Branchen das gleiche Maß an Engagement aufweisen sollten? Welchen Rat würden Sie Ihren Kollegen hinsichtlich des erforderlichen Engagements geben und was sie tun sollten, um ihren Teams zu mehr Sicherheit in ihren Organisationen zu verhelfen und ihnen zu helfen, Teil dieses Mannschaftssports zu sein?
Harvey Ewing: Ja, das ist eine wirklich interessante Frage, die Sie Mike stellen, denn ich denke, dass insbesondere mehr CIOs und mehr CSOs mit am Tisch sitzen, und das ist wirklich wichtig, denn der Sicherheitserfolg aus technologischer Sicht hängt immer von oben nach unten ab. Es geht nicht von unten nach oben. Es muss also auf Vorstandsebene begonnen werden, um sicherzustellen, dass Sie die Unterstützung erhalten, die Sie benötigen. Der fatale Fehler, den ich zu Beginn meiner Karriere gemacht habe, besteht darin, dass ich mit so viel Fachjargon und voller Waffengewalt hineingegangen bin, dass der Vorstand sagt: „Ich verstehe wirklich nicht, was wir hier zu lösen versuchen.“ Ich glaube, dass es mir besonders geholfen hat, Technologie und Sicherheit wirklich aus der Sicht eines Vorstandsmitglieds zu betrachten. Worauf liegt ihr Schwerpunkt? Kennen Sie Ihr Publikum und packen Sie technologiebezogene Themen wirklich in eine Geschäftspräsentation, die leicht verständlich und leicht zu verstehen ist und vor allem direkte Auswirkungen auf das Geschäft hat. Ehrlich gesagt habe ich zu Beginn meiner Karriere eine Weile gebraucht, um das zu lernen. Wenn Sie es aus der Perspektive eines Technikers tun, erhalten Sie weniger Gegenleistung vom Vorstand. Sie werden Ihnen für Ihre Präsentation danken, sind aber möglicherweise nicht in der Lage, die von Ihnen präsentierten Daten wirklich zu verarbeiten. Es ist wichtig, diese besonderen Herausforderungen wirklich aus der Sicht des Unternehmens zu betrachten und sich den Vorstandsmitgliedern vorzustellen, wenn Sie nicht im Vorstand sind. Bitten Sie diese Vorstandsmitglieder, wenn möglich, um Zeit mit ihnen zu verbringen. Wenn Sie einen Platz am Tisch haben, bauen Sie eine Beziehung zu den Vorstandsmitgliedern auf. Warten Sie nicht, bis die Vorstandssitzung stattfindet, um in dieser kurzen Präsentation wirklich zu versuchen, Ihre Beziehung zu definieren. Nehmen Sie Kontakt auf und vereinbaren Sie regelmäßige kurze Besprechungen mit den Vorstandsmitgliedern, die für die Bewertung Ihrer Anfragen und der Technologie- und Sicherheitsinvestitionen des Unternehmens verantwortlich sind. Wenn Sie diese Beziehung erst einmal aufgebaut haben, wenn Sie transparent sind und Informationen präsentieren, die für die Entscheidungen, die sie treffen müssen, relevant sind, werden sie sich an Sie wenden. Wenn ich in der Vergangenheit keinen direkten Platz am Tisch hatte, habe ich die Erfahrung gemacht, dass sich Vorstandsmitglieder außerhalb dieser Sitzungen direkt an mich wandten, um Informationen anzufordern und über bestimmte Herausforderungen zu sprechen. Wenn Sie erst einmal einen Platz am Tisch bekommen und ein gutes Verhältnis und Vertrauen aufbauen und Transparenz schaffen, werden sie das enorm zu schätzen wissen. Auf der Führungsebene finden derzeit alle möglichen Veränderungen statt. Der SCC betont, dass Vorstände sich stärker mit Cyber-bezogenen Themen auseinandersetzen müssen und dass Vorstandsmitglieder über spezifische Erfahrungen und Fachkenntnisse im Cyber-Bereich verfügen müssen. Die Möglichkeiten werden also zunehmen. Ich denke, es ist jetzt an der Zeit, diese Vorteile zu nutzen und dies auf pragmatische Weise zu tun, die dem Unternehmen hilft und es den Vorstandsmitgliedern ermöglicht, die notwendigen Entscheidungen zu treffen, mit denen sie sich wohl fühlen. Das Wissen, dass sie das Unternehmen in die richtige Richtung leiten und so ihr Risiko reduzieren, ist für Sie unerlässlich und für sie unglaublich vorteilhaft.
Mike Anderson: Ich werde mich kurz dem Thema widmen. Die Erkenntnisse stehen immer auf der Tafel und man sagt: „Ich meine, das ist super wertvoll.“ Als CIO weiß man immer, dass es so etwas wie Lieblingsbereiche gibt, die einem am Herzen liegen, und das ist so, als ob man vom Hintergrund her ein Anwendungstyp wäre. Es ist also so, als würde man immer von der Anwendungsseite angezogen. Sie haben einen Hintergrund im Sicherheitsbereich, also stellen Sie sich vor, dass das eine große Berufung für Sie ist. Es ist also offensichtlich, dass die Sicherheit da ist. Wenn Sie an Ihren Technologie-Stack oder die Bereiche denken, auf die Sie sich konzentrieren, in welchem Bereich verbringen Sie am liebsten Ihre Zeit?
Harvey Ewing: Oh Gott, noch eine großartige Frage und Sie haben Recht. Ich liebe es, wieder einzutauchen, wenn ich die Gelegenheit dazu habe. Das kommt heutzutage nicht mehr oft vor und das Team macht mir ziemlich Angst, wenn ich es mache. Es geht wirklich darum, Tools zu haben, die eine gute Sichtbarkeit bieten. Prävention ist nicht immer das Ziel. Wir wissen, dass wir scheitern werden, also müssen wir über Tools verfügen, die nicht nur den Menschen schützen können. Offensichtlich ist das ein großer Bereich, der mit dem Perimeter wächst, der aufgrund so vieler Faktoren in der Organisation einfach zusammenbricht. Sie benötigen jedoch Tools, die Ihnen Transparenz verschaffen, damit Sie verstehen, was vor sich geht, und darauf reagieren können. Wenn Sie diese Sichtbarkeit nicht haben, können Sie sich nicht wirklich mit dem befassen, was Sie nicht sehen. Es sind also die Tools, die sich im Laufe der Jahre weiterentwickelt haben und auf die ich immer wieder zurückgreife. Sie geben mir die umfassende Möglichkeit, sogar Pakete zu verfolgen. Im Zuge der Weiterentwicklung, Mike, nutze ich wirklich die Tools, die mir auch bei der Datenaufnahme helfen. Es gibt einfach so viele Daten und Tools, die es mir ermöglichen zu verstehen, welche Anomalien auftreten. Wenn wir uns also einige der aktuellen Sicherheitsverletzungen ansehen und die Entwicklung einiger Bedrohungen beobachten, müssen wir wissen, wann Benutzer Dinge tun, die nicht ihrem normalen Verhalten entsprechen. Ich finde es tatsächlich ziemlich interessant, wenn man einige der Artikel liest und von der Bestürzung hört, die im Zusammenhang mit chinesischen Unternehmen herrscht, die Ackerland kaufen. Ich habe kürzlich einen Artikel gelesen, in dem es hieß, dass eines dieser Unternehmen tatsächlich 5G-Antennen auf diesem Ackerland aufgestellt habe, weil es sich neben oder in Reichweite eines anderen großen Anbieters befände. Wenn jemand in der Lage ist, diese Informationen zu nutzen und sich damit tatsächlich Zugang zu Unternehmen für autorisierte Benutzer zu verschaffen, woher wissen wir dann, dass er das tut? Es geht wirklich darum, Einblick zu haben und analysieren zu können, was in Ihrer Umgebung vor sich geht, und zu wissen, was vom Normalen abweicht. Ich schaue mir wirklich gerne die Tools an, die mir diese Möglichkeit geben. Wie setze ich das gesamte Puzzle zusammen? Wonach suche ich? Wie erkenne ich, wenn sich jemand in der Umgebung als Poweruser ausgibt? Ich meine, es ist einfach faszinierend. Es gibt so viele verschiedene Bereiche, die man besuchen kann. Es gibt immer etwas, das man finden kann, und danach zu suchen ist meine Leidenschaft, und ich habe es während meiner gesamten Karriere mit verschiedenen Werkzeugen getan.
Mike Anderson: Diese Sichtbarkeit, wohin fließen die Daten? Diese Frage wurde uns intern aufgrund der aktuellen Ereignisse in Russland und der Ukraine sowie der gesamten geopolitischen Lage derzeit häufig gestellt. Es ist wie: „Wohin gehen meine Daten? Wer hat es? Ich möchte nicht an die falschen Orte gehen." Also, das ist genau richtig. Wenn wir uns den Tech-Stack ansehen, der offensichtlich Teil davon ist, wenn man über Geschäftsprozesse nachdenkt, geht es oft auch darum, wie man Reibungsverluste im Prozess reduzieren kann. Denn je mehr Reibung Sie in Sachen Sicherheit erzeugen, desto mehr hält Sie die Leute davon ab, ihre Arbeit zu erledigen, wenn die Sicherheit nicht richtig instrumentiert ist, und das kann zu Reibungen im Prozess führen. Nennen Sie einige Beispiele dafür, wie Sie mithilfe von Technologie Reibungsverluste in Ihrem Unternehmen reduzieren, sei es im Bereich der Sicherheit oder in einem Geschäftsprozess oder einer Anwendung, die Sie erstellen? Können Sie ein Beispiel für eine Reduzierung der Reibungsverluste in Ihrem Unternehmen nennen?
Harvey Ewing: Ja, das ist auch eine wirklich gute Frage, Mike. Ich denke, dass dies durch COVID und die Fernarbeit bzw. Heimarbeit wirklich beschleunigt wurde. Ich denke, dass COVID die Welt wirklich verändert hat. Ich denke also, dass die Reibungsreduzierung in diesem Fall zweifach ist. Dadurch können Benutzer wirklich von überall aus sicher arbeiten. Das ist ein sehr großer Vorteil für Unternehmen. Die Bindung von Talenten hängt natürlich maßgeblich davon ab, wie wir den Benutzern die Möglichkeit geben zu arbeiten. Umgekehrt geht es darum, sicherzustellen, dass Unternehmen der geleisteten Arbeit vertrauen können, unabhängig vom Gerät und Standort. Das ist eine Herausforderung. Dies ist offensichtlich etwas, worauf Sie und Ihr Unternehmen sich jeden Tag konzentrieren, und es ist wichtig. Eine der Möglichkeiten, diese Reibung zu verringern, besteht darin, von überall aus eine sichere Verbindung zu den Systemen bereitzustellen, auf die Sie rund um die Uhr Zugriff benötigen. Dies wirkt sich wiederum auf beiden Seiten der Gleichung aus: für unsere Mitarbeiter und für das Unternehmen. Ich bin der festen Überzeugung, dass wir auch weiterhin dazu in der Lage sein müssen, da die Grenzen immer weiter erodieren. In vielen Fällen finden wir Talente auf der ganzen Welt. Wenn wir den Benutzern diese Flexibilität bieten können, sind sie zufriedener und produktiver, sie möchten lieber für das Unternehmen arbeiten und wechseln seltener das Unternehmen, wenn sie zufrieden sind und ein gewisses Maß an Ausgewogenheit finden, indem sie von jedem beliebigen Ort aus arbeiten können, der genehmigt ist, in meinem Fall natürlich aus der R1-Perspektive. Aber auch sicherzustellen, dass sie das tun, was sie tun sollten. Sie haben nur Zugriff auf die Systeme, auf die sie Zugriff haben sollten, und können diese Grenzen nicht überschreiten. Das muss transparent sein. Wir können keine Benutzer dulden, die durch viele Reifen springen müssen. Die Sicherheit sollte so transparent wie möglich und allgegenwärtig sein, in einer perfekten Welt sollte sie jedoch nichts sein, wovon sich der Benutzer bewusst ist. Je transparenter und sicherer wir also Sicherheit und Zugriff gestalten, desto besser ist unsere Leistung als Team.
Mike Anderson: Das ist großartig. Das ist interessant. Es erinnert mich an eine Bemerkung, die Sie vorhin über Menschen gemacht haben. Eine der spannenden Sachen, die wir intern gemacht haben, war, dass wir diese T-Shirts gemacht haben und auf denen stand: „Sie sind die menschliche Firewall“ für unsere Leute. Ich denke, wir, wenn Sie sich Ihre Organisation ansehen, haben Sie vorhin auch davon gesprochen, Menschen durch Sicherheit zu befähigen, richtig? IT als Wegbereiter, Sicherheit als Wegbereiter, nicht als Hindernis. Was tun Sie, um Ihre Mitarbeiter bei R1 zu aktivieren, damit sie als menschliche Firewalls für Ihr Unternehmen fungieren und so zu Wegbereitern werden? Was sind einige Beispiele dafür, wie Sie das machen?
Harvey Ewing: Wir konzentrieren uns wirklich auf diese menschliche Firewall und ich denke, das ist eine großartige Art, es auszudrücken. Benutzer müssen wie alle anderen geschult werden, um nach potenziellen Bedrohungen Ausschau zu halten und zu verstehen, dass ein erheblicher Teil der Angriffe auf Unternehmen durch E-Mail-Angriffe erfolgt. Warum sollte ich nicht auf diesen Link klicken? Worauf muss ich achten? Warum ist das für das Unternehmen wichtig? Es ist wirklich positiv, den Benutzern klarzumachen, dass sie an vorderster Front für die Sicherheit des Unternehmens stehen und ein wertvolles Ziel für jeden darstellen, der R1 oder ein anderes Unternehmen, für das sie arbeiten, angreifen möchte. Ich möchte die Benutzer so weit wie möglich einbeziehen und wirklich sicherstellen, dass sie verstehen, warum wir das tun. Warum ist dieser ganze Sicherheitskram wichtig? Was hat das wirklich mit mir zu tun? Ich möchte einfach nur meine Arbeit erledigen. Es wird den Benutzern also nicht gleichzeitig eine Menge Schulung aufgezwungen. Meiner Meinung nach funktioniert eine leichte Methode am besten. Wenn wir es den Benutzern auf ansprechende Weise vermitteln, führe ich Sicherheitsbewusstseinsschulungen gern mit Comedy durch. Es gibt viele Tools, mit denen Sie das tun können, und ich denke, das trifft den Nagel auf den Kopf. Wenn wir uns dabei ein wenig über uns selbst lustig machen können und die Leute verstehen, dass ihnen das normalerweise Spaß macht, machen sie mit. Es gab ein bestimmtes Tool, das ich bei einer früheren Firma verwendet habe, das aus zwei Zeichen bestand. Einer hieß „Menschliches Versagen“, der andere „Gesundes Urteilsvermögen“. Das Training war sehr, sehr effektiv, so dass ich mir T-Shirts mit den Aufschriften „Sound Judgment“ und „Human Error“ drucken ließ und die Leute lieben das „Human Error“-Shirt. Sie trugen das Human-Error-Shirt gern in der Firma und daran merkte man, dass die Dinge ankamen und ihnen Spaß machten. Wenn man darüber lachen kann, macht das Training aber Sinn. Warum möchte ich nicht für alle meine Websites dasselbe Passwort verwenden? Warum möchte ich mein System nicht entsperrt lassen und mich für längere Zeit davon entfernen? Ich denke, dass es ein großer Erfolg war, sich über einige dieser Situationen lustig zu machen und sie weniger dramatisch zu machen. Das ist dasselbe, was wir bei R1 machen, und es bringt den Leuten wirklich bei, zu verstehen, dass es wichtig ist. Wir möchten Ihnen keine Angst einjagen, sondern Ihnen lediglich zeigen, wie wichtig das ist, und wir werden uns dabei ein wenig über uns selbst lustig machen. Ich denke, dass das den normalen Benutzern sehr gefällt. Mike Anderson: Ja, ich hatte einfach diese Vision von der Zeit im Kopf, als es noch keinen Passcode für das Telefon gab. Man ließ das Telefon auf dem Tisch liegen und als man zurückkam, schickten sie den Freunden Textnachrichten, von denen man wirklich nicht wollte, dass sie sie schickten. Ich hatte gerade diese Vision im Kopf.
Harvey Ewing: Absolut.
Mike Anderson: Das macht es immer lustig.
Harvey Ewing: Absolut.
Mike Anderson: Eines der Dinge, für die ich mich stark gemacht habe, ist das Konzept einer besseren digitalen Staatsbürgerschaft. Es ist so, als würden die Leute letzten Endes nicht auf die Dinge klicken, auf die sie unserer Meinung nach nicht klicken sollen. Sie würden die Dinge nicht kaufen, die wir ihnen nicht verkaufen wollen. Wenn sie dann Ideen zu IT, Technologie und Sicherheit haben, bringen sie sie zu uns. Wir arbeiten zusammen. Das wäre der perfekte digitale Bürger. Davon sind wir offensichtlich noch ein Stück entfernt. Welche Sicherheitsmaßnahmen, vielleicht auch andere Maßnahmen, ergreifen Sie, um die digitale Bürgerschaft innerhalb von R1 zu fördern?
Harvey Ewing: Sie bringen einen weiteren wirklich guten Punkt zur digitalen Staatsbürgerschaft zur Sprache, und ich denke, das ist eine wirklich gute Art, es auszudrücken. Weil Daten allgegenwärtig sind und sichergestellt werden muss, dass Personen mit autorisiertem Datenzugriff das Richtige mit den Daten tun. Stellen Sie sicher, dass sie es für das verwenden, wofür sie es verwenden müssen, und nur für das, wofür sie es verwenden müssen. Versuchen Sie nicht, sie außerhalb der zugelassenen Bereiche zu speichern, da Sie verstehen müssen, wie wir mit diesen Patientendaten umgehen. R1 ist ein Unternehmen, das sich sehr, sehr schnell bewegt. Wir entwickeln uns sehr schnell weiter, wir haben Tausende interne Benutzer und daher ist es für unsere Benutzer unerlässlich zu verstehen, dass wir Zugriff auf einige der sensibelsten Daten haben, auf die wir Zugriff haben können, und diese wirklich angemessen zu behandeln. Wir arbeiten mit Hochdruck daran, dies zu erreichen. Datenverwaltung ist ein Universum für sich. Das ist etwas, das R1 ernst nimmt. Wir bauen eine Unternehmenskultur auf, die darauf abzielt, ein guter Datenverwalter zu sein, indem wir tatsächlich das tun, was ich gerade gesagt habe. Wir schaffen Datenverwalter in der gesamten Organisation. Wir schulen diese Datenverwalter. Diese Datenverwalter sind für die Kuratierung der Daten in ihrem Kontroll- und Verantwortungsbereich verantwortlich. Wenn Sie den Leuten die Möglichkeit geben, das zu tun, und ihnen erklären, warum das wichtig ist, verstehen die Mitarbeiter es. Sie verstehen. Sie wollen das Richtige tun und wir ermutigen sie dazu und feiern es. Wenn wir das Richtige tun, würdigen wir die Menschen, die mit den Daten, die uns Klienten und Patienten anvertraut haben, gut umgehen. Wenn wir es feiern, sind die Leute dabei. Wir werden also nicht wütend auf die Leute, wenn sie Fehler machen. Ich würde sagen, dass es bei der großen Anzahl der Probleme, die wir aus der Datenperspektive angehen, nicht um Leute geht, die böswillige Dinge tun oder versuchen, zweckmäßig zu sein und ihre Arbeit zu erledigen. Wir arbeiten wirklich mit den Menschen zusammen, um sie aufzuklären und ihnen zu helfen, einige ihrer Verhaltensweisen zu korrigieren, die möglicherweise nicht mit der Art und Weise übereinstimmen, wie wir diese Daten letztendlich schützen sollten. Aber wenn sie es tun, feiern wir es und belohnen die Leute dafür. Das schafft wirklich Vertrauen in die Umgebung und fördert das Engagement bei uns, denn wir kommen nicht und sagen Ihnen nicht, dass Sie in Schwierigkeiten sind, oder tun etwas, was Ihnen die Arbeit erschwert. Wir werden es feiern, wenn wir diese Erfolge erzielen. Dann werden die Leute dadurch ermutigt und werden weiterhin so mit den Daten umgehen, wie sie es sollten. Es geht also wirklich wieder um dieses Engagement, darum, den Leuten verständlich zu machen, warum wir tun, was wir tun, wie wichtig es ist, und dann diesen Erfolg zu belohnen und von dort aus eine Dynamik aufzubauen.
Mike Anderson: Ja, in dieser Hinsicht funktioniert Zuckerbrot definitiv immer viel besser als Peitsche. Wenn Sie die Verhaltensweisen erkennen, die Sie sich von anderen wünschen, und diese deutlich machen, werden andere Menschen dasselbe tun wollen. Also ich meine, es ist toll, dass Sie das tun. Das ist eine tolle Möglichkeit, das zu tun. Das funktioniert in allen Facetten des Lebens. Ich versuche, meine Kinder dazu zu bringen, das auch zu tun. „Hey, das ist wirklich ein toller Job. Ich werde Sie für Ihr gutes Verhalten belohnen“ statt „Das hätten Sie nicht tun sollen“, und das funktioniert nie auf die gleiche Weise. Dieselbe Psychologie funktioniert bei unseren Leuten. Ich werde kurz zu einem anderen Thema wechseln. Es ist interessant. Ich hatte einiges gehört, aber zu Beginn der Pandemie, als ich bei Schneider Electric war, sagte unser Präsident: „Meine Kristallkugel ist kaputt und ich kann nicht wirklich herausfinden, was die Zukunft bringen wird.“ Wenn wir also in die Zukunft blicken, wie wir es jetzt tun, in welche Bereiche sollten CIOs und Technologieführer Ihrer Meinung nach heute investieren, um für die Zukunft gerüstet zu sein?
Harvey Ewing: Wow. Das ist so eine schwierige Frage, Mike. Ich bin sicher, wenn ich in ein paar Jahren zurückgehe und diese Show bewerte, werde ich über mich selbst lachen und sagen: „Wow, ich habe mich so geirrt.“ Aber ich werde mein Bestes geben. Ich denke, es geht darum, Verhalten normalisieren zu können. Tut Harvey, was er normalerweise tun sollte? Geht er über die Grenzen dessen hinaus, was er normalerweise tut, wie er es bei der Arbeit tut? Ich denke, das wird wirklich wichtig sein. Ich denke auch, dass KI und ML eine wirklich interessante Herausforderung darstellen werden, und ich denke, dass der traditionelle Technologie-Stack, den wir heute haben, nicht nur durch aufkommende Technologien wie Quantum, sondern auch durch Fortschritte in KI und ML wirklich vorangetrieben wird. Wie können Sie als Mensch mithalten, wenn Sie gegen einen wirklich komplexen Algorithmus ankämpfen, der ein bisschen schneller denkt als Sie? Wir brauchen also Werkzeuge und eine Verschlüsselung, die quantenresistent ist. Wir werden Tools benötigen, die sich mit KI- und ML-Strategien weiterentwickeln können. Wie können wir mit KI und ML Schritt halten, die für böswillige Zwecke bestimmt sind? Ich denke, das wird faszinierend. Wenn ich also einen Sprung in die Zukunft machen könnte, würde ich verstehen: „Okay, wie halte ich mit den Fortschritten auf der bösartigen Seite der Technologie Schritt? Wie schütze ich Systeme, die in Zukunft leicht beschädigt werden können?" Ich denke also, dass es die Bereiche sind, in denen ich wirklich die nötigen Werkzeuge und den nötigen Fokus haben möchte.
Mike Anderson: Ich denke, Sie haben auch vollkommen recht, und es ist einfach so, dass dies auch ein sich entwickelnder Teil unserer Bedrohungslandschaft wird. Ein Thema, das immer wieder auftaucht. Darüber berichtet die Presse überall. Ich weiß, dass wir beide schon früher darüber gesprochen haben. Zero Trust ist immer wieder Thema. Wird Zero Trust auch in drei oder fünf Jahren noch ein Thema sein, über das wir sprechen? Welchen Zusammenhang gibt es zwischen dieser Vorgehensweise und der Art und Weise, wie Unternehmen Datenschutzstrategien entwickeln? Was denken Sie insgesamt über das Thema Zero Trust und wie wird es sich Ihrer Meinung nach entwickeln, wenn wir über den Datenschutz nachdenken?
Harvey Ewing: Ja, ich denke, es ist zwingend erforderlich, Mike. Zero Trust ist aus vielen der Gründe, die wir hier in den letzten Minuten besprochen haben, etwas, das in Zukunft unbedingt umgesetzt werden muss. Die Mitarbeiter benötigen für ihre Arbeit weiterhin Zugriff auf vertrauliche Informationen. Aber woher wissen wir, dass wir die richtige Person autorisiert haben? Wenn wir in einer Remote-Belegschaft oder einem hybriden Teil davon arbeiten, woher weiß ich dann wirklich, dass ich den richtigen Leuten die Autorität erteile? Zero Trust ist großartig und leicht gesagt, aber wirklich schwer umzusetzen. Ich glaube, dass wir ein Ökosystem an Tools brauchen, um dieses Ziel zu erreichen. Ich denke, dass viele der Schutzmaßnahmen, an denen Netskope arbeitet, wirklich unerlässlich sein werden. Ich denke, es bedarf wirklich einer Strategie, um Zero Trust langfristig zu ermöglichen. Wir müssen uns weiterhin anpassen, um zu verstehen, wie wir die richtige Autorisierung vornehmen. Ich denke, das ist die einzige Möglichkeit, Zugriff auf sensible Daten, geistiges Eigentum oder andere Arten von Systemen zu gewähren, für die eine Autorisierung erforderlich ist. Es gibt wirklich keine andere Möglichkeit, dies zu tun, da der Perimeter in der Zukunft letztendlich verschwindet.
Mike Anderson: Das waren erstaunliche Erkenntnisse und ich weiß es wirklich zu schätzen, mir die Zeit dafür genommen zu haben. Ich habe hier also ein paar kurze Tipps für Sie, während wir das Segment abschließen. Das wird also ein Spaß. Ich habe das von Brene Brown, weil ich ein großer Fan ihres Podcasts bin. Also werden wir versuchen, das durchzugehen. Also kurze Fragen an Sie. Was ist der beste Führungstipp, den Sie je bekommen haben?
Harvey Ewing: Oh mein Gott. Es ist etwas, das ich jeden Tag versuche hinzuzufügen. Ich scheitere fast jeden Tag, aber das nimmt mir die Emotionen. Versuchen Sie, die schwierigen Herausforderungen mit möglichst wenig Emotionen und möglichst viel Pragmatismus anzugehen.
Mike Anderson: Das ist ein toller Rat. Was soll Ihre letzte Mahlzeit sein?
Harvey Ewing: Oh mein Gott. Ich glaube, ich muss einfach sagen: das größte Steak, das ich finden konnte.
Mike Anderson: Hey, weißt du was? Wir müssen irgendwann mal ein Steak essen gehen. Vielen Dank, dass Sie heute bei unserem Podcast dabei waren. Das wird eine Liebe.
Harvey Ewing: Klingt gut.
Mike Anderson: Wir werden tagelang Fleischschweiß haben. Es wird großartig.
Harvey Ewing: Das klingt großartig.
Mike Anderson: Das hier wird Sie völlig aus der Bahn werfen. Lieblingslied und was sagt uns das über Sie?
Harvey Ewing: Ich glaube, ich habe zwei. Eines ist von The Youth, Hank Williams Jr., Cowboy Can Survive. Das andere ist Tears for Fears, jeder will die Welt beherrschen. „So Country Boy Can Survive“ ist bezeichnend für meine Jugend. Ich kann alles überwinden, weil ich kugelsicher bin. Als ich dann in die Cyber-, Infrastruktur- und Lieferbranche wechselte, wollte jeder die Welt beherrschen.
Mike Anderson: Das ist großartig. In Ordnung. Welches Buch haben Sie zuletzt gelesen?
Harvey Ewing: „Servant Leadership“ ist wirklich das letzte Wirtschaftsbuch, das ich gelesen habe. Bei den meisten anderen Dingen geht es lediglich darum, mit den Dingen Schritt zu halten, die sich im Cyberspace viel schneller entwickeln. Ich bin also kein großer Bücherleser, sondern eher ein Konsument sich schnell ändernder Informationen. Aus Unternehmenssicht ist diese Frage für mich schwer zu beantworten. Die dienende Führung ist mir jedoch sehr wichtig.
Mike Anderson: Das ist großartig. Also gut, letzte Frage. Wen bewundern Sie am meisten und warum?
Harvey Ewing: Auf diese Frage gibt es viele Antworten. Da muss ich mit meiner Frau hingehen. Ohne sie wäre ich heute nicht da, wo ich bin. Sie ist meine größte Unterstützerin, diejenige, die mich auf dem rechten Weg hält und es mir wirklich ermöglicht, alles zu tun, was ich jeden Tag tue. Ohne sie wäre es also nicht möglich gewesen.
Mike Anderson: Oh, das ist großartig. Nun, Harvey, ich weiß es wirklich zu schätzen, dass Sie sich heute die Zeit genommen haben, mit unseren Zuhörern zu sprechen. Bevor wir gehen, gibt es noch etwas, letzte Gedanken oder Dinge, die Sie unseren Zuhörern mitteilen möchten, bevor wir zum Ende kommen?
Harvey Ewing: Ich danke allen, danke für die Zeit, Mike. Aus Sicherheitsgründen sollten wir meiner Meinung nach einfach den Glauben bewahren und weitermachen, denn ohne die ganze Technologie und die Sicherheitsexperten da draußen würden wir heute keine Geschäfte machen. Alles, was sie tun, ist also wichtig und ich schätze ihre Bemühungen.
Mike Anderson: Nun, vielen Dank, immer. Das ist ein toller Ratschlag und wir freuen uns, dass Sie unser Gast sind.
Harvey Ewing: Danke, Mike. Ich weiß das zu schätzen.
Mike Anderson: Vielen Dank, dass Sie heute den Security Visionaries-Podcast mit meinem besonderen Gast Harvey Ewing eingeschaltet haben. Ich möchte Ihnen immer ein paar wichtige Erkenntnisse aus unserem Gespräch mit auf den Weg geben. Aus dem Gespräch mit Harvey heute habe ich vor allem drei Dinge mitgenommen: „Shift Left“ und „We Move Left“ bringen wirklich Sicherheit in den Designprozess, in den Entwicklungsprozess rund um die Erstellung von Anwendungen. Denn wir möchten nicht, dass die Sicherheit am Ende ein Hindernis darstellt, das die Innovation und das Tempo verlangsamt, mit dem wir unseren Benutzern und Kunden New Funktionen bereitstellen können. Zweitens müssen wir das Board sicher online stellen. Wir müssen sicherstellen, dass sie verstehen, warum Sicherheit wichtig ist, und wir müssen dies auf eine Weise tun, die sie verstehen können. Wir müssen in Laiensprache sprechen. Im besten Fall ist es immer gut, Analogien zu verwenden. Wie präsentieren wir Sicherheit in einer für den Vorstand verständlichen Sprache, die sich auf meine Risikobereitschaft bezieht? Die letzte Erkenntnis ist Transparenz, ehrlich gesagt ist alles entscheidend. Wir müssen unseren Mitarbeitern gegenüber transparent sein und ihnen mitteilen, welche Arbeitsweise wir von ihnen erwarten. Ist es ein Hybrid? Wie sollen sie aus Sicherheitssicht funktionieren? Wir müssen Erwartungen setzen und unseren Mitarbeitern gegenüber in dieser Hinsicht transparent sein. Ich hoffe, Sie konnten aus unserem heutigen Gespräch mit Harvey Ewing etwas Gutes mitnehmen. Ich weiß, dass ich das getan habe, und ich freue mich darauf, Sie bei uns begrüßen zu dürfen und unsere nächste Folge des Security Visionaries-Podcasts anzuhören.
Ansager 2: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben und ist schnell und einfach zu verwenden. Die Netskope-Plattform bietet optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten, wo immer sie sich befinden. Wir helfen Kunden dabei, Risiken zu reduzieren, die Leistung zu steigern und einen unübertroffenen Einblick in alle Aktivitäten in Cloud-, Web- oder privaten Anwendungen zu erhalten. Um mehr darüber zu erfahren, wie Netskope Kunden dabei hilft, auf ihrer frechen Reise alles vorzubereiten, besuchen Sie NETSKOPE.com.
Ansager 3: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu bewerten und zu rezensieren und sie mit jemandem zu teilen, dem sie gefallen könnte. Bleiben Sie dran für die Episoden, die alle zwei Wochen erscheinen, und wir sehen uns in der nächsten.
){kind=icon}
