Produzent [00:00:00] Willkommen bei Security Visionaries, einem Podcast von Netskope, der sich darauf konzentriert, Ihnen Gespräche mit Führungskräften aus der Welt der Cybersicherheit, Technologie, Vertrauen und Netzwerke zu bieten. In dieser Folge gibt es ein Gespräch zwischen Shamla Naidoo, Head of Cloud Strategy and Innovation bei Netskope, und Homaira Akbari, Präsidentin und CEO von AKnowledge Partners, moderiert von Steve Weber, Professor an der UC Berkeley in der School of Information und Partner bei Breakwater Strategy. Als Co-Autoren des kürzlich erschienenen Buches „The Cyber Savvy Boardroom: Essentials Explained“ diskutieren Shamla und Homaira über ihre Beweggründe für das Schreiben dieses Buchs, wie es sich mit den sich entwickelnden Trends in der Cybersicherheit auseinandersetzt und welche Art von Feedback sie dazu von ihren Kollegen erhalten haben. Hier ist unser Gespräch mit Shamla, Homaira und Steve.
Steve Weber [00:00:45] Willkommen beim Security Visionaries-Podcast. Mein Name ist Steve Weber. Ich bin Professor an der School of Information der UC Berkeley und Partner bei Breakwater Strategy, einem Beratungsunternehmen mit Sitz in Washington, D.C. Es ist mir eine Ehre, diesen Podcast moderieren zu dürfen. Ich habe zehn Jahre in und um die Welt der Cybersicherheit verbracht, von der technischen Seite über die geschäftliche Seite bis hin zur politischen Seite. Und eine der interessantesten, herausforderndsten und wichtigsten Dynamiken war die Cybersicherheitsdiskussion, wie sie in den Vorstandsetagen stattfindet. Direktoren dabei zuzusehen, wie sie sich mit Aufsicht und Governance auseinandersetzen, ist eine wirklich schnelllebige und komplexe Reihe von Risiken, und in diese Mischung kommen jetzt Homaira Akbari und Shamla Naidoo mit einem neuen und sehr fesselnden Buch, The Cyber Savvy Boardroom. Ich würde sagen, dass es in vielerlei Hinsicht bemerkenswert ist, für mich aber vor allem wegen seiner Lesbarkeit, seiner unmittelbaren praktischen Verwendbarkeit und, ehrlich gesagt, wegen des Umfangs seiner Berichterstattung. Fangen wir also von vorne an. Homaira, Sharma. Sagen Sie uns, wer Sie sind, wie Sie dazu gekommen sind, dieses Buch zu schreiben, und warum jetzt?
Homaira Akbari [00:01:58] Ich bin Homaira Akbari, Präsidentin und CEO von AKnowledge Partners. Ich begann meine Karriere als Wissenschaftler in der experimentellen Teilchenphysik und arbeitete am Europäischen Zentrum für Kernforschung CERN. Ich habe die Hälfte meiner beruflichen Laufbahn damit verbracht, Technologieunternehmen bei Unternehmen wie Thales in Frankreich und Microsoft und Liberty Media zu leiten, und war CEO von Skybitz, einem IoT-Unternehmen. Ich bin derzeit Vorstandsmitglied von Banco Santander und Landstar System. In meiner aktuellen Rolle bei AKnowledge Partners. Ich arbeite mit großen und großen Unternehmen im Bereich Private Equity in den Bereichen Sicherheit, Cybersicherheit, IoT, Energiewende und künstliche Intelligenz.
Steve Weber [00:02:43] Shamla?
Shamla Naidoo [00:02:44] Ich bin Shamla Naidoo. Ich bin ein langjähriger Technologe. Ich habe vier Jahrzehnte im Technologiebereich verbracht und etwa die Hälfte dieser Zeit als Leiter der Cybersicherheit in großen Organisationen verbracht. Ich sitze in drei Vorständen börsennotierter Unternehmen und lehre an der University of Illinois Recht aufkommender Technologien und globales Datenschutzrecht. Deshalb bringe ich drei unterschiedliche Perspektiven in dasselbe Gespräch ein: als Praktiker, als Empfänger dieser Vorstandsaktualisierungen und dann als Kennenlerner und Verständnis der regulatorischen Verpflichtungen und Pflichten des Vorstands.
Steve Weber [00:03:16] Sprechen Sie darüber, warum jetzt? Sprechen Sie über den Zeitpunkt und die Wichtigkeit der Dringlichkeit des Buches im Jahr 2023 bis zum Jahr 2024, wenn Sie möchten.
Homaira Akbari [00:03:27] Realistisch gesehen hätte dieses Buch vor einem oder mehreren Jahren geschrieben werden sollen. Aber die Dringlichkeit besteht jetzt darin, dass wir, wie Sie gesehen haben, Steve, und wie jeder es jeden Tag gesehen hat, Nachrichten über diese Art von Cyber-Verstößen haben und dass diese Cyber-Verstöße immer größer und größer und größer werden und sich ausdehnen. Früher waren es nur Finanzdienstleistungen oder das Gesundheitswesen, aber jetzt erstreckt es sich über alle Branchen, alle Kunden, alle Unternehmensgrößen, unabhängig davon, ob es sich nicht um Profit- oder Family Offices oder große öffentliche oder private Unternehmen handelt, und die kleinen gleichermaßen . Und das ist insbesondere auf Ransomware zurückzuführen, bei der es sich im Grunde um eine Art Angriff auf Daten oder andere Vermögenswerte einer Entität handelt, die kompromittiert und dann gekapert, wenn Sie so wollen, verschlüsselt und gekapert werden. Und damit es von den Hackern veröffentlicht werden kann, verlangen sie Geld. Und so ist das jetzt wirklich eine kriminelle Angelegenheit geworden. Und jede Branche, jedes Unternehmen ist davon betroffen. Und zweitens besteht die Dringlichkeit darin, dass es viele Regulierungsbehörden gibt, und insbesondere in den USA hat die FCC gerade Offenlegungsvorschriften verabschiedet, die in erster Linie für börsennotierte Unternehmen gelten. Aber wie Sie wissen, folgen in der Regel auch private Unternehmen diesem Prinzip, d. h., sie melden jeden wesentlichen Verstoß innerhalb von vier Werktagen durch Einreichung und 8-K. Plötzlich hat es die Cybersicherheit zu einer ähnlichen Situation gemacht wie die anderen Risiken, denen Unternehmen ausgesetzt sind. Darüber hinaus verlangt die SEC nun von Unternehmen, dass sie auch ihre Strategie, Governance und eine Organisation entwickeln oder ausarbeiten, wie sie die Organisation gegen Cyberrisiken unterstützen, und alle diese Informationen jährlich in ihr 10-K-Konto eintragen. Also. Boardroom beschäftigt sich heute mehr denn je mit Cyber, mit der Überwachung von Cyber-Sicherheitsrisiken und mit der Sicherstellung, dass die SEC-Anforderungen und allgemein andere regulatorische Anforderungen erfüllt werden.
Steve Weber [00:05:58] Shamla, gibt es aus Ihrer Sicht eine Antwort darauf? Dies ist das erste Mal, dass Sie sich hinsetzen und sich die Zeit nehmen, ein Buch zu schreiben. Warum jetzt? Was? Wo war für Sie die Dringlichkeit?
Shamla Naidoo [00:06:10] Was ich hinzufügen möchte ist, dass Unternehmen derzeit blitzschnell wachsen, oder? Und bei jedem Unternehmen würde ich behaupten, dass die meisten bereits in irgendeiner Form digitale Unternehmen sind. Aber sie alle vergrößern den digitalen Fußabdruck. Wir leben in einer Datenwirtschaft, daher erstellen und produzieren wir mehr Daten als jemals zuvor. Unsere Technologie arbeitet immer schneller. Und ehrlich gesagt sind das alles gute Dinge, denn sie bieten enorme Chancen für das Unternehmenswachstum. Gleichzeitig müssen wir jedoch den Cybersicherheitsrisiken entsprechende Anstrengungen und Aufmerksamkeit widmen, da größere digitale Fußabdrücke die Angriffspunkte erhöhen. Sie erhöhen die Möglichkeit für Kompromisse. Sie erhöhen die Möglichkeit von Diebstählen und anderen betrügerischen Aktivitäten. Daher denke ich, dass jetzt die Zeit für Vorstandsmitglieder gekommen ist, da sie die Strategie nicht nur auf die guten Dinge konzentrieren, sondern auch den Dingen, die schief gehen könnten, die entsprechende Aufmerksamkeit schenken, und das ist die Aufgabe der Vorstände . Aber was wir mit diesem Buch versuchen, und warum jetzt, ist, Aufmerksamkeit zu erregen, in dieser Gemeinschaft ein Bewusstsein dafür zu schaffen, dass wir hier hinschauen müssen, dass sie diese Zeit nicht ignorieren können.
Steve Weber [00:07:34] Interessant, es ist also fast so, als ob wir jedes Mal, wenn wir das Wort digitale Transformation sehen, darauf achten sollten, dass das Wort Cybersicherheit im selben oder im nächsten Satz vorkommt. Lass mich auf dich zurückkommen, Homaira. Selbst für die Direktoren, die am wenigsten oder in technischer Hinsicht am versiertesten sind, gibt es viele Veröffentlichungen und Kurse, die sich der Schulung von Vorstandsmitgliedern zum Thema Cybersicherheit widmen. Offensichtlich bringen Sie dieses Buch in diese Umgebung. Wie haben Sie dieses Buch unter Berücksichtigung all dieser Alternativen strukturiert? Was war aus Ihrer Sicht daran anders, was die Schaffung eines echten Mehrwerts für eine überfüllte, aber immer noch schwer zu vermittelnde pädagogische Sichtweise betrifft?
Homaira Akbari [00:08:22] Shamla und ich haben, wenn Sie so wollen, tatsächlich studiert, was es auf dem Markt gibt, und der Anstoß zum Schreiben unseres Buches kam tatsächlich, weil wir tatsächlich eine Lücke sahen. Was wir also von dem, was jetzt existiert, gesehen haben, sind in erster Linie Schriften, Bücher und Broschüren, in denen es um grundlegende, wenn Sie so wollen, grundlegende Begriffe der Cybersicherheit geht und um die Grundkonzepte. Und dann springt es meist zu manchmal Hunderten von Fragen, die Vorstandsmitglieder stellen können. Als CISOs haben wir beide bemerkt und in Echtzeit beobachtet, dass einige meiner Direktorenkollegen diese Fragen in einem Sitzungssaal stellten, und der CISO, den wir beantworten, reagiert darauf. Und das Vorstandsmitglied sagte: „Oh, okay, danke.“ Aber es gibt keine wirklich sinnvolle Diskussion und Zusammenarbeit mit dem CSO und dem Management als Ganzes, um wirklich zu verstehen, was hinter diesen Antworten steckt und ob man weiß, was man tut. Wenn man beispielsweise eine Buchhaltungs- oder Finanzfrage stellt, gibt es häufig eine Debatte Und wenn es um Cybersicherheit geht, gibt es normalerweise keine Debatte, weil das Vorstandsmitglied einfach nicht über dieses grundlegende Wissen über Cybersicherheit verfügt. Deshalb haben wir uns dazu entschlossen, in einem relativ kurzen Band von 80 Seiten das grundlegende Wissen zusammenzustellen, das jedes Vorstandsmitglied benötigt. Und dann ist es unser Plan, dass sie dieses Wissen und diese Plattform weiter ausbauen. Und wie wir wissen, ist es ein kontinuierlicher Lernprozess, insbesondere im Bereich der Cybersicherheit. Aber was sehr einzigartig war, war, dass wir eine Reihe mentaler Modelle erstellt haben, die wirklich in einem Grafikformat verdaut werden können und von intelligenten Vorstandsmitgliedern, deren Direktoren alle hochqualifizierte Leute sind, ziemlich schnell verdaut werden können. Und so haben wir definiert, dass es sich um eine Reihe von Karten handelt. Wir haben im gesamten Buch vier Karten, wobei die erste Karte Unternehmensvermögensgruppen definiert, und wir haben im Grunde zehn Kategorien erstellt. Bei einigen davon handelt es sich beispielsweise um Daten zu einer Unternehmensvermögensgruppe, nämlich Finanzanlagen. Die Menschen sind die anderen. Aber wir haben ungefähr zehn, tatsächlich zehn Unternehmensvermögensgruppen, und wir definieren sie. Nachdem wir sie definiert hatten, gingen wir zu, um zu zeigen, was unser White Hat ist. Unser Vermögen ist Unternehmensvermögen. Welchen Gewinn haben sie durch den Zugriff und was sind ihre Beweggründe, warum würden sie es tun, wie würden sie es tun? Und das brachte uns zu dem, was wir Angriffsvektoren nennen. Deshalb haben wir jeder Unternehmens-Asset-Gruppe die Angriffsvektoren zugeordnet, die es heute gibt, um diese Unternehmens-Asset-Gruppen entweder direkt anzugreifen oder um sie als Kanal zu nutzen, um an Kronjuwelen der Organisation zu gelangen, wobei beispielsweise Daten definiert sind als Kronjuwelen, nicht nur, sondern nur eines davon. Dann fahren wir mit Karte drei fort, und auf Karte drei ging es wiederum um dieselben zehn Unternehmensvermögensgruppen, die wir gezeigt haben. Wie schützt man sie? Wir haben also gezeigt, wie die heutige Verteidigungsstrategie eines guten Unternehmens, einer guten Organisation, die über einen sehr guten oder wünschenswerten Sicherheitsstatus verfügt, diese bestimmten Vermögensgruppen tatsächlich verteidigt. Und dann kommen wir zur vierten Karte, wobei wir erneut Kennzahlen für jede Unternehmensvermögensgruppe bereitstellen, um die Wirksamkeit des Schutzes zu zeigen. Und dann beziehen wir es auch ein, denn es handelt sich um ein Verteidigungssystem, bei dem es nicht nur um Schutz geht, sondern bei der Cybersicherheit auch um Erkennung, Reaktion und Wiederherstellung. Wir haben auch Metriken zur Messung der Wirksamkeit des Sicherheitsstatus durch Tests sowie durch Metriken für Erkennung und Reaktion einbezogen. Ich denke, das ist etwas Einzigartiges, das noch nie gemacht wurde, und es ist sehr umfassend, aber es ist auch sehr leicht zu verstehen und zu erlernen.
Steve Weber [00:12:40] Ja, aus Leserperspektive denke ich, dass andere Leser das Gleiche finden werden. Diese mentalen Kartenkonstruktionen helfen wirklich, die Prioritäten und die Hierarchie der zu stellenden Fragen zu definieren. Für mich war das sicherlich ziemlich neu und sehr wichtig und hilfreich. Sharma Lassen Sie mich auf Sie zurückkommen und speziell nach der Cloud fragen. Für so viele Unternehmen unterschiedlicher Größe ist die digitale Transformation inzwischen zu einem Gespräch über den Wechsel in die Cloud in allen möglichen Konfigurationen geworden. Reden wir also über die Cloud. Und wenn Sie über die Cloud-Transformation und Cloud-Migration nachdenken, welche Möglichkeiten und welche Fragen wirft das für den Vorstand auf, insbesondere im Hinblick auf die Sicherheit?
Shamla Naidoo [00:13:29] Wissen Sie, ich denke, als wir das Cloud-Konzept in das Buch aufgenommen haben, war das ein wichtiges Thema, denn in der Vorstandsetage verstehen die meisten Vorstandsmitglieder das Konzept der Geschwindigkeit. Sie verstehen, dass wir sehr schnell Kapazitäten aufbauen müssen. Und wenn man ihnen sagt, dass man entweder etwas in die Cloud stellen oder einen Dienst aus der Cloud in Anspruch nehmen kann, ist der unmittelbare Zusammenhang, dass dies viel schneller vonstatten gehen wird, weil ich nicht dafür sorgen muss, dass unser Team dafür Geld ausgibt Zeit und Aufwand für den Aufbau der Grundfähigkeit. Jemand anderes hat es bereits getan. Wir werden es einfach kaufen, leihen, leasen usw. und wir werden es nutzen, um darauf unsere proprietären Fähigkeiten aufzubauen, und es wird sehr schnell marktreif sein. Wenn Sie also die Vorteile der Cloud sehen möchten und diese Geschwindigkeit in Vorstandsgesprächen eine wichtige Rolle spielt. Die Frage für uns war jedoch: Was sollten sie wissen, wie es schief gehen könnte? Ist es beispielsweise offensichtlich, dass die Infrastruktur, die die Cloud-Umgebung unterstützt, außerhalb ihrer physischen Kontrolle liegt? Was sollten sie tun, was sie sonst im Rechenzentrum nicht getan hätten? Und das war eigentlich der Grund, warum wir uns auf dieses Thema konzentriert haben: Wir müssen die Risiken verstehen, die mit der Verlagerung von Dingen in die Cloud einhergehen. Und es geht nicht immer darum, was man anfassen und fühlen kann. Manchmal geht es darum, wen Sie beaufsichtigen müssen, wen Sie beaufsichtigen müssen, welche Erwartungen Sie an Ihre Partner und Dritte haben sollten usw. Doch mit all diesen großen Vorteilen gehen auch Risiken einher, und sie müssen herausfinden, wie sie diese Risiken am effizientesten bewältigen können, um die gewünschten Ergebnisse zu erzielen.
Steve Weber [00:15:20] Großartig. Shamla, ich werde deinen Standpunkt zum Risiko umgehen, weil es so wichtig ist. Viele Direktoren, mit denen ich spreche, bezeichnen sich im Wesentlichen als Risikomanager in einem Aufsichtsumfeld. Und ich möchte auf Sie zurückkommen, Homaira, und nach Ihrer Sichtweise und der Art und Weise fragen, wie das Buch diese Frage der Cyber-Risikobereitschaft behandelt. Sie können Ihr Risiko nicht auf Null reduzieren. Sie investieren in Dienstleistungen, Produkte und Prozesse innerhalb des Unternehmens, um die Cybersicherheit zu verbessern. Und die natürliche Frage, die man sich stellen muss, ist, woher ich weiß, dass ich eine Kapitalrendite erhalte und einen Mehrwert erhalte, indem ich das Risiko so moduliere, wie ich es möchte. Sprechen Sie also darüber, wie das Buch Entscheidungsträgern oder Direktoren dabei hilft, in diesem Fall gezielt konstruktiv über Risiken nachzudenken.
Homaira Akbari [00:16:12] Wir geben eine Reihe von Beispielen und eine Reihe von Richtlinien. Und ab und zu sprechen wir dann auch, wie ich bereits erwähnt habe, über eine Reihe von Kennzahlen, die ebenfalls hilfreich wären, um zu messen, ob diese Investitionen eine Rendite haben. Aber lassen Sie mich zunächst auf die Art von Beispielen eingehen, über die wir sprechen. Ein Vorstand muss sich zunächst einmal darüber im Klaren sein, dass die Organisation die notwendigen finanziellen und nichtfinanziellen Investitionen tätigt, und ich möchte den Schwerpunkt auf nichtfinanzielle Investitionen legen um vermeidbare Angriffe zu verhindern und sich gegen nicht vermeidbare Angriffe zu verteidigen. Eine Maßnahme besteht also natürlich darin, zu prüfen, ob es sich bei den Finanzen um erstklassige Cybersicherheitsverteidiger handelt, die über das beste Verteidigungsökosystem verfügen und erstklassige Finanzinstitute oder Banken sind. Als typische Tier-1-Bank geben wir jedes Jahr zwischen 500 und 1 Milliarde US-Dollar für Cybersicherheit aus, Steve, und das entspricht normalerweise 5 bis 10 % ihres IT-Budgets. Sie wissen schon, es handelt sich offensichtlich um kleinere Unternehmen, und das ist die erste Stufe. Es handelt sich um Banken, und sie sind wirklich die Klassenbesten. Aber die kleineren Unternehmen werden wahrscheinlich nicht in der Lage sein, so viel Geld auszugeben, da 5 bis 10 % Ihres IT-Budgets ein gutes Maß sind, es sei denn, Sie sind recht klein und das IT-Budget ist ziemlich klein. Sie müssen wahrscheinlich eher 15 bis 20 % dieses Budgets ausgeben. Der entscheidende Punkt ist, was Sie zuvor gesagt haben. Wenn Sie über Verteidigung nachdenken und sagen: „Ich muss mich gegen Cyber-Sicherheitsrisiken verteidigen“, dann gibt es vier Aspekte. Es gibt den Schutz Ihrer Vermögenswerte, die Erkennung von Bedrohungen und die anschließende Reaktion auf diesen Angriff sowie die anschließende Wiederherstellung nach diesem Angriff, da es unweigerlich zu einem Cyberverstoß kommen wird. Sie müssen also sicherstellen, dass Sie diesen Sicherheitsstatus definiert haben und ihn erstellen möchten. Und deshalb verfügen Sie über erstklassige und vielfältige Tools. Aber ich würde vermisst werden, wenn ich diese Erklärung nicht mit der Betonung dieser nichtfinanziellen Investition abschließe. Und was ist das? Für ein Unternehmen ist es in erster Linie wichtig, über die richtige Cyberkultur zu verfügen. Wie meinst du das? Was meinen wir damit? Es handelt sich tatsächlich um ein umfassendes Bewusstsein, angefangen beim CEO und dem Führungsteam über das Bewusstsein und deren Engagement für Cybersicherheit bis hin zu jedem einzelnen Mitarbeiter des Unternehmens. Und Sie wissen, was wir heute wissen, ist immer noch, dass zwei Drittel und vielleicht sogar fast 80 % aller Verstöße auf einen Fehler zurückzuführen sind, der absichtlich oder unabsichtlich von Personen in den Organisationen unserer Subunternehmer begangen wurde. Deshalb wird dieses Bewusstsein, dieser Aufbau einer Cybersicherheitskultur durch den CEO, indem er sagt: „Ich glaube daran, ich bin engagiert und engagiert dafür“, das dann durch die Organisation fließen und auch sicherstellen, dass alle Führungskräfte Verantwortung übernehmen, nicht nur CISOs und Shamla kann Ihnen mehr erzählen, da sie als CISO für Cybersicherheit verantwortlich ist.
Steve Weber [00:19:51] Shamla Lassen Sie mich noch einmal auf Sie zurückkommen und Ihnen die Frage des Tages stellen, die sicherlich jeden im Moment beschäftigt. Sie haben mit dem Schreiben dieses Buches begonnen, als große Sprachmodelle noch ein Forschungsspielzeug waren, mit dem die Leute in Labors und Universitäten herumspielten. Ich schätze, es ist jetzt etwa acht oder neun Monate her. ChatGPT tauchte plötzlich auf und ist plötzlich eine der interessantesten, faszinierendsten und wichtigsten Entwicklungen, und das Wort KI ist allgegenwärtig. Sprechen Sie also darüber, wie der Aufstieg von Technologien wie der generativen KI ChatGPT den Bedarf an einem Buch wie diesem verändert oder beschleunigt, und über die Art von Veränderungen, über die Homaira gerade gesprochen hat, einschließlich der kulturellen Veränderungen.
Shamla Naidoo [00:20:39] Weißt du, das Interessante daran, Steve, ist, dass wir vor einem Jahrzehnt die gleiche Reaktion auf die Cloud-Technologie hatten. Rechts. Und so war es in der jüngeren Vergangenheit eine Wolke. Jetzt geht es um künstliche Intelligenz und insbesondere um große Sprachmodelle. Wissen Sie, in ein oder zwei Jahren wird es der Quantencomputer sein. Und der Punkt ist, dass Innovation nicht aufhört. Es wird also ständige Innovationen geben. Wir werden ständig mit neuen Technologien, neuen Ansätzen, neuen Architekturen und neuen Tools konfrontiert sein. Das liegt einfach in der Natur der Technologie. Und hier geht es meiner Meinung nach darum, dass wir auf alles vorbereitet sein müssen. Und insbesondere Vorstandsmitglieder müssen verstehen, wie schnell sich Veränderungen vollziehen, und dass sie sich schnell das grundlegende Wissen aneignen müssen, denn das ist die größte Lücke. Wenn Sie kein Fundament haben, landen all diese großartigen Informationen da draußen, aber sie landen nicht auf einem starken Fundament, was bedeutet, dass Sie nicht wirklich darauf aufbauen können. Ich denke, dieses Buch wird ihnen die Grundlage geben, auf der sie aufbauen können, um auf die neuen Technologien und neuen Konstrukte vorbereitet zu sein, die auf sie zukommen werden. Die Idee ist also, dass dies der Beginn des Lernens ist. Es ist nicht „das“ Lernen. Es ist die Grundlage, auf der weiteres Wissen aufgebaut wird. Ich würde also sagen: Seien Sie auf die Innovationen der Zukunft vorbereitet. Dieses Buch vermittelt Ihnen die grundlegenden Konzepte, Ansätze und Modelle, anhand derer Sie über die Zukunft der Innovation nachdenken können. Aber wissen Sie, große Sprachmodelle sind derzeit ein großes Thema. Es ist ein Thema, weil wir in einer Datenökonomie leben. Es gibt überall Daten. Die meisten Daten waren unsichtbar, bis uns diese Technologie zur Verfügung gestellt wurde. So können wir die geschäftlichen Erkenntnisse gewinnen, die in all diesen Daten eingebettet sind. Ich denke, das ist jetzt die Gelegenheit für uns, uns auf Daten, Datenschutz, das Risiko von Daten, das Risiko von Fehlern, das Risiko von Auslassungen und all die Aktivitäten zu konzentrieren, die in das große Sprachmodell eingebettet sind, das wir sind Wird für Unternehmen verwendet. Aber auch hier ist es das Fundament.
Homaira Akbari [00:22:53] Wenn ich Steve darum bitten könnte. Was sehr interessant ist, ist, dass wir in dem Buch über neue Technologien sprechen, wie Shamla erwähnte, und wir sprechen insbesondere über Luft und Chat, aber wir sprechen auch über IoT, aber wenn es zum Beispiel um IoT geht, sprechen wir über Tatsache ist, dass 80 % der Cyber-Risiken allen anderen Risiken, die wir hatten, sehr ähnlich sind. Aber dann gibt es Besonderheiten. Im Fall von ChatGPT oder KI besteht, wie wir alle wissen, eines der großen Risiken darin, dem Modell falsche Daten zuzuführen und dadurch falsche Ergebnisse zu erhalten, weil man tatsächlich gefälschte Daten erstellt. Das bringt uns zu etwas, das Deep Fake genannt wird, wo die Daten so gefälscht, in mancher Hinsicht so unglaubwürdig werden, aber manche Leute glauben daran, dass das entsteht, was man Deepfakes nennt. Ich denke also, das ist genau das, was Shamla gesagt hat: Wir reden darüber, wie sich neue Technologien entwickeln, wie man darüber denken sollte, aber dann geben wir für diese Fälle einige Konkretisierungen. Ich denke also, dass wir dem Vorstandsmitglied dabei helfen, über das Tagesthema nachzudenken und wie es damit umgehen soll.
Steve Weber [00:24:10] Ich bin mir ziemlich sicher, dass es 2024 ein neues geben wird, und das wird im Laufe der Zeit getestet. Homaira, lass uns ein wenig darüber reden, wie sich Vorstände selbst bewerten und bewerten sollten. Es ist offensichtlich, dass Sie eine große Anzahl von Vorständen und öffentlichen Unternehmen usw. haben. Und die Leute fragen sich: Wie geht es uns? Woher wissen wir, dass wir etwas tun? Uns geht es gut. Wie gut aussieht, ist die Frage, die wir alle meiner Meinung nach oft hören. Wenn also ein Vorstand sein Unternehmen bewerten und dabei an Reife oder Exzellenz in der Cybersicherheit denken möchte, wie sollte er dabei vorgehen? Und wie spricht das Buch über Metriken und Vergleiche und beantwortet die Frage: Wie sieht Gutes im Vergleich zu dem aus, was andere tun?
Homaira Akbari [00:24:55] Stevie Wir haben ein ganzes Kapitel, und dieses heißt Kapitel sieben, in dem wir über Metriken zur Messung sprechen, denn, wissen Sie, es ist eine Frage, die von Vorstandsmitgliedern und CISOs millionenfach gestellt wurde und andere andere Menschen im Ökosystem. Im siebten Kapitel unseres Ansatzes haben wir im Wesentlichen zwei Sätze von Metriken definiert. Zum einen handelt es sich um Kennzahlen auf operativer Ebene, zum anderen um Kennzahlen auf Vorstandsebene. Die Metriken auf Betriebsebene entsprechen dieser Karte für den betreffenden Bereich, die im Wesentlichen für jede Unternehmens-Asset-Gruppe zeigt, wie Sie die Wirksamkeit Ihres Schutzes messen können, und dann die von Ihnen verwendeten Erkennungs- und Reaktionsmethoden. Es geht auch um die Tatsache, dass Sie den Sicherheitsstatus der Organisation messen oder testen müssen, was Ihnen wirklich einen Maßstab gibt, nicht den einzigen, sondern einen Maßstab für diesen Reifegrad. Dann kommen wir zu den Metriken auf Vorstandsebene, und unseres Wissens hat niemand wirklich dieses Konzept entwickelt, das Shamla und ich entwickelt haben, dass diese Metriken auf Vorstandsebene tatsächlich fünf Komponenten haben, von denen zwei betriebsbereit sind. Eine Eingabe wäre also Ihr Cybersicherheitsprogramm, Ihre Wirksamkeit und die Einhaltung gesetzlicher Vorschriften sowie Ihr Cybersicherheitsrisikoprofil, das sich aus den von mir erwähnten Betriebskennzahlen ergibt. Es kommen aber auch noch drei weitere Einschätzungen hinzu. Erstens: Wie sieht Ihre Cybersicherheitskultur aus? Zweitens: Wie hoch sind Ihre Investitionen und Ihr Versicherungsschutz? Und schließlich: Wie ist Ihr Unternehmen, wenn Sie so wollen, bereit, die Auswirkungen von Cyber-Verstößen zu bewältigen? Und wir glauben nicht, dass irgendeine Organisation dies so nutzt, wie wir es formuliert haben, aber wir glauben, dass sie, sobald sie das tun, in der Lage sein werden, den Reifegrad ihrer Organisation zu bestimmen. Und das ist für uns der Schlüssel.
Steve Weber [00:27:04] Wunderbar. Lass mich mich wieder an dich wenden, Shamla. Zwischen Ihnen und Homaira leben und atmen Sie jeden Tag das Cybersicherheitsuniversum. Sie waren auf so vielen verschiedenen Seiten dieses Rätsels, und ich fand es sehr wichtig, am Ende des Buches tatsächlich ein Gefühl dafür zu bekommen, was Ihrer Meinung nach die wichtigsten Überlegungen, Gedanken usw. sind Imbissbuden, die die Leute am Ende des Tages unbedingt mit nach Hause nehmen müssen. Weil die Priorisierung ein so wichtiger Teil dieses Gesprächs ist. Sprechen Sie also ein wenig über die abschließenden Gedanken und Überlegungen am Ende des Buches, über die Dinge, die Ihnen am wichtigsten sind und die die Leser daraus mitnehmen.
Shamla Naidoo [00:27:48] Also, wissen Sie, ich denke, ich würde damit beginnen: Wir alle wissen, wie man die Vorteile der Technologie misst, oder? Und das ist der einfache Teil. Womit wir uns schwer tun, ist das Messen, Berechnen und wirkliche Konfrontieren mit den Problemen, wenn sie schiefgehen, und der Vorstand ist damit beauftragt. Um ihnen zu helfen, müssen wir meiner Meinung nach darüber nachdenken, dass die Technologie viele Vorteile bietet. Wie kann es schiefgehen? Wichtig ist, dass meiner Meinung nach die Umsatzgenerierung nicht aus Ihrer Cybersicherheitspraxis stammt, es sei denn, Sie sind ein Cybersicherheitsunternehmen und verkaufen Cybersicherheitsprodukte oder -dienstleistungen. Einnahmen werden durch Ihre Geschäftspraktiken generiert, doch die Sicherheitspraktiken, die Technologie, die Tools, die Kontrollen usw. ermöglichen diese Geschäfte. Wenn wir also die Vorteile unseres Geschäfts und die Einnahmen, die wir mit unserem Geschäft erzielen, berechnen, müssen wir diese mit den Kosten für die Sicherheit ausgleichen, denn in Wirklichkeit handelt es sich nicht nur darum, dass sie das Geschäft ermöglichen, sondern auch um eine Investition in diese Einnahmen die du erzeugst. Sobald Sie also die Investition getätigt haben, sagen Sie: „Okay, so viel Geld habe ich mit meinem Nettogewinn gemacht.“ Es ist also zwar ein Kostenfaktor für die Geschäftsabwicklung, aber es sind auch die Kosten für den Umsatz. Das ist also eine wichtige Überlegung. Ich denke, die andere Sache, die man bedenken sollte, ist, dass die Führung in diesem Thema nicht mit der Technologie und den Tools für das Thema austauschbar ist. Wir brauchen also gute, starke Führungskräfte, die dem Vorstand bei der Risikoauswahl helfen können. Wie können wir die größten Risiken auswählen, denen das Unternehmen ausgesetzt ist, und sie dann niederringen? Und wie können wir dann den nächsten Schritt machen, der auf den Punkt kommt, und den wir auf eigenes Risiko immer weiter verkürzen? Denn wenn wir uns nur auf die Tools und die Technologie konzentrieren, woher wissen wir dann, ob wir uns auf die richtigen Dinge mit der richtigen Priorität konzentrieren? Und wir haben, wissen Sie, wir haben so viele Probleme, denen wir uns stellen können, dass es nicht möglich ist, sie alle gleichzeitig mit dem gleichen Maß an Konsequenz und mit den gleichen Investitionen anzugehen. Daher denke ich, dass der CSO und die Sicherheitsverantwortlichen dem Vorstand bei der sorgfältigen Auswahl dieser Risiken helfen müssen. Und dann würde ich auch sagen, dass es wirklich wichtig ist, dass man einen guten, reichhaltigen, offenen und transparenten Dialog führt. Daher sollte der Vorstand einen Dialog mit dem CISO führen. Nicht nur über den Status, nicht nur über eine Statusaktualisierung. Es sollte wirklich eine Risikodiskussion darüber sein, was wir nicht tun, worauf wir uns nicht konzentrieren, wofür wir nicht genug Zeit aufgewendet haben? Weil wir alle wissen, dass die Zeit einfach nicht ausreicht, um alles zu erledigen. Deshalb muss bei dieser Diskussion eine gewisse Transparenz herrschen. Und der CISO sollte nicht die einzige Führungskraft sein, die zu diesem Thema Recht hat. Bei jeder Geschäftsentscheidung, in jedem Geschäftsbereich, wenn sie Geld verdienen, wissen sie, wie sie das melden müssen. Sie sollten auch die Aufgabe haben, zu wissen und zu verstehen, wie sich Cyberangriffe auf sie auswirken, welche Möglichkeiten sie ihnen bieten und wie sie sie einschränken und schaden könnten sie verletzen oder ihnen Schaden zufügen. Daher müssen Unternehmensleiter ebenso viel Verantwortung für die Ergebnisse übernehmen wie der CSO, denn Cybersicherheit ist nicht das Geschäft. Es ist nur ein Teil von allem anderen, was Sie tun. Ich denke also, dass der Cyber-IQ und die Cyber-Kultur wirklich wichtige Überlegungen sind. Und schließlich ist, wie ich schon sagte, der CSO nicht die einzige Führungskraft, die sich darüber im Klaren sein sollte, was scheitert oder was erfolgreich ist.
Steve Weber [00:31:35] Interessant. Homaira, alle weiteren Gedanken zur wichtigsten und wirkungsvollsten Erkenntnis sind die Qualität der strategischen Gespräche auf Vorstandsebene über das Risikoprofil der Cybersicherheit und seine Beziehung zum Unternehmen. Was ist die wichtigste Erkenntnis, die man den Menschen vermitteln und mit ihnen leben sollte, wenn sie das Buch zu Ende gelesen haben?
Homaira Akbari [00:31:53] Steve, es gibt Dutzende Imbissbuden und wir haben diese herausgesucht. Aber ja, ich habe etwas zum Mitnehmen, und das basiert wiederum darauf, dass diese Frage oft speziell von mir und, glaube ich, auch von Shamla gestellt wurde. Wie können wir effizient und sicher sein? Was können wir tun, um 100 % sicher zu sein? Ich möchte genug ausgeben, um 100 % sicher zu sein. Ich wurde schon einmal von einem Senior eines Fortune-50-Unternehmens gefragt: „Wie kommt es, dass die Regierung uns nicht zu 100 % sicher macht?“ Das kannst du, sagten sie. Und die Realität ist: Nein, Sie können nicht 100 % sicher sein. Warum? Die drei Gründe dafür. Der erste Grund ist, dass im Grunde alle Unternehmen und Regierungen sowie alle Körperschaften auf der Welt, einschließlich der Verbraucher, auf veraltete Technologien und IT-Systeme angewiesen sind, die nicht auf Sicherheit ausgelegt sind. Und sie schaffen Schwachstellen. Und das Problem ist, dass viele dieser Schwachstellen heute noch nicht offensichtlich sind. Und der zweite Grund ist, dass wir jeden Tag neue Technologien und Innovationen einführen, von denen einige sogar Sicherheit beinhalten. Aber sobald sie sich in diese alten Technologien integrieren, werden sie auch angreifbar oder sie schaffen selbst in den alten Technologien Schwachstellen. Wie Sie wissen, führt die zunehmende Angriffsfläche und die Auswirkungen auf die bereits vorhandene Angriffsfläche zu einer Vielzahl von Schwachstellen, von denen uns einige bekannt sind. Und einige davon sind nicht so bekannt wie die sogenannten Zero-Day-Schwachstellen. Und schließlich ist dies ein Sektor, in dem es einen Gegner gibt. Es gibt Armeen von Menschen, die extrem gut bezahlt werden oder von denen einige extrem wohlhabend sind, und Organisationen, kriminelle Organisationen, die tatsächlich nach Schwachstellen suchen und diese ausnutzen. Und wissen Sie, warum wurden wir gefragt, warum geben sie das einem vor uns? Wegen der ersten beiden, die ich erwähnt habe, weil wir uns einfach nicht bewusst sind und diese Leute tatsächlich kontinuierlich arbeiten und kluge Leute sind, nach diesen Schwachstellen zu suchen. Infolgedessen wird man nie 100 % sicher sein, weshalb es sehr wichtig ist, Bedrohungsinformationen zu erkennen, über gute Bedrohungsinformationen zu verfügen und mit der Regierung in Bezug auf andere Unternehmen und andere Einrichtungen zusammenzuarbeiten, sie zu koordinieren und zu kooperieren, um über diese Bedrohungsinformationen zu verfügen und in der Lage zu sein um jedes Gerät zu erkennen, zu reagieren und wiederherzustellen.
Steve Weber [00:34:34] Es ist wirklich wichtig. Die Lektion, an die ich mich erinnere, geht zurück auf das, worüber wir vorhin gesprochen haben: Wie sieht gutes Aussehen aus? Niemand sollte die Frage stellen, wie ein perfektes Aussehen aussieht, denn es gibt kein Perfekt, und vielleicht ist sogar das, was ein gutes Aussehen ist, nicht die richtige Frage. Aus dem, was Sie gerade gesagt haben, entnehme ich, dass die richtige Frage vielleicht lautet: Woher wissen wir, dass wir besser werden, und zwar schneller als unsere Gegner?
Shamla Naidoo [00:34:54] Weißt du, Steve, ich möchte noch hinzufügen, dass das ein großartiger Punkt ist, denn alle Risiken sind nicht in allen Unternehmen gleich. Rechts. Es kommt also darauf an, was angemessen ist und was Ihren Appetit hervorruft. Und eins würde ich den Vorständen sagen: Sagen Sie einfach, was Sie wollen. Machen Sie sich einfach klar, was Ihrer Meinung nach wesentlich ist, denn das fehlt. CISOs werden sich wirklich bemühen, Ihnen das zu geben, was Sie Ihrer Meinung nach wollen und brauchen. Machen Sie sich also klar, was zum jetzigen Zeitpunkt für dieses Unternehmen, für diesen Vorstand, von wesentlicher Bedeutung ist. Was ist wichtig? Was möchtest du wissen? Und ich kann Ihnen sagen, dass CISOs Ihnen als Praktiker das geben werden, was Sie brauchen. Aber wenn sie raten, müssen sie damit rechnen, dass sie etwas falsch machen.
Steve Weber [00:35:43] Fantastisch. Nun ja, ich hatte die Gelegenheit, das Buch zu lesen, viele unserer Zuhörer jedoch wahrscheinlich nicht. Können wir abschließend erklären, wo sie dieses Buch erhalten können? Wo kann das Publikum das Buch finden? Wann wird es verfügbar sein?
Homaira Akbari [00:35:58] Es wird ab dem 5. September verfügbar sein und unter der Netskope-URL verfügbar sein.
Steve Weber [00:36:05] Shamla, hast du noch irgendwelche letzten Gedanken, die du heute mit unserem Publikum teilen kannst?
Shamla Naidoo [00:36:08] Ich würde sagen, lesen Sie, was Ihre Foren lesen. Lesen Sie also das Buch, damit Sie wissen, mit welchen Fragen Sie rechnen müssen, wenn Sie im Sitzungssaal mit ihnen konfrontiert werden.
Steve Weber [00:36:16] Vielen Dank, dass Sie heute diesen Podcast gemacht haben. Aber ich danke Ihnen noch mehr, dass Sie dieses Buch geschrieben haben. Ich denke, dass es für viele Regisseure eine enorme Ressource sein wird. Ich hoffe, dass es weithin gelesen und verbreitet wird und denjenigen Freude bereitet, die es lesen und vor allem nutzen.
Produzent [00:36:32] Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, dem sie gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen veröffentlicht werden, und wir werden Sie bei der nächsten Folge auf dem Laufenden halten.
Warum Netskope? 
){kind=icon}
