Produzent [00:00:00] Willkommen bei Security Visionaries, einem Podcast von Netskope, der Ihnen Gespräche mit Führungskräften aus der Welt der Cybersicherheit, Technologie, des Vertrauens und der Vernetzung bietet. Diese Folge enthält ein Gespräch zwischen Shamla Naidoo, Leiterin für Cloud-Strategie und Innovation bei Netskope, und Homaira Akbari, Präsidentin und CEO von AKnowledge Partners, moderiert von Steve Weber, Professor an der School of Information der UC Berkeley und Partner bei Breakwater Strategy. Als Co-Autoren des kürzlich erschienenen Buches „The Cyber Savvy Boardroom: Essentials Explained“ diskutieren Shamla und Homaira über ihre Motivation, dieses Buch zu schreiben, wie es auf neue Trends in der Cybersicherheit eingeht und welche Art von Feedback sie dazu von ihren Kollegen erhalten haben. Hier ist unser Gespräch mit Shamla, Homaira und Steve.
Steve Weber [00:00:45] Willkommen beim Security Visionaries-Podcast. Mein Name ist Steve Weber. Ich bin Professor an der School of Information der UC Berkeley und Partner bei Breakwater Strategy, einer Beratungsfirma mit Sitz in Washington, D.C. Es ist mir eine Ehre, diesen Podcast zu moderieren. Ich habe zehn Jahre in der Welt der Cybersicherheit verbracht, sowohl auf technischer, geschäftlicher als auch auf politischer Ebene. Und eine der interessantesten, herausforderndsten und wichtigsten Dynamiken war die Diskussion über Cybersicherheit, wie sie in den Vorstandsetagen stattfindet. Man sieht, wie sich die Vorstandsmitglieder mit der Aufsicht und Steuerung dieser sich schnell verändernden und komplexen Risiken auseinandersetzen. Und in diese Mischung mischen sich jetzt Homaira Akbari und Shamla Naidoo mit einem New und sehr fesselnden Buch ein: „The Cyber Savvy Boardroom“. Ich würde sagen, es ist in vielerlei Hinsicht bemerkenswert, für mich aber vor allem wegen seiner Lesbarkeit, seiner unmittelbaren praktischen Anwendbarkeit und, offen gesagt, wegen des Umfangs seiner Berichterstattung. Beginnen wir also von vorne. Homaira, Sharma. Erzählen Sie uns, wer Sie sind, wie Sie dazu kamen, dieses Buch zu schreiben und warum jetzt?
Homaira Akbari [00:01:58] Ich bin Homaira Akbari, Präsidentin und CEO von AKnowledge Partners. Ich begann meine Karriere als Wissenschaftler in der experimentellen Teilchenphysik und arbeitete am Europäischen Zentrum für Kernforschung CERN. Ich habe die Hälfte meiner beruflichen Laufbahn damit verbracht, Technologieunternehmen zu leiten, darunter Thales in Frankreich, Microsoft und Liberty Media, und war CEO von Skybitz, einem IoT-Unternehmen. Ich bin derzeit Vorstandsmitglied bei Banco Santander und Landstar System. In meiner aktuellen Rolle bei AKnowledge Partners. Ich arbeite mit großen und großen Unternehmen im Bereich Private Equity in den Bereichen Sicherheit, Cybersicherheit, IoT, Energiewende und künstliche Intelligenz.
Steve Weber [00:02:43] Shamla?
Shamla Naidoo [00:02:44] Ich bin Shamla Naidoo. Ich bin ein langjähriger Techniker. Ich habe vier Jahrzehnte in der Technologiebranche verbracht und etwa die Hälfte dieser Zeit als Leiter der Cybersicherheit in großen Organisationen. Ich bin Mitglied im Aufsichtsrat von drei Aktiengesellschaften und lehre Recht der neuen Technologien und globales Datenschutzrecht an der University of Illinois. Ich bringe also drei verschiedene Perspektiven in dasselbe Gespräch ein: die eines Praktikers, die eines Empfängers dieser Vorstands-Updates und das Lernen und Verstehen der regulatorischen Verpflichtungen und Pflichten des Vorstands.
Steve Weber [00:03:16] Sprechen Sie darüber, warum jetzt? Sprechen Sie bitte über den Zeitpunkt und die Dringlichkeit des Buches im Jahr 2023 und darüber, wie es ins Jahr 2024 übergeht.
Homaira Akbari [00:03:27] Realistisch gesehen hätte dieses Buch vor einem oder mehreren Jahren geschrieben werden sollen. Aber die Dringlichkeit besteht jetzt darin, dass wir, wie Sie, Steve, und wie jeder andere jeden Tag sieht, Nachrichten über diese Art von Cyberangriffen erhalten und dass diese Cyberangriffe immer größer und größer werden und sich ausweiten. Früher beschränkte sich der Fokus nur auf Finanzdienstleistungen oder das Gesundheitswesen, heute erstreckt er sich jedoch auf alle Branchen, alle Kunden und Unternehmensgrößen, egal ob es sich um gemeinnützige Organisationen, Family Offices, große öffentliche oder private Unternehmen und kleine Unternehmen gleichermaßen handelt. Und das liegt insbesondere an Ransomware, also an der Art von Angriff, bei dem Daten oder andere Vermögenswerte einer Entität kompromittiert und dann entführt, also verschlüsselt und entführt werden. Und damit es von den Hackern freigegeben wird, verlangen sie Geld. Und deshalb ist das jetzt wirklich eine strafrechtliche Angelegenheit geworden. Und jede Branche, jedes Unternehmen ist davon betroffen. Und zweitens besteht Dringlichkeit, weil viele Regulierungsbehörden und insbesondere in den USA die FCC gerade Offenlegungsvorschriften verabschiedet haben, die sich in erster Linie an börsennotierte Unternehmen richten. Aber wie Sie wissen, befolgen private Unternehmen dies in der Regel auch, d. h. sie müssen alle wesentlichen Verstöße innerhalb von vier Werktagen durch Einreichung und 8-K melden. Dadurch ist die Cybersicherheit plötzlich mit den anderen Risiken vergleichbar, denen Unternehmen ausgesetzt sind. Darüber hinaus verlangt die SEC nun von Unternehmen, dass sie auch ihre Strategie, Governance und Organisation entwickeln bzw. ausarbeiten, um zu zeigen, wie sie das Unternehmen vor Cyberrisiken schützen, und all diese Informationen jährlich in ihren 10-K-Bericht aufnehmen. Also. Die Vorstandsetage ist heute mehr denn je in Cybersicherheit involviert, überwacht Cybersicherheitsrisiken und stellt sicher, dass die SEC-Anforderungen und generell andere regulatorische Anforderungen erfüllt werden.
Steve Weber [00:05:58] Shamla, können Sie das aus Ihrer Sicht beantworten? Dies ist das erste Mal, dass Sie sich hingesetzt und sich die Zeit genommen haben, ein Buch zu schreiben. Warum jetzt? Was? Worin lag für Sie die Dringlichkeit?
Shamla Naidoo [00:06:10] Ich möchte noch hinzufügen, dass Unternehmen derzeit blitzschnell wachsen, nicht wahr? Und ich würde behaupten, dass die meisten Unternehmen bereits in irgendeiner Form digitale Unternehmen sind. Aber sie alle vergrößern den digitalen Fußabdruck. Wir leben in einer Datenwirtschaft und erstellen und produzieren daher mehr Daten als je zuvor. Unsere Technologie arbeitet immer schneller. Und ehrlich gesagt sind das alles gute Dinge, denn sie bieten enorme Chancen für das Unternehmenswachstum. Gleichzeitig müssen wir den Cybersicherheitsrisiken entsprechende Anstrengungen und Aufmerksamkeit widmen, da größere digitale Fußabdrücke die Anfälligkeitspunkte erhöhen. Sie erhöhen die Möglichkeit für Kompromisse. Sie erhöhen die Wahrscheinlichkeit von Diebstahl und anderen Arten betrügerischer Aktivitäten. Ich denke, jetzt ist es an der Zeit, dass sich die Vorstandsmitglieder bei ihrer Strategieüberwachung nicht nur auf die guten Dinge konzentrieren, sondern auch den Dingen, die schiefgehen könnten, die entsprechende Aufmerksamkeit widmen. Und genau das ist die Aufgabe der Vorstände. Aber was wir mit diesem Buch versuchen, und warum gerade jetzt, ist, Aufmerksamkeit zu erregen, ein Bewusstsein in der Gemeinschaft zu schaffen, dass wir hier hinschauen müssen, dass sie diese Zeit nicht umgehen können.
Steve Weber [00:07:34] Interessant, es ist fast so, als ob wir jedes Mal, wenn das Wort „digitale Transformation“ verwendet wird, sicherstellen sollten, dass das Wort „Cybersicherheit“ im selben oder im nächsten Satz vorkommt. Lassen Sie mich auf Sie zurückkommen, Homaira. Selbst für die technisch am wenigsten oder am besten versierten Direktoren gibt es zahlreiche Veröffentlichungen und Kurse, die sich der Schulung von Vorstandsmitgliedern zum Thema Cybersicherheit widmen. Offensichtlich bringen Sie dieses Buch in dieses Umfeld. Wie haben Sie dieses Buch unter Berücksichtigung all dieser Alternativen strukturiert? Was war aus Ihrer Sicht anders daran, was den echten Mehrwert für einen überfüllten, aber immer noch schwer zu bedienenden Bildungsbereich angeht?
Homaira Akbari [00:08:22] Shamla und ich haben sozusagen untersucht, was auf dem Markt war, und der Anstoß zum Schreiben unseres Buches kam, weil wir tatsächlich eine Marktlücke sahen. Was wir also heute sehen, sind hauptsächlich Schriften, Bücher und Broschüren, in denen es um die grundlegenden Begriffe und Konzepte der Cybersicherheit geht. Und dann geht es normalerweise weiter mit manchmal Hunderten von Fragen, die die Vorstandsmitglieder stellen können. Als CISOs haben wir beide in Echtzeit bemerkt und beobachtet, dass einige meiner Direktorenkollegen diese Fragen in einem Sitzungssaal stellen würden, und wir, die CISO , antworten darauf. Und das Vorstandsmitglied würde sagen: „Oh, okay, danke.“ Aber es gibt keine wirklich sinnvolle Diskussion und Einbindung des CSO und des gesamten Managements, um wirklich zu verstehen, was hinter diesen Antworten steckt und ob Sie wissen, was Sie tun. Wenn Sie beispielsweise eine buchhalterische oder finanzielle Frage stellen, kommt es häufig zu einer Debatte. Und im Bereich der Cybersicherheit gibt es normalerweise keine Debatte, weil das Vorstandsmitglied einfach nicht über die grundlegenden Kenntnisse zur Cybersicherheit verfügt. Deshalb haben wir uns dazu entschlossen, in einem relativ kurzen Band von 80 Seiten das grundlegende Wissen zu vermitteln, das jedes Vorstandsmitglied braucht. Und dann ist unser Plan, dass sie auf diesem Wissen und dieser Plattform weiter aufbauen. Und wie wir wissen, handelt es sich um ein kontinuierliches Lernen, insbesondere im Bereich der Cybersicherheit. Das Einzigartige an unserer Arbeit war jedoch, dass wir eine Reihe mentaler Modelle erstellt haben, die in einem grafischen Format wirklich aufbereitet und von intelligenten Vorstandsmitgliedern, zu denen alle hochqualifizierte Personen gehören, relativ schnell verarbeitet werden können. Und so haben wir es definiert: als eine Reihe von Karten. Wir haben im gesamten Buch vier Karten, wobei die erste Karte Unternehmensvermögensgruppen definiert und wir im Wesentlichen zehn Kategorien erstellt haben. Dazu gehören beispielsweise Daten, die eine Gruppe von Geschäftsvermögenswerten darstellen, nämlich Finanzanlagen. Die Menschen sind die anderen. Aber wir haben ungefähr zehn, genauer gesagt zehn Unternehmensvermögensgruppen, und wir definieren sie. Nachdem wir sie definiert hatten, machten wir uns daran, zu zeigen, was unser weißer Hut ist. Unser Vermögen ist das Betriebsvermögen. Welchen Vorteil erzielen sie durch den Zugriff und was sind ihre Beweggründe, warum sie es tun würden und wie sie es tun würden. Und das brachte uns zu dem, was wir Angriffsvektoren nennen. Wir haben also für jede Gruppe von Geschäftswerten die heute existierenden Angriffsvektoren abgebildet, um diese Gruppen von Geschäftswerten entweder direkt anzugreifen oder sie als Kanal zu nutzen, um an die Kronjuwelen des Unternehmens zu gelangen, wobei beispielsweise Daten als Kronjuwelen definiert werden, und nicht nur als eines davon. Dann gehen wir zu Karte drei über, und in Karte drei ging es wieder um dieselben zehn Unternehmensvermögensgruppen, die wir gezeigt haben. Wie schützen Sie sie? Wir haben also gezeigt, wie die heutige Verteidigungsstrategie eines guten Unternehmens, einer guten Organisation mit einer sehr guten oder besseren Sicherheitslage diese bestimmten Vermögensgruppen tatsächlich schützt. Und dann kommen wir zu Karte vier, in der wir für jede Unternehmensvermögensgruppe erneut Kennzahlen bereitstellen, um die Wirksamkeit des Schutzes aufzuzeigen. Und dann berücksichtigen wir auch, dass es sich bei diesem Verteidigungssystem nicht nur um Schutz handelt, sondern dass es bei der Cybersicherheit auch um Erkennung, Reaktion und Wiederherstellung geht. Wir haben außerdem Kennzahlen zur Messung der Wirksamkeit der Sicherheitslage durch Tests sowie durch Kennzahlen zur Erkennung und Reaktion einbezogen. Ich denke, das ist etwas Einzigartiges, das noch nie zuvor gemacht wurde und das sehr umfassend ist, aber es ist auch sehr leicht zu verstehen und zu erlernen.
Steve Weber [00:12:40] Ja, ich würde aus der Sicht eines Lesers sagen, dass andere Leser das Gleiche feststellen werden. Diese mentalen Kartenkonstrukte helfen wirklich dabei, Prioritäten und die Hierarchie der zu stellenden Fragen zu definieren. Für mich war das also sicherlich ziemlich New und ziemlich wichtig und hilfreich. Sharma, lassen Sie mich auf Sie zurückkommen und speziell nach der Cloud fragen. Für viele Organisationen unterschiedlichster Größenordnungen ist die digitale Transformation mittlerweile zu einer Diskussion über den Wechsel in die Cloud in allen möglichen Konfigurationen geworden. Sprechen wir also über die Cloud. Und wenn Sie an die Cloud-Transformation und Cloud-Migration denken, welche Möglichkeiten, welche Fragen ergeben sich für den Vorstand insbesondere im Hinblick auf die Sicherheit?
Shamla Naidoo [00:13:29] Wissen Sie, ich denke, als wir das Cloud-Konzept in das Buch aufgenommen haben, war das ein wichtiges Thema, weil die meisten Vorstandsmitglieder im Sitzungssaal das Konzept der Geschwindigkeit verstehen. Sie verstehen, dass wir unsere Fähigkeiten sehr schnell aufbauen müssen. Und wenn Sie ihnen sagen, dass sie entweder etwas in die Cloud stellen oder einen Dienst aus der Cloud nutzen können, ist der unmittelbare Zusammenhang, dass dies viel schneller passieren wird, weil unser Team nicht die Zeit und Mühe aufwenden muss, um die grundlegenden Funktionen aufzubauen. Jemand anderes hat es bereits getan. Wir werden es einfach kaufen, ausleihen, leasen usw. und wir werden es nutzen, um unsere eigenen Fähigkeiten darauf aufzubauen, und es wird sehr schnell marktreif sein. Wenn Sie also die Vorteile der Cloud erkennen möchten und wissen möchten, dass Geschwindigkeit in Vorstandsgesprächen eine wichtige Rolle spielt, sollten Sie wissen, dass Geschwindigkeit eine wichtige Rolle spielt. Die Frage für uns war jedoch, ob sie wissen sollten, dass etwas schiefgehen könnte. Ist es beispielsweise offensichtlich, dass die Infrastruktur, die die Cloud-Umgebung unterstützt, außerhalb ihrer physischen Kontrolle liegt? Welche Dinge sollten sie tun, die sie sonst nicht getan hätten, wenn es im Rechenzentrum gewesen wäre? Und das war der eigentliche Grund, warum wir uns auf dieses Thema konzentriert haben: Wir müssen die Risiken verstehen, die mit der Verlagerung von Daten in die Cloud verbunden sind. Und es geht nicht immer darum, was man anfassen und fühlen kann. Manchmal geht es darum, wen Sie beaufsichtigen müssen, wen Sie beaufsichtigen müssen, welche Erwartungen Sie an Ihre Partner und Dritte haben sollten usw. Doch all diese großen Vorteile bringen auch Risiken mit sich und sie müssen herausfinden, wie sie diese Risiken am effizientesten bewältigen können, um die gewünschten Ergebnisse zu erzielen.
Steve Weber [00:15:20] Großartig. Shamla, ich werde gleich auf Ihren Punkt zum Thema Risiko eingehen, weil dieser so wichtig ist. Viele Direktoren, mit denen ich spreche, betrachten sich selbst im Wesentlichen als Risikomanager in einem Aufsichtsumfeld. Und ich möchte auf Sie zurückkommen, Homaira, und Sie nach Ihrer Ansicht und der Art und Weise fragen, wie das Buch die Frage der Risikobereitschaft im Cyberspace angeht. Sie können Ihr Risiko nicht auf Null reduzieren. Sie geben Geld für Dienstleistungen, Produkte und Prozesse innerhalb der Organisation aus, um die Cybersicherheit zu verbessern. Und die natürliche Frage, die sich stellt, ist: Woher weiß ich, dass ich eine Kapitalrendite erziele und einen Mehrwert erziele, indem ich das Risiko auf das gewünschte Niveau reduziere? Sprechen Sie also darüber, wie das Buch Entscheidungsträgern oder Direktoren in diesem Fall dabei hilft, in diesem Kontext konstruktiv über Risiken nachzudenken.
Homaira Akbari [00:16:12] Wir geben eine Reihe von Beispielen und Richtlinien. Und dann und von dort aus sprechen wir auch, wie ich bereits erwähnt habe, über eine Reihe von Kennzahlen, die ebenfalls hilfreich wären, um zu messen, ob diese Investitionen eine Rendite bringen. Lassen Sie mich zunächst auf die Beispiele eingehen, über die wir sprechen. Zunächst einmal muss sich ein Vorstand davon überzeugen, dass die Organisation die notwendigen finanziellen und nicht-finanziellen Investitionen tätigt – und ich möchte die nicht-finanziellen Investitionen hervorheben –, um vermeidbare Angriffe zu verhindern und sich gegen nicht-vermeidbare Angriffe zu verteidigen. Eine Maßnahme besteht natürlich darin, im Finanzbereich darauf zu achten, dass es die besten Anbieter ihrer Klasse gibt, und zu den besten Cybersicherheitsverteidigern mit dem besten Verteidigungsökosystem zählen erstklassige Finanzinstitute oder Banken. Bei einer typischen Tier-1-Bank geben wir jedes Jahr zwischen 500 und 1 Milliarde Dollar für Cybersicherheit aus, Steve, und das entspricht normalerweise 5 bis 10 % ihres IT-Budgets. Wissen Sie, offensichtlich kleinere Unternehmen, und das ist die erste Stufe. Es sind Banken und sie gehören wirklich zu den Besten ihrer Klasse. Aber für kleinere Unternehmen sind wir uns natürlich nicht imstande, so viel Geld auszugeben. 5 bis 10 % des IT-Budgets sind ein guter Richtwert. Wenn Sie jedoch recht klein sind und über ein relativ kleines IT-Budget verfügen, müssen Sie wahrscheinlich eher 15 bis 20 % dieses Budgets ausgeben. Der entscheidende Punkt ist, was Sie vorhin gesagt haben. Wenn Sie über Verteidigung nachdenken und sagen, Sie müssen sich gegen Cybersicherheitsrisiken verteidigen, dann gibt es vier Aspekte. Es geht um den Schutz Ihrer Vermögenswerte, die Erkennung von Bedrohungen, die Reaktion auf den Angriff und die Wiederherstellung nach dem Angriff, denn es kommt unweigerlich zu Cyberangriffen. Sie müssen also sicherstellen, dass Sie diese Sicherheitslage definiert haben und die Sicherheit gewährleisten, sie zu schaffen. Und deshalb verfügen Sie über die besten und vielfältigsten Tools ihrer Klasse. Aber ich würde etwas versäumen, wenn ich diese Erklärung nicht mit der Betonung dieser nicht-finanziellen Investition abschließe. Und was ist das? Für eine Organisation ist es wirklich das Wichtigste, über die richtige Cyberkultur zu verfügen. Wie meinst du das? Was meinen wir damit? Es geht wirklich um ein Bewusstsein auf breiter Front, angefangen beim CEO und der Geschäftsleitung, über das Bewusstsein und ihr Engagement für Cybersicherheit bis hin zu jedem einzelnen Mitarbeiter des Unternehmens. Und wir wissen heute, dass noch immer zwei Drittel, vielleicht sogar fast 80 % aller Verstöße auf Fehler zurückzuführen sind, die – ob absichtlich oder unabsichtlich – von Mitarbeitern in den Organisationen unserer Subunternehmer begangen wurden. Daher ist dieses Bewusstsein und der Aufbau einer Cybersicherheitskultur durch den CEO wichtig, der sagt: „Ich glaube daran, ich bin engagiert und widme mich der Sache“, was sich dann auf die gesamte Organisation auswirkt und auch dafür sorgt, dass alle Führungskräfte Verantwortung übernehmen. Es sind nicht nur die CISOs, und Shamla kann Ihnen mehr darüber erzählen, da sie selbst als CISO für die Cybersicherheit verantwortlich ist.
Steve Weber [00:19:51] Shamla, lassen Sie mich auf Sie zurückkommen und Ihnen die Frage des Tages stellen, die im Moment sicher jeder beschäftigt. Sie haben mit dem Schreiben dieses Buches begonnen, als große Sprachmodelle noch ein Forschungsspielzeug waren, mit dem die Leute in Laboren und Universitäten herumspielten. Ich schätze, es ist jetzt ungefähr acht oder neun Monate her. ChatGPT tauchte plötzlich auf der Bildfläche auf und ist plötzlich eine der interessantesten, faszinierendsten und wichtigsten Entwicklungen und das Wort KI ist überall. Sprechen Sie also darüber, wie der Aufstieg von Technologien wie der generativen KI ChatGPT den Bedarf an einem Buch wie diesem verändert oder beschleunigt und über die Art der Veränderungen, von denen Homaira gerade gesprochen hat, einschließlich der kulturellen Veränderungen.
Shamla Naidoo [00:20:39] Wissen Sie, Steve, das Interessante daran ist, dass wir vor einem Jahrzehnt die gleiche Reaktion auf die Cloud-Technologie hatten. Rechts. Und so war es in der jüngeren Vergangenheit die Cloud. Jetzt geht es um künstliche Intelligenz und insbesondere um große Sprachmodelle. Wissen Sie, in ein oder zwei Jahren wird es der Quantencomputer sein. Und der Punkt ist, dass die Innovation nicht aufhört. Es wird also ständig Innovationen geben. Wir werden ständig mit New Technologien, New Ansätzen, New Architekturen und New Tools konfrontiert. Das liegt einfach in der Natur der Technologie. Die Idee dahinter ist meiner Meinung nach, dass wir auf alles vorbereitet sein müssen. Und insbesondere Vorstandsmitglieder müssen sich des Tempos der Veränderungen bewusst sein und sich schnellstmöglich das nötige Grundlagenwissen aneignen, denn hier besteht die größte Lücke. Wenn Sie kein Fundament haben, werden Ihnen zwar alle diese tollen Informationen da draußen zufliegen, aber sie landen nicht auf einem starken Fundament, was bedeutet, dass Sie nicht wirklich darauf aufbauen können. Ich denke, dieses Buch wird ihnen die Grundlage geben, auf der sie aufbauen können, um auf die New Technologien und New Konstrukte vorbereitet zu sein, die auf sie zukommen werden. Die Idee ist also, dass dies der Beginn des Lernens ist. Es ist nicht „das“ Lernen. Es ist die Grundlage, auf der weiteres Wissen aufgebaut wird. Ich würde also sagen: Seien Sie auf die Innovationen der Zukunft vorbereitet. Dieses Buch vermittelt Ihnen die grundlegenden Konzepte, Ansätze und Modelle, auf deren Grundlage Sie über die Zukunft der Innovation nachdenken können. Aber große Sprachmodelle sind derzeit ein großes Thema. Es ist ein Thema, weil wir in einer Datenwirtschaft leben. Daten gibt es überall. Die meisten Daten waren unsichtbar, bis uns diese Technologie zur Verfügung gestellt wurde. So können wir die in all diesen Daten enthaltenen Geschäftserkenntnisse nutzen. Und ich denke, jetzt haben wir die Gelegenheit, uns auf Daten, Datenschutz, das Datenrisiko, das Fehlerrisiko, das Risiko von Auslassungen und alle Aktivitäten zu konzentrieren, die in das große Sprachmodell eingebettet sind, das wir für Unternehmen verwenden werden. Aber noch einmal, es ist die Grundlage.
Homaira Akbari [00:22:53] Wenn ich Steve darum bitten dürfte. Sehr interessant ist, dass wir in dem Buch, wie Shamla erwähnte, über neue Technologien sprechen, und zwar insbesondere über Air und Chat, aber auch über das IoT. Beim IoT geht es beispielsweise um die Tatsache, dass 80 % der Cyberrisiken sehr ähnlich sind wie alle anderen Risiken, die wir bisher hatten. Aber es gibt auch Besonderheiten. Im Fall von ChatGPT oder KI besteht, wie wir alle wissen, eines der größten Risiken darin, dem Modell die falschen Daten zuzuführen und infolgedessen falsche Ergebnisse zu erhalten, weil Sie tatsächlich gefälschte Daten erstellen. Das bringt uns zu etwas, das Deep Fake genannt wird. Dabei werden die Daten so gefälscht, dass sie in gewisser Weise unglaublich sind, aber manche Leute glauben daran, sodass sogenannte Deepfakes entstehen. Ich denke, das ist genau das, was Shamla gesagt hat: Wir sprechen über neue Technologien und wie man darüber denken sollte, aber dann gehen wir auf diese Fälle etwas genauer ein. Ich denke also, dass wir den Vorstandsmitgliedern dabei helfen, über das aktuelle Thema nachzudenken und wie sie es angehen sollten.
Steve Weber [00:24:10] Ich bin ziemlich sicher, dass es 2024 ein New geben wird und das wird im Laufe der Zeit getestet. Homaira, lassen Sie uns ein wenig darüber sprechen, wie sich Vorstände selbst bewerten und bewerten sollten. Es ist offensichtlich, dass es eine große Anzahl von Vorständen und Aktiengesellschaften usw. gibt. Und die Leute fragen sich: Wie geht es uns? Woher wissen wir, was wir tun? Uns geht es gut. Ich glaube, wir alle hören die Frage „Wie sieht gut aus?“ oft. Wenn also ein Vorstand sein Unternehmen bewerten möchte und dabei an Reife oder Exzellenz in der Cybersicherheit denkt, wie sollte er vorgehen? Und wie geht das Buch auf Kennzahlen und Vergleiche ein und beantwortet die Frage: „Wie sieht gut aus im Vergleich zu dem, was andere tun?“
Homaira Akbari [00:24:55] Stevie Wir haben ein ganzes Kapitel, und zwar Kapitel sieben, in dem wir über Messgrößen sprechen, denn das ist eine Frage, die von Vorstandsmitgliedern, CISOs und anderen Leuten im Ökosystem millionenfach gestellt wurde. In Kapitel sieben haben wir im Wesentlichen zwei Metriksätze definiert. Bei der einen handelt es sich um Kennzahlen auf Betriebsebene, bei der anderen um Kennzahlen auf Vorstandsebene. Die Kennzahlen auf Betriebsebene entsprechen der Karte für den jeweiligen Bereich, der angesprochen wird. Sie zeigt grundsätzlich für jede Unternehmenswertgruppe, wie Sie die Wirksamkeit Ihres Schutzes und anschließend die von Ihnen verwendeten Erkennungs- und Reaktionsmethoden messen können. Es geht auch darum, dass Sie die Sicherheitslage der Organisation messen oder testen müssen, wodurch Sie tatsächlich ein Maß erhalten, nicht das einzige, aber ein Maß für diese Reife. Dann kommen wir zu den Kennzahlen auf Vorstandsebene, und unseres Wissens hat niemand dieses von Shamla und mir entwickelte Konzept wirklich entwickelt, nämlich dass diese Kennzahlen auf Vorstandsebene tatsächlich aus fünf Komponenten bestehen, von denen zwei betriebstechnischer Natur sind. Als Eingabe wären beispielsweise die Frage nach der Wirksamkeit und Einhaltung gesetzlicher Vorschriften Ihres Cybersicherheitsprogramms und nach Ihrem Cybersicherheitsrisikoprofil erforderlich, das sich aus den von mir erwähnten Betriebskennzahlen ergibt. Es werden aber auch drei weitere Bewertungen hinzugefügt. Eine davon ist: Wie sieht Ihre Cybersicherheitskultur aus? Zweitens: Wie hoch ist Ihr Investitionsniveau und Ihr Versicherungsschutz? Und schließlich: Wie ist Ihre Organisation bereit, die Auswirkungen von Cyberangriffen zu bewältigen? Und wir glauben nicht, dass irgendeine Organisation dies auf die von uns beschriebene Weise nutzt, aber wir glauben, dass sie, wenn sie das tun, in der Lage sein werden, die Reife ihrer Organisation zu bestimmen. Und das ist für uns der Schlüssel.
Steve Weber [00:27:04] Wunderbar. Lassen Sie mich zu Ihnen zurückkehren, Shamla. Gemeinsam mit Homaira leben und atmen Sie jeden Tag das Universum der Cybersicherheit. Sie haben so viele verschiedene Seiten dieses Puzzles kennengelernt und ich fand es sehr wichtig, am Ende des Buches tatsächlich ein Gefühl dafür zu bekommen, was Ihrer Meinung nach die wichtigsten Überlegungen, Gedanken und Erkenntnisse sind, die die Leute am Ende des Tages wirklich mit nach Hause nehmen sollten. Weil die Priorisierung ein so wichtiger Teil dieses Gesprächs ist. Sprechen Sie also ein wenig über die abschließenden Gedanken, Überlegungen am Ende des Buches, die Dinge, die Ihnen am wichtigsten sind und die die Leser daraus mitnehmen.
Shamla Naidoo [00:27:48] Also, wissen Sie, ich denke, ich würde damit beginnen, dass wir alle wissen, wie man den Nutzen von Technologie misst, richtig? Und das ist der einfache Teil. Was uns schwerfällt, ist das Messen, Berechnen und die wirkliche Auseinandersetzung mit den Problemen, wenn sie schiefgehen. Und diese Aufgabe obliegt dem Vorstand. Um ihnen zu helfen, müssen wir meiner Meinung nach bedenken, dass die Technologie viele Vorteile bietet. Wie kann es schiefgehen? Wichtig ist, dass ich glaube, dass die Umsatzgenerierung nicht aus Ihrer Cybersicherheitspraxis stammt, es sei denn, Sie sind ein Cybersicherheitsunternehmen und verkaufen Cybersicherheitsprodukte oder -dienstleistungen. Einnahmen werden durch Ihre Geschäftspraktiken generiert, aber die Sicherheitspraktiken, die Technologie, die Tools, die Kontrollen usw. ermöglichen diese Geschäfte. Wenn wir also die Vorteile unseres Geschäfts und die Einnahmen berechnen, die wir mit unserem Geschäft erzielen, müssen wir dies mit den Kosten für die Sicherheit verrechnen, denn es geht tatsächlich nicht nur darum, das Geschäft zu ermöglichen, sondern es ist eine Investition in die Einnahmen, die Sie erzielen. Und wenn Sie die Investition herausnehmen, sagen Sie: „Okay, das ist der Nettogewinn, den ich erzielt habe.“ Es ist also tatsächlich so, dass es Kosten für die Geschäftstätigkeit sind, aber es sind Kosten für den Umsatz. Das ist also ein wichtiger Aspekt. Ich denke, man sollte auch nicht vergessen, dass Führung bei diesem Thema nicht mit der Technologie und den Werkzeugen für das Thema austauschbar ist. Deshalb brauchen wir gute, starke Führungskräfte, die dem Vorstand bei der Risikoauswahl helfen können. Wie können wir die größten Risiken für das Unternehmen identifizieren und sie dann beseitigen? Und wie können wir dann den nächsten Schritt machen, der auf den Punkt kommt, und gleichzeitig unser Risiko weiter verringern? Denn wenn wir uns nur auf die Werkzeuge und die Technologie konzentrieren, woher wissen wir dann, ob wir uns auf die richtigen Dinge mit der richtigen Priorität konzentrieren? Und wir müssen uns, wie Sie wissen, mit so vielen Problemen auseinandersetzen, dass es nicht möglich ist, sie alle gleichzeitig mit der gleichen Konsequenz und dem gleichen Investitionsaufwand anzugehen. Ich denke, dass der CSO und die Sicherheitsverantwortlichen dem Vorstand dabei helfen müssen, diese Risiken sorgfältig auszuwählen. Und dann würde ich auch sagen, dass es wirklich wichtig ist, einen guten, intensiven, offenen und transparenten Dialog zu führen. Der Vorstand sollte daher einen Dialog mit dem CISO führen. Nicht nur über den Status, nicht nur ein Status-Update. Es sollte wirklich eine Risikodiskussion darüber sein, was wir nicht tun, worauf wir uns nicht konzentrieren, wofür wir nicht genug Zeit aufgewendet haben. Denn wir alle wissen, dass wir einfach nicht genug Zeit haben, um alles zu erledigen. Daher muss es in dieser Diskussion eine gewisse Transparenz geben. Und der CISO sollte nicht der einzige Leiter sein, der sich mit diesem Thema auskennt. Sie wissen, wie sie bei jeder Geschäftsentscheidung und in jedem Geschäftsbereich, wenn sie Geld verdienen, darüber Bericht erstatten müssen. Sie sollten auch wissen und verstehen müssen, welche Auswirkungen Cyberangriffe auf sie haben, welche Möglichkeiten sie haben, wie sie eingeschränkt werden können und wie sie ihnen schaden oder schaden können. Daher müssen Unternehmensleiter anfangen, die gleiche Verantwortung für die Ergebnisse zu übernehmen wie der CSO, denn Cybersicherheit ist nicht das Geschäft. Es ist einfach ein Teil von allem, was Sie sonst tun. Ich denke, der Cyber-IQ und die Cyber-Kultur sind allesamt wirklich wichtige Überlegungen. Und wie ich bereits sagte, ist der CSO nicht die einzige Führungskraft, die darüber Bescheid wissen sollte, was schiefgeht oder was erfolgreich ist.
Steve Weber [00:31:35] Interessant. Homaira, haben Sie noch weitere Gedanken zu der wichtigsten und wirkungsvollsten Erkenntnis? Sie betrifft die Qualität der strategischen Gespräche auf Vorstandsebene über das Cybersicherheitsrisikoprofil und seine Beziehung zum Unternehmen. Was ist die wichtigste Erkenntnis, die den Leuten im Gedächtnis bleiben und bleiben sollte, wenn sie das Buch zu Ende gelesen haben?
Homaira Akbari [00:31:53] Steve, es gibt Dutzende von Erkenntnissen, und wir haben diese hervorgehoben. Aber ja, ich habe eine Erkenntnis gewonnen, und zwar auf der Grundlage, dass diese Frage speziell mir und, glaube ich, auch Shamla oft gestellt wurde. Wie können wir effizient und sicher sein? Was können wir tun, um 100 % sicher zu sein? Ich möchte genug ausgeben, um 100 % sicher zu sein. Das wurde mir sogar einmal von einem leitenden Angestellten eines Fortune 50-Unternehmens gefragt: „Warum sorgt die Regierung nicht für hundertprozentige Sicherheit?“ „Das können sie“, sagten sie. Und die Realität ist: Nein, Sie können nicht 100 % sicher sein. Warum? Die drei Gründe dafür. Der erste Grund ist, dass im Grunde alle Unternehmen und Regierungen und alle anderen Einrichtungen auf der Welt, einschließlich der Verbraucher, auf veraltete Technologien und IT-Systeme angewiesen sind, die nicht im Hinblick auf die Sicherheit entwickelt wurden. Und sie schaffen Schwachstellen. Und das Problem ist, dass viele dieser Schwachstellen heute nicht offensichtlich sind. Und der zweite Grund ist, dass wir jeden Tag New Technologien und New Innovationen übernehmen, von denen einige sogar über integrierte Sicherheitsmerkmale verfügen. Doch sobald sie in diese alten Technologien integriert werden, werden auch sie anfällig oder sie verursachen sogar in den alten Technologien Schwachstellen. Diese zunehmende Angriffsfläche und die Auswirkungen auf die Oberfläche, die wir bereits haben, schaffen unzählige Schwachstellen, von denen uns einige bekannt sind. Und einige davon sind nicht bekannt, wie die sogenannten Zero-Day-Schwachstellen. Und schließlich ist dies ein Sektor, in dem Sie Gegner haben. Es gibt Heerscharen von Menschen, die extrem gut bezahlt werden oder von denen einige extrem reich sind, und Organisationen, kriminelle Organisationen, die tatsächlich nach Schwachstellen suchen und diese ausnutzen. Und wissen Sie, warum wir gefragt wurden, warum sie das jemandem vor uns geben? Wegen der ersten beiden, die ich erwähnt habe, sind wir uns dessen einfach nicht bewusst und diese Leute arbeiten tatsächlich kontinuierlich daran und sind kluge Leute, die nach diesen Schwachstellen suchen. Daher ist Ihre Sicherheit nie hundertprozentig gewährleistet. Deshalb ist es sehr wichtig, Bedrohungen zu erkennen, über gute Informationen zu Bedrohungen zu verfügen und mit der Regierung, anderen Unternehmen und anderen Einrichtungen zusammenzuarbeiten, diese Informationen zu koordinieren und zu kooperieren, um Bedrohungen auf jedem Gerät erkennen, darauf reagieren und die Bedrohung wiederherstellen zu können.
Steve Weber [00:34:34] Es ist wirklich wichtig. Ich erinnere mich, dass die Lektion auf das zurückgeht, worüber wir vorhin gesprochen haben: Wie sieht ein gutes Aussehen aus? Niemand sollte die Frage stellen, wie das perfekte Aussehen aussieht, denn es gibt kein Perfektes, und vielleicht ist sogar die Frage, wie ein gutes Aussehen aussieht, nicht die richtige Frage. Aus Ihren Ausführungen schließe ich, dass die richtige Frage vielleicht lautet: Woher wissen wir, dass wir besser werden und zwar schneller als unsere Gegner?
Shamla Naidoo [00:34:54] Wissen Sie, Steve, ich möchte noch hinzufügen, dass das ein sehr guter Punkt ist, denn nicht alle Risiken sind in allen Unternehmen gleich. Rechts. Es kommt also darauf an, was angemessen ist und was Ihren Appetit weckt. Und eines würde ich den Vorstandsmitgliedern raten: Sagen Sie einfach, was Sie wollen. Seien Sie sich einfach darüber im Klaren, was Ihrer Meinung nach wesentlich ist, denn wenn dies nicht der Fall ist, … CISOs geben sich wirklich Mühe, Ihnen das zu geben, was Sie ihrer Meinung nach wollen und brauchen. Machen Sie sich also klar, was für dieses Unternehmen und diesen Vorstand zum jetzigen Zeitpunkt von Bedeutung ist. Was ist wichtig? Was möchten Sie wissen? Und ich kann Ihnen aus eigener Erfahrung sagen, dass CISOs Ihnen das geben, was Sie brauchen. Aber wenn sie raten, müssen Sie damit rechnen, dass sie falsch liegen.
Steve Weber [00:35:43] Fantastisch. Nun, sehen Sie, ich hatte das Glück, das Buch lesen zu können, viele unserer Zuhörer hatten das wahrscheinlich nicht. Können wir zum Abschluss erklären, wo sie dieses Buch bekommen können? Wo kann das Publikum das Buch finden? Wann wird es verfügbar sein?
Homaira Akbari [00:35:58] Es wird ab dem 5. September verfügbar sein und unter der Netskope-URL verfügbar sein.
Steve Weber [00:36:05] Shamla, möchten Sie unserem Publikum heute noch etwas mitteilen?
Shamla Naidoo [00:36:08] Ich würde sagen, lesen Sie, was in Ihren Foren steht. Lesen Sie also das Buch, damit Sie wissen, mit welchen Fragen Sie rechnen müssen, wenn Sie im Sitzungssaal vor ihnen stehen.
Steve Weber [00:36:16] Vielen Dank an Sie beide, dass Sie heute diesen Podcast machen. Aber noch mehr danke ich Ihnen dafür, dass Sie dieses Buch geschrieben haben. Ich denke, es wird für viele Regisseure eine enorme Ressource sein. Ich hoffe, dass es weithin gelesen und verbreitet wird und dass es denjenigen, die es lesen, Freude bereitet und, was am wichtigsten ist, es nutzt.
Produzent [00:36:32] Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu bewerten und zu rezensieren und sie mit jemandem zu teilen, dem sie gefallen könnte. Bleiben Sie dran für die Episoden, die alle zwei Wochen erscheinen, und wir sehen uns bei der nächsten.
){kind=icon}
