Matthew McCormack: Wie können wir dazu beitragen, eine Pipeline zukünftiger Cyber-Führungskräfte und dann auch diese Pyramide aufzubauen? Wie können wir Millionen weiterer Menschen für die Disziplin gewinnen und sie einfach davon überzeugen, dass man dafür kein Informatiker oder Ingenieur sein muss, oder? Man muss doch nur neugierig sein, oder? Was ich möchte, ist, dass ich jemanden möchte, der sich etwas ansieht und sagt: „Das ist interessant.“ Das macht keinen Sinn. „Lassen Sie mich herausfinden, warum“, das ist die Person, die eine gute Sicherheitsperson abgeben würde. Wenn Sie jemand sind, der sich etwas ansieht und sagt: „Ich verstehe nicht, warum es so aussieht, aber ich werde herausfinden, warum“, dann sind Sie in diesem Bereich richtig.
Erzähler: Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, CISO bei Netskope. Sie haben gerade vom heutigen Gast Matthew McCormack, Senior Vice President und Chief Information Security Officer bei GSK, gehört. Was passiert in einer Welt, in der die Bösen den Guten zahlenmäßig überlegen sind? Wenn Sie ein moderner CISO sind, hält Sie dieser Gedanke nachts wach. Cyberkriminelle vermehren sich mit erstaunlicher Geschwindigkeit und CISOs bemühen sich darum, Teams zusammenzustellen, die ihnen helfen können, an der Spitze zu bleiben. Ein wichtiger Teil des Kampfes ist die Entwicklung der nächsten Generation von Sicherheitsführern, aber wie können wir als Branche die Reihen der Cybersicherheitskräfte von morgen besetzen? Glücklicherweise ist der heutige Gast genau das, um uns dabei zu helfen, das herauszufinden. Bevor wir uns also mit Matthews Spielplan befassen, hier ein kurzes Wort unseres Sponsors.
Anzeigenrolle: Der Podcast „Security Visionaries“ wird vom Team von Netskope betrieben. Netskope ist der freche Marktführer und bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im heutigen Geschäftstempo zu bieten. Erfahren Sie mehr unter Netskope.
Erzähler: Genießen Sie ohne weitere Umschweife die vierte Folge „Security Visionaries“ mit Matthew McCormick, Senior Vice President und Chief Information Security Officer von GSK, und Ihrem Moderator Jason Clark.
Jason Clark: Willkommen bei Sicherheitsvisionären. Ich bin Ihr Gastgeber Jason Clark, CMO und Chief Strategy Officer und Chief Security Officer bei Netskope. Heute ist mein Freund und besonderer Gast Matt McCormack bei mir. Matt, wie geht es dir?
Matthew McCormack: Gut. Jason, wie geht es dir?
Jason Clark: Ich bin super fantastisch, Mann. Es ist wirklich schön, diese Podcast-Reihe hier mit Ihnen zu starten. Sie sind unser zweiter Gast. Ich war vor zwei Wochen mit Emily Heath zusammen und das lief wirklich sehr, sehr gut. Also, zu Beginn: Was war Ihre erste Arbeitsplatzunsicherheit?
Matthew McCormack: Meine erste Jobunsicherheit war also, ironischerweise, bei der Marine, oder? Als ich in meinem letzten Studienjahr ROTC am College war, wurde ich vor meinem Eintritt in die Marine untersucht und mir wurde gesagt, dass ich rot-grün-farbenblind sei. Und wenn Sie sich mit Booten überhaupt auskennen, sind Rot und Grün wichtige Farben auf dem Meer. Es zeigt Ihnen, in welche Richtung das Schiff fährt. Und so sagten sie mir im Grunde, ich könne kein Flugzeug fliegen oder ein Schiff fahren, und machten mich zu einem Kryptologen, der sich in den 90er-Jahren aus der Kryptologie in die frühe Netzwerksicherheit verwandelte. Ich bin wirklich hierher gekommen, weil ich bei der Marine war und farbenblind war.
Jason Clark: Das ist eine interessante Geschichte, oder? Ich glaube, seit ich in die Armee eingetreten bin, hatte ich ähnliche Gedanken wie du, nicht wegen der Farbenblindheit, oder? Aber ich flog Flugzeuge und dachte, ich wollte Pilot werden, und während ich flog, waren die Piloten um mich herum professionelle Piloten einer Fluggesellschaft. Ich hatte die Marine verlassen und sie sagten: „Hören Sie, Sie wollen kein Pilot werden.“ Berufspilot einer Fluggesellschaft. Im Grunde fahre ich nur einen Bus. Wählen Sie einen anderen Beruf. Und ich denke: „Oh, wow, okay.“ Du hast gerade meine Träume zerstört.
Matthew McCormack: Das ist allerdings ein guter Rat.
Jason Clark: Es war ein toller Rat und ich habe mich an den Sicherheitsdienst gewandt. Das war es. Ich war doch Analyst, oder? Es hat also mein Leben verändert.
Matthew McCormack: Die Welt hat sich verändert, oder? Jetzt beschäftigen sich die Leute ursprünglich mit der Sicherheit, oder? Sicherheitsoriginalisten, wo wir alle vor Jahren darauf reingefallen sind.
Jason Clark: Es war gut. Ich denke, Matt, ich muss sagen, wir kennen uns wahrscheinlich schon seit 15 Jahren, oder? Ich würde sagen, wir haben dazu beigetragen, den Grundstein für diese Branche zu legen, oder? Wir haben gemeinsam bei Null angefangen. Es war ziemlich cool zu sehen.
Matthew McCormack: Ich kenne meine erste CISO-Position tatsächlich, ich war der erste CISO der Organisation bei der Defense Intelligence Agency. Vorher hatte es noch keinen gegeben. Die Idee, dass wir im wahrsten Sinne des Wortes einige dieser ersten Organisationen gründen und so beängstigend es auch klingen mag, ist fast 20 Jahre her, aber ja. Ich erinnere mich an unsere ersten Interaktionen, Sie waren damals bei Websense und Blue Coats und ich war beim IRS und dann führten alle ihre ersten Web-Proxy- und Web-Filterungen durch. Vor mehr als 20 Jahren bestand Netzwerksicherheit nur aus Paketfilter-Firewalls, oder? Und das war es. Und dann kamen VPNs und dann die ganze Webinhaltsfilterung hinzu, und jetzt sind wir hier und heute.
Jason Clark: Ganz ehrlich, wir haben es gerade herausgefunden, oder? Wir mussten einfach etwas erfinden, als wir hingingen und sagten: „Okay, mal sehen, ob das funktioniert“, oder? Das ist meiner Meinung nach ein großer Beitrag dazu, wie wir die Dinge auch heute noch tun müssen, oder? Und erzählen Sie uns ein wenig über Ihre Rolle bei GSK.
Matthew McCormack: Als Chief Information Security Officer habe ich alle traditionellen Rollen eines CISO inne, oder? Ob es um die Cybersicherheits-Netzwerkverteidigung geht, aber ich habe auch die GRC-Funktion, diese Governance, Risiko und Compliance, die ein global reguliertes Arzneimittel war. Es gibt eine Vielzahl an Vorschriften. Und einer der interessanten Aspekte, wenn man global agiert, ist, dass es nicht nur um die US-Vorschriften geht, oder? Es handelt sich um Vorschriften für jedes Unternehmen oder jedes Land, in dem Sie produzieren und verkaufen. Und wir sind in einer beträchtlichen Anzahl von Ländern vertreten. Und wenn man sich Governance, Risiko und Compliance anschaut, dann ist das doch ihre Bedeutung, nicht wahr? Im Gegensatz zu einer früheren Stelle bei einem US-amerikanischen Technologieunternehmen, wo man sich im Allgemeinen nur um eine begrenzte Anzahl von Ländern kümmert.
Matthew McCormack: Bei einem Pharmaunternehmen, das in fast jedem Land herstellt und verkauft, ist es schon etwas anderes, all diese unterschiedlichen Compliance-Regeln kennen und beachten zu müssen, oder? Eigentlich ist es ziemlich augenöffnend, weil man sieht, wie verschiedene Länder mit der Privatsphäre ihrer Bürger umgehen und wie Daten gespeichert und gepflegt werden. Und es gibt eine große Vielfalt, oder? Ich sage, als Amerikaner behandeln wir die Privatsphäre unserer Bürger im Allgemeinen genauso wenig wie viele andere Länder. Viele Länder schützen die Daten ihrer Bürger sehr. Es hat mir also die Augen geöffnet, diese Rolle vor einigen Jahren zu übernehmen.
Jason Clark: Wie halten Sie überhaupt mit? Das ist viel, oder? Das ist eine Menge Veränderung. Für mich sieht es so aus, als würde es sich schneller verändern als je zuvor. Wie bleiben Sie also auf dem Laufenden?
Matthew McCormack: Nun, ich meine, für mich muss man ein Team von Leuten haben, die wissen, wie man es macht, und die wissen, wie man es gut macht, aber auch global. Es wird kein Team von Leuten geben, das an einem Ort sitzt und dieses globale Programm verwalten kann. Wenn man sich GRC anschaut, hat man einzelne Leute. Ich werde mehrere Leute haben, die die einzigen in meinem Team in diesem Land sind, oder? Und ihre Aufgabe besteht darin, diese Beziehung zu den lokalen Regierungen aufrechtzuerhalten und uns über alle Änderungen auf dem Laufenden zu halten. Wenn man sich jedoch das chinesische Sicherheitsrecht und das chinesische Datenschutzrecht anschaut, gibt es eine Menge Bedeutsames, aber es gibt auch viele Diskussionen über den Datenschutz in Indien über Gesetzesänderungen dort.
Matthew McCormack: Wenn Sie sich also einige dieser größeren Länder ansehen, können Änderungen der Datenschutzgesetze Auswirkungen auf uns weltweit haben, oder? Denn um einige dieser Gesetze einzuhalten, müssen Sie möglicherweise einige Änderungen auf Unternehmensebene vornehmen.
Jason Clark: Als Sie bei der DIA waren, haben Sie und ich viel darüber gesprochen, wie wir diesen Übergang von der Regierung hin zum CISO im Unternehmen vollziehen können. Sprechen Sie vielleicht ein wenig darüber, wie dieser Übergang für Sie war, was anders ist und was Sie jedem raten, der jetzt diese Veränderung vornimmt. Denn es gibt definitiv Leute, die ich gesehen habe und die es versucht haben, aber sie sind etwas zu hart reingekommen, und das passt mir nicht. Wie war das für Sie und was würden Sie anderen empfehlen?
Matthew McCormack: Ein Router ist ein Router und eine Person ist eine Person, oder? Diese Dinge unterscheiden sich nicht grundsätzlich, da sie föderal und kommerziell sind. Ich werde einige der Unterschiede nennen, und ich glaube nicht, dass irgendjemand davon schockiert wäre, Geschwindigkeit, oder? Die Geschwindigkeit, mit der Sie Dinge erledigen können. Ich weiß, dass es einige Änderungen gegeben hat, um der Regierung mehr Flexibilität zu ermöglichen, aber die Haushaltsplanung und der Beschaffungsprozess der Regierung waren nicht unbedingt darauf ausgerichtet, die Dinge schnell zu erledigen, oder? Im Grunde geht es darum, die Dinge ziemlich ungerecht zu erledigen, und nicht unbedingt darum, schnell erledigt zu werden.
Matthew McCormack: Für mich war eine der größeren Veränderungen, und für mich war es 2012, als ich kommerziell tätig wurde, meine Fähigkeit, das zu kaufen und zu beschaffen, was ich tun musste, aber auch die Geschwindigkeit, mit der ich im Allgemeinen nicht arbeiten konnte immer, aber die Geschwindigkeit, mit der ich einstellen konnte, oder? Die Fähigkeit, Talente zu identifizieren und diese Talente sehr schnell kommerziell zu gewinnen, war ein großer Unterschied. Auf der anderen Seite steht, würde ich sagen, ganz allgemein die Mitarbeiter: Wenn es um Mitarbeiter und einige der von ihnen ergriffenen Maßnahmen geht, müssen wir als CISOs immer ein Auge darauf haben, was wir den Mitarbeitern erlauben und tun was wir ihnen nicht erlauben.
Matthew McCormack: Die Einstellung innerhalb des föderalen Raums, des Regierungsraums, die Menschen fühlten sich mit einer Befehls- und Kontrollhaltung wohler. Wenn wir also sagen, dass Sie X nicht auf Ihrem Computer ausführen können, sagen die Leute im Allgemeinen: „Okay, wir können X nicht ausführen“, oder? Kommerziell ist es eher eine Verhandlungssache, oder? Besonders wenn Sie in einem globalen Unternehmen tätig sind, werden Sie in Europa Gewerkschaften und Arbeitnehmerkommissionen haben. Es wird unterschiedliche nationale Gesetze geben, die es den Menschen erlauben, Dinge zu tun. Es gibt bestimmte Länder, in denen gesetzlich eine minimale persönliche Nutzung von Unternehmensdaten zulässig ist, was auf Bundesebene nicht der Fall war. Man könnte sagen: „Sie können Ihren Bundescomputer nicht für persönliche Arbeiten verwenden.“ Boom, Ende der Geschichte, es ist geschafft.
Matthew McCormack: Aber wenn es einige dieser Länder gibt, die tatsächlich Gesetze haben, die das erlauben, müssen wir das schaffen. Aus persönlicher Sicht waren einige der Regeln und Anforderungen, was getan werden muss und was nicht, für die Bundesseite manchmal etwas einfacher, weil es den Punkt verdeutlicht, aber diese Entscheidungen zu treffen per Edikt war etwas einfacher.
Jason Clark: Für Sie scheint es viele Gemeinsamkeiten zu geben, oder? Und dann gibt es für mich einige klare Unterschiede. Es scheint einfach sehr breit zu sein, oder? Denn abgesehen von der Armee habe ich nicht im Bundesbereich gearbeitet.
Matthew McCormack: Und der föderale Raum ist nicht alle gleich, oder? Also war ich beim Militär. Ich habe mich mit Geheimdiensten befasst und mehrere Jahre beim IRS verbracht, also im Wesentlichen im Finanzbereich. Und es gibt große Unterschiede zwischen diesen verschiedenen Bereichen innerhalb des föderalen Raums. Es ist nicht alles allgegenwärtig. Es sieht nicht alles genau gleich aus, aber ich möchte eine der Fragen stellen, die Sie stellen würden: „Welchen Rat hätte ich für jemanden, der von einem Bundes- in einen Wirtschaftsbereich wechselt?“ und einiges davon würde in der Nähe sein. Ein Teil des Komfortniveaus, das sie hatten: Als CISO trifft man eine Entscheidung, jeder wird es tun. Wenn Sie in den kommerziellen Bereich einsteigen, müssen Sie verstehen, dass alles keine Verhandlung ist oder dass es sich um eine Verhandlung handelt, oder?
Matthew McCormack: Wenn Sie aus Sicherheitsgründen etwas tun müssen, müssen Sie sich hinsetzen und sicherstellen, dass Sie sich bei Ihren Datenschutzbeauftragten, Ihren Arbeitsrechtsanwälten, in der Personalabteilung und in diesen verschiedenen Bereichen erkundigt haben . Du wirst nicht in der Lage sein, Dinge zu erledigen, nur weil du es gesagt hast, oder? Und zu verstehen, dass das nicht bedeutet, dass Sie kein kluger Mensch sind und die Leute Ihnen nicht glauben, sondern nur, dass das der Prozess ist. Ich denke, auf Bundesebene konnten wir mehr von dem tun, „Weil ich es gesagt habe.“ Und wenn Sie in den kommerziellen Bereich kommen, werden die Leute nicht blind akzeptieren, was Sie ihnen sagen.
Jason Clark: Also nur ein kleiner Übergang: Was ist Ihrer Meinung nach das am schnellsten wachsende Risiko in der Cybersicherheit? Der Haken daran, dass die Leute nicht erkennen, dass CISOs oder die meisten Sicherheitsteams oder Führungskräfte nicht erkennen, dass dies das am schnellsten wachsende Risiko ist? Was schleicht sich an alle heran?
Matthew McCormack: Ich denke, viele Leute sind sich jetzt einiger Dinge bewusst, aber sie verstehen nicht die gesamte Bandbreite und die Auswirkungen, die von Dritten stammen. Und Dritte, es gibt mehrere Teile für Dritte. Mit dem Wachstum der Unternehmen haben sie sich natürlich von allen Mitarbeitern zu einer sehr starken Unterstützung durch Auftragnehmer oder Dritte entwickelt, um ihnen zu helfen, aber auch Software. Und die Zunahme von Ransomware, die so viele verschiedene Unternehmen und einige sehr große Unternehmen betroffen hat, und insbesondere, wenn ein Dienstleister, jemand, der Ihrem Unternehmen Mitarbeiter zur Verfügung stellt, um Sie bei der Erledigung einer Aufgabe zu unterstützen, und Sie diesen Mitarbeitern traditionell einiges überlassen Wenn einer dieser Dienstanbieter von Ransomware betroffen ist, besteht der erste Schritt darin, dass Sie allen Mitarbeitern dieses Unternehmens, die auf Ihr Netzwerk zugreifen, jeglichen Zugriff verweigern und alle Remote-Zugriffe bis zum Unternehmen vernichten hat festgestellt, was das Ergebnis der Ransomware war.
Matthew McCormack: Und man erkennt die Auswirkungen, wenn am Montag plötzlich 1.500 Menschen nicht zur Arbeit erscheinen können, weil ihr Unternehmen von Ransomware angegriffen wurde. Und Sie erkennen, wie stark Sie von diesem Dienstleister abhängig sind. Und der zweite Teil davon ist die Software, oder? Jeder weiß, dass über SolarWinds all diese Dinge in der Presse stehen. Die Idee, dass Sie tatsächlich bereits kompromittierte Systeme kaufen und in Ihrem eigenen Netzwerk bereitstellen und es nicht so ist, dass diese Unternehmen uns den Quellcode zur Verfügung stellen, damit wir unsere Due-Diligence-Quellcodeanalyse durchführen können, oder? Das werden sie nicht tun.
Matthew McCormack: Aus diesem Grund sind wir wirklich auf die internen Fähigkeiten dieser Anbieter im Bereich Produktsicherheit angewiesen. Wenn ich also „Dritte“ sage, dann „Dritte in Bezug auf Dienstanbieter und Einrichtungen“ und dann „Dritte in Bezug auf kompromittierte Software“. Man erkennt einfach diese Abhängigkeit. Bei GSK, einem Pharmaunternehmen, sind wir natürlich auf die Herstellung von Medikamenten, Impfstoffen und dergleichen spezialisiert. Sie denken nicht darüber nach, welche Auswirkungen Ihre IT-Management-Software wie SolarWinds haben könnte, oder? Sie bringen SolarWinds mit. SolarWinds wird gehackt. Man muss es herausreißen, und dann kann das plötzlich ein ganzes Unternehmen lahmlegen.
Matthew McCormack: Und ich verstehe wirklich die Auswirkungen all dieser Dritten und wie man versucht, einen Reaktionsplan für das zu entwickeln, was man tut, wenn so etwas passiert.
Jason Clark: Ich denke, Sie haben gerade getroffen, was wahrscheinlich, da stimme ich zu, das Größte ist. Ich denke, das größte Risiko ist eigentlich das Risiko Dritter, aber ich würde sagen, dass es aufgrund von SaaS am schnellsten wächst, oder? Es ist die Sache, die das Unternehmen mit oder ohne IT einfach anstellt. Und in den meisten Organisationen geht es eigentlich ohne IT einfach so weiter, oder? HR, Marketing usw. und dann auch noch das Datenwachstum, oder? Data, du bist der MC, oder? Und die Datenmenge wird sich in den nächsten vier Jahren verdreifachen, von 57 Zettabyte auf 107 Zettabyte. Wir sehen nicht, dass die Aktien von Speicherunternehmen dreimal durch die Decke gehen, oder? Weil sich alles in die Cloud oder auf Mobilgeräte verlagert. Ich denke, es sind definitiv diese beiden, aber ein Doppelklick auf das Drittparteirisiko, das gezählt am schnellsten ist, ist definitiv SaaS, oder? Die meisten Unternehmen haben über tausend. Was sehen Sie, was Unternehmen tun, um sich darauf einzulassen? Die CISOs kümmern sich um das Geschäft und helfen ihnen dabei, dies zu ermöglichen. In der Vergangenheit haben wir immer gesagt: „Hey, nein, wir haben ein einziges CRM.“ Mach nichts anderes“?
Matthew McCormack: Alles, was Punkt-Punkt-as-a-Service ist, ist manchmal ein Code für „Wir werden die IT umgehen“, oder? Und manchmal, schauen Sie, ich verstehe den Grund, warum Leute das manchmal tun, denn wenn man den Prozess durchläuft, dauert es im Allgemeinen länger, es ist im Allgemeinen teurer, aber dafür gibt es doch Gründe, oder? Insbesondere in einer regulierten Branche müssen Sie sicherstellen, dass Sie die Vorschriften einhalten. Ich sehe einen großen Trend, insbesondere im Direct-to-Consumer-Bereich, oder? Die Leute möchten in der Lage sein, direkt an Sie zu verkaufen, Jason, was auf den ersten Blick großartig klingt, und sie können einen Anbieter finden, der sagt: „Hey, ich öffne ein Portal für Sie, und Sie können Ihr Produkt verkaufen.“ direkt an Jason. „Okay, großartig, und ja, das wird den Umsatz steigern, aber haben wir einen PCI-Brief, oder?“ Haben wir die Compliance eingerichtet? Speichern wir Kreditkarten? Speichern wir personenbezogene Daten?" einige dieser verschiedenen Dinge.
Matthew McCormack: Wir müssen also versuchen, proaktiv zu sein und uns zu melden. Da wir einige dieser Fähigkeiten intern finden, nicht unbedingt nur die alten Zeiten, nehmen Sie den Hammer heraus, zerschlagen Sie ihn und schalten Sie ihn ab, aber sagen Sie: „Okay, wissen Sie was?“ Wenn eine Direktansprache an den Verbraucher erforderlich ist und Sie dieses Portal bereits erstellt haben, überlegen wir doch mal, ob wir es legitimieren können, oder? Lassen Sie uns den gesamten PCI-Anteil für Ihr Direct-to-Consumer-Portal erledigen und dann sicherstellen, dass andere Leute im Unternehmen in Zukunft das Portal verwenden, das Sie gerade erstellt haben, und nicht losziehen und ein eigenes erstellen.“
Matthew McCormack: Früher hätten wir wahrscheinlich gesagt: „Nein, das ist ein Verstoß.“ Wir richten uns nicht direkt an den Verbraucher, bla, bla, bla“, aber jetzt müssen wir sagen: „Schauen Sie, wenn Sie es tun, gibt es statistisch gesehen andere Leute im Unternehmen, die es entweder tun oder tun werden.“ Wir wollen es tun, also lasst uns herausfinden, wie wir das schaffen.“ Und ich sage Ihnen, ein gutes Beispiel, und ich will niemandem etwas vormachen, ist, als COVID hier in den USA ausbrach. Wenn Sie Kinder haben, sind sie plötzlich bei Zoom aufgetaucht, und Zoom, innerhalb von GSK, war bei Zoom nicht dabei eines der bewährten Kollaborationstools. Und es gab einen enormen Druck, uns die Verwendung dieses speziellen Tools auf unseren Geräten zu erlauben, obwohl wir die Sicherheits-Due-Diligence-Prüfung dafür noch nicht durchlaufen hatten. Wir hatten keine Lizenz- und Datenschutzvereinbarung, all diese Dinge und viel Widerstand von unserer Seite, ein Freeware-Tool in der Umgebung einzusetzen, aber dennoch waren so viele Leute daran gewöhnt, weil sie es alle getan hatten Ich habe ihren Kindern in der Schule geholfen und sie haben sich sehr gut mit Zoom vertraut gemacht und es verstanden.
Matthew McCormack: Wissen Sie, manchmal liegt die Sicherheit im Dunkeln, wenn man zu etwas „Nein“ sagt, obwohl es aus sicherheitstechnischer Sicht sinnvoll sein mag. Es ist nicht mehr schwarz und weiß. Sicherheit, Sie müssen im Grauen leben. Wir haben also einen Weg gefunden, es zwar nicht unbedingt so schnell bereitzustellen, wie sich viele Leute gewünscht hätten, haben uns aber letztendlich doch erlaubt, es zu den bewährten Kollaborationstools hinzuzufügen und dann ein gewisses Maß an Support zu bieten.
Jason Clark: Das ist ein großartiges Beispiel. Ich bin überrascht, dass ich fast so viele Unternehmen am Tag betreue, oder? Auf jeden Fall wahrscheinlich fünf CISOs pro Woche und natürlich viele Leute, die versuchen, mein Sicherheitsprogramm zu verkaufen und auf Anbieter zu hören, aber wie viele Leute außer den Zoom-Bots, den Bots, die auftauchen und sagen: „Hey“, das Ding, das da einfach versteckt ist, das ganze Gespräch übersetzen? Jedes Mal, wenn ich zu den Leuten sage, die den Anruf moderieren, und manchmal sind es große Unternehmen, frage ich mich nur: „Hey, ist dir schon klar, dass ich gerade nach dem Unternehmen gesucht habe und es nur 18 Mitarbeiter hat, aber das tun sie nicht.“ Haben Sie eine einzelne Person mit einem Sicherheitstitel und ihr Unternehmen und vertrauen darauf, dass die ganze Konversation dort in der Cloud stattfindet? Du weißt, dass das wahrscheinlich ein Kompromiss ist, oder?“
Jason Clark: Und die Leute sagen: ‚Oh nein, darüber habe ich nicht nachgedacht.‘ Und manchmal sind es Sicherheitsteams und ich denke: „Okay, das ist interessant, oder?“
Matthew McCormack: Und ich denke, das war vor allem dann der Fall, als es anfangs viele Bestrebungen gab, die Nutzung zu erlauben, die Bereitstellung dieser App auf unseren Geräten zu ermöglichen, und den Grund darlegte: „Sehen Sie, wir sind nicht nur Idioten Idioten hier, oder? Wir sagen nicht einfach ohne Grund Nein. Wir mussten die Gründe darlegen, oder? Diese Konversation wird auf kommerziellen Servern eines anderen Unternehmens geführt. Wenn Sie Patientendaten, medizinische Geräte oder ähnliches besprechen, erwarten wir keine Privatsphäre. Diese Daten könnten gesammelt, ausgewertet und an wen auch immer verkauft werden, weil wir keine Datenschutzvereinbarung haben.“
Matthew McCormack: Wir im Sicherheitsbereich müssen manchmal die Gründe besser erklären. Die Leute sind im Umgang mit Technologie schlauer geworden und akzeptieren nicht einfach blind: „Der Sicherheitsmann hat gesagt, das sei schlecht, also werden wir es nicht tun.“ Sie wollen das. Es geht doch nur um Familien und Kinder, oder? Wenn meine Kinder älter werden, muss ich ihnen etwas ausführlicher erklären, warum. Es ist nicht nur ein „Nein, das kannst du nicht machen.“ Es ist wie: „Das kannst du nicht machen, weil XYZ“ oder: „Schau, wenn du anfängst zu fahren, musst du anfangen ... Deshalb musst du langsam um die Ecke fahren, weil du dieses Ding nicht sehen kannst.“ Hier und da ist eine blinde Kurve. Das Gleiche, oder?
Matthew McCormack: Wenn Menschen an eine Technologie gewöhnt sind und ihnen gesagt wird, dass sie sie in dieser Umgebung nicht nutzen können, möchten sie wissen, warum. Und ich denke, das ist eine berechtigte Frage, oder? Das bedeutet nicht, dass sie sich fragen, ob wir als Sicherheitsexperten wissen, was wir tun. Es bedeutet lediglich, dass sie über einen bestimmten Wissensstand verfügen und daher einige Fragen haben. Deshalb müssen wir in puncto Sicherheit als Cheferklärer bessere Arbeit leisten.
Jason Clark: Nun, da gibt es zwei Teile, die wirklich wichtig sind. Es gibt also eines, das dies in echte Risiken übersetzt, auf das ich doppelklicken möchte. Und dann kommen wir zum zweiten Punkt: Sie haben die veröffentlichte Aussage gemacht, dass am Ende alle CISOs Verkäufer sind, was wahr ist. Und deshalb möchte ich beide Leute in der Umgebung ansprechen, da sich das Risiko ändert, es geschieht schnell. Eigentlich sage ich, dass wir uns in dieser auf den Kopf gestellten Welt der Sicherheit befinden, in der alles, was wir geschützt haben, jetzt draußen ist und unsere Sicherheitskontrollen diesen Benutzern und diesen Daten folgen müssen, wohin sie auch gehen, und wir immer noch das Alte schützen müssen, nicht wahr?
Jason Clark: Es ist also so, als würde man das Neue ermöglichen und das Alte schützen, aber in diesem neuen Modell haben Sie in der Vergangenheit über Frameworks gesprochen, aber sind die Frameworks wirklich vorhanden und auf dem neuesten Stand, um mein Risiko wirklich zu verstehen? in dieser neuen Welt statt, sagen wir, mehr Bedrohungsmodellierung und tatsächliches Nachdenken über das Risiko in jeder Phase und darüber, was ich unter Kontrolle habe, und das auf Echtzeit zu übertragen? Wie stehen wir als Branche Ihrer Meinung nach in dieser Denkweise und welche Vorschläge haben Sie?
Matthew McCormack: Sind die Rahmenbedingungen vorhanden? Ja. Sind sie so aktuell, wie wir sie brauchen? Kein Recht? Ich denke, wir sind alle seit einigen Jahren sehr auf die Güterahmen angewiesen. Wie Sie eingangs erwähnt haben, hatten diese Frameworks Schwierigkeiten, Schritt zu halten, während sich die Welt als Dienst und ähnliches verändert, nicht wahr? Das heißt aber nicht, dass sie nicht immer noch eine gute Grundausstattung haben. Aber ich denke, für uns muss Ihre Fähigkeit, zu beurteilen, wie gut Sie abschneiden, und ob Sie die Verpflichtung, die Sie gegenüber Ihrem Vorstand eingegangen sind, tatsächlich einhalten, einen Rahmen haben, oder?
Matthew McCormack: Wir haben unser ICF, unseren internen Kontrollrahmen, und wie die meisten Menschen verwenden wir NIST als Basis, aber dann passen wir es an und es gibt Gründe dafür. Wenn Sie sich Ihre internen Audit-Fähigkeiten ansehen, möchten Sie, dass Ihr Rahmenwerk mit ihrem übereinstimmt, damit, wenn sie ein Problem identifizieren, es Ihrem eigenen zugeordnet wird. Und wenn Sie sich Ihre Datenschutzorganisation ansehen, wenn Sie sich einige dieser Unterschiede ansehen, Ihr gesamtes Compliance-Team, nicht nur Ihre Sicherheits-Compliance, sondern auch die Leute, die für uns verantwortlich sind, Ihr HIPAA, Ihr Sarbanes-Oxley, All diese anderen nationalen Compliance-Standards und die DSGVO, oder? Es gibt so viele Compliance- und Frameworks.
Matthew McCormack: Man könnte in ein schwarzes Loch fallen, wenn man ständig versucht, den perfekten Rahmen zu schaffen. Und ich denke, für uns haben wir beschlossen, dass NIST unser Rahmen ist, und wir werden aufgrund unserer einzigartigen Branche ein wenig Anpassungen vornehmen und dort die Grenze ziehen. Ich glaube nicht, dass Sie ständig auf dem Laufenden bleiben werden, denn wenn Sie in 130 Ländern unterwegs sind, gibt es immer neue Rahmenbedingungen und neue Standards und solche neuen Dinge, mit denen Sie einfach nie Schritt halten können. Wir versuchen zwar, unser Rahmenwerk jährlich zu überprüfen und Änderungen vorzunehmen, aber ich denke, Rahmenwerke sind großartig, Rahmenwerke sind wichtig. Die Modellierung von Bedrohungen ist ebenfalls sehr wichtig und der Versuch, ...
Matthew McCormack: Wenn man 130 Fabriken hat, sind nicht alle 130 Fabriken gleich wichtig. Vielleicht stellt einer Ihr meistverkauftes und umsatzstärkstes Produkt her. Vielleicht verpackt ein anderer nur den Karton, in den Sie das Produkt stecken müssen. Beides ist wichtig, aber welches ist das Wichtigste, oder? Kann man Pappe von jemand anderem bekommen? Höchstwahrscheinlich. Kann jemand anderes dieses spezielle Medikament für Sie herstellen? Weniger wahrscheinlich. Sie müssen also Ihre Bedrohungsmodellierung durchgehen, und wir befinden uns in einem ständigen Zustand, nicht nur für unsere Produktionsanlagen, sondern auch für unsere Datenspeicher und Datenrepositorys, nicht wahr? Wo erlauben wir ihre Replikation? Wem gehören sie? Sind sie in der Cloud? Sind sie nicht in der Cloud?
Matthew McCormack: Vielleicht ist es wirtschaftlich sinnvoll, etwas in die Cloud zu stellen und daraus eine Art SaaS-Modell zu machen. Das Risiko, diese Daten aus Ihrer Umgebung zu entfernen und in die Cloud zu übertragen, überwiegt jedoch die Wirtschaftlichkeit. Wir befinden uns in einem ständigen Zustand der Bedrohungsmodellierung und Risikorendite, oder? Für uns ist das Risiko, das zu tun, den Aufwand wert, und ich sage Ihnen, das ist der Grund, und das ist ein Thema, das in jeder guten Sicherheitsorganisation angehört, etwas, mit dem sich jeder beschäftigt, aber bei der Einstellung sollte man nicht immer danach suchen Informatiker für Ihre Sicherheitsorganisation, oder? Wenn Sie diese Art der Bedrohungsmodellierung durchführen, sollten Sie sich besser einen Buchhalter suchen, oder? Suchen Sie sich besser jemanden, der sich mit Geld auskennt.
Matthew McCormack: Und wenn Sie sich Ihre Versicherungspolice, Ihre Cyber-Versicherungspolicen, ansehen, sind Informatiker nicht die besten Leute, um Ihr Versicherungsrisikoniveau zu bewerten. Wenn Sie sich also Ihre Sicherheitsorganisation ansehen und Bedrohungsmodelle erstellen, sollten Sie nicht einfach blind akzeptieren, dass es intern Leute geben wird, die wissen, wie das geht. Entweder haben Sie ein paar echte Boutique-Spezialisten und wir haben das Glück, ein paar wirklich kluge Leute zu haben, die uns dabei helfen, oder Sie gehen hin und holen es. Denn wenn Sie versuchen, einen Teil dieser Bedrohungsmodellierung mit Leuten durchzuführen, die keine Spezialisten auf diesem Gebiet sind, werden Ihre Prioritäten für dieses Jahr ziemlich durcheinander geraten.
Jason Clark: Ehrlich gesagt, wir haben Verkaufszahlen erreicht, oder? Wir sagten: „Oh, nun ja, Sie müssen ein Verkäufer sein“, oder? Nun ja, ich glaube nicht, dass ein Informatik-Absolvent nicht unbedingt auch Ihr bester Verkäufer sein wird, oder? Ich denke also, dass es je nach Ihrem Fachgebiet und dem, was Sie ausbauen möchten, dabei hilft, die Talentlücke zu schließen, die wir haben. Was ich sagen würde, ist, dass ich enorme Erfolge damit hatte, Kinder von der High School zu holen. Mit einer Security Advisor Alliance gehe ich also zu Oberschulen und Mittelschulen und wir bringen ihnen bei: „Hey, das ist Cyber.“ Und sie sagen alle: „Oh, ich dachte, das wäre Raketenwissenschaft.“ Ich wusste nicht, dass es so einfach ist. Mir war nicht klar, dass ich ein Typ im Keller ohne Licht sein musste, der nur Pizzen unter der Tür durchschob“, oder?
Jason Clark: Und Sie werden sehen, dass bei einem Capture the Flag-Event fast immer Gruppen von Mädchen die Jungs schlagen. Und sie sagen: „Oh, wow, ich wusste nicht einmal, dass das eine Option für mich ist, oder?“ Ich bin gut darin. Ich habe also Absolventen der High School eingestellt, und es ist nicht mehr so ... Das College ist doch nicht auf Anhieb jedermanns Sache, oder? Ich ging zunächst zur Armee, anstatt aufs College zu gehen. Eigentlich habe ich meinen Abschluss erst mit 25 gemacht. Und der einzige Grund, warum ich meinen Abschluss gemacht habe, war, dass sie sagten: „Hey, wir wollen dich zum CISO machen, aber das können wir nicht, wenn du nicht deinen Abschluss hast.“ Und was halten Sie von den Orten, an die Sie gehen, und haben Sie überhaupt Kinder von der High School abgeholt? Und ganz allgemein: Was halten Sie von den Dingen, die andere Sicherheits- und IT-Führungskräfte für diese Talentlücke tun können?
Matthew McCormack: 100 % richtig. Also ja, ich spreche es an Gymnasien und es haut mich um. Ich bin eigentlich nur ... Eine Patentochter von mir, ich habe ein Interview mit ihr geführt, weil ihre High School ein Cybersicherheitsprogramm hat und sie tatsächlich ein Programm gemacht hat, in dem sie programmieren muss, aber dann muss sie auch ein paar Produkte herunterholen und schauen bei ihnen und bewerten Sie das Risiko. Und es hat mich umgehauen, dass sie das in ihrem ersten Jahr an der High School gemacht haben. Ich war wirklich begeistert, sagte dann aber auch: „Gott sei Dank“, oder? Denn für Sie ist die Menge, mit wem auch immer Sie sprechen, ob es drei, fünf oder sieben sind, nicht wahr? Die Millionen-, 3-, 5-, 7-Millionen-Menschen-Lücke, die wir im Cyberspace haben, und die Erwartung, dass wir warten können, bis diese Leute ihren Universitätsabschluss haben, bevor sie ins Berufsleben einsteigen können, ist verrückt, oder?
Matthew McCormack: Die Nachfrage ist einfach zu groß. Und auch was diese Disziplin angeht, bin ich, wie gesagt, bei Ihnen. Einen Hochschulabschluss benötigen Sie grundsätzlich nicht. Ich habe Sie jahrelang an einem örtlichen Community College unterrichtet und sie hatten einen Associate-Abschluss in Cybersicherheit, wo er vor einigen Jahren war, aber sie haben diesen Leuten buchstäblich beigebracht, wie man NetWitness und ArcSight und einige davon verwendet, ich werde mich mit mir selbst verabreden diese Werkzeuge, oder? Sie brachten ihnen bei, wie man sie benutzt. Und als ich zu diesem Zeitpunkt noch in der Regierung war, habe ich diese Leute links und rechts eingestellt, weil man sie buchstäblich direkt in die Socken stecken kann.
Matthew McCormack: Und ich denke, die Idee, dass Cybersicherheit aus so vielen Teilen besteht, und dann sage ich nicht, dass Sie wollen, dass wir Sie operieren, aber es ist sehr viel wie Medizin geworden, oder? Ebenso sind nicht alle Ärzte Ärzte, oder? Manche Ärzte sind gut in Gelenken, andere gut in Dermatologie. Es gibt all diese unterschiedlichen Spezialisten, die in ihren jeweiligen Bereichen gut sind. Sicherheit ist doch so geworden, oder? Sie haben Ihre Penetrationstester, Sie haben Ihre Schulungsspezialisten. Wenn Sie in einem Unternehmen unserer Größe tätig sind, benötigen Sie Programm- und Projektmanager, die diese Multimillionen-Dollar-Projekte verwalten können.
Matthew McCormack: Wenn ich mir also mein 300-400-köpfiges Team ansehe, habe ich alle unterschiedliche Hintergründe, alle unterschiedliche Hautfarben, und ich würde sagen, dass einige der besten Sicherheitsleute aus der Psychologie stammen. Und wenn ich an Hochschulen spreche, sagen mir regelmäßig Leute: „Oh, ich studiere Psychologie oder Soziologie, aber ich interessiere mich wirklich für Cybersicherheit.“ „Großartig, denn ein großer Teil der Cybersicherheit liegt in der Verantwortung des Benutzers.“ Und Leute, die verstehen, wie man Benutzer beeinflusst, wenn man versucht, Benutzer davon abzuhalten, auf einen Phishing-Angriff zu klicken, kann ich nicht einfach eine E-Mail mit der Aufschrift „Seien Sie nicht dumm und klicken Sie auf diesen Link“ senden Ich muss herausfinden, wie ich Menschen beeinflussen kann, und das sind Menschen mit psychologischem Hintergrund. Es gibt also alle möglichen Typen.
Jason Clark: Ich kenne ein paar CISOs, die einen Abschluss in Psychologie haben, oder? Einige wirklich gute CISOs, die eigentlich als Psychologen angefangen haben und dann den Übergang vollzogen haben. Darüber reden sie nicht viel, aber das ist eines ihrer Erfolgsgeheimnisse. In gewisser Weise denke ich, dass es doch nur darum geht, anders zu sein, oder? Einzigartig sein. Folgen Sie nicht einfach der Hauptstraße, die alle anderen gegangen sind. Was können Sie mitbringen, was sonst niemand hat?
Matthew McCormack: Und es ist tatsächlich einer meiner Lieblingsnerven, und natürlich bin ich kein Universitätspräsident und gebe auch nicht vor, einer zu sein. Einer meiner Lieblingsnerven sind Universitäten, die ihre Cybersicherheitsprogramme in ihre Ingenieur- oder Informatikschulen integrieren. Das ist zu 100 % der falsche Ort, um es auszudrücken, oder? Cybersicherheit ist keine Informatikdisziplin und nicht einmal eine Ingenieurdisziplin. Ja, ich bin Ingenieur. Ja, ich bin so aufgewachsen. Und hat das meine Karriere als CISO beeinflusst? Ja, absolut, und ich habe 100 Kollegen, die keine Ingenieure sind, oder? Es ist ein Geschäft, oder? Cybersicherheit ist eine Disziplin für Geschäftsrisiken. Und wenn man sich eine Business School anschaut: „Hey, da gibt es einen Kurs über Risiko, einen Kurs über Versicherungen, einen Kurs über Finanzen, einen Kurs über Psychologie, einen Kurs über Organisationsverhalten“, als ich meinen MBA machte , die Kurse, die ich an der Business School besuchte, hatten viel mehr Bezug zu dem, was ich täglich tue, als die Kurse, die ich an der Ingenieurschule besuchte. Und deshalb bringt es mich um, wenn ich sehe, dass Universitäten ihre Informatik- oder Sicherheitsprogramme in ihre Fakultäten für Wirtschaftswissenschaften oder Ingenieurwissenschaften integrieren. 100% der falsche Ort.
Jason Clark: Ich stimme zu. Der MBA hatte für mich einen erheblichen Einfluss darauf, wie ich meine Organisation, mich selbst und meine Funktion betrachtete. Ehrlich gesagt war es für mich unbedeutend, meinen Bachelor zu machen, oder? Es hat mein Leben wirklich nicht verändert, außer dass ich das Kontrollkästchen bekam, nach dem ich mich fühle, aber der Abschluss meines MBA hat meine Denkweise verändert. Das war also bedeutsam. Wenn wir zurückgehen, haben Sie etwas über die verschiedenen Funktionen erwähnt, in welchem Bereich würden Sie gerne tätig sein, wenn Sie aus irgendeinem Grund Ihre Karriere zurückschrauben und eine Position auf Managerebene annehmen müssten? Was ist Ihr Lieblingsbereich im Bereich Sicherheit, in dem Sie auf diesem Niveau tätig sein möchten?
Matthew McCormack: Training, richtig? Weil ich denke, dass es für mich einer der absolut kritischsten Bereiche ist, oder? 100 %, weil es immer noch 90 % des Benutzers sind, oder? Was macht das Individuum bloß? Wir geben Millionen und Abermillionen für Werkzeuge aus, um jemanden daran zu hindern, etwas zu tun, und dann schaue ich mir den Prozentsatz meines Budgets an, das ist Schulung und es ist winzig, aber es ist einfach so. Und es gibt einen Trend in der Sicherheitsschulungsbranche, der versucht, interaktiver und aktueller zu werden und sich von den Schlagzeilen zu lösen. Es ist immer noch sehr schwierig. Aber ich würde sagen, einer der Bereiche, die immer noch im Bereich der Cybersicherheit liegen und immer noch so offen für ein anderes Denken der nächsten Generation sind, ist die Ausbildung, oder? Denn so interagiert man mit Menschen.
Jason Clark: Das ist genau richtig. Und Sie können es messen. Man kann die Unterschiede in den Veränderungen doch messen, oder? Ich liebe diese Antwort, Matt, denn ich kann dir sagen, dass ich diese Frage in vielen Interviews ständig stelle. Wie Sie wissen, habe ich in meiner Karriere über 50 CISOs eingestellt, oder? Ich habe in der Vergangenheit 30 Mitarbeiter für mich beschäftigt und hier bei Netskope habe ich 10, aber ich führe auch viele Vorstellungsgespräche für CISOs für CIOs in deren Namen, oder? Drei CIOs, die gerade in verschiedenen Unternehmen tätig sind, bitten mich, an ihrem Vorstellungsgespräch teilzunehmen, nur aus freundschaftlicher Sicht. Und so würde ich sagen, dass ich zu diesem Zeitpunkt Hunderte von CISOs interviewt habe und jedes Mal diese Frage gestellt habe: Sie sind der erste CISO, der an Schulungen teilgenommen hat.
Matthew McCormack: Wahrscheinlich, weil ich ein schrecklicher Programmierer bin. Das ist wahrscheinlich der Grund. Sie würden nie wollen, dass ich etwas für Sie programmiere.
Jason Clark: Im Allgemeinen heißt es entweder [unhörbar 00:37:07] oder: „Oh, ich möchte nah am Unternehmen sein“, und am häufigsten heißt es: „Ich möchte der Architekt sein.“ „Ich möchte mit der Technik spielen“ oder „Ich liebe das SOC.“ Ich liebe es, den Kampf zu führen, oder?“ Aber hin und wieder gibt es jemanden, der einfach sagt: „Ich liebe IR“ und dann denke ich: „Oh, da stimmt etwas nicht.“ Da ist dein Leben. Du bist cool, wenn du nie Urlaub hast und jeden Freitagabend arbeitest. Das ist cool." Das ist das wirklich Einzigartige, Matt. Ich denke, das ist wichtig und ich denke, das ist jeder, der zuhört. Das ist tatsächlich etwas, worüber man nachdenken sollte. Mit Training kann man so viel erreichen. Es gibt dort viele Möglichkeiten, insbesondere wenn man über die Erfindung von Technologie nachdenkt. Und ich weiß, dass Sie und ich tatsächlich ein Unternehmen coachen, das in diesem Bereich etwas tun möchte. Wir sollten also noch etwas mehr Zeit damit verbringen, darüber zu reden.
Jason Clark: Also weiter so, noch ein bisschen Zeit, ein paar kurze Fragen an Sie, oder? Wenn Sie in Ihrer Karriere oder in Ihren letzten CISO-Positionen etwas anders machen könnten, was würden Sie anders machen?
Matthew McCormack: Ehrlich gesagt finde ich den Rückblick großartig, oder? Ich glaube, ich hätte erwartet, dass SaaS ... Ich hätte nicht gedacht, dass es so schnell kommen würde. Ich dachte, ich hätte etwas mehr Zeit, meine Infrastruktur auf Dot-Dot as a Service vorzubereiten. Es kam schneller als ich dachte.
Jason Clark: Das ist doch üblich, oder? Das Witzige daran ist, dass sich Netskope in diesem Bereich befindet, oder? Und so erstellen wir Berichte für Menschen. Wir kommen und die Leute denken, sie hätten etwa 100 SaaS-Dienste, und wenn wir ihnen dann zeigen, dass sie 1.000 oder 2.000 haben, zeigen wir ihnen, dass der Traffic zählt und dass ihr SaaS-Traffic mehr als die Hälfte des Traffics ausmacht als ihr Web-Traffic. Und man versteht einfach: „Oh, wow.“ Und dann heißt es im nächsten Satz: „Das ging schnell“, oder? Es ist genau richtig. Aus diesem Grund haben wir darüber gesprochen, dass das Risiko Dritter das am schnellsten wachsende Risiko ist. Und ich denke, dass dies durch SaaS oder die integrierte Technologie vorangetrieben wird, wie Sie sagten, das Beispiel von SolarWinds. Also noch ein schneller Schlag, oder? Wie sieht für Sie der Ruhestand aus?
Matthew McCormack: Ich habe keine Ahnung. Ich glaube nicht, dass ich in der Nähe davon bin, oder? Ich war zu lange in der Regierung. Ich muss weiterarbeiten. Ich denke, was mir neben den alltäglichen operativen Aufgaben eines CISO wirklich Spaß macht, ist, dass ich viele CISOs betreue, Vorlesungen an Universitäten halte und weiterführende Schulen besuche. Ich denke, es geht nur um Interessenvertretung, und für mich ist es keine Interessenvertretung, bei der es darum geht: „So sichert man Netzwerke.“ Aus diesem Grund ist die PlayStation Ihres Kindes gefährdet.“ Interessenvertretung, bei der es einfach darum geht, Menschen dazu zu ermutigen, in die Disziplin einzusteigen. Meine Güte, Jason, wenn du auf UMA zurückblickst, ist es im wahrsten Sinne des Wortes blindes, aber dummes, blindes Glück, dass wir in etwas geraten sind, das meiner Meinung nach gerade gesegnet war, oder?
Matthew McCormack: Wenn Sie mir 1997, als ich damit anfing, gesagt hätten, dass sich die Cybersicherheit zu der Branche entwickeln würde, die sie heute ist, hätte ich Ihnen nie geglaubt. Es ist nur ein Aspekt von dummem, blindem Glück. Aber jetzt müssen wir natürlich mehr CISOs bekommen, oder? Weil es Millionen von Unternehmen gibt, gibt es nicht Millionen von CISOs. Wie können wir dazu beitragen, eine Pipeline zukünftiger Cyber-Führungskräfte und dann auch diese Pyramide aufzubauen? Wie können wir Millionen weiterer Menschen für die Disziplin gewinnen und sie einfach davon überzeugen, dass man dafür kein Informatiker oder Ingenieur sein muss, oder? Man muss doch nur neugierig sein, oder?
Matthew McCormack: Ich möchte jemanden, der sich etwas ansieht und sagt: „Das ist interessant.“ Das ergibt keinen Sinn. Lassen Sie mich herausfinden, warum.“ Das ist die Person, die einen guten Sicherheitsmann abgeben würde. Wenn Sie jemand sind, der sich etwas ansieht und sagt: „Ich verstehe nicht, warum es so aussieht, aber ich werde herausfinden, warum“, dann sind Sie in diesem Bereich richtig, oder? Wie bekommen wir also mehr Leute rein? Wenn ich mit dem operativen Geschäft fertig bin, wenn ich bereit bin, am Wochenende mein Telefon auszuschalten und solche Dinge zu tun, kann ich mir vorstellen, dass ich viel Zeit damit verbringen werde, jüngere Leute davon zu überzeugen oder ihnen beizubringen, in die Branche einzusteigen Disziplin.
Jason Clark: Ich liebe es. Eigentlich fängst du ja doch schon an, du machst es jetzt, oder? Du wirst es einfach mehr tun. Ich denke, Sie haben über den Raum gesprochen und wie wir hineingefallen sind. Ehrlich gesagt, ich habe im Jahr 2000 darüber nachgedacht, den Sicherheitsdienst zu verlassen, oder? Immer wenn der ILOVEYOU-Virus auftrat, dachte ich: „Wir haben das bereits gelöst.“ Ich sagte: „Es ist AV.“ Wir haben Spamfilter, oder?“ Mir wurde im wahrsten Sinne des Wortes langsam langweilig und ich begann, mein CCIE zu bekommen. Ich habe das Geschriebene bestanden. Ich sagte: „Oh, Stimme ist die Zukunft, oder? Voice over IP könnte meine Karriere sein.“ Ich hatte buchstäblich Angst, dass es in Sachen Sicherheit zu einer Sackgasse kommen würde und sich dann die ganze Welt verändern würde, oder?
Matthew McCormack: Nun, schauen Sie sich die Zeit nach COVID an, wenn Unternehmen im Laufe eines Monats von 2 % remote auf 98 % remote ansteigen, und hier sind wir, so verrückt es auch klingen mag, wir werden am Ende Druck machen zwei Jahre COVID und Fernbeschäftigung. Das hat die Welt offensichtlich grundlegend verändert. Schauen Sie sich doch einmal den Marktwert der Unternehmen an, die Online-Collaboration-Tools anbieten, oder? Durch die Decke. Was also tun, wenn keine Mitarbeiter in den Büros sind? Und es geht nicht nur um die Frage: „Wie sichere ich ihre Transaktionen?“ Jetzt fangen Sie wieder an, sie zu trainieren. Wie schulen Sie sie, wenn sie nicht ins Büro kommen? Wie bringen Sie sie dazu ... Es ist komplizierter, Ihren Laptop beim Verlassen abzugeben, wenn Sie nicht im Büro sind.
Matthew McCormack: Plötzlich wurde die Sicherheit auf eine andere Art und Weise verändert, und in der Branche änderte sich, was Sie sagen, die Meinung: „Okay, der ILOVEYOU-Virus ist herausgekommen.“ Ja, das haben wir gelöst. Wir haben AV. Was kommt als nächstes?“ Gott, wenn sich unsere Branche nicht jedes Jahr verändert, oder? Mobile hat es verschoben. Cloud hat es verschoben. Jetzt hat sich die Lage durch Fernbeschäftigung verändert. Und in zwei Jahren wird es eine weitere Verschiebung geben. Ich denke, das ist einer der Gründe, warum wir im Sicherheitsbereich geblieben sind, weil es jedes Jahr etwas anderes ist.
Jason Clark: Also die letzten drei Fragen hier, aber es sind schnelle Antworten, es sind 15, 20-Sekunden-Antworten, oder? Drei Fragen. Die erste Frage lautet also: Welches Talent oder welche Fähigkeit steht nicht in Ihrem Lebenslauf?
Matthew McCormack: Das steht nicht in meinem Lebenslauf. Du meinst, ich habe es getan, aber ich lade meinen Lebenslauf nicht ein?
Jason Clark: Das könnte doch ein Hobby sein, oder?
Matthew McCormack: Ja, ich liebe es, zu bauen, oder? Ob es sich um eine Stützmauer handelt. Als Corona zuschlug, baute ich für meine Kinder ein Baumhaus, in dem es keinen Strom- und Wasseranschluss gab, aber ansonsten handelt es sich im Grunde wahrscheinlich um ein kleines Haus.
Jason Clark: Das ist ziemlich cool. Okay, zweitens: Wenn Sie nicht im Bereich Netzwerk und Sicherheit wären und nicht das tun würden, was Sie tun, in welcher anderen Branche wären Sie dann tätig?
Matthew McCormack: Eigentlich war ich in der Schule Wirtschaftsingenieurwesen, wo ich Fabriken sowie Betriebsforschung und Statistik entwarf. Das gefällt mir, denn es nimmt unstrukturierte Dinge auf und räumt sie in unserem OP auf. Puh, das ist es, was Ihr ... Ich liebe es, in Fabriken zu gehen und zuzusehen, wie man die Maschinen modernisiert und alle Dinge bewegt. Das war faszinierend für mich, aber die Marine sagte: „Puff, du wärst ein besserer Kryptologe“, und hier bin ich, aber mir würde Fabrikdesign und Statistiken wirklich Spaß machen oder zumindest großen Spaß machen.
Jason Clark: Du hörst dich an, als wüsstest du, wie du es deinen Kindern erklären kannst, oder? Sie können anfangen, sie anzuschauen, und Sie können bereits die Talente und Fähigkeiten erkennen. Ich habe also meinen Vierjährigen, er ist der Baumeister, oder? Er ist der Einzige, der verdammt noch mal diese gewaltigen LEGO-Sets mit vier Jahren baut und ganz auf sich allein gestellt, sich darauf konzentriert und Dinge draußen im Garten baut.
Matthew McCormack: Ich habe auch eins, das ist genauso. Es ist lustig, dass man schon in jungen Jahren einige dieser genau gleichen Merkmale erkennen kann, von denen meine Eltern mir sagten: „Das haben wir doch, oder?“ Und ja, es ist auch interessant. Ich wusste es seit seinem 13. Lebensjahr, aber schon als er jung war, wusste ich, dass er Ingenieur werden würde. Ich wusste es einfach.
Jason Clark: Das Gleiche, oder? Mechanisch, praktisch, auch eine Art Ingenieur. Mein anderer ähnelt eher einem Wissenschaftler. Er möchte Chemikalien und andere Dinge miteinander vermischen, oder? Und dann ist die letzte kurze Frage ein guter Rat, wenn Sie jemand anruft und zum ersten Mal CISO ist.
Matthew McCormack: Und das ist ein Ratschlag, den ich gebe. Genau wie Sie bin ich stolz darauf, dass ich vielen Leuten geholfen habe, die jetzt in CISO-Positionen tätig sind. Und deshalb sage ich ihnen immer: „Sie sind in Ihrem Job, weil Sie klug sind.“ Die Leute, mit denen Sie in diesem Raum sitzen und sich treffen, üben ihren Job aus, weil sie klug sind. Sie sind nicht die klügste Person im Raum. Lassen Sie sich von anderen im Raum beraten. Und Sicherheit ist eine kollaborative Disziplin, oder? Sie müssen mit dem CTO, dem CIO, dem CFO, dem General Counsel und all diesen verschiedenen Disziplinen zusammenarbeiten.
Matthew McCormack: Lernen Sie also, ihre Sprachen zu sprechen, oder? Lernen Sie, Anwalt zu sprechen. Lernen Sie, einen Business Case zu schreiben, denn wenn Sie Millionen von Dollar für eine Initiative verlangen, möchte der CFO wissen, wie hoch seine Rendite ist. Machen Sie sich bewusst, dass jeder, mit dem Sie interagieren werden, alle Ihre Kollegen in ihrem Job sind, weil sie auch wirklich schlau sind. Gehen Sie also mit dem Wissen darauf ein, dass Sie einer von vielen klugen Menschen sind und nicht der einzige kluge Mensch.
Jason Clark: Ich liebe es. Ich denke, das ist ein guter Rat. Als ich mit 26 Jahren als CISO zum ersten Mal eine Vorstandssitzung abhielt, kam ich herein und war nervös. Ich habe gezittert. Und der Vorsitzende dieser Firma sagte: „Sohn, komm her“ und sagte: „Hör zu, du bist hier der Experte, oder?“ Sie sind kluge Kerle, ja, aber sie sind in Vorständen, aber sie kennen sich mit Cyber nicht so gut aus wie Sie. Sie sind der Experte. Besitzen Sie doch Ihre Sachen, oder?“ Und dann drehte er sich um und sagte: „Und ich habe noch etwas für dich.“ Und er sagte: „Hier sind zwei Aufnahmen von Johnnie Blue.“ Und er sagte: „Er wird dein Freund sein.“ Wir werden wiederkommen. Du fängst in 15 Minuten an.“ Ich dachte: „Okay, das hat funktioniert.“ Und das hatte ich übrigens noch nie in meinem Leben.
Matthew McCormack: Und ich denke, wir alle haben Geschichten. Und was ich herausgefunden habe, ist, dass ich normalerweise ein ähnliches Problem habe, als ich beim IRS war, wo ich versuchte, mich für eine neue Cyber-Initiative einzusetzen, und der Leiter der Geschäftseinheit mit 26.000 Mitarbeitern sagte: „Hey, „Begann die Diskussion mit „Sohn“, und ich habe in meiner Karriere festgestellt, dass jedes Mal, wenn jemand eine Diskussion mit „Sohn“ beginnt, normalerweise ein Rat folgt, oder? Sagt Ihnen etwas, was Sie derzeit nicht wissen. Also ich habe mir das auf jeden Fall angehört. Immer wenn jemand anfängt, ist es das. Mittlerweile, da ich älter geworden bin, kommt das seltener vor. Aber jedes Mal, wenn jemand etwas mit „Sohn“ einleitete, wusste ich, dass ich mir das anhören sollte, was folgen würde.
Jason Clark: Genau. Schon seit deiner Kindheit, oder? Na ja, wie auch immer, wir haben keine Zeit mehr, aber Matt, das war verdammt großartig. Vielen Dank. Das hat Spaß gemacht. Ich denke, dass es für alle da draußen eine Menge toller Einblicke gegeben hat und sie einen noch besser kennengelernt haben. Lassen Sie uns das noch einmal machen und auf jeden Fall wiederkommen und mehr darüber sprechen, was wir gemeinsam für die Branche tun können.
Matthew McCormack: Klingt gut. Danke, Jason. Ich schätze wirklich. Es war viel Spaß.
Anzeigenrolle: Der Podcast „Security Visionaries“ wird vom Team von Netskope betrieben. Suchen Sie nach der richtigen Cloud-Sicherheitsplattform für Ihre digitale Transformation? Mit der Netskope Security Cloud können Sie Benutzer von jedem Gerät und jeder Anwendung sicher und schnell direkt mit dem Internet verbinden. Erfahren Sie mehr unter Netskope.
Erzähler: Vielen Dank, dass Sie den Sicherheitsvisionären zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem sie gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen veröffentlicht werden, und wir sehen uns in der nächsten.
Warum Netskope? 
){kind=icon}
