Marene Allison: Im Cyber-Bereich ändert sich alle sechs Monate alles, und es gibt eine neue Linse und eine ganze Reihe neuer Technologien, die da draußen sein werden. Und als CISO musste ich die neue Bedrohung, meine IT-Umgebung, die sich nicht so schnell ändert wie die Sicherheitsumgebung, annehmen und sie dann erneut einpacken und prüfen, was funktioniert. Ich denke, wir haben einen großartigen Job, weil wir all diese neuen Technologien bekommen. Wir können uns die unterschiedlichen Wege ansehen, mit denen ein Gegner hinter uns her ist. Und dann schauen Sie sich an, wie wir es sichern werden.
Sprecher 2: Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, CISO bei Netskope. Sie haben gerade vom heutigen Gast gehört, Marene Allison, Chief Information Security Officer bei Johnson & Johnson. Mit 17 Jahren legte Marene an der US-Militärakademie in West Point einen Eid ab, ihr Land gegen alle Feinde im In- und Ausland zu verteidigen. Heute hält Marene einen weiteren Eid, ihr Unternehmen vor Eindringlingen zu schützen, die versuchen, ihre Daten zu stehlen. In der sich weiterentwickelnden Welt der Cybersicherheit können Bedrohungen an jeder Ecke auftreten. Als Sicherheitsverantwortliche ist es unsere Pflicht, diese Bedrohungen in umsetzbare Informationen für Führungskräfte umzusetzen. Und mit einem talentierten Team sind Sie stets darauf vorbereitet, Ihr Unternehmen vor Angriffen zu schützen. Bevor wir uns mit Marenes Interview befassen, hier ein kurzes Wort unseres Sponsors.
Sprecher 3: Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Netskope ist der SASE-Marktführer und bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im heutigen Geschäftstempo zu bieten. Erfahren Sie mehr unter NETSKOPE.com.
Sprecher 2: Genießen Sie ohne weitere Umschweife Folge 10 von Security Visionaries mit Marene Allison, CISO bei Johnson & Johnson, und Ihrem Moderator Jason Clark.
Jason Clark: Willkommen bei Security Visionaries. Ich bin Ihr Gastgeber, Jason Clark. Und heute gesellt sich zu mir eine großartige Kollegin, Marene Allison. Marene, wie geht es dir?
Marene Allison: Mir geht es großartig, Jason, danke, dass du mich hast. Das ist ein tolles Programm.
Jason Clark: Danke. Ich freue mich, einige der Dinge ans Licht zu bringen, von denen ich denke, dass sie die Community wirklich interessieren werden. Du hast einen wirklich erstaunlichen Hintergrund. Um ehrlich zu sein, bin ich tatsächlich neidisch auf deinen Hintergrund. Ich wünschte, ich wäre nach West Point gegangen. Ich wünschte, ich würde dem FBI beitreten. Und du bist deinen einzigartigen Weg gegangen. Ich bin zur Armee gegangen, aber das ist ein großer Unterschied zu West Point, wo viele meiner Familienmitglieder waren. Vielleicht können wir damit beginnen, darüber zu sprechen, dass Sie die erste Klasse von Frauen waren, die ihren Abschluss in West Point gemacht haben, und was das auch heute noch für Sie bedeutet.
Marene Allison: Ja, eigentlich wollte ich nie nach West Point. Ich wollte zur Air Force Academy gehen. Und wahrscheinlich war Margaret Heckler, Kongressabgeordnete aus Massachusetts, die erste Person, noch bevor wir das Wort „Sponsor“ kannten, die mich gesponsert und mir bei der Ausrichtung meines Lebens geholfen hat. Sie gab mir ihre Hauptnominierung für West Point. Und ich blieb unbemerkt, habe den Ort nie gesehen, bin vier Jahre später reingegangen und wieder rausgegangen, als Leutnant eingesetzt. Und ja, es war lebensbestimmend. Ich komme aus Massachusetts, daher habe ich die Vorstellung, dass Frauen nicht alles tun können, was ein Mann tun kann, und einige dieser Vorurteile, ich schätze, die Weltanschauung der 70er Jahre. Ich wusste nicht, was das war. Und ich kam in dieses Umfeld und es ging mir gut, ich habe natürlich meinen Abschluss gemacht und wurde bei der Militärpolizei eingesetzt, aber dort habe ich Elektrotechnik studiert. Natürlich hatten wir früher weder Informatik noch einen Abschluss in Cybersicherheit. Also habe ich Elektrotechnik studiert, und das wurde mein Hauptfach in West Point, und das machte auf jeden Fall den großen Unterschied, oder? Es war riesig. Ich bin heute Präsidentin von West Point Women und vertrete die über 6.000 Frauen und Absolventen von West Point sowie alles, was erreicht wurde.
Jason Clark: Wow, das ist unglaublich. Erzählen Sie uns also ein wenig über diesen Übergang ins Internet und dann über diesen Weg.
Marene Allison: Nun, wie gesagt. Ich wurde als Leutnant zur Militärpolizei ernannt und verließ sie dann. Ich würde sagen, mein zweiter Sponsor in meinem Leben war General Sam Wetzel, der im Vorstand von A&P Foods war. Und er und ein anderes Vorstandsmitglied waren auf der Suche nach einem Sicherheitschef für eine A&P-Absolventin in Strafverfolgung in West Point, und das war ich. Ich war derjenige als FBI-Agent in Newark. Und dann ging es weiter zur Unternehmenssicherheit, zur physischen Sicherheit. Und nachdem ich A&P nach etwa 10 Jahren verlassen hatte, wechselte ich zu einem Via-Telekommunikationsunternehmen. Und ich war dort in sechs Wochen die physische und globale Sicherheitsperson. Sie sagten zu mir: „Hey Marene, unser Leiter der IT-Sicherheit geht. Und... Oh, übrigens, wir veranstalten die Weltmeisterschaft, das erste Mal, dass wir Voice over IP in der Produktion eingesetzt haben. Und wir brauchen jemanden, der unser Sicherheitszentrum leitet.“ Hey, ich bin deine Frau. Ich bin dort. Das werde ich tun. Und das war für mich der Übergang von der Unfähigkeit, IT zu buchstabieren, zum Laufen der Socke für die Weltmeisterschaft 2002.
Jason Clark: Also, und dann sind Sie jetzt genau richtig bei J&J oder Johnson & Johnson CISO, wo Sie seit 2010 tätig sind. Wenn wir also darüber nachdenken, wie die Dinge im Jahr 2010 aussahen, verglichen mit der Sicherheitslage im Allgemeinen und der Branche heute. Wie würden Sie über diese Unterschiede in den letzten 11 Jahren sprechen?
Marene Allison: Wenn Sie sich das Jahr 2010 ansehen, waren wir ein Client-Server. Die Leute fingen gerade erst mit ihren großen Zehen an. Bezos konnte sich nur eine Ding leisten, keine 540-Millionen-Dollar-Yacht, und Amazon verdiente kein Geld. Wir waren also ein Client-Server und unsere Netzwerke bildeten den Perimeter, nicht das Internet, wie es heute ist, nicht wie wir es in der digitalen Welt sind. Ich war bei Medco, einem Unternehmen namens Medco, das nicht mehr existiert. Der Apothekenvorteil. Wir hatten eine Kunden-Website, die Daten von 65 Millionen Amerikanern auf dieser Website enthielt. Und 2005 wurden gleichzeitig HIPAA, Sarbanes-Oxley und PCI eingeführt, um sicherzustellen, dass die Daten gesichert waren. Und es hat uns ein gewisses Niveau gegeben. Ich benutze den Begriff, ich benutze ihn sogar heute, um dem Bären einen Schritt voraus zu sein, oder? Und Sie sind dem Bären etwas voraus, aber Sie wollten jemanden hinter sich haben, aber Sie wollten nicht zu weit vorne sein, weil Sie in diesem Bereich zu viel Geld ausgegeben haben. Das hat also einen großen Unterschied gemacht, aber aufgrund einiger dieser Frameworks hat es auch die Art und Weise verändert, wie wir IT-Sicherheit betreiben. Es war großartig. Und [unhörbar 00:07:03] da drin und dann kam NISS heraus und ISO 27001. Aber es handelte sich dabei alles nur um Rahmenwerke, die den CISOs dabei helfen sollten, ihr Handwerk besser zu beherrschen.
Jason Clark: Wir werden also noch ein bisschen darüber reden, denn ich denke, dass es in den letzten 11 Jahren viele Veränderungen gegeben hat. Aber ich denke, selbst jetzt ist das Ausmaß der Veränderungen ziemlich groß, wenn wir uns hinsetzen und darüber nachdenken, wohin sich die Dinge entwickeln, aber wenn wir uns nur die letzten zwei Jahre ansehen, ist das für alle eine Herausforderung. Aber wenn ich an Ihre Schuhe denke, kommen Sie mit einem der ersten Impfstoffe heraus und haben es dann auch noch mit einem Spucke zu tun. Würden Sie sagen, dass die Akquisitionen vor 10 Jahren technologisch viel schwieriger waren, weil man eine neue Mietlinie eröffnen wollte oder eine neue Ausrüstung direkt per Direktversand verschickte und wir sie nach Südafrika bringen mussten? Nach Brasilien und nach Russland ist das ein sechsmonatiges Projekt für sich allein, wenn man nur die Hardware dort hinbekommt, während man in einer Cloud-Welt die Dinge jetzt viel schneller zum Laufen bringen kann. Sie können die Software liefern, oder? Um das möglich zu machen. Glauben Sie, dass es aus sicherheitstechnischer Sicht in den letzten 10 Jahren viel einfacher geworden ist, Akquisitionen durchzuführen?
Marene Allison: Generell ist es bei Übernahmen und Veräußerungen jetzt viel einfacher. Wenn Sie sich erinnern, wie lange hat es vor 10 Jahren gedauert, bis wir einen Server eingerichtet haben? Und dann konfigurieren Sie alles und leiten es an alle weiter. Das waren Monate, Tage. Es waren sicherlich keine Stunden, oder? Die Cloud-Anbieter haben uns tatsächlich bei der Veränderung geholfen, auch wenn man es intern durchführt, sie haben geholfen, denn wenn wir lebensfähig sein wollten, einen geschäftlichen Wert in der IT haben wollten, mussten wir unsere Arbeitsweise ändern und automatisiert werden, richtig ? Also: Hey, wenn ich in ein paar Minuten einen Server von einem Cloud-Anbieter bekomme und ich dafür intern drei Monate brauche, raten Sie mal, wohin Sie gehen? Was also passiert ist, ist nur der Wechsel zur Cloud. Und die Möglichkeit, alles zu schwenken und zu übernehmen und es in eine Cloud-Umgebung zu verschieben, macht es sicherlich viel einfacher, als es auf einem Client-Server zu speichern, wenn Sie es intern durchführen, egal wie schnell es ist.
Jason Clark: Denken Sie also an Ihren erstaunlichen historischen Hintergrund. Was war eine Ihrer großartigsten Lernerfahrungen im Cyber-Bereich?
Marene Allison: Ich denke, ein wirklich entscheidender Moment für mich war im Juni 2016 mit notPetya. Ich denke, für uns als CISOs kann ich mich dagegen wehren. Größere Modi, größere Firewalls. Ich kann das schaffen und mir geht es gut. Ich werde mehr Erkennung bekommen und der Schutz wird gut sein. Wird gut sein. Als notPetya auftauchte, war es die Erkenntnis, dass man Cyber-Resilienz braucht. Wenn Sie nicht über Cyber-Resilienz verfügen, werden Sie in der neuen Bedrohungsumgebung nicht überleben. Und ich weiß, dass ich einige sehr gute Freunde habe, die damals einfach gesagt haben: „Marene, ich haue ab, ich bin weg.“ Ich verlasse Cyber. Ich werde wieder in ein Risikokapital investieren. „Ich werde etwas anderes tun“, weil der CISO verstehen muss, wohin ein Unternehmen im Hinblick auf Cyber gehen muss. Und Resilienz liegt nicht ausschließlich im Herzen des CISOs. Es liegt wirklich am Unternehmen, oder? Und das haben wir mit dem Aufkommen von Ransomware erneut gesehen. Ich kenne nur sehr wenige CISOs, die Backups und Wiederherstellungen durchgeführt haben, aber alles drehte sich darum, wie Sie Ihre Backups und Wiederherstellungen konfigurieren und ob Sie eine hohe Verfügbarkeit haben. Und wie Ransomware eindringt und sich gegen eine Umgebung und den Gegner ausbreitet, wenn man sich die Dinge ansieht, die wir aus Effizienzgründen getan haben, all diese Automatisierung und doppelte Redundanz sowie automatisierte Backups können auch Ihre Achillesferse bei einem Ransomware-Vorfall sein. Und da war für mich, glaube ich, das NotPetya-Event dieser Moment, in dem ich dachte: „Okay, was machen wir jetzt?“ Und wie geht es dann weiter? Es ging um weniger IT-Sicherheit und mehr um Informationssicherheits-Risikomanagement und Cyber-Resilienz.
Jason Clark: Sie haben da gerade eine Reihe wirklich wichtiger Punkte angesprochen, die ich hervorheben möchte, und zwar ... Fangen wir an, der erste ist der CISO-Job, es ist ein sehr komplizierter und schwieriger Job, weil einer: allein der Stresspegel wird passieren. Sie werden ein Ereignis erleben, bei dem Sie den Familienurlaub, das Familienweihnachten oder die Hochzeit Ihres besten Freundes verpassen, oder? Das passiert jedem. Sie haben also die Balance zwischen diesen stressigen Momenten und der Art und Weise, wie Sie damit umgehen, gepaart mit dem Versuch, keine Reibungen im Unternehmen zu erzeugen, sondern ein gewisses Maß an Reibungen zu benötigen, damit ein wenig Kontrolle vorhanden ist, vielleicht sprechen Sie mit ihnen Ihre Meinung dazu, was den CISO-Job so stressig macht. Die meisten CISOs, die ich kenne, sagen, nachdem sie dreimal einen CISO-Job gemacht haben: „Okay, ich denke, vielleicht habe ich noch einmal Zeit, oder ich muss zu einem kleineren Unternehmen wechseln, oder ich muss zu etwas anderem wechseln.“ Aber ich kann einfach nicht noch einmal so hart durchstarten“, oder? Was bedeutet das Ihrer Meinung nach?
Marene Allison: Außer mir, Jason. Außer mir, oder?
Jason Clark: Ich glaube, ich lebe in Florida, oder? Vielleicht hilft es dir, ein bisschen mehr zu entspannen.
Marene Allison: Und ich würde sagen, dass es verschiedene Arten von CISOs gibt. Es gibt CISOs, die eine echte IT-Sicherheitsmission verfolgen, bei der es um den Schutz der IT geht. Und dann gibt es noch CISOs, die in Wirklichkeit Führungskräfte aus der Wirtschaft sind. IT-Sicherheit ist nur ein kleiner Teil ihrer Arbeit. Und dann besteht ein Cyberrisiko. Sie prüfen Dinge wie die IT-Kontrolle für Sarbanes-Oxley. Und das ist eine ganz andere Rolle, weil man ständig übersetzt. Was ich darüber weiß, was vor sich geht, und nicht zu versuchen, es den Führungskräften zu vermitteln, ist eine hohe Kunst. Es ist absolut eine hohe Kunst, die wir machen müssen. Und es ist sehr, sehr wichtig, Teams aus sehr talentierten Leuten zu haben, die entweder im öffentlichen Dienst tätig sind, technisches Verständnis haben oder Geschäftssinn haben, und diese zusammenzubringen, im Gegensatz zu einer bloßen Organisation, die hauptsächlich aus Sicherheitsingenieuren besteht. Und das Spiel hat sich geändert, oder? Es ist... Wir gehen jetzt alle zum Vorstand und sprechen über Cyberrisiken und Betriebskennzahlen und ob die Personen, mit denen Sie gesprochen haben, wirklich verstehen, woher ein CISO kommt. Und ich denke, dass sich das Spiel verändert hat und dass ich in der Lage bin, es auf eine sinnvolle Art und Weise zu artikulieren. Als ich 17 Jahre alt war, hob ich in West Point die Hand, um unser Land gegen alle Feinde im In- und Ausland zu verteidigen. Und ich kann es Ihnen auch Jahre später sagen, und ich werde Ihnen nicht sagen, wie viele Jahre später. Ich könnte immer noch meine Hand heben und sagen: „Ich verteidige mein Unternehmen gegen alle Eindringlinge, die versuchen, unsere Daten zu stehlen oder zu verunstalten.“
Jason Clark: Das ist das Erstaunliche an unserer Mission. Wir fangen wirklich gerade erst an. Das Problem wird immer schwieriger und wir werden als Sicherheit weiter wachsen, worüber ich ein wenig sprechen möchte. Ich denke, Ihre Antwort war perfekt auf ... Ich denke, der Stress liegt darin, dass sie in gewisser Weise technisch überlastet werden, aber auch in anderer Hinsicht, was das Geschäftsrisiko und die Widerstandsfähigkeit anbelangt. Und nicht jeder kann beides gleichzeitig bewältigen. Und da kann es sein, dass Menschen hinfallen, oder? Oder die Organisation rund um das Unternehmen unterstützt das, vielleicht gibt es einen Chef, der das nicht unterstützt, oder? Sehen Sie, Sie können einen CIO haben, der Sie nicht unterstützt, einmal im Monat im Vorstand zu sitzen und zu verbringen, und er hat sich mit dem Vorstand getroffen. Das passiert Ihnen ständig, oder Sie lassen sich von jemandem sagen ... und ich habe das schon zu oft erlebt: „Hey, Sie müssen diesem Risiko zustimmen.“ Und nun ja, das kann ich nicht, das ist ein enormes Risiko. Warum unterschreibst du es nicht? Und sie sagen: „Naja, das ist dein Job.“ Und dann kommt die Aussage: „Wenn Sie es nicht unterschreiben, sollten Sie vielleicht zur Tür hinausgehen und wir finden jemand anderen, der es unterschreibt“, richtig? Am Ende kommt es auch zu dieser Art von Stress.
Marene Allison: Das ist mir tatsächlich passiert, nicht bei J&J, sondern bei einem früheren Unternehmen, bei dem die Person keine doppelte Redundanz für ihr Callcenter hatte. Und ich habe es als eine Geschäftskontinuität des Risikos angesprochen. Und der Leiter dieser Geschäftseinheit musste sich abmelden, und das wollte sie nicht. Also sagte ich: „Okay, ich werde hier nur das Memo schreiben, dass Sie sich geweigert haben, es zu unterzeichnen, ist das in Ordnung?“ Ja. Das ist okay. Und dann, anderthalb Jahre später, wurde durch Überschwemmungen die einzige Datenverbindung zum Callcenter unterbrochen, und wir wurden beide zum Büro des CEO gebracht und stellten die Frage. Und ich sagte: „Nun, hier war die Freigabe nicht nötig, obwohl sie als notwendig gemeldet wurde.“ Und ich muss das Büro verlassen.
Jason Clark: Ich liebe es. Ja.
Marene Allison: Ja. Es ist so, dass Verantwortung und IT ein Rätsel sind, nicht wahr, Jason? Sie wissen, wer was tut. Aber ich denke, auf der IT-Seite, der IT-Welt, wäre es für mich langweilig, oder? Im Cyber-Bereich ändert sich alle sechs Monate alles, und es gibt eine neue Perspektive und eine ganze Reihe neuer Technologien, die auf den Markt kommen werden. Und als CISO musste ich die neue Bedrohung, meine IT-Umgebung, die sich nicht so schnell ändert wie die Sicherheitsumgebung, annehmen und sie dann erneut einpacken und prüfen, was funktioniert. Ich denke, wir haben einen tollen Job, weil wir all diese neuen Technologien bekommen. Wir können uns die unterschiedlichen Wege ansehen, mit denen ein Gegner hinter uns her ist. Und dann schauen Sie sich an, wie wir es sichern werden.
Jason Clark: Ich denke, es ist der einzige Ort in der Technologie, wo man einen Gegner hat, der ständig vorantreibt und Innovationen hervorbringt, oder? Es gibt keinen anderen Bereich in der Technik, in dem es einen direkten Gegner gibt, oder? Das kommt ständig hinter dir her. Und das kommt noch hinzu, dass sich Ihr Unternehmen weiterentwickelt und Sie gleichzeitig mit der Geschäftsgeschwindigkeit Schritt halten müssen. Sie haben also diese beiden gewaltigen Kräfte, die in eigentlich entgegengesetzte Richtungen auf Sie einwirken, oder?
Marene Allison: Richtig. Und dann haben wir noch das regulatorische Umfeld, jeder, der mit einem chinesischen Cybersicherheitsgesetz und der Datenlokalisierung in China arbeitet, das Gleiche gilt für die Lokalisierung in Russland. Wir müssen die Umgebung ständig auf andere Art und Weise umhüllen, damit das Unternehmen in den Umgebungen, in denen es sich befindet, ohne so viel Reibung weiterarbeiten kann, wie wir es uns wahrscheinlich wünschen würden, wenn wir alle nur IT-Sicherheit wären.
Jason Clark: Wie viel Prozent Ihrer Zeit verbringen Sie mit der Arbeit ... nennen wir es den Geek-Jahr-Teil der IT-Sicherheit, im Gegensatz zu den Aufsichtsbehörden, im Vergleich zum Unternehmen aus G&A-, Finanz- und rechtlichen HR-Aspekten?
Marene Allison: Ich würde wahrscheinlich sagen, dass 10 bis 15 % das Geek-Zeug sind. Und um ehrlich zu sein, mein Team würde sich wahrscheinlich wünschen, dass es sogar noch weiter von 10 bis 15 % entfernt wäre, denn ich suche und finde Dinge und rede darüber und schaue, wie es funktionieren könnte. Und dann...
Jason Clark: Na ja, es macht auch Spaß.
Marene Allison: Ja. Es macht Spaß. Es macht wirklich Spaß, oder? Und ich schaue immer gerne: „Na, was machen wir jetzt?“ Rechts? Sie lieben diese Herausforderungen, da bin ich mir sicher. Wenn Sie sie interviewen, werden sie sicher etwas anderes sagen. Der geschäftliche Anteil beträgt wahrscheinlich 20, 25 %. Was sind wir also? 35, 40 %. Und dann beschäftige ich mich mit den IT-Kontrollen, egal um welche Regelung es sich handelt, ob es sich um Datenschutzbestimmungen handelt, ein von Sarbanes-Oxley verpasstes HIPAA, das ist die meiste Zeit, weil ich buchstäblich mit anderen Bereichen arbeiten muss des Unternehmens durch eine Bewertung oder ein Audit oder durch eine dritte Regulierungsbehörde. Wie sieht gut aus?
Jason Clark: Diese 50 % klingen nicht so lustig.
Marene Allison: Es ist interessant. Ich war nur... Einige unserer Prüfer begaben sich in den Cyberspace. Und welchen Rahmen verwenden Sie für die Bewertung? Und weil es eine Gelegenheit ist, Trainer zu werden. Ich liebe IT-Prüfer, oder? Ich liebe sie, weil ich jemanden sehe, der eines Tages in meiner Abteilung oder im Cyber-Bereich arbeiten wird. Schauen Sie sich also diese IT-Prüfer an und stellen Sie sie dann heraus, fragen Sie sie und fragen Sie: „Warum schauen wir uns das an?“ Das gibt mir die Möglichkeit zu coachen und ich liebe Coaching.
Jason Clark: Was ist Ihre Lieblingsdomäne im Cyber-Bereich?
Marene Allison: Was ist meine... Forensik. Computer-Forensik. Ja, meine arme Socke, die Leute, die meine Socke führen, und der leitende Direktor auf dieser Seite, sie wissen, dass ich im Handumdrehen springen kann. Ich werde eine Million Fragen stellen: Warum machen wir das? Sollten wir das tun? Und dann verknüpfe ich es wieder mit der Technologie, einem zufälligen Ereignis, das sich vor drei Jahren ereignet hat und an das ich mich erinnern werde. Und dann lieben sie das. Das lieben sie sehr.
Jason Clark: Ich bin mir sicher, dass sie das tun. Aber... Also, kommen wir zurück zu... Wir haben begonnen, uns mit Innovationen zu befassen, und ich wollte in den letzten Minuten hier darauf eingehen. Es passiert also eine Menge Veränderung. Wo sind Ihrer Meinung nach die Bereiche, in denen es technisch gesehen am meisten Innovationen braucht, oder? Wenn wir uns die Cybersicherheit ansehen, könnte es sich lediglich um die Sicherheit in der Cloud handeln. Es könnte die Datensicherheit sein. Es könnte SIMS sein. Es könnte sich um die Konvergenz zu SASE und SSE handeln, aber um die API-Sicherheit, einfach um alles oben Genannte. Neugierig, nur Ihre Sicht darauf, wo Innovation erforderlich ist. Wenn Sie mit hundert großartigen CTOs und Unternehmern sprechen und sagen: „Bauen Sie das auf.“ Das sind die Dinge, die wir brauchen.“ Was würden Sie sagen?
Marene Allison: Die S-Form von Anwendungen, bei der wir jede Codezeile in einer Anwendung verwalten müssen, wird nicht nachhaltig sein. Wir brauchen CTOs und Technologien, die diese Anwendungen in Container umwandeln und sie aus dem anfälligen Zustand herausholen können, in dem sie sich heute befinden. Ich war nicht so ein Neuling... Okay, das Thema Anwendungssicherheit ist groß, aber bis Log4j, denn Log4j ist in Anwendungen und auf Servern und überall. Und hey, ich liebe es, wenn man patchen kann. Aber ein großer Teil des Codes kann aufgrund dessen, was er tut und wo er sich befindet, nicht gepatcht werden. Es muss also eine Art Container vorhanden sein. Der andere Teil davon sind Daten, oder? Da sind die physischen Dinge. Und auch heute noch nenne ich die Anwendung selbst, es ist ein physischer, abgeschlossener Raum oder der Server, oder die Cloud oder das Netzwerk. Das sind alles physische Dinge, die wir mit unserem Fachwissen sichern müssen. Aber Daten, Daten gehen überall hin. Es wird überall durchdringen. 5G, die Daten, die von Sensoren kommen, ein Ring an Ihrem Finger wird mit Ihrer Uhr kommunizieren, er wird Dinge an Ihren Arzt senden. Bitte schicken Sie es nicht an jemanden, der mir ein Abnehmprogramm verkaufen will, oder? All diese Dinge werden sehr, sehr wichtig werden. Und sind wir vorbereitet? Wissen wir, wohin die Daten gehen? Wir versuchen weiterhin, Daten danach zu verwalten, wo sie sich befinden oder über welche Kanäle sie weitergeleitet werden. Wie verwalten wir die Daten selbst?
Jason Clark: Überall. Und wie folgen die Sicherheitskontrollen im Wesentlichen den Daten? Was wir als Sicherheitsnirwana bezeichnen würden, das ist es, was wir brauchen. Und das Witzige daran ist, dass es in 90 Prozent der Sicherheitsgespräche nicht um Daten geht. Sie sprechen über Bedrohungen und Schwachstellen, Wahrscheinlichkeiten, Audits, Compliance und all das Zeug. Und die Realität ist, dass die große Sicherheitsstrategie letztendlich darin besteht, die Daten zu schützen. Aber es gibt doch auf jeden Fall Resilienz, oder? Es gibt Betriebszeit, aber das meiste sind Daten. Sie finden nicht... Bei den meisten Gesprächen geht es tatsächlich um die Technik, abgesehen von...
Marene Allison: Richtig. Genau. Es ist ein Container. Es ist der Behälter, durch den es sich bewegt. Es ist der Behälter, in dem es sitzt. Aber wir reden nicht darüber. Und was müssen wir dann damit machen? Und dann kommt das ins Spiel... Eines meiner Lieblingsthemen rund um Zero Trust und Zugriff und wer die Daten berührt hat. Und all diese Dinge sind sehr, sehr wichtig. Und wohin führt uns die Technologie und wie schützen wir sie für die Zukunft?
Jason Clark: Die meisten Leute, mit denen ich spreche, sehen Zero Trust und auf jeden Fall die meisten Anbieter. Sie betrachten es als binär, Vertrauen ist binär. Entweder Sie haben Zugriff oder Sie haben keinen Zugriff. Ich sage: „Nein, du darfst weder mein Haus betreten noch darfst du mein Haus betreten.“ Du... Ich lasse dich vielleicht in mein Haus, aber sobald ich schlechtes Benehmen sehe, lasse ich dich nicht aus meinem Safe. Und wir müssen einfach über Dinge nachdenken, die den Zugang ausgleichen. Und das wird ständig anhand vieler Risikofaktoren bewertet. Und ich denke, das ist der Punkt, an dem wir ankommen müssen, wo es ein bisschen mehr gibt, dem wir mehr vertrauen können, oder? Es gibt Fälle, in denen Sie den Leuten für eine Sekunde einen kleinen Vertrauensvorschuss geben können, wenn sie ... sagen wir mal, einen Satz tippen. Geben Sie einen Satz ein, warum Sie diese Daten benötigen. Und 99 % der Menschen werden sagen: „Nein, vergiss es.“ Ich mache einen Rückzieher. 1 % geben den Grund ein. Es ist jetzt protokolliert. Und es war eine Platte, oder? Anstatt zu sagen: „Einfach nein.“ Und stellen Sie eine Anfrage an das Sicherheitsteam“, oder? Ich denke, es handelt sich um eine ganz andere Ebene des Engagements, bei der Zero Trust automatisiert und integriert werden kann.
Marene Allison: Aber wissen Sie was? Wir sollten uns auch fragen: „Wo sollen wir die Daten ablegen?“ Rechts? Und kannst du dir eine Welt vorstellen? An dieser Stelle stelle ich mir gerne die Frage: „Oh, Sie wollen es auf was herunterladen?“ SharePoint, eine Datenbank und schon wussten Sie, was es ist.“ Und die Daten wussten, wenn es nicht dorthin ging, sagten sie Ihnen: „Hey, der Entwickler hat es an der falschen Stelle abgelegt, oder?“ Komm und finde mich. Mama, komm und hol mich“, oder? Können Sie sich diese Welt vorstellen? Wir werden dort hinkommen. Irgendwann werden wir Daten haben, die so aussehen, aber es wird eine Weile dauern. Aber das wird der Sicherheitsbranche helfen. Schauen Sie sich die Verschlüsselung an, oder? Die Verschlüsselung war... es ist Zero Trust. Ich vertraue dir nicht, es sei denn, ich gebe dir die Schlüssel. Aber wenn ich dir die Schlüssel gebe, hast du Zugang zu allem, oder? Und-
Jason Clark: Ja. Das ist also an oder aus, oder? Das ist das Problem.
Marene Allison: Ja. Das ist kein tolles Modell, denn jetzt stecken sie die Schlüssel an seltsamen Stellen, oder?
Jason Clark: Mm-hmm (bestätigend). Genau. Vollständige Ein- oder Aus-Binärdatei.
Marene Allison: Ein, aus. Rechts?
Jason Clark: Das ist es.
Marene Allison: Und Sie haben Recht. Und es kann nur an der abhängigen Zeit liegen. Es ist wie eine Analyse des Benutzerverhaltens oder ein kontextbezogener Zugriff, oder? Und wir haben viel davon gesehen, als, Oh, Ihre Zwei-Faktor-Authentifizierung. Wenn Sie sich im J&J-Netzwerk befinden, Zugriff haben und sich bei J&J einmalig anmelden und über ein VPN verfügen, können Sie darauf zugreifen. Aber wenn Sie außerhalb des Netzwerks sind und reinkommen, müssen Sie noch zwei weitere Faktoren berücksichtigen, oder? Und das ist nur kontextbezogen, oder? Oder wenn Sie sich an einem bestimmten Ort befinden oder nicht über eine IP-Adresse verfügen, die ... Können Sie sich vorstellen, dass alle Starbucks-Salons als sicher oder nicht sicher gelten?
Jason Clark: Und ich denke, dass uns die Welt, in der alles aus unserem Rechenzentrum verlagert wird und es entweder in der Cloud, in SaaS oder auf unseren Geräten ist, dies ermöglicht. Es drängt uns dazu, diese Art von... was ich gerne sagen möchte, ist die perfekte Neuausrichtung der Sicherheit. Es ermöglicht uns, hinzugehen und zu sagen: „Okay, alles spricht mit allem.“ Jetzt ist alles eine API. Und lasst uns diese Dinge viel besser automatisieren.“ Wir bauen die Sicherheit in den letzten Jahren wieder auf und haben noch viel zu tun, aber ich habe das Gefühl, dass wir damit begonnen haben.
Marene Allison: Ja. Und stellen Sie sich das einmal vor, denn es handelt sich um das Risiko Dritter, und sie haben von Risiken in der Lieferkette gesprochen. Sie haben über diese Risiken gesprochen. Können Sie sich vorstellen, dass Ihre Daten Sie anrufen könnten, wenn sie nicht korrekt verarbeitet würden?
Jason Clark: Ja.
Marene Allison: Können Sie sich vorstellen, was diese Gespräche waren ... Wahrscheinlich in 10, 15 Jahren, aber können Sie sich vorstellen, dass CISO zu CISO sagt: „Hey, entschuldigen Sie?“ Meine Daten haben mich angerufen und mir wurde gesagt, dass Sie sie missbrauchen.
Jason Clark: Ja. Es ist nicht dort, wo es sein sollte.
Marene Allison: [Übersprechen 00:29:16] Unbefugter Zugriff und darüber möchte ich mit Ihnen sprechen. Oder es ging ins Internet, wo es eigentlich nicht hingehen sollte.
Jason Clark: Warum sind meine Dateneinstellungen in China, die ich Ihnen als meinem Dritten gegeben habe, richtig? Ja. Es ruft nach Hause. Ja.
Marene Allison: Genau. Können Sie sich das vorstellen? Ja, und dann einige der Probleme, mit denen CISOs heute zu kämpfen haben: Datenverlust, Datengefährdung, Datenschutz, Risiken Dritter. Sie werden eine andere Dimension haben als heute. Und das ist das Spannende an unserem Job, oder?
Jason Clark: Es ist also wie bei intelligenten Daten.
Marene Allison: Intelligente Daten.
Jason Clark: Das weiß, ob es richtig und sicher verwendet wird. Also noch eine letzte Frage an Sie, eher auf persönlicher Ebene: Was ist ein Hobby, das Sie außerhalb des ein oder anderen Cyber-Zeitraums gerne ausüben?
Marene Allison: Ja. Ich habe drei Pferde auf einer Farm in Nordflorida und mein Mann und ich züchten kommerziell Bio-Blaubeeren.
Jason Clark: Wow. Auf derselben Farm?
Marene Allison: Auf derselben Farm. Es ist über 200 Hektar groß, also gibt es jede Menge Platz. Und wir haben etwa 50 Hektar Bio-Blaubeeren.
Jason Clark: Wie viel Zeit verbringen Sie auf der Farm im Vergleich zu Ihrer...
Marene Allison: Man könnte die Farm als das Haupthaus betrachten, denn sobald man eine Farm hat, gibt es kaum noch etwas anderes zu tun. Ich arbeite an beiden Orten von zu Hause aus und fahre etwa einmal im Monat nach Jersey, um ins Büro zu gehen.
Jason Clark: Das ist großartig. Nun, danke. Das war eine tolle Sitzung und ich weiß, dass die Zuhörer dieses Gespräch sehr genossen haben werden, bei dem wir viele Themen behandelt haben und es Spaß gemacht hat. Vielen Dank, Marene, und es ist mir immer eine Freude, mit dir zu reden. Und...
Marene Allison: Es ist eine Freude, hier zu sein, Jason. Und wann immer wir uns unterhalten können, ist für mich ein toller Tag. Danke schön.
Sprecher 3: Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Suchen Sie nach der richtigen Cloud-Sicherheitsplattform für Ihre digitale Transformation? Mit der Netskope Security Cloud können Sie Benutzer von jedem Gerät und jeder Anwendung sicher und schnell direkt mit dem Internet verbinden. Erfahren Sie mehr unter NETSKOPE.com.
Sprecher 2: Vielen Dank, dass Sie den Sicherheitsvisionären zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem die Sendung gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen veröffentlicht werden, und wir sehen uns in der nächsten.
Warum Netskope? 
){kind=icon}
