Emily Heath (00:00): Diese Landschaft verändert sich und kommt zu einem Punkt, an dem ich ehrlich davon überzeugt bin, dass CSOs in Zukunft zu den bestbezahlten Fachkräften gehören werden, und in den letzten Jahren geht es bereits in diese Richtung. Wir haben bereits viele Veränderungen gesehen, aber dies wird einer der bestbezahlten Jobs in der Wirtschaft sein, weil man irgendwann den Punkt erreichen wird, an dem man den Leuten nicht mehr genug Geld zahlen kann, um diesen Job anzunehmen Höhe des Risikos.
Produzent (00:25): Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, Chief Security Officer und Chief Strategy Officer bei Netskope. Sie haben gerade vom heutigen Gast Emily Heath, Senior Vice President und Chief Trust and Security Officer bei DocuSign, gehört. Es heißt, man wird nicht dafür bezahlt, wie viel man arbeitet, sondern dafür, wie viel Verantwortung man trägt. Und in der heutigen modernen Geschäftswelt ist das Risikomanagement eine enorme Verantwortung. Da Cybersicherheitsbedrohungen die Schlagzeilen dominieren, wird die Rolle von Sicherheitsleitern, egal ob sie Chief Security Officers oder Chief Information Security Officers sind, zu einer der wichtigsten Funktionen in der Führungsebene.
Produzent (01:06): Sie sind dafür verantwortlich, die Daten, das Geld und alles andere, was für das Unternehmen wichtig ist, zu schützen. Die Rolle ist alles andere als einfach, und wie Emily betont, werden Personen, die in der Lage sind, diese Last zu tragen, zu den gefragtesten Führungskräften der Welt werden. Und Emily schreckt vor der Herausforderung nicht zurück. Tatsächlich ermutigt sie ihre CSO-Kollegen, dies auch nicht zu tun. Vor ihrer Tätigkeit als Chief Trust and Security Officer von DocuSign war Emily als CSO für United Airlines und AECOM tätig, hatte verschiedene andere Führungspositionen im Technologie- und Strategiebereich inne und begann ihre Karriere als Detektivin für Betrugsbekämpfung bei der britischen Polizei. Aber bevor wir tiefer eintauchen und mehr von Emily hören, hier ein Wort von unserem Sponsor.
Sponsor (01:50): Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Netskope ist der freche Marktführer und bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im heutigen Geschäftstempo zu bieten. Erfahren Sie mehr unter Netskope.
Produzent (02:08): Genießen Sie ohne weitere Umschweife die dritte Folge von Security Visionaries mit Ihrem Moderator Jason Clark und Emily Heath, Senior Vice President und Chief Trust and Security Officer bei DocuSign.
Jason Clark (02:21): Willkommen bei Security Visionaries, ich bin Ihr CSO bei Netskope. Heute ist ein ganz besonderer Gast und eine gute Freundin bei mir: Emily Heath. Emily, wie geht es dir?
Emily Heath (02:31): Jason, es ist immer eine Freude, dich zu sehen. Mir geht es gut, danke.
Jason Clark (02:34): Ich habe über dieses Gespräch nachgedacht. Ich frage mich: Wann habe ich Emily kennengelernt? Erinnern Sie sich noch an das erste Mal, als wir uns trafen?
Emily Heath (02:42): Gott, jetzt vergehen ein paar Jahre, Kumpel. Wahrscheinlich weiß ich nicht, ob es die Security Advisors Alliance in Dallas war?
Jason Clark (02:51): Richtig.
Emily Heath (02:51): Richtig? Ja es war.
Jason Clark (02:53): Ja, die Advisor Alliance in Dallas und ich erinnere mich an Sie. Ich erinnere mich, dass es tatsächlich an der Bar war und wir beide bestellten, glaube ich
. Emily Heath (03:02): Das wäre eine gute Wahl.
Jason Clark (03:05): Und dann dachten wir: „Hey, und wir haben einfach angefangen zu reden.“ Ich denke, das war wahrscheinlich vor sechs oder sieben Jahren.
Emily Heath (03:09): Ja.
Jason Clark (03:10): Erzählen Sie uns zunächst von Ihrem ersten Sicherheitsjob.
Emily Heath (03:14): Oh mein Gott. Nun, mein allererster Sicherheitsjob liegt etwa 25, 30 Jahre zurück. Ich war früher Polizist in England und viele Jahre lang Detektiv. Und hier geht es sozusagen um die Ära, in der Cyber damals noch keine wirkliche Sache war, aber Computerkriminalität begann, eine Sache zu werden. Und so arbeitete ich in der Abteilung für Finanzkriminalität in dem, was wir Betrugsdezernat nannten, und das war die Abteilung, die für Computerkriminalität zuständig war. Und es war mir damals völlig fremd, ich meine, damals machte man eine Razzia in einem Geschäft oder einem Haus und kam mit Hunderten von Bankkisten voller Verträge und Dokumente zurück. Und es ist einfach eine Wende, zu sehen, wie das jetzt alles auf Cyber übertragen wird. Aber ich denke gerne, dass dies aus Cyber-Perspektive wahrscheinlich der allererste Versuch war, Computer zu analysieren.
Jason Clark (04:09): Und erzählen Sie uns ein wenig über Ihren heutigen Job und Ihre aktuelle Rolle bei DocuSign.
Emily Heath (04:12): Ja, mein Job bei DocuSign ist jetzt tatsächlich ein wenig abwechslungsreich. Ich bin also der oberste Vertrauens- und Sicherheitsbeauftragte, das hat also mehrere Seiten. Es gibt die üblichen Dinge im Zusammenhang mit Cybersicherheit, die man sich vorstellen kann: Sicherheitsarchitektur, Technik, Sicherheitsabläufe und all diese Dinge. Ich habe auch die Governance-Risiko- und Compliance-Gruppe. Ich habe auch Betrug, physische Sicherheit, Gesundheit und Sicherheit. Und dann ist die Vertrauensseite des Jobs eigentlich eine sehr kundenorientierte Seite des Jobs. Wie viele wissen, ist DocuSign eine wirklich vertrauenswürdige Plattform, da wir Teil des Ökosystems unserer Kunden sind und Sicherheit und Vertrauen äußerst wichtig sind. Deshalb verbringe ich jetzt viel Zeit mit Kunden, was ich liebe.
Jason Clark (04:53): Ich denke, das ist etwas, das sich für jedes Unternehmen, das eine [unhörbar 00:05:00] Technologieorganisation ist, weiterentwickeln wird. [unhörbar 00:05:02] Sparsamkeit, das heißt, dass der oberste Vertrauens- und Sicherheitsbeauftragte sich sehr intensiv mit den Kunden beschäftigt, wird meines Erachtens zur Norm werden.
Emily Heath (05:11): Ja, genau.
Jason Clark (05:12): Also, unser erstes Segment hier sind Tabuthemen.
Jason Clark (05:26): Nun, in diesem Abschnitt geht es um Sicherheitstabus, Missverständnisse und Kontroversen. Und übrigens, Sie können mich alles fragen und alles ansprechen, was Sie ansprechen möchten. Aber die erste Frage an Sie zu diesem Thema lautet: Was ist Ihrer Meinung nach heute das am schnellsten wachsende Risiko in der Cybersicherheit? Das betrifft die meisten Unternehmen?
Emily Heath (05:43): Ja. Gott, es gibt so viele davon, dass es schwer ist, sich für eines zu entscheiden. Ich denke, Ransomware ist das, was einem in den Sinn kommt, wenn man an die Monetarisierung von Cyberkriminalität denkt. Bei diesen Angriffen geht es nicht mehr nur darum, Organisationen zu belästigen oder mit Rechten zu prahlen, bei dieser Kriminalität geht es um viel Geld. Längst vorbei sind die Zeiten, in denen jemand mit einer [unhörbar 00:06:07] Schrotflinte in eine Bank geht und bestenfalls 20.000 Dollar mitnimmt. Ich meine, Sie sprechen von Millionen und Abermillionen für diese Art von Verbrechen. Ich denke, das Lösegeld ist erst der Anfang. Und je mehr Unternehmen Lösegelder zahlen, desto größer wird das Problem. Es handelt sich also um einen Trend, von dem ich leider nicht glaube, dass er in absehbarer Zeit verschwinden wird.
Jason Clark (06:30): Im Grunde ist es also der neue Bankräuber, oder?
Emily Heath (06:34): Ja.
Jason Clark (06:34): Also, was denkst du über dieses Gefühl wie dieses Tabuthema? Was denkst du darüber, ob Unternehmen das Lösegeld zahlen oder nicht? Wie sollte die Gesetzgebung dazu aussehen?
Emily Heath (06:45): Gott, es ist so eine schwierige Frage. Ich weiß nicht einmal, wo die Gesetzgebung dabei eine Rolle spielen kann. Es ist ein wirklich heikles Unterfangen, denn es gibt Kosten für die Geschäftsabwicklung, und wenn daraus neue Kosten für die Geschäftsabwicklung werden, dann befürworte ich das in keiner Weise, aber jede Organisation ist anders und bis es einen trifft Und solange Ihr Betrieb nicht lahmgelegt ist, ist es wirklich schwer zu sagen, ob Sie ein Lösegeld zahlen sollten oder nicht. Ich meine, wir alle wissen, dass es sowieso keine Garantie dafür gibt, dass man auf der anderen Seite der Sache wieder herauskommt. Aber wenn man sich einige der Unternehmen ansieht, die in letzter Zeit Lösegelder gezahlt haben, sind wir nicht im Bilde, wir kennen die Auswirkungen auf ihre tatsächliche Geschäftsfunktion nicht. Und ich bin mir einfach nicht sicher, ob es sich letztendlich um eine Frage der Gesetzgebung handeln wird, sondern um eine geschäftliche Frage.
Jason Clark (07:34): Ja. Ich meine, manchmal kann es Leben bedeuten, oder? Ich meine, die Wiederinbetriebnahme des Stroms oder die Wiederinbetriebnahme der medizinischen Systeme, die Sie benötigen, sollte keine Entscheidung sein, die aufgrund eines Gesetzes getroffen wird, oder? Und wenn man es genau betrachtet, ist Lösegeld offensichtlich ein sehr, sehr schwieriges Problem und wir müssen einfach in allem besser werden. Ich denke, neugierig, wenn man über Lösegeld nachdenkt, okay, das ist eine Sache, aber was ist Ihrer Meinung nach eine Sache, von der die Leute Ihrer Meinung nach nichts wissen? Was ist das am schnellsten wachsende Risiko als CSO? Was wächst Ihrer Meinung nach, was vielen IT-Organisationen und vielen Vorständen nicht bewusst ist? Lösegeldforderungen sind also jeden Tag in den Nachrichten, aber fällt Ihnen sonst noch etwas ein, das ein schnell wachsendes Risiko darstellt und von dem Sie denken, dass diese Führungskräfte sich dessen bewusst sein sollten?
Emily Heath (08:24): Ja, es gibt derzeit ein kleines Thema, bei dem viele erfahrene Sicherheitsexperten die Branche verlassen. Und ich befürchte, dass es ein großes Loch geben wird, oder? Dieses Geschäft gibt es schon seit einiger Zeit, aber sicherlich nicht in dem Ausmaß wie in den letzten vier oder fünf Jahren. Und viele Sicherheitsexperten verlassen die Branche, um auf die Anbieterseite zu wechseln, oder sie wechseln auf die Seite von VC. Das Talent und die Fachkenntnisse, die die Sicherheitsjobs verlassen, sind beängstigend. Ich weiß nicht, wie Sie das unbedingt lösen, abgesehen davon, dass es unsere Aufgabe als Führungskraft ist, sicherzustellen, dass wir in die Führungskräfte von morgen investieren. Und ich denke, als Organisation bin ich mir nicht sicher, ob es ein so großes organisatorisches Bewusstsein für die große Talentlücke bei leitenden Führungskräften in der Sicherheitsbranche und wirklich supertalentierten Leuten gibt, die ehrlich gesagt auf die Anbieterseite und auf die VC-Seite wechseln, weil das durchaus der Fall ist Ehrlich gesagt ist da mehr Geld drin.
Jason Clark (09:25): Lass uns etwas später darüber reden, denn wir reden über die Zukunft, aber ich denke, es gibt mehr Geld, aber auch der CSO-Job ist extrem hart, sehr, sehr hart und sehr anstrengend.
Emily Heath (09:37): Super stressig.
Jason Clark (09:37): Ich meine, es gibt viele, viele Freunde, bei denen sie gesagt haben, schauen Sie, Jason, ich habe meinen letzten Urlaub aufgegeben, oder ich war der Beste, Dave Fairman bei RBC, er sagte, Jason, Ich war der Trauzeuge bei einer Hochzeit und man sagte mir, ich solle entweder zur Hochzeit gehen oder hier bleiben, aber wenn man zur Hochzeit geht, hat man keinen Job. Und das ist emotional anstrengend. Ich denke also, dass wir in einer Situation landen, in der die Bedrohungen immer schlimmer werden, das Problem immer schwieriger wird, es mehr Daten als je zuvor gibt, wir 57 Zettabytes an Daten auf der Welt haben und bis 2025 werden es 175 Zettabytes sein. Ich denke, wenn Sie darüber nachdenken, dass die Angriffsfläche wächst und die Leute immer schwerer zu finden sind, finde ich es toll, dass Sie darauf hingewiesen haben. Ich denke, das ist ein großes unbekanntes Risiko, wie Sie gerade gesagt haben. Ich gehe also ein wenig in die Tiefe.
Jason Clark (10:46): Erzählen Sie uns vielleicht, wie Sie von der Cheshire-Polizei zum Internet wechselten, und erzählen Sie uns diesen Übergang.
Emily Heath (10:55): Als ich Detektivin war, habe ich eine Zeit lang eine Karrierepause eingelegt, und eine Karrierepause kann bis zu drei Jahre dauern. Und das habe ich getan, und die Pointe ist, dass ich mir das Codieren selbst beigebracht habe und es niemandem erzähle. Aber ich habe mir das Programmieren selbst beigebracht und während der Karrierepause tatsächlich mein eigenes Webdesign-Unternehmen gegründet. Als ich zur Polizei zurückkehrte, wurde mir klar, dass es da draußen eine große Welt gab und eine Welt, die ich unbedingt erkunden wollte. Und so rief mich eines Tages tatsächlich einer meiner ehemaligen Webkunden an und sagte: „Hey, sind Sie an dieser Gelegenheit in den MGM-Studios in London interessiert?“ Und es funktionierte für ein Startup, damals, als DVDs noch eine Sache waren. Es war ein Startup, das den gesamten DVD-Vertrieb sowie die Lieferkette und das Bestandsmanagement für die Filmstudios verwaltete. Also verließ ich die Polizei, ich verließ die Strafverfolgung und erledigte diesen Job. Es war kein Sicherheitsjob. Ich war in vielen verschiedenen Bereichen der IT und Technologie tätig, bevor ich den Bogen zurück zur Sicherheit schloss.
Emily Heath (11:48): Aber ich war der leitende Programmmanager bei einer Software-Implementierung für die Studios, und so landete ich vielleicht vor fast 20 Jahren in den USA, wo ich mit MGM zusammenarbeitete, das von Sony Pictures übernommen wurde Ich habe viele Jahre mit Sony zusammengearbeitet. Und als schließlich dieses kleine Ding namens PCI auf den Markt kam und ich Infrastrukturteams, PMOs, Webdesign-Teams und Ingenieure leitete, sagte mein damaliger Chef: „Hey, Emily, du warst Polizistin.“ Du warst Polizist, nicht wahr? Sie verstehen das Gesetz, können Sie diese Verschlüsselungssache und diese PCI-Sache, diese Gesetze, die in Kraft treten, verstehen? Es war also wirklich reiner Zufall, dass ich eher eine Rolle in den Bereichen Recht, Compliance und Sicherheit übernommen habe. Aber es ist lustig, wie man auf seine Karriere und sein Leben zurückblickt und erkennt, dass alles ein einziges großes Puzzle ist. Man merkt zu diesem Zeitpunkt nicht, wie ein Ding zum nächsten führt. Und wenn man dann zurückblickt, wird einem klar: Meine Güte, ich wäre in diesem Job nicht für den Erfolg gerüstet, wenn ich diesen Job nicht gemacht hätte.
Emily Heath (12:50): Und so fühlte es sich für mich an, als würde ich nach Hause kommen, meine Erfahrung in der Technologie gepaart mit Erfahrung in der Strafverfolgung. Und es sind zwei sehr unterschiedliche Dinge, aber bei den Fähigkeiten, die Sie von der Strafverfolgung mitbringen, geht es vor allem um Menschen. Es war so, dass Sie es mit Menschen aus allen Gesellschaftsschichten zu tun haben. Und ich übertrage das auf die Wähler innerhalb einer Organisation, oder? Ich meine, wir haben es mit so vielen verschiedenen Stakeholdern aus so vielen unterschiedlichen Geschäftsbereichen zu tun, und es ist sehr ähnlich wie bei der Strafverfolgung, sich in der Unternehmenswelt zurechtzufinden, man muss nur verschiedene Charaktere managen. Es fühlte sich für mich wirklich wie eine Rückkehr nach Hause an und ich habe mich ganz bewusst für den CSO-Weg und nicht für den CIO-Weg entschieden. Ich hatte vor ein paar Jahren die Möglichkeit, in die eine oder andere Richtung zu gehen, und habe mich für diesen Weg entschieden, und zwar für den für mich persönlich richtigen.
Jason Clark (13:44): Ich werde ständig von CSOs gefragt, ich coache ungefähr 15 verschiedene CSOs und ich werde gefragt: „Hey, ich habe diese Gelegenheit, CIO oder Interims-CIO zu werden.“ Und ich trainiere sie eigentlich im Allgemeinen nicht. Konzentrieren Sie sich auf CSO, konzentrieren Sie sich auf Sicherheit als eine Spezialität, die zunehmend an Bedeutung gewinnen wird. Und ich sage ihnen grundsätzlich, dass sie meiner Meinung nach finanziell mehr oder dasselbe verdienen werden. Sie haben ein wenig über Ihre Erfahrungen mit PCI gesprochen, ich danke PCI auch für den Beginn meiner Karriere. Ich war aus der Armee ausgeschieden und die New York Times wurde kompromittiert, und als ich 27 Jahre alt war, bekam ich den CSO-Job bei der New York Times, weil sie einen CSO-Titel brauchten, und das war auf den Verlust von Kreditkarten zurückzuführen einer ihrer Geschäftseinheiten und ich wurde gebeten, einzuspringen. Und wann sonst kann ein 27-Jähriger mit Cybersicherheitserfahrung und der Tatsache, dass ich Managementerfahrung hatte, weil ich beim Militär war, das meine ich, das ist verrückt. Das würde heute nicht passieren, da ein 27-Jähriger so schnell zum CSO wird. Deshalb danke ich auch PCI.
Emily Heath (14:53): Ja, ich weiß. Es ist, als würden die Leute fragen, warum Sie sich für den Cyberberuf entschieden haben? Und ich sagte: Nicht ich habe es gewählt, es hat mich gewählt. Auf jeden Fall Drehungen und Wendungen.
Jason Clark (15:04): Es war großartig. Sie waren also der CSO, wir haben uns kennengelernt, als Sie CSO für United Airlines waren, und Sie hatten dort enorme Verantwortung. Was sind die Unterschiede und Gemeinsamkeiten zwischen dieser und Ihrer aktuellen Rolle bei DocuSign?
Emily Heath (15:22): Ja. Ich meine also United Airlines. Ich glaube nicht, dass es viel komplizierter wird als eine riesige, große, globale Fluggesellschaft. Allein die schiere Größe und Komplexität einer solchen Organisation ist unglaublich. Und natürlich handelt es sich um ein viel größeres Unternehmen als bei DocuSign. Daher sind die Unterschiede in Bezug auf Umfang und Komplexität sehr, sehr unterschiedlich, die Art der Probleme, mit denen wir uns befassen, sind jedoch weitgehend die gleichen. Und egal wohin ich gehe, in welches Unternehmen oder welchen Rat ich anderen CSO-Freunden gebe, die neuen Unternehmen beitreten, ich stelle mir fünf grundlegende Fragen, wobei es eigentlich keine Rolle spielt, in welcher Organisation man sich befindet. Und es kommt wirklich darauf an, was Ihnen in erster Linie am wichtigsten ist? Für ein Unternehmen wie United ist Menschenleben das Wichtigste. Sie fliegen Menschen, Sicherheit steht an erster Stelle. Als Unternehmen wie DocuSign sind wir ein sehr datengesteuertes Unternehmen, daher sind die Vereinbarungen, die uns Menschen anvertrauen, für uns am wichtigsten.
Emily Heath (16:19): Was ist also am wichtigsten? Wo ist es? Wie sichern Sie es? Wo sind Sie am verwundbarsten und gefährdetsten? Und wie belastbar sind Sie, wenn es ins Wanken gerät und Sie wieder auf die Beine kommen müssen? Und ich denke, wenn Sie einen neuen Job antreten und sich diese fünf Fragen stellen, egal um welches Unternehmen es sich handelt, egal um welche Einheit es sich handelt, diese fünf Fragen sind immer noch sehr relevant. Denn wenn Sie verstehen, was Ihnen am wichtigsten ist, haben Sie einen Rahmen, um die Aufgabe, die zweifellos vor Ihnen liegt, zu priorisieren. Die Herausforderungen sind also die gleichen, es sind die gleichen Leute, die gleichen Gegner, der Umfang und die Komplexität sind sehr unterschiedlich, aber die Art und Weise, wie man ein Sicherheitsprogramm ausführt, ist grundsätzlich dasselbe.
Jason Clark (17:06): Ja, 100 %. Es sind einfach unterschiedliche Komplexitäten. Der Maßstab ist einer, aber wenn man ein Unternehmen ist, hat man einen anderen Satz, und es ist weder schwieriger noch einfacher. Als Sie sagten: „When it hits the fan“, „When it hits the fan“, gefällt mir, wie Sie sagten, „When it hits the fan“, da habe ich mir schnell die Szene in „Airplane“ vorgestellt, dem Film „Airplane“, oder? Wo die Scheiße im wahrsten Sinne des Wortes am Dampfen war, das stelle ich mir vor [unhörbar 00:17:35]. Schauen Sie, ich liebe Ihren Titel, Chief Trust und Security Officer. Sprechen Sie mit uns ein wenig darüber, welche zusätzlichen Verantwortungen Sie haben und wie sich dadurch die Art und Weise verändert, wie Ihr Unternehmen oder Ihre Kunden Sie mit dem Wort Vertrauen wahrnehmen.
Emily Heath (17:53): Ja. Meiner Meinung nach ist die Sicherheitsseite das, was wir alle verstehen. Es geht darum, die Schrauben und Muttern zu sichern und die Technologie und all diese Dinge zu sichern. Wenn man anfängt, das Konzept des Vertrauens zu vertiefen, geht es um das Immaterielle. Es sind die Beziehungen, die Sie zu Menschen aufbauen. Wenn wir also Beziehungen zu Kunden aufbauen, können Sie Menschen nicht vertrauen, die Sie nicht kennen. Daher besteht die Zeit, die ich mit Kunden verbringe, darin, Beziehungen zu ihnen aufzubauen, denn ich sehe es als meine Pflicht und Verpflichtung an, völlig transparent darüber zu sein, was wir tun. Ich denke, darin liegen die Grundlagen dafür, wie man Vertrauen aufbaut. Ich spreche also nicht nur von Zero Trust als Rahmenwerk oder Vertrauen, wie wir es im Sicherheitsbereich traditionell als Vertrauen bezeichnen, es geht für mich weit darüber hinaus. Es geht wirklich viel darum, dass man seinen Weg gehen muss. Du musst auftauchen. Du musst transparent sein. Man muss offen und ehrlich sein.
Emily Heath (18:54): Und es geht tatsächlich um mehr als nur Sicherheit. So helfe ich beispielsweise auch bei der Durchführung unseres ESG-Programms, dem Umwelt-, Sozial- und Governance-Programm. Denn als Teil der Rolle des Chief Trust Officer geht es nicht nur um Sicherheit. Was sind die anderen Elemente von Vertrauen und was bedeutet das für Ihr Unternehmen? Deshalb beschäftige ich mich intensiv mit Themen wie DNI und bin, wie Sie wissen, ein großer Verfechter von Vielfalt, Inklusion und Zugehörigkeit. Die ESG-Programme, die jede Organisation durchführt, fallen alle unter ein Vertrauensdach. Es geht also um mehr als nur die herkömmlichen Bereiche Sicherheit, physische Sicherheit und Cybersicherheit, denn es geht um das Vertrauen Ihres Unternehmens und darum, was das für Ihre Kunden, Partner und Mitarbeiter bedeutet.
Emily Heath (19:40): Es ist also etwas, das wir wie jedes andere Unternehmen weiterentwickeln. Ich bin der festen Überzeugung, dass wir Worte wie Vertrauen nicht verwenden sollten, es sei denn, wir wissen, was das tatsächlich für uns bedeutet und dass wir tatsächlich etwas dagegen unternehmen. Das ist nicht nur ein Wort, es ist eine Art zu sein, es ist nicht nur das, was du tust, es ist die Person, die du bist, während du es für mich tust. Es hat so viel mit den Beziehungen und diesem Geist der Transparenz zu tun. Und wie ich schon sagte: Menschen, die man nicht kennt, kann man nicht vertrauen.
Jason Clark (20:08): Wie geht es Ihnen? Es geht ja doch vor allem um den Zweck des Unternehmens, oder? Und Sie versuchen doch ganz bewusst, Emotionen bei Ihren Kunden und Ihren Mitarbeitern hervorzurufen, oder? Wie arbeiten Sie mit dem Marketing zusammen, um dies zu erreichen?
Emily Heath (20:23): Ja, wir betreiben gerade ein bisschen Branding und Marketing und Vertrauen ist eine unserer zentralen Säulen. DocuSign gibt es seit etwa 18 Jahren und die meisten Leute kennen uns wegen der elektronischen Signatur. Und wir haben uns weit darüber hinaus zu dem entwickelt, was wir die „Agreement Cloud“ und jetzt die „Smart Agreement Cloud“ nennen. Vertrauen ist ein grundlegender Teil davon. Und wenn Sie darüber nachdenken, was uns die Leute tatsächlich anvertrauen, all ihre sensiblen Vereinbarungen, ich meine um Himmels willen ihre Unterschriften. Wir fragen uns: Wenn Sie uns nicht vertrauen können, wem können Sie dann vertrauen? Davon ist so viel in uns als Organisation verankert, dass es bei DocuSign von Anfang an dabei war, aber wir erkennen jetzt, wie wichtig das ist, denn wir sind Teil des Ökosystems unserer Kunden und wir Das muss man wirklich ernst nehmen. Es geht also viel um die Kultur und darum, was für Ihr Unternehmen wichtig ist. Aber wie gesagt, es kommt auch darauf an, wer du bist, während du es tust.
Jason Clark (21:25): Wie hat sich diese unglückliche Pandemie in den letzten 18 Monaten verändert und auf Ihre Rolle ausgewirkt, und natürlich auch auf Ihre Mitarbeiter bei DocuSign, die versuchen, sich zu engagieren und ihre Pflicht zu erfüllen?
Emily Heath (21:45): Ja. Schon zu Beginn der Corona-Krise, als das passierte, hatten wir eine ziemlich große Remote-Belegschaft. Glücklicherweise verfügten wir bereits über die Technologien wie Slacks und Zooms, die uns unterstützten, sodass wir in dieser Hinsicht einigen Unternehmen voraus waren. Wie wir jedoch alle wissen, ist es ein deutlicher Wandel, wenn man jetzt eine ganze Belegschaft hat, die alle von zu Hause aus an Heimcomputern und all diesen Dingen arbeitet. Ich habe die COVID, die wir damals die COVID-19-Task Force nannten, zugelassen, bei der es sich im Wesentlichen um eine klassische Krisenreaktion handelte, bei der man funktionsübergreifende Teams zusammenstellt. Ganz am Anfang trafen wir uns mehrmals am Tag, dann gingen wir zu täglichen und dann zu wöchentlichen Treffen.
Emily Heath (22:27): Aber es war eine Möglichkeit, die gesamte Organisation aus allen Abteilungen zusammenzubringen, damit wir alle wichtigen Aspekte unserer Mitarbeiter und Kunden berücksichtigen konnten, denn genau wie Sie und viele andere Unternehmen hatten wir das auch viele Live-Events, die wir dann auf virtuell umstellen mussten. Wir haben alle Mitarbeiter eingesetzt, um sicherzustellen, dass sie über die gesamte Ausrüstung verfügen, die sie benötigen, und haben seit COVID Tausende von Menschen an Bord gebracht. Wir sind so stark gewachsen, wir haben Tausende von Menschen als neue Mitarbeiter eingestellt, und das alles ist mit viel Logistik verbunden. Daher denke ich, dass CSOs und Menschen, die es gewohnt sind, mit Krisenreaktionen umzugehen, hier wirklich am besten für diese Art von Initiativen geeignet sind. Weil wir sozusagen diesen Krisenreaktionsmuskel haben, bei dem wir es gewohnt sind, funktionsübergreifende Teams zusammenzubringen, um die Krise zu organisieren. Und es war einfach so, dass mich niemand darum gebeten hat. Ich habe einfach die Rolle übernommen, das Unternehmen zusammengebracht und meinen Teil dazu beigetragen. Und mein Team hat hervorragende Arbeit geleistet, ebenso wie der Rest der Organisation.
Emily Heath (23:32): Aber ich denke, es war hart für viele Mitarbeiter, genau wie für jedes andere Unternehmen. Jeder hat ein wenig COVID-Burnout-Müdigkeit und Zoom-Müdigkeit und all diese Dinge. Wir nutzen diese Gelegenheit, um unseren Mitarbeitern wirklich zuzuhören und zu sehen, was sie wollen. Es ist also sehr wahrscheinlich, dass wir in Zukunft eine viel stärker verteilte Belegschaft und eine stärker dezentrale Belegschaft haben werden. Wir werden fast vollständig auf Hotels umstellen, also keine eigenen Schreibtische oder Büros mehr. Und das ist es, was unsere Mitarbeiter wollen, sie wollen Flexibilität, also nutzen wir diese Gelegenheit, um ihnen genau das zu bieten.
Jason Clark (24:08): Es besteht also kein Zweifel, dass es eine Herausforderung war. Ich habe viele CSOs gehört, und selbst wenn wir uns selbst und Lamont, unseren CSO, als Beispiel nehmen, war es für ihn ein Moment, sich zu Wort zu melden. Er hat mitgeholfen, unsere COVID-Gemeinschaft zu leiten und war an deren Leitung beteiligt, außerdem leitet er DNI. Ich möchte nur sagen, dass es jetzt an der Zeit ist, sicherzustellen, dass wir unsere Mitarbeiter so gut wie möglich einbeziehen und einbeziehen. Ich denke also, dass Sie Recht haben, wir haben diesen Muskel bereits. Und so war es wirklich gut, ich denke, am Ende denkt man nur an IT, vergisst die Sicherheit, die Möglichkeit, von zu Hause aus zu arbeiten, wäre ohne IT, ohne Digital, ohne Technologie, ohne VPN, ohne Cloud nicht wirklich möglich gewesen. Wie hätten wir das gemacht? Wir hätten entweder die Entscheidung treffen müssen, Geschäfte zu verlieren, sonst wären die Menschen möglicherweise gefährdeter und hätten mehr Todesfälle. Und deshalb denke ich, dass ES hier eine interessante Art stiller Held war.
Emily Heath (25:19): Und es ist fast so, als wären wir als Gesellschaft gezwungen, anders zu denken. Viele Unternehmen hätten nie die Schritte unternommen, die sie unternommen haben, wenn wir nicht alle in diese Situation geraten wären. Und für uns war es aus geschäftlicher Sicht natürlich unglaublich. Es hat sich positiv auf das Wachstum unseres Unternehmens ausgewirkt, aber was mich gleich zu Beginn der Pandemie wirklich beeindruckt hat, war, dass wir im wahrsten Sinne des Wortes mit den Außenministerien und den Bundesregierungen zusammengearbeitet haben, um zu versuchen, PSA zu verschieben. Das muss man immer noch mit einem machen Unterschrift. Und es gibt ein weit verbreitetes Missverständnis, ich vermute, dass die Regierungsbehörden so langsam vorgehen. Na ja, manchmal schon, aber wenn sie auf diese Weise in eine Krise gezwungen werden, ist die Arbeit, die sie geleistet haben, und wir saßen dabei in der ersten Reihe, mit denen unsere Kundenbetreuer morgens, mittags und abends im Schützengraben gearbeitet haben Sie mussten sie so einrichten, dass sie ihr eigenes Unternehmen digitalisieren und transformieren konnten, und es gab Situationen, in denen wir Geräte bewegen mussten. Und es hat uns alle gezwungen, sehr schnell umzuschwenken. Und ich denke, dass viele Unternehmen diese digitale Transformation in gewisser Weise übersprungen haben, weil sie jetzt erkennen, dass sie es schaffen können.
Jason Clark (26:39): Ich habe viele meiner eigenen Kunden gesehen, die DocuSign angenommen haben. Das war ein großer Teil ihrer Transformation. Vor allem das Gesundheitswesen, ganz, ganz groß im Gesundheitswesen. Gehen wir also zu unserem nächsten Abschnitt über, der sich „Verletzlichkeit fühlen“ nennt.
Jason Clark (27:04): Und in diesem Abschnitt werden wir uns damit befassen, was wir vermeiden wollen. Was sind unsere Schwachstellen? Und noch einmal, ich fühle mich einfach verletzlich. Sehr offen sein, was wir beide in diesem Gespräch bereits sind. Daher messen Menschen das Risiko oft unterschiedlich. Zum Beispiel Haie im Wasser. Ich war gerade zwei Wochen mit ein paar Freunden im Urlaub und da war ein Hai im Wasser. Und einer der Leute, mit denen ich zusammen war, schwamm so schnell wie möglich zu den Rettungsschwimmern und sagte: „Da ist ein Hai, da ist ein Hai, da ist ein Hai“ und rief allen zu: „Da ist ein Hai.“ Und alle schauen nur diese Person an und der Rettungsschwimmer sagt: „Ja, wir haben Haie.“ Sie beißen niemanden. Und es ist wie: Was machst du? Oh mein Gott, darauf müssen wir reagieren. Und ich denke, dass bei sechs bis sieben Milliarden Menschen jedes Jahr nicht viele Haie sterben.
Jason Clark (27:56): Wie sehr glauben Sie, dass wir in der Sicherheits- oder IT-Branche Entscheidungen eher aus dem Bauch heraus treffen, anstatt wirklich auf die Mathematik des Risikos zu achten? Oder einfach nur versuchen, Kontrollkästchen zu aktivieren? Was halten Sie von diesem Problem mit der Sicherheit? Wir kaufen Produkte, weil alle anderen Produkte kaufen, oder wir tun dies, weil alle anderen dies tun, anstatt zu sagen: „War das das eigentliche Problem?“ Ist das das wirkliche Risiko? Übrigens habe ich gerade mit jemandem in der Finanzabteilung telefoniert, der sagte: „Wir machen eine Segmentierung, weil die Prüfer und die Stammkunden sagen, dass wir das müssen“, und ich denke, das ist das Dümmste überhaupt. Weil ich am Ende, am Endpunkt und auf der Netzwerkebene bereits segmentiert bin und diese anderen fünf Projekte eigentlich durchführen sollte, aber stattdessen ist dies mein größtes Projekt meines Jahres, weil der Prüfer und die Regulierungsbehörden sagen, dass ich es tun muss .
Emily Heath (28:42): Ja, das kann ich absolut verstehen. Ich denke, so sehr wir auch immer wissenschafts- und datengesteuert sein wollen, ist das doch das Ideal, oder? Sie möchten die Daten und Fakten immer vor Augen haben, aber die Wahrheit ist, dass sie nicht immer so greifbar sind. Und ich denke, es gibt Zeiten, in denen CSOs ihr bestes Urteilsvermögen, ihre Erfahrung und ihr Fachwissen nutzen, um Entscheidungen zu treffen. Manchmal denke ich, dass das angemessen ist, denn ansonsten muss man irgendwann eine Entscheidung treffen und weitermachen. Und das sind die Dinge, bei denen man manchmal in den Rückspiegel schaut und sich fragt: Habe ich hier die richtige Entscheidung getroffen oder hätte ich das anders machen können? Aber zu diesem Zeitpunkt hat man meiner Meinung nach nicht immer den Vorteil, dass man Wochen, Tage oder Monate vor sich hat, um all diese Daten zu sammeln. Und selbst wenn Sie es wollten, existiert wahrscheinlich nicht alles.
Emily Heath (29:39): Es gibt also eine Realität in der Arbeit, die wir machen: ein bisschen Kunst und ein bisschen Wissenschaft, und man muss sein bestes Urteilsvermögen einsetzen, um diese Entscheidungen zu treffen. Ich bin immer ein Befürworter der Nutzung von Daten, denn oft versuchen wir, Menschen, die sich nicht mit Technik auskennen, Situationen zu erklären oder Situationen zu erklären und sie in Betriebs- oder Geschäftsrisiken umzuwandeln, denn letztendlich ist das unsere Aufgabe. Es ist nicht immer so einfach, Daten zu erhalten, die Sie direkt auf Entscheidung A, Entscheidung B oder Entscheidung C hinweisen. In dem, was wir tun, steckt also ein bisschen Kunst und Wissenschaft. Und seien wir ehrlich: Wenn es ein Buch gäbe, das man aus dem Regal nehmen könnte und das einen Bauplan zeigt und zeigt, wie man diese Aufgabe erledigt, würden wir uns alle darüber freuen. Aber die Realität ist, dass das einfach nicht existiert, wir sind jeden Tag mit neuen Bedrohungen, neuen Gegnern und neuen Vorgehensweisen konfrontiert, bei denen Sie Ihr bestes Urteilsvermögen einsetzen müssen.
Emily Heath (30:38): Und das kommt aus Erfahrung. Manchmal haben wir zu Beginn unserer Karriere Entscheidungen getroffen, die vielleicht nicht die besten waren, aber wir lernen daraus. Und das Wichtigste für mich ist, dass die Sicherheitsgemeinschaft deshalb etwas ganz Besonderes ist, weil wir Dinge miteinander teilen, wenn unsere Anwälte uns davon abhalten. Wir teilen Dinge miteinander, weil wir uns umeinander kümmern und niemand möchte, dass jemand anderes in den Schlagzeilen steht. Ich habe noch nie eine Gemeinschaft wie diese erlebt, gesehen oder gehört. Und es ist wirklich etwas Besonderes, es ist etwas anderes.
Jason Clark (31:10): Das ist erstaunlich. Ich stimme zu, da ist nichts. Wir sind eins, weil wir einen gemeinsamen Feind haben. Und es ist großartig und es ist letztendlich der Grund, warum ich denke, dass viele von uns diese Branche lieben und die Branche nicht gewechselt haben. Wenn wir also etwas über Ihren Punkt nachdenken, sprechen wir über diese Branche. Wir haben darüber gesprochen, dass ein Teil der Risiken darin besteht, dass Sicherheitsführer die Branche verlassen. Warum ist das Ihrer Meinung nach so? Warum denken Sie, dass sie sagen: „Okay, wissen Sie was?“ Ich werde etwas anderes machen, das habe ich jetzt schon dreimal gemacht. Wir lieben diese Branche, aber warum verlassen sie den operativen CSO-Auftritt? Weil es sich gut auszahlt, gibt es keinen Zweifel daran, dass sie einen siebenstelligen Betrag verdienen können. Sie arbeiten auf höchstem Niveau. Warum also sehen wir, dass Leute diese Jobs aufgeben, um ehrlich zu sein und meistens weniger Geld für etwas anderes einzunehmen?
Emily Heath (32:11): Ja, und ich denke, es ist eine Kombination aus dem, worüber wir vorhin gesprochen haben. Sehen Sie, dieser Job hat in den letzten Jahren ohne Zweifel an Sichtbarkeit gewonnen, und das ist etwas, worum CSOs in der Vergangenheit gebeten haben, und jetzt denke ich, dass das alles Früchte trägt. Und das hat gute und schlechte Seiten. Sie möchten die volle Sichtbarkeit, Sie möchten, dass das Unternehmen die Sache ernst nimmt, wissen Sie was, sie nehmen es ernst. Die Kehrseite davon ist der Druck, der damit einhergeht. Dies ist ein Job mit sehr hohem Risiko. Und es ist ein Job mit hohem Risiko, weil wir Programme verwalten, die so viele Facetten und Komponenten haben, die außerhalb unserer Kontrolle liegen. Wir sind darauf angewiesen, dass viele, viele verschiedene Akteure bestimmte Dinge tun, damit jeder Körper erfolgreich sein kann. Ich meine, wenn Sie an viele Unternehmen denken, die Tausende von Anwendungen haben, aber sagen wir mal, dass die Zugriffskontrollen bei 10, 20 oder 100 davon nicht ausreichen. Es kann nicht nur die Schuld des CSO sein, es ist unmöglich. The CSO's one person, the security teams can only do so much.
Emily Heath (33:22): Und aus diesem Grund ist es zwar ein Job mit höherem Bekanntheitsgrad, aber die Risiken sind enorm. Ich glaube, dass man jetzt schon hört, dass CSOs verklagt werden. Das Spiel verändert sich, diese Landschaft verändert sich und es kommt zu einem Punkt, an dem ich ehrlich davon überzeugt bin, dass CSOs in Zukunft zu den bestbezahlten Fachkräften gehören werden. Und es geht in den letzten Jahren bereits in diese Richtung, wir haben bereits viele Veränderungen gesehen. Aber dies wird einer der bestbezahlten Jobs in der Wirtschaft sein, weil man irgendwann den Punkt erreichen wird, an dem man den Leuten nicht mehr genug Geld zahlen kann, um dieses Risiko auf sich zu nehmen, weil die Klagen damit einhergehen könnten Es. Und man beginnt darüber nachzudenken, was das für die Rolle bedeutet, es ist ein ganz, ganz anderes Spiel.
Emily Heath (34:12): Sie sprechen jetzt davon, wofür Vorstände normalerweise verantwortlich sind und welche Risiken damit einhergehen, oder wofür CEOs verantwortlich sind und welche Risiken damit einhergehen, oder was CFOs betrifft . Ich denke also, dass das Risiko und die bloße Verantwortung weiter steigen und die Menschen unter Burnout leiden. Und es ist nicht nur finanzieller Natur, es gibt definitiv eine finanzielle Komponente, aber es ist nicht nur finanzieller Natur. Irgendwann kommt der Punkt, an dem es um Lebensqualität geht und es schwierig ist, nicht wahr? Es ist kein einfacher Weg, es ist keine einfache Rolle. Wie Sie wissen, haben Sie es geschafft.
Jason Clark (34:52): Das ist es nicht wert. Ja, irgendwann kommt der Punkt, an dem man denkt: Okay, ich habe das schon mehrere Male gemacht, aber es wird immer schwieriger. Und okay, ich habe genug gespart, wie du gerade gesagt hast. Und ich denke, die rechtlichen Bedenken sind besorgniserregend. Und es ist nicht wie bei CSOs. Eine Sache, die mich überrascht, ist, dass sie in meinen Verträgen nicht unbedingt den Fallschirm bekommen. Mir geht es vielleicht großartig [unhörbar 00:35:20], aber sie sollten auch geschützt werden. Ich führe viele Gespräche mit CSOs, in denen sie dazu gedrängt werden, etwas zu entscheiden oder zu unterzeichnen, mit dem sie nicht einverstanden sind, aber sie sehen es sich an und sagen: „Nun, ich habe dieses teure Haus und ich habe ein Privathaus.“ Ich muss zur Schule gehen oder was auch immer, und ich kann es mir nicht leisten, zu meinem Chef Nein zu sagen, weil ich dann weg bin.
Jason Clark (35:41): Und das ist nicht gut. Sie sollten alle geschützt werden, dass Sie, wenn Sie mit Ihrer Organisation nicht einverstanden sind, sie herausfordern möchten und sagen: „Ich werde dieses Risiko nicht akzeptieren, für das sie geschützt werden können, vielleicht ist es ein Standard von sechs Monatseinkommen?“ Aber im Moment sind es zwei bis drei Monate. Und das habe ich viel zu oft erlebt. Aber im Großen und Ganzen denke ich, dass ich mit Jason Witty gesprochen habe und es ist öffentlich, dass er gerade die JP Morgan verlassen hat. Es geht nur darum, dass wir mit unserem Fachwissen so viel mehr erreichen können, dass wir möglicherweise sogar mit weniger Stress oder sogar höherem Einkommen, wenn Sie über das von Ihnen erwähnte Risikokapital sprechen, Emily, sogar höhere Einnahmen erreichen können. Aber was auch immer wir tun, wir müssen sicherstellen, dass die nächste Generation bereit ist.
Emily Heath (36:44): Ich bin beschützt, richtig. Ich meine, es kommt zum Punkt der Haftungsfrage: Direktoren und leitende Angestellte haben dafür eine Haftpflichtversicherung, CSOs jedoch nicht. Irgendwann muss also ein anderes Gespräch geführt werden, sonst kommt es zu einem Punkt, an dem man den Leuten nicht mehr genug Geld zahlen kann, um diese Arbeit zu erledigen. Denn wenn das Endergebnis oder die mögliche Konsequenz einer Handlung, die ein CSO in gutem Glauben ergriffen hat, oder einer Handlung, die jemand anderes nicht ergriffen hat, dazu führen könnte, dass er alles verliert oder, Gott bewahre, ins Gefängnis kommt, dann werden Sie das nicht tun Bringen Sie die Leute im Job dazu, das nicht mehr zu tun.
Jason Clark (37:20): Genau. Zum Beispiel, wenn Sie von Ihrer Führung aufgefordert werden, ein Lösegeld zu zahlen, oder wenn Sie von Ihrer Führung aufgefordert werden, ein Kopfgeld zu zahlen. Also ja, es ist beängstigend. Aber wir werden das durchstehen und am Ende denke ich, dass du und ich und viele andere einfach für andere da sein müssen. Wenn sie Rat brauchen, coachen wir sie und stehen ihnen zur Seite. Als nächstes war ich neugierig auf dieses Thema: Wie sieht das Ruhestandsleben für Sie aus?
Emily Heath (37:51): Ich bin noch nicht ganz am Ziel, aber ich habe noch viel im Tank. Aber das Ruhestandsleben bedeutet für mich, dass ich nicht weiß, ob ich mich jemals wirklich von dieser Gemeinschaft trennen werde. Ich meine, ich sitze heute in einem öffentlichen und einem privaten Vorstand, ich bin im Vorstand von Norton LifeLock, einem börsennotierten Unternehmen, und von Logic Gate, einem privaten GRC-Plattformunternehmen. Für CSOs ist das Vorstandsleben aufgrund der Erfahrung und Tiefe, die sie haben, sehr wertvoll. Es ist ein Bereich, in dem es immer noch an Verständnis mangelt, und es gibt so viel Mehrwert, den man hinzufügen kann. Ich bin mir also sicher, dass das auch weiterhin ein Teil meiner Zukunft sein wird. Ich berate viel, genau wie Sie, ohne jeglichen Nutzen, ohne finanziellen Nutzen, nur weil es ein wichtiger Teil davon ist, wie Sie sagten, wir müssen der nächsten Generation helfen. Und ich glaube nicht, dass das jemals verschwinden wird. Davon wird es Teile geben. Eines Tages werde ich aus dem operativen Leben herauskommen, aber ich bin noch nicht so weit. Wie gesagt, ich habe noch mehr im Tank. Aber ich könnte mir vorstellen, dass die Teilpensionierung so aussehen könnte, als würde man in ein paar Vorständen mitarbeiten, die ich mir vorstellen würde, und gemeinnützige und beratende Arbeit leisten.
Jason Clark (39:07): Vorstände, Coaching, Beratung, Unterstützung der Branche.
Emily Heath (39:10): Ja, genau.
Jason Clark (39:12): Eine Weile am Strand oder in den Bergen sitzen.
Emily Heath (39:15): Ja. Vielleicht durch Europa reisen, vielleicht in die Provence oder so. Ein paar Zoom-Anrufe aus der Provence anzunehmen, könnte in Ordnung sein.
Jason Clark (39:21): Ein bisschen. Ja, das würde ich gerne tun, mein Traum ist es, das jeden Sommer zu tun und jeden einzelnen Sommer von dort aus zu arbeiten.
Emily Heath (39:29): Los geht's.
Jason Clark (39:31): Also okay, so eine Art Nachdenken über die Zukunft. Wenn wir gerade darüber reden: Wenn wir mit der Zeit vorankommen, in was würden sich zivilgesellschaftliche Organisationen Ihrer Meinung nach eine Investition wünschen, die sich für die Zukunft auszahlt? Was würden Sie zum Beispiel allen vorschlagen, zum Beispiel darüber nachzudenken, was die wichtigsten Investitionen sind, die sie in fünf oder zehn Jahren tätigen könnten, abgesehen von Menschen?
Emily Heath (40:04): Außer Menschen, Versicherungen. Wahrscheinlich ist die Versicherung einer von ihnen ganz ernst zu nehmen. Aber wenn es um mehr Technologie geht, gibt es immer noch viele Unternehmen, die nicht angemessen in Cloud-Sicherheit investieren. Sie verfügen über ein gewisses Maß an Cloud-Sicherheit und die Leute verlassen sich auf native AWS- und Azure-Funktionen, was bis zu einem gewissen Punkt in Ordnung ist, aber wenn die Welt komplett in die Cloud wechselt und alle von Bare Metal weggehen, kann man sich nicht nur auf sie verlassen etablierte Cloud-Anbieter, der Sicherheits-Stack rund um Konfiguration, Geheimnisse, Verwaltung und alles, was damit zusammenhängt. Ich befürchte, dass viele Unternehmen ehrlich gesagt nur Lippenbekenntnisse zur Cloud-Sicherheit abgeben.
Jason Clark (40:54): Ich denke schon, meine Antwort auf meine eigene Frage wäre übrigens: „Datensicherheit“. Es geht um die Daten, die wir schützen. DocuSign, es sind diese Signaturen, diese Verträge, es geht um die Daten, und ich habe in meinen Gesprächen das Gefühl, dass wir im Datenschutzdenken noch sehr unreif sind, weil wir es gewohnt sind, dass die Daten in unserem Rechenzentrum liegen und wir diesen großen Umkreis haben. Und ich denke, das ist ein sehr zu wenig investierter Bereich, um zu verstehen, wo sich meine Daten befinden und wie sie geschützt werden. Welches Risiko besteht da? Was sind die Auswirkungen? Wie empfindlich ist es? Und das alles, weil es sich vermehrt.
Emily Heath (41:31): Es sind schon wieder diese fünf Fragen, oder? Es sind diese fünf Fragen: Was ist mir am wichtigsten? Wo ist es? Wie schütze ich es? Wie verletzlich und gefährdet bin ich? Und wie bin ich darauf vorbereitet, wenn es soweit ist? Es klingt so einfach, wenn man es auf das Wesentliche herunterbricht, aber genau das sind die Grundlagen des Sicherheitsprogramms. Und es ist bei jedem Unternehmen anders. Und es ist schwer, das zu tun, es ist schwer, das alles zu entdecken. Denn diese Fragen sind voller Annahmen, dass Sie wissen, wo sich alle Ihre Daten befinden, dass Sie die Assets verstehen, die sie unterstützen, und dass sie übrigens alle auf die richtige Art und Weise bereitgestellt werden? Verfügen sie über die nötige Sicherheit oder alle Zugangskontrollen, wie sie sein sollten? Es klingt so einfach, aber ich konnte nicht zustimmen. Ich denke, und vieles davon übertrage ich für uns in die Cloud, weil die Umgebungen offensichtlich größtenteils dorthin gehen.
Jason Clark (42:19): Ich glaube, dass die Cloud es am Anfang in gewisser Weise schwieriger macht, weil Ihre Lösungen dort nicht liegen, aber am Ende denke ich, dass sie es uns tatsächlich einfacher macht. Wie wir [unhörbar 00:42:30], ich meine, es gibt eine Menge Dinge, die man tun kann. Es ist also vorübergehend ein seltsamer Punkt, aber am Ende und in der Zukunft denke ich, dass wir wirklich gut sein werden. Also letzter Abschnitt, schnelle Treffer. Kurze Fragen an Sie und nur schnelle Antworten. Also, bist du fertig?
Emily Heath (42:54): Ich bin bereit, bring es mit.
Jason Clark (42:57): Alles klar. Welches Talent oder welche Fähigkeit haben Sie, die nicht in Ihrem Lebenslauf enthalten sind?
Emily Heath (43:02): Ich bin Reiki-Heilerin, eine ausgebildete Reiki-Heilerin.
Jason Clark (43:05): Wow, das ist ziemlich cool.
Emily Heath (43:08): Etwas ganz anderes.
Jason Clark (43:10): Ich weiß nicht einmal, was das ist. Was ist das, Emily?
Emily Heath (43:13): Es handelt sich um eine praktische Heiltechnik.
Jason Clark (43:15): Oh, cool. Ich werde es recherchieren. Zweitens: Was würden Sie tun, wenn Sie nicht im Bereich Netzwerk und Sicherheit wären?
Emily Heath (43:23): Ich würde Köchin werden. Ich liebe es absolut zu kochen. Es ist einfach mein Ding, es ist die Art und Weise, wie ich mich entspanne. Ich liebe es einfach, Menschen mit Essen glücklich zu machen.
Jason Clark (43:34): Und ich weiß, das ist eine schwierige Frage, weil ich auch Koch bin, und das ist eine sehr, aber was ist Ihre Lieblingsküche?
Emily Heath (43:43): Oh, das ist hart. Ich perfektioniere mein Bolognese-Rezept seit etwa 15 Jahren, weil italienisches Essen einfach das Beste ist. Ich meine, ich bin manchmal ein bisschen ein großer Fan von Kohlenhydraten, aber für mich ist italienisches Essen genau das Richtige.
Jason Clark (44:01): Oh Mann, meiner ist wahrscheinlich asiatisch. Einfach asiatisch, viele asiatische Aromen. Aber wir müssen uns irgendwo an der Amalfiküste treffen, abhängen und etwas Gutes haben-
Emily Heath (44:15): Lasst uns das tun.
Jason Clark (44:18): Und letzte Frage: Was wäre Ihr wichtigster Ratschlag für einen neuen CSO?
Emily Heath (44:23): Oh, ich würde sagen, um Hilfe bitten. Wie wir bereits erwähnt haben, ist diese Community unglaublich und es gibt so viele Menschen, die bereit und in der Lage sind, Ihnen auf Ihrer Reise zu helfen. Ich wünschte, ich hätte am Anfang um mehr Hilfe gebeten und wäre etwas demütiger gewesen, zu wissen, dass ich nicht alles gelöst habe. Und das ist ein großer Fehler, den Leute, die in diese Karriere einsteigen, glauben: Sie müssen alles wissen, sie müssen all diese bewegenden Teile kennen. Das ist unmöglich. Ich meine, wenn wir Malware zurückentwickeln müssten, wäre ich der schlechteste Mensch auf der Welt, der das kann. Ich habe wirklich kluge Leute in meinem Team, die das können. Ich kann auf keinen Fall alles wissen. Sie bitten also um Hilfe, bitten um Führung. Es gibt so viele willige, unglaubliche Führungskräfte in dieser CSO-Gemeinschaft, die sich alle Mühe geben, Ihnen auf Ihrem Weg zu helfen. Scheuen Sie sich also nicht, um Hilfe zu bitten.
Jason Clark (45:17): Ich liebe es, das ist großartig. Schauen Sie, das ist die ganze Zeit, die wir haben. Emily, das war großartig. Und ich liebe jedes Gespräch, das wir führen, und ich habe das Gefühl, wir hätten wahrscheinlich ruhig vier Stunden durchhalten können. Bevor ich Sie gehen lasse, wenn die Leute Sie um Hilfe bitten möchten, wenn sie Sie um eine Mentorschaft oder was auch immer bitten möchten, wie können sie am besten mit Ihnen in Kontakt treten?
Emily Heath (45:44): Ja, mich auf LinkedIn anzupingen ist der einfachste Weg. Es ist der schnellste und einfachste Weg. Es gibt viele Netzwerke, in denen ich bereits involviert bin, und ich betreue und coache viele Menschen, so wie ich weiß, dass Sie das auch tun, Jason. Auch Sie widmen dieser Community viel Zeit. Und obwohl wir nicht 100 Leute aufnehmen können, finde ich es toll, dass man, wenn man einen Weg und einen Ort hat, an den man gehen und fragen kann: „Hey, ich kämpfe mit dieser Sache, was hast du gemacht?“ diese Situation? Das mache ich übrigens ständig mit CSOs. Wenn es etwas gibt, mit dem ich zu kämpfen habe, mache ich das Gleiche, ich wende mich an Freunde und sage: Schau mal, das ist etwas, womit ich wirklich zu kämpfen habe. Wie hast du das gemacht? Also würde ich sagen: Kontaktieren Sie mich auf LinkedIn und pingen Sie mich auf Twitter an. Viele von euch haben ohnehin schon meine E-Mail-Adresse und meine Handynummer. Aber ja, ich bin für die Community hier und möchte auch der Community dafür danken, dass sie auch für mich da ist.
Jason Clark (46:36): Perfekt. Vielen Dank und vielen Dank an alle, die sich uns angeschlossen haben.
Emily Heath (46:40): Danke, Jason.
Sponsor (46:43): Der Security Visionaries Podcast wird vom Team von Netskope betrieben. Suchen Sie nach der richtigen Cloud-Sicherheitsplattform für Ihre digitale Transformation? Mit der Netskope Security Cloud können Sie Benutzer von jedem Gerät und jeder Anwendung sicher und schnell direkt mit dem Internet verbinden. Erfahren Sie mehr unter Netskope.
Produzent (47:04): Vielen Dank, dass Sie Security Visionaries zuhören. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen. Seien Sie gespannt auf die Veröffentlichung neuer Episoden alle zwei Wochen und wir sehen uns in der nächsten Episode.
Warum Netskope? 
){kind=icon}
