Max Havey [00:00:02] Ciao e benvenuti a un'altra edizione del Security Visionaries Podcast, un podcast dedicato al mondo dei dati cibernetici e delle infrastrutture tecnologiche, che riunisce esperti da tutto il mondo in diversi settori. Oggi sono il vostro conduttore, Max Havey, e oggi parliamo di igiene informatica con il nostro ospite, Rich Davis, direttore del marketing delle soluzioni prodotto qui a Netskope. Come va oggi, Rich?
Rich Davis [00:00:21] Sì. Ehi, Max. È un piacere essere qui. Non vedo l'ora di affrontare la conversazione di oggi. Sicuramente una cosa a cui tengo molto carissimo, avendo parlato in passato, in dettaglio, del fattore umano e di come gli esseri umani possano influenzare le cose. E certamente l'argomento di oggi è molto allineato con questo.
Max Havey [00:00:36] Senza dubbio. Quindi sì, entriamo qui. Quindi, all'inizio dell'anno, tendiamo a vedere molte giornate di sensibilizzazione legate al cyber. Eventi come il National Change Your Password, che si celebra il 1° febbraio o oggi quando uscirà, è il giorno di Internet più sicuro. Ma per la tua esperienza, hai trovato che questo tipo di giornate di sensibilizzazione siano davvero così efficaci? Cosa pensi che possano guidare il cambiamento che i professionisti della sicurezza cercano davvero quando si tratta di gestire quell'elemento umano?
Rich Davis [00:01:05] Sì, cioè, ovviamente sono una lama a doppio taglio. Innanzitutto, non possiamo criticare alcuna pubblicità. Qualsiasi pubblicità in qualsiasi senso di sensibilizzazione è ottima. Penso che il problema sia che, come per tutte queste cose, può diventare un po' un "ok, lo faccio oggi e me ne dimenticherò un altro giorno." E naturalmente, questo deve essere uno sforzo che dura tutto l'anno, soprattutto quando si tratta dei nostri, dei nostri utenti e di quelle persone, che sono la prima linea di difesa. E quindi devono riflettere su questo e devono pensare alla sicurezza e a ciò che fanno giorno dopo giorno. Quindi, ancora una volta, è fantastico che ci concentriamo su questo in un giorno particolare. Non così bene da poter poi portarli a dimenticarsene un'altra volta. E questo si vede spesso anche nei dati. Se guardi alcuni dei dati storici sul comportamento degli utenti, vedi che, se, sai, una o due settimane dopo, si svolge la formazione sulla sensibilizzazione sulla sicurezza, ottieni un risultato migliore, tassi di click più bassi nei contenuti. Erano più propensi a fare quelle cose. Ricordano anche cose come gli avvisi DLP che cadeno, ma poi si spegne. E sì, ecco perché queste cose sono piuttosto efficaci. Sì. Le organizzazioni devono davvero riflettere su questo come un'evoluzione costante. Giorno dopo giorno, settimana dopo settimana.
Max Havey [00:02:16] Assolutamente. L'addestramento alla sicurezza è piuttosto bassa da tutto quello che ho sentito dai vari membri del team CSO qui. Quindi trovare modi per mantenerlo vivo durante tutto l'anno è molto positivo. Ma solo in un solo giorno sembra essere un po' inefficace nel complesso.
Rich Davis [00:02:32] sì, sì, assolutamente. E penso che questi giorni più sicuri su internet e cambi password dovrebbero in un certo senso essere rassegnati a quel contenitore di un tempo. E davvero, dovremmo pensarci, sai, in modo molto più olistico.
Max Havey [00:02:47] Decisamente più una conversazione sull'igiene informatica tutto l'anno, piuttosto che, sai, solo giorni singoli in cui sono ben intenzionati. Ma i risultati non sono sempre esattamente quelli che vogliamo.
Rich Davis [00:02:56] Dovremmo chiamarlo vita internet più sicura. Davvero?
Max Havey [00:02:59] Assolutamente sì. E credo che questo ci porti alla nostra prima vera grande domanda: pensare all'igiene informatica. Perché pensi che l'igiene informatica possa essere un compito difficile, a volte noioso, per le organizzazioni da affrontare e da stabilire un obiettivo tutto l'anno?
Rich Davis [00:03:12] Sì, penso che in parte sia un aspetto storico. Quindi ci siamo passati tutti, abbiamo ricevuto quell'email che temevamo, ed è quel periodo annuale per andare prima della formazione e pensi, oh, sono otto ore, non ho tempo per questo. E abbiamo automaticamente questa opinione negativa. E penso che, come individui, abbiamo anche questa sensazione innata che non dobbiamo farlo, che sì, abbiamo buon senso, sappiamo quello che stiamo facendo. Quindi penso che questi elementi abbiano sicuramente un ruolo. E penso che questo sia parte del problema. Penso anche che troppo spesso tutto sia guidato dai benefici per l'organizzazione e non da quelli per l'individuo. E penso che ce ne siano molte, e abbiamo visto che questo ha davvero successo quando si concentra sull'individuo nelle loro famiglie. Se riesci a estenderlo a, sai, come mantenere te e la tua famiglia al sicuro. Allora le organizzazioni, secondo me, hanno più impatto perché le rendi rilevanti per quell'individuo.
Max Havey [00:04:01] Sicuramente attraente al lato personale dell'utente sembra il modo per renderlo reale per lui. E non si tratta solo, sai, di parlare di dati ampi, astratti e sensibili. È il tuo numero di previdenza sociale. Si tratta di assicurarsi che le tue password siano al sicuro e che le tue informazioni bancarie siano al sicuro, come se fossero informazioni personali e identificabili per un motivo. Allo stesso modo, qui nei vostri ruoli, come avete trovato modi per promuovere migliori pratiche di igiene informatica all'interno della vostra organizzazione? Forse è meglio enfatizzare quell'elemento personale che fa parte di tutto questo?
Rich Davis [00:04:30] Sì. E penso che si riduca davvero a un paio di cose. Innanzitutto, come stai progettando quell'allenamento. E sì, siamo concentrati, sai, specificamente su identità e password fino a un certo punto, ma ovviamente molto più ampi. Penso che si tratti di questo, come dici tu, di rendere tutto personale. E questo significa dare esempi reali che possono capitare a entrambi dal punto di vista aziendale, ma poi rilasciare tutto a qualcosa che possano capire, magari in senso personale. Quindi, collegare il furto delle proprie carte di credito personali al furto di PIA aziendale o proprietà intellettuale. E l'effetto che questo può avere. Perché, di nuovo, lo rendi personale, reale, e lo rendi collegabile a ciò a cui pensano giorno dopo giorno e a cosa potrebbero interessare personalmente. Penso che se la pensiamo in termini dell'altro lato, che è il tempo. E quando lo facciamo, penso che si tratti davvero di andare a goccia durante l'anno. Penso che le organizzazioni abbiano solo un certo tempo che possono dedicare alla formazione dei loro utenti in un anno, e troppe organizzazioni diranno "Ok. A destra. Otto ore. Ti faremo o una volta a questo appuntamento." E in realtà un modo molto più efficace è suddividere tutto questo. Sì, potresti dover, per motivi di conformità, dover seguire una certa formazione annualmente perché devi rispettare quei requisiti, ma al di fuori da questo uso del tempo è molto migliore. Serve per farlo a goccia e avere una formazione giusto in tempo, ma anche renderlo rilevante per le situazioni che l'azienda sta affrontando. Se puoi, informa l'utente, il tuo personale sui tipi di minacce rilevanti per la tua organizzazione invece di rendere tutto troppo generico. D'altra parte, ti dà quel collegamento con l'organizzazione. Capiscono perché viene chiesto loro di seguire certi corsi di formazione. E quindi otterrai una risposta complessivamente migliore a quell'addestramento. E l'ho visto in prima persona nella mia vita passata lavorando con organizzazioni e cercando di monitorare i cambiamenti nel comportamento, passando da questo programma di formazione una volta all'anno a un programma di formazione molto più mirato che si estende durante tutto l'anno, dove si fanno filtri i contenuti, si allena e si fa molto possibile, Molto più ampio di così, l'e-learning che avviene una volta all'anno su quel portale.
Max Havey [00:06:44] Decisamente. E per approfondire un po' di più, come hai detto, sai, trovare modi per rendere questi tipi di formazione rilevanti per l'utente specifico della loro famiglia, nella vita quotidiana. Beh, puoi darci qualche esempio di come appare e come si svolge?
Rich Davis [00:07:00] Sì. Lascia che ti dia un esempio pertinente per me stesso. Ho bambini che sono appena diventati adolescenti per la prima volta e hanno iniziato ad avere il controllo dei propri conti bancari. Siamo passati dal prenderci cura di loro a tutti e al dare loro accesso ad app sui loro telefoni e a poter usare Apple Pay. Quindi questo è personale per me direttamente, ma poi si concentra su, beh, come proteggi questa cosa? Non vuoi che i tuoi soldi guadagnati con fatica, magari guadagnati con le faccende domestiche in casa, spariscano da un giorno all'altro perché sei stato negligente con le tue informazioni. E quindi, sai, fin da giovani abbiamo iniziato a parlare con loro di come restare al sicuro. Entrambi hanno dei gestori di password in cui possono conservare le loro credenziali chiave. Ho spiegato perché è necessario e ho cercato di renderlo rilevante per la situazione in cui si trovano. Quindi penso che sia solo, sai, un ottimo esempio di dove puoi provare a renderlo rilevante. Quindi ora usano i gestori di password giorno dopo giorno. Significa che hanno solo quella credenziale che devono ricordare. Può essere complesso perché c'è solo quella cosa da ricordare. E questo è un tredicenne e uno quindicenne. Quindi, se possono farlo, sai, non c'è motivo per cui ogni persona, dal punto di vista aziendale, non possa fare la stessa cosa. Mia figlia ora mi inoltra, passa velocemente e dice, oh, papà, guarda quanto è ovvia questa cosa. E, sai, è un ottimo esempio di dove possiamo effettivamente vedere, sai, il beneficio di ciò che stiamo facendo. Penso che un altro ottimo esempio sia renderlo rilevante per ciò che le persone comprendono quotidianamente. Quindi, se guardi YouTube, c'è stata una grande serie di attacchi su canali YouTube molto noti, inclusi alcuni dei più grandi canali tecnologici e di sicurezza in circolazione. Linus Tech tTip. Uno dei consigli più importanti che molte persone osservano in questo ambito. Hanno avuto il loro account YouTube compromesso, ed è davvero qualcuno che ha le migliori pratiche di sicurezza, usa gestori di password, 2FA, eppure c'è ancora un modo per aggirare la situazione. Ed è qui che deve entrare in gioco quell'elemento umano, che non si tratta solo di proteggere e impedire alle persone di accedere, ma di individuare e informare quell'organizzazione molto rapidamente. E in quel caso particolare, qualcuno ha notato un comportamento insolito. E invece di cercare di coprire e pensare di aver fatto qualcosa di sbagliato, hanno contattato subito qualcuno all'interno dell'organizzazione e sono riusciti a risolvere la cosa molto, molto più rapidamente. E ancora, questo entra nel campo di: beh, qual è la tua esposizione? Anche se qualcuno è riuscito a violare un'organizzazione, quali altri strumenti avete in atto? Perché non si tratta solo di autenticazione. E certamente, quando parliamo con gli utenti, non si tratta solo di un aspetto identitario. Ci sono altre cose che possono fare per assicurarsi di proteggere le informazioni.
Max Havey [00:09:50] Assolutamente. E per fare doppio clic su quello che hai appena portato lì. Come funzionano i principi di autenticazione multifattore e zero trust, un altro termine che tendiamo a usare molto in questo programma e in generale nel mondo delle conversazioni sulla cybersecurity. Come si inseriscono queste cose come strumenti che le organizzazioni possono utilizzare per promuovere meglio l'igiene informatica e mantenere viva la conversazione?
Rich Davis [00:10:12] Sì, c'è stato molto movimento per l'autenticazione multifattore, e molte organizzazioni ora la stanno usando. Stanno anche usando la gestione degli accessi privilegiati per adottare un approccio ancora più approfondito per gran parte di quell'accesso privilegiato. Penso che il fatto sia che c'è sempre un modo di aggirare che, mentre c'è un essere umano coinvolto, c'è sempre un modo per poter rubare token multifattori, facendoti inserire i token in pagine di credenziali false e poi accedere immediatamente. E poi potranno, ovviamente, creare il proprio MFA. C'è anche un altro modo per aggirare molte di queste tecniche. E quindi non è così semplice come mettere in pratica tutte queste migliori pratiche. Le organizzazioni dovrebbero davvero riflettere sul concetto di: beh, come posso prevenire la perdita di dati nel caso succedesse il peggio. Presumo che a un certo punto uno dei miei utenti venga rubato alle sue credenziali. Qualcuno entrerà in campo. Devo limitare quel raggio di perdita. Devo limitare quella superficie d'attacco. Ed è qui che entrano in gioco principi come lo zero trust. Perché se pensi a qualsiasi utente che lavora giorno dopo giorno, in un mondo ideale, dovrebbe avere solo la meno ansiosa di cui ha bisogno per fare il proprio lavoro e nient'altro. Quindi, se il loro lavoro è entrare in una piattaforma finanziaria e fare inserimento dati. Allora dovrebbero avere accesso solo a quell'applicazione. Dovresti avere regole che limitino come e quando possono accedere. Ma cosa più importante, ci sono molte azioni che potrebbero compiere. Non c'è bisogno che abbiano ripristinato i rapporti. Non c'è bisogno che possano scaricare dati e inviarli a servizi pubblici di condivisione file, ecc., che ovviamente è esattamente ciò che quell'attacco otterrà quando cercheranno di rubare quelli, cercheranno di estrarre informazioni e di usare servizi remoti per estrarre quei dati. Ed è qui che tutto questo concetto di avere davvero un trust adattivo, non mi piace il termine zero trust. Si basa su buoni principi, ma è davvero una fiducia adattiva continua. Si tratta di guardare alla situazione attuale, alle azioni, a valutare vari criteri diversi, inclusa l'autenticazione dell'utente, la posizione dell'utente, le azioni dell'utente, le azioni storiche rispetto alle azioni attuali, per prendere tutte quelle decisioni. Dovrebbe succedere o no? E quindi, usando questo tipo di approccio, puoi limitare la superficie d'attacco nel caso succedesse il peggio. Puoi anche usare questo tipo di Policy per poi attivare avvisi quando le organizzazioni iniziano a notare differenze nel comportamento. Ad esempio, UEBA o l'analisi comportamentale delle entità utente è uno strumento eccellente, ancora migliore quando è profondamente integrato in molti altri elementi di Policy per guidare quel tipo di processi di allerta e risposta agli incidenti.
Max Havey [00:12:55] Assolutamente. E penso che il grado di avvisare gli utenti quando fanno qualcosa di rischioso e di cogliere quel tipo di cose, che la protezione dei dati sia fondamentale. C'è stata una serie di articoli che Steve Riley del nostro team CSO ha scritto tempo fa parlando di app SAS che perdonano che le persone stanno usando, che si tratti di web mail, Amazon S3 bucket o blob Azure, come il fatto di non avere i permessi adeguati per questi diversi servizi che le persone usano quotidianamente, Giorno, assicurandosi che mantengano tutto relativamente bloccato e non espongano accidentalmente dati perché non si rendono conto di aver lasciato tutto aperto a chiunque su internet abbia questo link. Chiunque si faccia strada con la forza o abbia trovato un modo per entrare in tutto questo. È molto facile configurare male qualcosa in un modo e non rendersi nemmeno conto di quello che hai fatto.
Rich Davis [00:13:45] Sì, e se guardiamo a molti degli episodi che abbiamo avuto negli ultimi anni, è solo che si tratta di organizzazioni che non hanno necessariamente avuto un account compromesso e un accesso in quel modo, ma dati che sono stati posizionati nel posto sbagliato a cui qualcuno ha accesso e che non avrebbe dovuto. Che sia pubblico o qualcuno all'interno della tua organizzazione che ha accesso a contenuti che forse non dovrebbe fare e poi li mette in un posto dove non dovrebbe metterli, non dovrebbe averci accesso in primo luogo, e poi si sposta in un posto dove non dovrebbe. E questo è, naturalmente, l'altro aspetto del fattore umano, che è addestrare e aiutare i nostri utenti a capire il modo migliore di usare i sistemi e dove dovrebbero o non dovrebbero mettere dati. Ovviamente, questo porta a un argomento completamente diverso di cui potremmo parlare tutto il giorno intorno agli utenti, e se stiamo rendendo facile o meno il loro lavoro. Sai, la gente usa gli strumenti perché è facile, giusto? Perché è facile portare a termine le cose. E questo è un tema a sé stante incentrato sull'inserire soluzioni, metodologie di accesso che rendano facile per l'utente fare il proprio lavoro. Se puoi inserire questi meccanismi, rendere facile per l'utente fare il proprio lavoro, ma restando comunque entro i limiti di ciò che l'azienda permette e dei controlli di sicurezza in vigore. Non percorreranno queste altre strade per cercare di aggirare quegli strumenti. Quindi, ancora una volta, un argomento di cui potremmo parlare per ore e ore, ma si collega molto a questa filosofia in cui l'autenticazione è solo un aspetto di questo concetto di fiducia adattiva continua.
Max Havey [00:15:14] Beh, e lo introduce specificamente e ci porta un punto di partenza qui, dove, sai, un giorno per cambiare password è una buona scusa per far cambiare password, ma molte persone riceveranno quella notifica di cambio password, e la rimanderanno al giorno dopo, e al giorno dopo e al giorno dopo, E poi non cambieranno la password finché non sarà assolutamente necessario. E quindi per alcuni utenti diventa un po' frustrante. E penso che sia un modo interessante per mettere insieme tutto questo, dove avere questa pratica di igiene informatica durante tutto l'anno, mantenere in piedi queste cose, non risolverà ogni problema, ma mantenere la conversazione sempre in fermento, con la propria organizzazione, significa che non hai solo questi giorni. Sai, penso alla cybersecurity solo un giorno all'anno in cui devo assolutamente cambiare le password.
Rich Davis [00:15:59] E ovviamente, l'unica cosa che non vogliamo che facciano è cambiare la password con qualcosa di facile da ricordare, che siano in fondo al loro libro. Oppure inserisci un foglio di calcolo Excel. Qual è l'altro svantaggio del cambiare password, giusto? E richiedere password su più sistemi. Quindi sì, è per questo che sostengo fortemente un gestore di password. Hai una password chiave complessa che puoi ricordare. Lo ruoti regolarmente. E ovviamente alterniamo le password anche perché è una buona pratica, blocca qualcuno fuori. Quindi se qualcuno ha accesso, lo blocca fuori dal conto. Ed è principalmente uno dei motivi per cui lo facciamo. Ma alla fine tutto dipende da quell'utente. Dobbiamo rendere le cose facili agli utenti. Dobbiamo spiegare alle persone perché questo è così importante, e dobbiamo mettere in atto strumenti che li aiutino davvero a prendere una buona decisione e a non ricadere in quelle cattive pratiche.
Max Havey [00:16:54] Assolutamente. E ci porta un po' alla fine delle nostre domande qui. Rich, se dovessi dare un consiglio ai professionisti della sicurezza riguardo all'igiene informatica e, sai, a rendere tutto facile e migliorare quei processi complessivi per renderne una conversazione durante tutto l'anno, quale sarebbe quel consiglio?
Rich Davis [00:17:10] Beh, ho parlato con molti leader oltre la sola parte della sicurezza dell'organizzazione. E dove vedo le organizzazioni adottare il miglior approccio qui è quando questa diventa un'iniziativa aziendale. Molte persone vedono questa come un'iniziativa di sicurezza, ma si tratta di un'iniziativa aziendale. Quindi ottenere il consenso dei dirigenti, ottenere sponsorizzazioni, far fare un piccolo video introduttivo da un CEO sul perché è importante, far sì che i leader aziendali prendano la responsabilità dei propri strumenti e aiutino a diffonderli tra il loro staff, è tutto ciò che è fondamentale per realizzare questo progetto. Quindi il mio unico consiglio è di considerare che, se non lo stai già facendo, considera come puoi spostare questa iniziativa da un'iniziativa di sicurezza a un'iniziativa aziendale più ampia e più ampia.
Max Havey [00:17:55] Assolutamente. La cosa che attirerà più sguardi su questo, che coinvolgerà più persone in questa situazione. Quindi questo non diventa un problema più ampio. Nessuno vuole finire sulle prime pagine per una violazione o altro a causa di un problema di cybersecurity. Quindi, in definitiva, è per il bene di tutta l'organizzazione per cui lavori fare questo sforzo.
Rich Davis [00:18:11] sì, al 100%.
Max Havey [00:18:12] Eccellente. Beh, Rich, immagino che tu ed io potremmo continuare a parlarne per un'ora circa, ma credo che stiamo arrivando al momento del tempo. Quindi grazie mille per essere con noi. È stata una conferenza davvero interessante, e avete avuto molte preziose intuizioni da offrire qui.
Rich Davis [00:18:24] Max, devo solo dire che è stato un piacere essere con te oggi. Spero davvero che alcuni dei nostri ascoltatori abbiano almeno, sai, 1 o 2 curiosità, 1 o 2 cose che potranno portare via dal podcast di oggi e riportarti alla loro organizzazione.
Max Havey [00:18:37] Eccellente. E avete ascoltato il podcast Security Visionaries, e io sono stato il vostro conduttore, Max Havey, se vi è piaciuto questo episodio, per favore condividetelo con un amico e iscrivetevi a Security Visionaries sulla vostra piattaforma di podcast preferita. Lì potete ascoltare il nostro catalogo di episodi e tenere d'occhio New quelli che escono ogni due settimane, condotti da me o dalla mia co-conduttrice, la meravigliosa Emily Wearmouth. Ci vediamo nel prossimo episodio.
){kind=icon}
