透明性を通じたセキュリティ関係の構築 アンドレア・ロール

Andreas Rohr: セキュリティや会社が正しいことをするのを防ぐために実際にそこにいなかった労使協議会にとって最も説得力のある話は、データが従業員の権利に反して悪用されないようにするためにそこにいます。 それは彼らの使命であり、彼らの仕事であり、有効なものです。 私が実際に強力な労使協議会があったような企業でCISOの立場にいたとき、最良の関係は、あなたが自分のしていることに対して本当に透明であるならば、なぜそれをしているのかということです。

スピーカー2:こんにちは、セキュリティビジョナリーへようこそ。 本日のゲスト、DCSOのCTOであるアンドレアス・ロールから話を聞きました。 セキュリティに関して組織を調整するには、多くのスキル、最も重要な透明性が必要です。 トップダウンのコミュニケーションの確立から作業評議会とのコラボレーションまで、透明性はその過程で多くの質問に答えます。 たとえば、機密情報にアクセスできるのは誰ですか? 組織のリスク選好度は? そして、従業員のデータはどのように保護されていますか? アンドレアスのインタビューに飛び込む前に、スポンサーからの簡単な言葉があります。 このセキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 Netskopeでは、クラウド、データ、ネットワークのセキュリティを再定義し、人、デバイス、データがどこにいても最適化されたアクセスとゼロトラストセキュリティを提供するプラットフォームを提供しています。 Netskopeが顧客が生意気な旅に備えるのにどのように役立つかについて詳しくは、N-E-T-S-K-O-P-E.com をご覧ください。 前置きは早速、DCSOのCTOであるアンドレアス・ロールとホストのマイク・アンダーソンによるセキュリティビジョナリーのエピソード20をお楽しみください。

Mike Anderson: 今日の Security Visionaries のエピソードへようこそ。 私はあなたのホスト、マイク・アンダーソンです。 私はここNetskcopeの最高デジタル情報責任者です。 今日は、ドイツからアンドレアス・ロールが加わりました。 アンドレアス、今日はいかがお過ごしですか?

アンドレアス・ロール:ああ、とても良い。 名前をとてもきれいに発音してくれてありがとう。

マイク・アンダーソン: サイバーセキュリティについて考えるとき、DACH地域に人々を集め、サイバートピックについて考えるときにあらゆる規模の企業について考えることについて、非常に興味深いことをしたので、今日のこの会話に非常に興奮しています。 では、DCSOについて、どのように始まったのか、あなたが持っている使命、あなたが達成しようとしていること、そしてあなたが企業とどのように協力しているのかについて詳しく教えていただけますか?

アンドレアス・ロール:DCSOはドイツのサイバーセキュリティ組織の略です。 したがって、Dはドイツ語用であり、おそらく言語に精通している人向けです。 そして、基本的にDACH地域の4社は何ですか。アリアンツ、BASF、フォルクスワーゲン、バイエルなど、ヨーロッパの大企業のいくつかは、基本的に力を合わせて他の仲間とアイデアを交換して、常にセキュリティのトピックを自分たちで再発明し、専門家を集めるのではなく、アイデアを交換する必要があると考えました。 90%という共通点が1つあるため、市場で競争しているにもかかわらず、挑戦していることとセキュリティの80%はほぼ同じです。 そして第二に、才能は市場で十分ではありません。 ですから、彼らを1つの屋根の下に集めて、彼ら全員が興味を持っていることを彼らに任せることは、物事をさらに良くするでしょう。 そして、リソースは新しいアイデアのテストを可能にしました。 ですから、これはその1つです。 2つ目は、彼ら全員が依存しているサプライチェーンを持っているということです。 そして、これは7年前のことなので、当時はサプライチェーン攻撃という用語は生まれていませんでしたが、最も弱いリンクは基本的に安全とセキュリティチームと成熟度ではなく、最も依存しているサプライチェーンのリンクであることをすでに認識しています。

Andreas Rohr: そして、セキュリティの洞察と学習から物事を消化または消化しやすいものにすることは、DCSOがコミュニティ主導の交換として、私たちが設立されたような洞察とテクノロジーを運用し、使いやすくする方法を見つけ、巨大なセキュリティチームや知識さえ持っていない企業に応募することです。 そのため、セキュリティサービスによる運用は、基本的に会社の設立時の2番目のタスクでした。

マイク・アンダーソン:いいえ、それは素晴らしいことです。 そして、今日、私たちは非常に多くのオープンなサイバーの役割を持っていることを私は間違いなく知っています。 企業に害を及ぼそうとする悪意のある人物と戦うために企業ができることは何でも。 あなたが言ったように、これらは場合によっては競争相手であり、野生に住む敵から基本的に身を守る方法を理解するためにテーブルに集まります。 ですから、それは間違いなく強力な使命です。 その一環として参加した他の企業はありますか? そして、あなたは最初に参加した4人について話しましたが、そのミッションにも参加した人はもっといますか?

アンドレアス・ロール:それは良い質問です。 つまり、それは4つだけではありません。 私たちは非常に早い段階でこれを約16の税務会社から始めましたが、現在は約20、21ほどの会社と、いくつかの家族経営の同様の規模の会社です。 そして、彼らは基本的にDCSOのポートフォリオの種類の開発を主導し、トピックと方向性の観点から何について話し、何を調査すべきか、いわばアドバイザリーでどこに発展するかを支援します。 そして2つ目は、私たちが実装したいことであり、実際に達成することは、新しいトピックだけでなく、失敗した既存のことや、特定の課題をどのように解決したか、何がうまくいかなかったかを学ぶ非常に定期的な形式です。 したがって、学習曲線をショートカットするにはさらに重要です。 そして、これは成熟度の低い企業だけでなく、成熟した企業の間でも同様です。 そしてこれは、市場で競争しているにもかかわらず、人々を結びつけることは実際には有用で効果的であり、企業自体だけでなく、当局やおそらくこれらの研究機関との関係にも限定されるべきであることを証明しています。 したがって、専門知識と洞察のさまざまな分野、特にインテリジェンスサービスにも本当に橋渡しします。 あなたが言ったように、流れを持ち、それをテイカーや敵に見えないようにすることは、両方の点で理にかなっています。

マイク・アンダーソン:私は間違いなく、情報の交換と脅威の観点から何が起こっているかについての官民パートナーシップの必要性を感じています。 繰り返しになりますが、セキュリティはチームスポーツであるというこの概念全体をもたらします。 それは私の組織の4つの壁だけでなく、エコシステム全体が連携して機能することです。 あなたがそれを見るとき、私はただ興味があります、あなたがそこにいる当局について考えるとき、あなたは企業がより良い道標や調整するものを持つのを助けるであろう政策や変化に影響を与えることができましたか?

アンドレアス・ロール:ええ、もちろんです。 それは私が基本的にアメリカから学んだことの1つでした。 ですから、FBIと他の法執行機関と業界が協力していたNCFTAを見てきました。 初期の頃、2000年代のゼロデイズ、そして国家主導の他のフォーマットだと思います。 しかし、一般的に、私はお互いを助けるために必要なことが実際に交換される流暢な関係があるという考えがとても好きです。 実際、BSIの連邦警察、連邦情報セキュリティ局、そして憲法を守っている人の諮問機能と監督を実際に担当している内務省とは非常に良い関係を築いています。 それが英語に翻訳されるのかわからない。 したがって、[0:07:13.7]からすべての独自の洞察を持っている当局を持つ ____、たとえばFBIの仲間から、または他の法執行機関や諜報機関から、そしてあなたが望むなら信頼できるクリアリングハウスとしてDCSOを介して渡されていることを確認し、彼らがこれを信頼できる場所で、これが一般の人々、特に攻撃者に漏れることはありません。

Andreas Rohr:しかし、特定の企業が特定のアクターによって脅かされているという明確な兆候がない特定のものを見つけるのを支援します。 しかし、一般的に、これらの攻撃者がそれらのネットワークでアクティブであるかどうかを特定するのに役立つことは、当局が信頼できる方法で提供した情報を運用化することで、特定のグループがアクティブであることを見つけるのにも役立ったため、非常に価値があることが証明されています。 そして、私たちは基本的に彼らに、「さて、あなたが私たちに与えたこのもの、それがどこから来たのかわかりませんが、ここでそれを見ました」と言い返すことができます。 そのため、法執行機関や諜報機関がセンサーを持っていないときにターゲットをより適切に監視できるように支援します, 国内側では、当局はドイツ国外とは対照的にできることに制限されているため. 一方で、当局にネットワークを調査させることに非常に保守的な企業も、私たちを使用して、個々の使命を果たすために実際に必要なものだけが引き継がれるようにすることができます。 そして、基本的に私たちをカバーするための架け橋として持つことは、最初は常に信頼を与えるとは限りません。

アンドレアス・ロール:ですから、最初の恐れが消えていないが、以前よりも間違いなく低くなっている、より信頼できる交換があるものに発展しました。 したがって、これは最終的にすべての人に役立ちます。 ここで哀れになるのではなく、影響力のある政党がいる民主主義自体のより良い保護を得るのにも役立ちます。

マイク・アンダーソン:ええと、あなたは信頼の欠如と言ったように聞こえるので、それはゼロトラストのように聞こえます。 ですから、それはどこでも共通のテーマのようです。 多くの組織がそれに合わせようとしているのを目にします。 米国やそれ以降のように、道標を見ると、保険会社がそこにあるNISTコントロールに同調している人々を見ることがあります。それは私たちが少し後で話すトピックになるでしょう、彼らはそれを道標として使っています。 監査人はそれを道標として使用します。 あなたが今日一緒に働いている会社の道標は何だと思いますか? 彼らが調整しようとしているその道標は何ですか?

アンドレアス・ロール:つまり、NIST主導ではなく、私たちがヨーロッパにいて、時には力をまとめるのではなく、自分たちで車輪を発明しようとしているという自然の中で扱われているだけです。 しかし、とにかく、ここでの道標はISO 27000またはそれに類似したものです。 それはそれの非常にドイツ語版です。 それらはすべて、セキュリティを正しく管理していることを確認した後、行こうとします。 そして、ここ数年の開発者であるこの中でさらに、これらの制御実装の成熟度レベルは、実際のコンプライアンスよりも重要です。 ですから、最初にコンプライアンスのことを行い、次に10年前にそれらのことを実装し始めたことを考えると、その有効性が重要です。 ですから、実際には変化があり、NISTや他のフレームワークで私が気に入っているのは、彼らがより方向に進もうとしていることです、あなたは実際にあなた自身をどれほど効果的に保護しているか、そして必ずしもあなたが基本的にあなたのリスクを管理し、コントロールを持っているだけではありません。 そして、これは実際に物事がさらに発展すべき場所です。 したがって、コンプライアンスが必要ですが、それは必要な条件であり、十分な条件ではなく、十分な条件が有効であるためです。 そして、実際には完全なコンプライアンスよりも効果的です。 しかし、これは規制当局に引用されないかもしれません。

マイク・アンダーソン: 興味深いのは、私がよく目にするのは、監査人がツールが必要だと言っているので、人々がツールを入手するからです。 しかし、あなたが言ったように、有効性は実際には、達成したい目的を達成するためにツールを使用していますか、それともビジネスの成果を推進していますか? そして、多くの場合、人々は監査人を満足させるためのツールを収集しますが、必要な効果が得られていないため、これはミッシングリンクです。 そのため、ランサムウェアであるかどうかにかかわらず、ビジネスの混乱にさらされているだけでなく、組織内のデータ侵害にさらされています。

アンドレアス・ロール:ええ。 これは、監査人と規制当局が、規制をどのように配置するかによってこの開発を推進するため、おそらく将来、異なる考え方をする必要があることです。 そして、良い変化があります、それは私が実際に発効したか、ドイツで5月1日に完全に発効するであろう地元のセキュリティガイドラインでした、それはあなたが持っている必要があることを示しています...ISO 27000の新しいバージョンと同様に、攻撃を検出するためのシステムが必要です。 それは彼らがそれを呼ぶものです。 つまり、基本的には、ISO検出メカニズムと応答。 そして、これは本当にあなたも参照しているものです。 それはツールであるだけでなく、それが深刻なものであるかどうかにかかわらず、人間の中でそれらのことを分析し、それを理解できることを確認する必要があることを組織的に義務付けています。 そしてさらに重要なのは、対応できることと実装することです。 ですから、何かをするために24 / 7の能力を持っている必要があるのも組織主導のことです。 ランサムウェアグループが初期段階にある兆候がある場合。 最大ダメージを防ぐために、数時間または最大で数日しか残っていない可能性があるためです。

アンドレアス・ロール:そして、これらの組織的なものをツールと統合の上に置き、それを効果的な方法で利用することが、規制がすべきことです...保険会社が実際に行っているように、彼らはむしろ何かが効果的に安全であるかどうかを探します。 そして、これは実際に発展する必要がある場所です。 しかし、規制当局は、SIMが必要であると言う方が簡単です、あなたはネットワーク検出監視を持っている必要があります。 したがって、独自のデータセンターがある場合とそうでない場合。 しかし、最終的には規制当局にとっても良いアドバイスになるかもしれませんし、DCSOの次の使命の1つは、彼らが実際に彼らに言うことをより実際的に関連するように影響を与えることです。 そして、2年前にドイツで発表された国家安全法の良い例があります。

マイク・アンダーソン:いいえ、それは素晴らしいことです。 あなたは影響の管理について言及しました。 世界的な消費財会社の同僚が、NotPetyaがヒットしたとき、15分以内にネットワーク全体とすべてのシステムにグローバルに感染したと言ったのを覚えています。 ですから、その考え方は、「A地点からB地点、C地点からD地点、そして企業ネットワークの周りにできるだけ早く物事を届けるにはどうすればよいか」という伝統的な考え方だと思います。 1つのノードで侵害された場合、ネットワーク全体をすぐに乗っ取り、ビジネス全体をダウンさせることができるため、そのすべてを再考する必要があります。

アンドレアス・ロール:その通りです。 そして、あなたがその問題についても検索するとき、考えてみてください、このNotPetyaは、ほとんどの人々がパッチでより多くの衛生状態を行うことによって防ぐことができたものでした。 しかし、これらのことが起こる前に、少なくともランサムウェアのベクトルでは、ネットワーク内でノイズが発生します。 したがって、私たちが関与したケースのほぼ100%があり、インシデント対応を行っており、基本的に分析して攻撃を阻止するためのアクションをトリガーできる十分なシグナルを確認しました。 必ずしもこれらのシステムを修正し、ゼロから構築する必要はありませんが、数日後に実際に発生したすべての被害を防ぐことができたはずです。 そして、同じことがNotPetyaにも当てはまります、あなたが知られている、または重要であることが知られているそれらのものにパッチを当てることができたならば、そしてそれらの標準で実際に義務付けられている他のいくつかの良い習慣、あなたは先に言及しました、そしてこれは宿題です、必要な条件。 そして、十分なものは、その上に、実際に行動するトリガーを与える検出の良いネットを構築することです。 そして、それが15分で解決されたかどうかはわかりませんが、一般的には公平であるために短縮されている時間枠があります。

Andreas Rohr:しかし、物事を検出できる時間枠があり、すべての保護対策が常に100%あなたを保護するわけではないと想定できます。 そして、それはユーザーが何かをクリックするか、パッチを適用していないか、安全でない構成などがあります。 しかし、それが事実であり、その上に検出グリッドがあると仮定すると、「さて、ここには持ちたくないものがあります。 ぜひ見て、行動を起こしてください」 おそらく、そのような攻撃を阻止するための非常に自動化された、または事前定義された方法でさえ、セキュリティ状態の点で本当に優れた企業のために行う必要があることです。

マイク・アンダーソン:ええ、私は完全に同意します。 手動の場合、常に椅子の人に依存しており、問題になる可能性のあるスキルギャップがあります。 だからあなたのポイントに正確に、自動化。 ですから、予防策を講じて、できるだけ早くプレーを実行することが重要です。 セキュリティ面、そしてデータプライバシーについて考えると、誰もがGDPRについて話します。 私はいつも人々に思い出させます、あなたはGDPRが難しいと思います、あなたがドイツの労働者評議会の前に行き、ドイツ市民のデータプライバシーについて話さなければならないまで待ってください。 多くのセキュリティツールについて考えるとき、あなたは人々が何をしているのかを調べています。 企業がドイツ労働者評議会をナビゲートして、適切な保護を確実に実施できるだけでなく、ドイツ市民のプライバシーを保護できるように、どのように支援していますか?

アンドレアス・ロール:難しい質問ですね。 これを実現するための特効薬はありません。 その労使協議会は、公平を期すために、検出に必要な大量のデータが検査されたときに何が起こっているかに満足しています。 しかし、セキュリティや会社が正しいことをするのを防ぐために実際にそこにいない労使協議会にとって最も説得力のある話は、データが従業員に対して悪用されないようにするためにそこにいます。 それは彼らの使命であり、彼らの仕事であり、有効なものです。 そして、労使協議会と仲良くするために... そして、私が実際に強力な労使協議会があったような企業でCISOの立場にいたとき、最良の関係は、あなたが何をしているのかを本当に透明にしているのなら、なぜそれをしているのかということです。 ですから、当時の私はかなり若かったです。 私は、従業員を危害から守る使命も持っているので、基本的に彼らの使命について、潜在的に議論するのがあまり得意ではありませんでした。 また、これにはサイバー攻撃やデータプライバシーの侵害、侵害なども含まれます。 ですから、当時は、私が今していることは、トラフィックを検査したり、特定のデータを取得したりして攻撃を防ぐのに良い道だっただろうと主張するべきでした。 そして、それは憲法が基本的にどのように機能するかを知っていれば、彼らが否定できないことの1つです。

Andreas Rohr: このデータを使用する唯一のユースケースは、データを使用することが有効であり、悪意のある活動を検出することであり、従業員などを追跡しないことであり、それを書面で提供すると、これがあなたの仕事であり、その意味で独自のルールを順守している場合、 それから彼らは基本的に最初に、あなたの邪魔をして、あなたが振る舞うかどうかを見るでしょう。 しかし、悪意のあるものを検出するためだけに使用し、必要に応じて基本的にそれらの構成要素を防ぐように常にそれを行うと、次回は以前よりも簡単にドアを通過できます。 少なくとも、私は労使協議会を通して物事を通すことに失敗したことはありません。 それはあなたがそれをどのように置くかであり、あなたがそれらを取得する他の何かのためにデータを使用しないというほとんどの原則を本当に遵守しているということです。

マイク・アンダーソン:それは素晴らしいことです。 まあ、うまくいけば、それはあなたがDCSOでそれを提供している製品ラインです。

アンドレアス・ロール:DCSOからマネージドサービスを購入するときはいつでも、これが含まれています。 だから私たちは顧客が労使協議会のドアを通り抜けるのを手伝っています、そして私たちはかなり良い評判を持っていると思います。 そして、私は以前にフォルクスワーゲンの世界で労使協議会と仕事をしたことがあるので、彼らが本当に強力な労使協議会を持っていて、彼らとの過去から、そしてどれほど良い関係などから話しているか、それは話の他の部分です。 ですから、私たちは私たちの経験を取り入れ、彼らは通常それを好み、彼らが彼らの人々と議論するのを助けるという点で彼らの生活を楽にします。 そして、それは最終的には信頼の問題であり、ゼロトラストとは異なり、実際にはその逆です。 したがって、信頼を築けば、労使協議会でほとんどのことを行うことができます。 また、展開しているテクノロジーへの読み取り専用アカウントである小さなヒントを提供したとしても、これも大いに役立ちます。 そのため、彼らは透明性を持ち、あなたが何を見ているのか、それから何を作るのか、そしてあなたがどのようにケースにコメントするのかなどを見るのを助け、これは信頼を築くのにも役立ちます。 ですから、彼らは彼らが見ているようにすべてを把握していないかもしれませんが、これは彼らが暗闇の中で起こっている何かがあり、それが私の人々に害を及ぼすかもしれないという感覚を持っていないところです。 そして、それは秘密の成功成分ではありませんが、あなたがそれに固執すれば、実際に良い結果をもたらす可能性が高いものです。

マイク・アンダーソン:それは素晴らしいことです。 私は100%同意します、透明性は信頼を築くものです。 人々が透明性を持っていないとき、人々は推測しており、推測は信頼につながりません。 ですから、これはドイツ労働者評議会を扱う際の素晴らしいアドバイスであり、一般的にはビジネス原則としてです。 透明性は信頼を築くものです。 今日のあなたの役割を見て、あなたの役割のいくつかについて話した場合、DCSOにもたらした学習のいくつかは何ですか? あなたは過去にCISOであり、現在はDCSOのCTOであると述べました。 その旅について少し話してください、そしてあなたが今日の役割に移行するにつれて、あなたの思考の中で物事はどのように進化しましたか?

アンドレアス・ロール:当時CISOだったとき、技術チームを持つほとんどのCISOと同じ課題を抱えていました。 そのため、ガバナンスとセキュリティ管理システムを担当するだけでなく、独自の運用セキュリティチームを持ち、テクノロジーなどを試してみる余裕がありました。 ですから、私が最も始めたのは、島ごとに大丈夫または素晴らしい仕事をするすべてのツールを用意していたことでしたが、それを全体像に利用する首尾一貫した方法はありませんでした。 そして、私はガラスのことを一枚も言いたくありません。 つまり、これはよく使用されますが、さまざまなテクノロジーの長所を利用してそれらを組み合わせることで、基本的に、採用していたさまざまなテクノロジーから実際にすべての価値を引き出すのに非常にコスト効率が高くなりました。 また、当時の私のチームは、チームが達成できることに対して平均的ではなかったいくつかの素晴らしいことをする立場にありました。 したがって、これを取ると、たとえば、一連のツールまたは異なるツール、アーミーナイフ、必要に応じてスイスアーミーナイフの場合、そのナイフを操作しているチームが実際に最も重要です。 したがって、さまざまな種類の入力テクノロジー、ストリーム、洞察に対処させ、人々のさまざまな能力とスキルを運用して結果を最大化し、DCSOでクライアントの特定の宿題を解決するのを支援することが、ポートフォリオを開発するときに私を駆り立てたものです。

Andreas Rohr: 先ほど触れなかったことの1つは、7年前にマネージドセキュリティサービスポートフォリオの考案も任されたことです。 ですから、当時に戻ると、SARCなどをアウトソーシングしたが、マネージドセキュリティサービスをそれほどアウトソーシングしておらず、それらの組織に宿題を解決して、最も興味深く難しいナッツに集中できるようにし、日常業務をしておらず、これを非常に効率的にすることは、私が以前にその立場にいたので可能でした。 そして同時に、「私たちはあなたのためにそれをします」という顧客へのスピーチを持っていません。 そして、あなたの仕事を奪うように、それはあなたがビジネスをしようとしているセキュリティチームから本当に多くの抵抗を得るものです。 しかし、彼らを助けて、「ほら、私たちはあなたがそれをする必要があることを知っています、そしてそれは時々苦痛であり、私たちも以前にその立場にあったので、私たちはあなたのチームに溶け込み、私たちが毎日スーパー宿題をする人であることを受け入れたいと思います、24 / 7そしてなぜあなたは面白いことに集中しないのですか?」 そして、私たちはあなたにそのためのすべての材料を与えます。 これは、CISOにとって大いに役立ったことの1つであり、成熟したチームと顧客スペースが付加価値をもたらすことを受け入れることを恐れています。 つまり、これは技術的な問題ではなく、チームのスキルと能力をどのように融合させ、補完するかです。 そして、これはあなたが顧客側の技術者も納得させることができるときです。

Andreas Rohr: そして、これはポートフォリオの構築、その配置方法、そして各サービスのコミュニティ部分をゲームに取り入れ、彼らが私たちを好きであるだけでなく、彼らが現実世界の特定の問題を日常的に解決する方法をゲームに取り入れるのに大いに役立ちました。 しかし、私たちに促進された他の人から学ぶことは、実際に私たちの成功を可能にするものです。 そして、これも一種のユニークです。 ですから、私たちはVCの顧客数内の数字だけに焦点を当てているのではなく、彼らが互いに助け合うことができるという目的主導型であり、私たちは可能な限り最も革新的な方法で彼らの宿題のようなものを行っています。 それは私の過去が実際に別の種類のポートフォリオ設定を行うのを助けたところです。

マイク・アンダーソン:いいえ、それは素晴らしいことです。 私がいつも尋ねられる質問の1つを尋ねなければなりません、そして私は昨日CISOの間でLinkedInでオンラインで行われている議論を見ました、あなたはどのようにセキュリティのための予算を決定しますか? そして、議論は常に周りにあります、それは会社の収益のパーセンテージですか? それはIT予算のパーセンテージですか? それは組織のリスク態勢と彼らがそれの周りに投資したいものに基づいていますか?お元気ですか。。。 それはあなたが企業からいつも受ける質問だと想像しなければなりません。 その質問にどのように答えていますか?

アンドレアス・ロール:むしろ、CISOは、私に言わせれば、何かを売ることに関心のない信頼できる中立的なアドバイザーを得るべきです。 時々、私は実際に同じような立場にいます。 私たちは取締役会から雇われ、基本的に彼らの財産などを見て、それから私もそれらのサービスを販売していることを知っていますが、何が必要で何が...私はゴミを言っているのではなく、彼らが物事を使いすぎて、本当に率直であり、ベンチマークを探して効果的なものを追いかけるだけではありません。 では、実際にビジネスを運営している最も保護したいものは何ですか? ビジネスインパクト分析のように。 自分が 10% であることがわかっている場合は、最も依存しており、すべての効果的なセキュリティ ロールをその上に置き、残りの作業に対して中程度の仕事をする場合は、純粋な数値を探すのではなく、追いかけることをお勧めします。 そして、あなたはあなたのビジネスを保護したいかどうかにかかわらず、10%です。 そして、これは私が彼らと話す方法です、それでは、大丈夫、そのために何が必要ですか? 明らかに次の質問です。 そして、適切な金額はいくらですか? 彼らが最初にトップダウンになっている間、私は重要なビジネスプロセスであり、次にボトムアップでした。 そのために何が必要ですか? そして、「わかりました、残りの1つについては、ベンチマークを使用できます」と言います。 だからこれは私がそれにアプローチする方法です。

マイク・アンダーソン:ええ、ビジネス全体で考えると良いアドバイスです。 あなたは会話の早い段階でサプライチェーンのリスクについて話しました。 私がシュナイダーエレクトリックにいたとき、私はサプライチェーンの責任者と、サプライヤーのセキュリティ体制について話をしました。 それは私たちの調達戦略にどのように適合しますか? そして、それはすべて、サイバーだけでなく、このエンタープライズリスクの会話全体になりますが、私が協力しているその会社の財務の安定性は何ですか? セキュリティは今、それと並んで別の問題になっています、なぜなら私が鋼を手に入れることができなければ、鋼なしで製品を製造するのは難しいからです。 そして、それを通して見ると、あなたはそれにスポットを当てていると思います。 それが、製造サミットと、彼らが本当に焦点を当てている、保護したい10%のほとんどの企業に適合することを願っています。

アンドレアス・ロール:もちろんです。 そして、私たちは非常に物理的な出来事であるスエズ運河とのサプライチェーンの混乱を学びました、今私たちはこのパンデミックのことを持っていました、私たちはこれかもしれません貿易戦争と関連するものを持っています、そして私たちは戦争と中国の危機のためにこの資源の不足を持っています彼らができないか、彼らがしたくないので彼らの工場を運営することができないかもしれません。 だからそれが何であれ。 したがって、弱いリンクがどこにあるかを正確に把握し、それらを管理することは、基本的に、またはリスクを測定する方法をすでにリセットしています。 また、昨年の学習の1つであり、敵が常に合理的に行動するとは限らないことも考慮する必要があります。 したがって、他者の合理的な行動に基づくリスク管理と評価を行うことは、金融市場やその他のことなど、ほとんどのことに当てはまるかもしれませんが、必ずしもロシアのような国には当てはまりません。 そして、私たちはまた、それを行う人々に明白な報酬なしに行動する破壊的な方法があると仮定する必要があります、それは合理的でしょう。 そして、これは、「はい、それは非常にありそうもないので、それは起こりません」ではなく、それらのリスクを評価するという点でより保守的であるべきことの1つです。 これも実際に考慮に入れるべきことです。

マイク・アンダーソン:もちろんです。 取締役会などとの仕事について話したので、チームスポーツとしてのセキュリティについて考えるとき、CISOはすべてを取ることがよくあります...それはおそらく世界で最も難しい仕事の1つのようなものです、なぜならあなたを100%保護することになるあなたが使うことができる金額がないからです、そしてそれは常にリスクと報酬のトレードオフです。 しかし、それはCISOの仕事だけではありません。 セキュリティを組織の構造の一部にし、組織全体のさまざまなユニット、ビジネスユニット、および機能の一部にする方法について、企業をどのように見ていますか、またどのようにアドバイスを支援していますか? どのようにそれを推進していますか、そしてあなたが期待するペースで進化が起こるのを見ていますか?

アンドレアス・ロール:ですから、アドバイスはそれを2つの異なる分野に分割することです。 1つは、コンプライアンスの観点から、フレームを整えることと、それ自体ではビジネス主導ではない最も一般的なことに対する取締役会からの支援です。 そして2つ目は、チームにエンドツーエンドの責任を持たせることです。 したがって、アプリケーションの開発と実行の最新の方法はDevOpsチームです。 したがって、これはほとんどの場合、最良のセットアップであることが証明されています。 そして、セキュリティを追加すると、その1つが流行語であるDevSecOpsは、実際には、操作だけでなく開発者にとっても非常に近いループにセキュリティを埋め込むことを意味します。 そして、これは、ゲートウェイ中心の開発サイクルではなく、彼らが何をしているのか、どのような影響があるのか、そして最良の場合には何を実装すべきかを実際に全員に認識させる方法です。 そしてそれによって、脆弱性、洞察、物事、攻撃者が悪用したこと、それが正常な機能である可能性があることにはるかに迅速に対応できます。 そして、これはとにかくITに持ちたい最新のセットアップであり、それにセキュリティを追加します。 そしてそれによって、開発者を開発し、次に運用担当者を開発して、基本的にその知識で育てられていないため、何をすべきかを知ることができます。 そして、いわば仕事でのトレーニングは、それを最も効果的な方法で実装するための最良の方法です。

アンドレアス・ロール:それを正しい方法で行うという点で、彼らのスキルの観点から軽視しないでください。 しかし、彼らの隣に座っている何かがそれを持っていて、彼らが基本的に特定の側面でお互いをバックアップしている場合、それは最も効果的な方法です。 そして、これは2番目のものであり、実装する必要があります。 そして、機能的リードまたは部族リードは、いわば、セキュリティの主題はCISOにあるべきです。 したがって、それを実装するためのマトリックスを整理した方法がありますが、通常のセキュリティがそうであるように、開発者や運用担当者と一緒に座って埋め込む必要があります。 ですから、私の意見では、これが最善の方法であり、これがうまくいかない業界があるので、異なる行動をとる必要がありますが、IT主導の企業にとって、これはそれが起こっていることを確認するための最良の方法です。 そして、おそらくそこには、私たちが知っているように才能が不足しているため、セキュリティ担当者は100%の時間を費やすことはできませんが、一般的にこれを使用すると、それを実装し、チームを交換してこれを作成しますs possible is the way how it should go.

マイク・アンダーソン:それは素晴らしいことです。 そして、私がこれまでに見たもの... ITチームとデジタルチームについて考えると、DevSecOpsは間違いなく青写真であり、その流行語を使用するための道です。 財務部門、人事部門、さまざまなビジネスユニットについて考えると、テクノロジー組織や会社以外の人々の考え方にセキュリティをもたらすためにどのようなことが行われていると思いますか? セキュリティを組織の構造の一部にするにはどうすればよいでしょうか。

アンドレアス・ロール:これが実際にCISOだけの積極的な仕事であるかどうかはわかりませんが、それは完全に旅から始まる取締役会のようなものです。 そして、同僚や近くのターゲットの攻撃、そして昨年の攻撃者の破壊的な行動は、私の組織の隅で発生する可能性のあるありそうもないことから実際のものを取り除くのに実際に大いに役立ったので、それはもはや挑戦ではありません。 さて、私たちはそれを世話する必要があります。 それは統計的なことではなく、10年ごとに私を襲うでしょうが、それは間違いなく今後2年以内に私を襲うので、私はそれの世話をする必要があります。 そして、セキュリティは100%安全ではなく、すべてが常識であるのを防ぎます。 そして、これは人事や財務などにも当てはまります。 したがって、彼らとの違いは、彼らに目標を与える必要があるということです[0:31:15.5] __彼らがすべきこと、すべきでないこと、そして特定のことについて確信が持てない場合に尋ねる方法と場所。 そして、これはそもそも意識です、または... Netskopeも時々人間のファイアウォール用語を使用していると思います。 そして、基本的に彼らに助言し、教えることは良いことですが、彼らがそれを必要とする場合、彼らが不確かな場合に何をすべきかを彼らに助けの手を提供することほど良くはありません。 ですから、それはさらに重要なので、疑わしいものがあるかもしれませんが、彼らが一目で助けを得るなら、それはさらに重要になります。

マイク・アンダーソン:ええ。 あなたは人間のファイアウォールを育てました。 これは、ここラモントでのCISOの内部での大きなキャンペーンであり、セキュリティプログラムで最も弱いリンクは、毎日仕事をしている椅子の人々であると常に見ているためです。 私たちは、意図的な危害を加えたいと思う人々を見つけるためのすべての素晴らしいツールを持っています。 毎日偶発的な危害を加えるのは、すべきでないリンクをクリックする人々です。 彼らは使用すべきではないアプリを持ち込みます。 彼らはそこにあるべきではないそれらのアプリにデータを入れます。 それが私たちが対処しようとしていることです。 私が大好きな大きなことの1つは、より良いデジタル市民をどのように作成するかということです。 シャドーITは、今日ある概念として耳にします。 そして、今CEOに尋ねると、デジタルネイティブである新世代の労働者がいるため、よりビジネス主導のITです。 そして、どうすれば彼らが安全な方法で問題を解決できるようにするのでしょうか。 セキュリティ会社のCIOである私の人生の新しい使命は、デジタルネイティブの考え方を解き放つことができるように、椅子の人が安全な方法で問題を解決できるようにするにはどうすればよいかということです。 では、人々はそれをどのように進化させているのでしょうか? シャドーITは常に大きなもののようでしたが、多くの供給工場のように見ると、工場のリーダーは誰かを雇ってダッシュボードを構築するとおっしゃいました。 では、その考え方のいくつかはどのように進化していると思いますか?

Andreas Rohr: シャドーITは、柔軟なサポートを受けられなかったり、自分のデバイスを持ち込んだり、サーバーを立ち上げたりしないことから進化しています。 そもそも、より機敏な方法と、コンピューティングとストレージのリソースを取得するための信頼できる方法を取得することは、机の下にサーバーを持ちたくないため、このシャドーITの多くに役立ちます。 だから誰もそれを望んでいません。 彼らは必要な助けを得られないので、それをするだけです。 したがって、これを進歩的な方法で解決し、サーバーの管理に最適ではないというリスクを受け入れることもできますが、それでもシャドーITを使用するよりはましです。 そして、最初のこと。 そして2つ目は、たとえば、ユーザーが自分のものを持参し、衛生面で最も重要な問題を解決するのに役立つ小さな壁の周りに構築することですが、100%管理されたデバイスはありません。 したがって、これも役立つ可能性があります。 そして、ヒントがあり、タイムゾーンまたは場所からメールが届き、以前から干渉したこのセンターが正しくないか、異なっていると、「はい、このメールはあなたの組織外にあるか、これは異常な時間に送信されました」という小さなことを受け取る可能性があります。 したがって、基本的に、ユーザーが現在行っていることや直面していることをより注意深く見ていることをほのめかすことも、最終的により良い決定を下すのに役立ちます。

マイク・アンダーソン:いいえ。それは間違いなく素晴らしいアドバイスです。 ですから、少しシフトしたいのですが、これを未来派の質問と呼びます。 ですから、私たちが将来を見据えて、過去5年間を振り返ると、「私がそれを違うやり方でやることができれば、私はこのようにしただろう」と言ったであろうことがおそらくたくさんあることを学んだと確信しています。 5年後、10年後、たとえば2030年に早送りすると、セキュリティとITのリーダーは、2030年を振り返ったときに、今何に投資したいと思うでしょうか。

アンドレアス・ロール:2030年はかなり長い期間ですが、今後5年後としましょう。 それでも十分にやりがいがありますが、基本的に何が重要かを推測することは、行動しているパートナーのエコシステムに柔軟に対応することであり、これは制御されていないリソースの統合方法につながります。 データフローやサービスなどは、それらを接続に接続し、その非常に抽象的なレイヤー、パートナーを変更した場合、プラットフォームを変更した場合など、変更したい特定のポリシーやものを適用する非常に柔軟な方法でした。 そして、これはゼロトラストの原則につながり、2番目の原則はあなたが制御する種類のファブリックにつながりますが、時間の経過とともにモノリスではなく、さまざまなクラウドサービス、さまざまなパートナーネットワークなどを利用できるようにするのに十分な柔軟性があります。 そして、それらのものをプラグ可能にする能力に投資しないと、新しいセットアップのために市場に行くために必要な時間がはるかに多くなります。 そして、これは最終的に、競争上の優位性にあるか、そうしなければそうではありません。 したがって、プラグ可能な方法に投資し、ポイントを実施して、決定が正しい方法で管理されていることを確認するために、これがあなたが望むものです。 そして最終的には、ある程度、ゼロトラストです。

マイク・アンダーソン:それは素晴らしいことです。 では、ゼロトラストという言葉を持ち出して以来、サイバーについて考えることがよくありますが、なぜサイバーに投資するのですか? それは本当に侵害を避けることであり、ビジネスの混乱を避けることです。 では、ゼロトラストを見ると、それはどのように進化していると思いますか? これは、企業がデータ保護について考える方法にどのように影響しますか? 「明らかに、それがデータ侵害の観点から保護しようとしていることの中核だからです。

Andreas Rohr: ゼロトラストは、侵害を防止し、データフェンスに関するより良いガバナンスを得るという点で、ほとんどの人が考えているのとは異なる方法で実際に役立つと思います。 むしろ、アーキテクチャ、アプリケーションランドスケープ、パートナー、買収などを変更するときに柔軟性を高め、それによって変更に対応する時間を確保する必要があります。 そのため、アーキテクチャとデータ フローに多くの仮定を入れたくない場合があります。 したがって、ゼロトラストと非常にデータ中心のワークフローアプローチは、より柔軟性を維持するのに役立ちます。 そして、それに対する最良のサイトの利点は、そうすることに非常に優れており、誰がどの場所とデバイスタイプからどのデータサービスを使用できるか、そして認証レベルを制御することに非常に優れている場合、それを保護する上でより良い仕事をしている可能性があります大きな違反全体。 必要に応じて、さまざまな部分を管理するこのマイクロセグメント化された方法がある場合は、どちらか一方のシステムまたは一方またはデータを失う可能性がありますが、全体は失うことはありません。 そして、そうする能力はあなたに競争上の優位性を得るでしょう、あなたが側で私に尋ねるならば、あなたが良いガバナンスとセキュリティ運用でそれを正しく実装するならば、あなたはあなたのデータをよりよく保護するという副作用もあります。

マイク・アンダーソン:いいえ。それはいいですね。 それは素晴らしいアドバイスです。 少し考えてみれば、現在一緒に仕事をしているすべての企業、ゼロトラストは明らかにホットな話題です。なぜなら、RSAに行くと、すべてのベンダーがブースにそれを持っているからです。 今年も同じことが見られると確信しています。 あなたが言うと、あなたが今日一緒に働いているCIOとCISO、そして取締役会から聞いている上位2つまたは3つのことは何ですか? 今日聞いているホットなトピックは何ですか?

アンドレアス・ロール:最も差し迫ったことは、誰も100%まで身を守ることはできないということを私たちは知っているということです。 それは本当に[0:38:05.0]です ____基本的に、信号を十分に早く見ることができないという恐れがあり、基本的に平均ダウンタイムが弱く、その意味で数百万または2桁の数十億を失い、新しいビジネスを作ることができないと話さない人々によって。 ですから、これは本当にナンバーワンのリスクであり、彼らも保険の適用を受けるのに苦労しているので、それは彼らのコアビジネスの混乱であり、注意義務の面でも十分なことをしていないようなものです。 したがって、取締役会のほとんどの取締役は、この種の統計的リスクを無視することはできないことを知っていますが、それを処理する必要があります。 そして、彼らはまた、彼らが何をするにしても、もう少し焦点や予算で防ぐことができたものではないことを確認したいと考えています。 そして2つ目は、それに関連して、最も重要なサプライチェーンパートナーが自分たちと同じ立場にあることを確認したいということです。 したがって、必ずしも自社のシステムや環境のためではなく、サプライチェーンの人々が上流または下流であるため、ビジネスの混乱があります。 また、基本的に収益源を失わないようにします。 そして、これは実際に私が最もよく耳にするものであり、セキュリティはその間の共通点にすぎません。

Andreas Rohr: つまり、バリューストリームのデータフローをこのような攻撃に対して回復力のあるものにしているということです。 そして、残りのものはそれから派生したものとして来ています。 これは私が最もよく耳にすることであり、ゼロトラストは、申し訳ありませんが、これはより良くするためのより戦略的なことであり、今日彼らが実際に懸念していることの2番目の議題であるため、人工的なトピックではないものです。 したがって、これは3〜5年で問題を解決しますが、ゼロトラストは製品ではないため、必ずしも今日ではありません。 彼らはそれを理解し始めます。 そして、私は彼らにも「それが製品だと言う人に騙されないでください」と言います。 グリーンフィールドは新しいものであり、学習を行い、ニーズに適応させ、時間の経過とともに移行し、ゼロトラストが有効になっていない20%を受け入れようとします。 それを遺産として残し、その周りにいくつかの大きなフェンスを構築し、それらのものを制御し、物事を考えすぎないようにしてください。

マイク・アンダーソン:いいえ。それは間違いなく素晴らしいアドバイスです。 そして、「私の製品を購入すれば、今ではゼロトラストになる」と言う企業が多すぎます。 そして、あなたが言ったように、それは存在しません。 ですから、それは間違いなく素晴らしいアドバイスです。 あなたは保険について少し触れました、そして私が保険ベースについて考えるならば、私は多くの人々が言うのを見始めています。 私たちは自己保険をかけるか、保険に費やしたドルを取り、それをセキュリティプログラムに投資するつもりです。」 「彼らは、保険会社が国民国家の攻撃である場合は適用されないと言って国民国家を回避するなど、支払いから抜け出すことができる基本的な方法がたくさんあると感じているからです。 人々の考え方をどのように見ていますか? 人々が「あなたは何を知っていますか、なぜ私たちは自己保険をかけ、それを私たちのセキュリティプログラムに投資しないのですか?」と言っているのと同じ種類のことを見ていますか? あなたはそれを見ていますか? サイバースペースにおける保険の未来はどのように見えますか?

アンドレアス・ロール:基本的にサイバーリスクはそうではないと述べている大手保険会社があります... 保険会社の立場からすると、満期状態を実際に測定できないため、これらのリスクに保険をかけることはできなくなりました。 では、企業が攻撃に遭う可能性はどのくらいあるのでしょうか。 そして2つ目は、満たすべき前提条件が恣意的なページ保険会社である場合があることです。 それは異なり、それらのアンケートに記入することは実際には悪夢であり、時には私たちは彼らが戦略的に適切な場所で十字架を作り、間違ったことを述べないように助けますが、実際のことです。 「ええ、あなたはここでそれを述べました、そしてあなたはそれを順守していないか、実際にそれを実装していません。」 したがって、リスク管理の良い組み合わせでは、おそらくそれを保険するのではなく、おそらく自分のセキュリティに費やすと、古典的な管理慣行である保険会社に延期された方法が常に必要です。 だから私はそれをまったくしないことをお勧めします。 したがって、実際に物事が最悪の方法で何らかのコストやビジネスの中断をカバーするかどうかもカバーすることは合理的であり、絶対に理にかなっています。

Andreas Rohr:それが途方もなく高いコストの申し出であるならば、あなたは「物事に反応して検出する能力にそれを置くほうがよい」と考えるかもしれません。 そして、セキュリティイニシアチブのいくつかを後押しするかもしれませんが、私は一方を他方と交換しません。 建築的なことへの信頼と、自分で正しい宿題、完全な衛生状態を確実にすることに戦略的に行き、保険会社にあなたがセキュリティで良い仕事をしていると信じさせるように努めるべきです。 しかし、時間が経つにつれて、保険マークはサイバーリスクの保険に加入することに関して非常に有利な保険を提供しなくなると思います。 それが私の直感です。 私はそれを証明することはできません。 しかし、私が見たり聞いたり、統計的および質量の観点からそれをどのように測定するかを見たりすることは、私がプロとしてのキャリアを始める前の私の研究の1つでしたが、統計的基礎ではないため、実際に適切に記述するモデルで計算できるとは思いません。

マイク・アンダーソン:ポッドキャストの楽しい部分、つまりクイックヒットに切り替えます。 私はあなたにいくつかの質問をするつもりです、急速な火、そしてあなたがどんな答えを得たか見てみましょう。 まず、これまでに受けた中で最高のリーダーシップアドバイスは何ですか?

アンドレアス・ロール:それは私のプロとしてのキャリアの非常に初期のことでした。 そして、これは基本的にCEOが私に言った、「あなたが世界で解決しようとしていることの最高の主題専門家であっても、あなたはむしろあなたのチームの話を聞いて、彼らがあなたにどんな答えを来るかに驚くことをあなたに話します。」 そして、これはあなたが自分でやったほど良くも有効でもないかもしれませんが、もっと重要なことは、それが持続可能であることを確認し、基本的によりよく眠り、次の挑戦に行くことができることを確認する彼らの貢献です。 そして、それはとても本当です。 そして、あなたが物事に対する最善の解決策であると感じるものの90%はあなた自身の経験に基づいており、他の人は他の経験を持っています。 それは多様性にも当てはまります。 それで、彼らがその時聞いて驚く間、そして私は非常に頻繁に驚かされました、それは私が最も好きです。 ですから、ぜひ試してみて、チャンスを与えていただきたいと思います。

マイク・アンダーソン:間違いなく良いアドバイスです。 大丈夫です。 あなたの最後の食事は何でしょうか?

アンドレアス・ロール:インドやムンバイにしばらくいたので、隔月で2週間か3週間過ごしました。 そして、私は食べたいと思います、そして彼らは向こうでとても辛いものを食べます。 だから一番好きだったのは、スパイシーなチキンマサラとガーリックナンパンでした。 だから私はそれがとても恋しいです。 だから多分それは私が注文するものです。

マイク・アンダーソン:わかりました、最後です。 今年読んだお気に入りの本は何ですか?

アンドレアス・ロール:エリス・ミラーの本を読みましたが、それは実際にはすでにかなり古い本で、30年ほど前の本だと思います。 そして、それは「才能のある子供のドラマ」と呼ばれています。 そして、それは彼らが彼らの周りの期待に固執せず、彼らが望むことに適応して行うのではなく、むしろ彼らが本当に情熱を注いでいることを見つけてそれをさらに発展させる方法で子供を育てることです。 ですから、それは読んであなたの子供が自分の道を見つけるのを助けるのにとても良い本です。 だから私はそれがとても好きです。

マイク・アンダーソン: 私はそれを読書リストに載せなければなりません、4人の子供の父親として、私が奪うためにそこにいくつかの良いナゲットがあるでしょう。 アンドレアスに感謝します。 これは私たちが今日持っているすべての時間についてであり、私は会話に本当に感謝しています。 今日はアンドレアスと素晴らしい会話をしました。 私がこれから学んだ3つのことは、何よりもまず、アンドレアスが何度か触れたことですが、組織全体で働き、周囲を見て、エコシステムで周囲の人々を活用することです。 私が見ている2番目のことは、ツールを見るとき、ツールを収集するだけでなく、それらが統合されていることを確認し、組織で推進したい結果と一致していることを確認することです。 そして、私が私たちの会話から最後に取ったのは、組織のバリューストリームについて考え、組織内の特定のバリューストリームに関連する適切なリスク態勢を持つために、それにセキュリティを組み込むにはどうすればよいですか? 超洞察に満ちた会話とあなたがそれを楽しんだことを願っています。 セキュリティビジョナリーポッドキャストで近日公開予定の次のエピソードにご注目ください。

スピーカー2:セキュリティビジョナリーポッドキャストは、Netskopeのチームによってすばやく簡単に利用できます。 Netskopeプラットフォームは、どこにいても人、デバイス、データに最適化されたアクセスとゼロトラストセキュリティを提供します。 お客様がリスクを軽減し、パフォーマンスを加速し、クラウド、Web、またはプライベートアプリケーションのアクティビティに対する比類のない可視性を取得できるよう支援します。 Netskopeが顧客が生意気な旅に備えるのにどのように役立つかについて詳しくは、N-E-T-S-K-O-P-E.com をご覧ください。

スピーカー4:セキュリティビジョナリーの話を聞いていただきありがとうございます。 ショーを評価してレビューし、それを楽しむかもしれないあなたが知っている誰かと共有するために少し時間を取ってください。 隔週でリリースされるエピソードをお楽しみに、次のエピソードでお会いしましょう。