Creating a Cyber Savvy Boardroom

プロデューサー [00:00:00] Netskopeが提供するポッドキャストであるセキュリティビジョナリーへようこそ サイバーセキュリティ、テクノロジー、信頼、ネットワーキングの世界の上級管理職との会話を提供することに焦点を当てています。 このエピソードでは、Netskopeのクラウド戦略とイノベーションの責任者であるShamla NaidooとAKnowledge Partnersの社長兼CEOであるHomaira Akbariの対談を特集し、カリフォルニア大学バークレー校の情報学部の教授であり、防波堤戦略のパートナーであるSteve Weberが司会を務めています。 最近の本の共著者として サイバーに精通した会議室:エッセンシャルの説明、ShamlaとHomaaraは、この本を書くきっかけ、サイバーセキュリティの進化するトレンドにどのように対処するか、そして仲間から受け取ったフィードバックの種類について話し合っています。 これがシャムラ、ホマイラ、スティーブとの会話です。

スティーブウェーバー [00:00:45] セキュリティビジョナリーポッドキャストへようこそ。 私の名前はスティーブ・ウェーバーです。 私はカリフォルニア大学バークレー校の情報学部の教授であり、ワシントンDCを拠点とするアドバイザリー会社であるブレイクウォーターストラテジーのパートナーです。 このポッドキャストを主催できることを光栄に思います。 私はサイバーセキュリティの世界とその周辺で10年間、技術面、ビジネス面、ポリシー面で過ごしてきました。 そして、最も興味深く、挑戦的で重要なダイナミクスの1つは、取締役会で行われているサイバーセキュリティの会話であり、取締役が監視とガバナンスに取り組んでいるのを見るのは、この本当に動きの速い複雑な一連のリスクであり、そのミックスにホマイラアクバリとシャムラナイドゥが新しい非常に説得力のある本を持って来ます。 サイバーに精通した会議室。 私はそれが多くの異なる次元で注目に値すると言いますが、私にとっては主にその読みやすさ、その即時の実用的な使いやすさ、そして率直に言って、そのカバレッジの範囲です。 それでは、最初から始めましょう。 ホマイラ、シャルマ。 あなたが誰であるか、どのようにしてこの本を書くようになったのか、そしてなぜ今なのかを教えてください。

ホマイラ・アクバリ [00:01:58] 私はAKnowledge Partnersの社長兼CEOであるホマイラ・アクバリです。私は実験素粒子物理学の科学者としてキャリアをスタートさせ、CERNヨーロッパ原子核研究センターで働きました。 私はビジネスキャリアの半分をフランスのタレスやマイクロソフト、リバティメディアなどの企業でテクノロジービジネスをリードし、IoT企業であるSkybitzのCEOを務めました。 私は現在、Banco SantanderとLandstar Systemの取締役を務めています。 AKnowledge Partnersでの現在の役割。 私は、セキュリティ、サイバーセキュリティ、IoT、エネルギー転換、人工知能の分野でプライベートエクイティについて大企業および大企業と協力しています。

スティーブウェーバー [00:02:43]シャムラ?

シャムラ・ナイドゥ [00:02:44] 私はシャムラ・ナイドゥです。私は長年の技術者です。 私はテクノロジーに40年を費やし、その時間の約半分は大規模な組織でサイバーセキュリティのリーダーとして過ごしました。 私は3つの上場企業の取締役会に所属しており、イリノイ大学で新興技術法とグローバルプライバシー法を教えています。 そこで私は、実務家であること、取締役会の更新を受け取る側であること、そして取締役会の規制上のコミットメントと義務を学び、理解するという3つの異なる視点を同じ会話にもたらします。

スティーブウェーバー [00:03:16]なぜ今なのかについて話しますか? もしそうなら、2023年の本の緊急性が2024年に移行するタイミングと重要性について話してください。

ホマイラアクバリ [00:03:27]現実的には、この本は1年前または数年前に書かれたはずです。 しかし、今の緊急性は、あなたが見てきたように、スティーブと誰もが毎日見ているように、この種のサイバー侵害のニュースがあり、これらのサイバー侵害はますます大きくなり、拡大しているということです。 以前は金融サービスやヘルスケアのみでしたが、今では営利目的やファミリーオフィス、大規模な公的企業や民間企業、そして中小企業など、すべての業界、すべての顧客、すべてのエンティティ規模に広がっています。 そして、それは特にランサムウェアによるものです, これは基本的に、エンティティのデータやその他の資産に対する攻撃のタイプです 侵害され、ハイジャックされます, 必要に応じて , 暗号化してハイジャック. そして、それがハッカーによって解放されるために、彼らはお金を要求します。 そして、それは今や本当に刑事問題になっています。 そして、すべてのセクター、すべての企業がその対象となります。 そして第二に、緊急性がある理由は、多くの規制当局、特に米国では、FCCが開示規則を採用したばかりであり、主に公開企業向けです。 しかし、ご存知のように、通常、民間企業もそれに従い、ファイリングと8-Kを通じて4営業日以内に重大な違反を報告します。 そのため、突然、サイバーセキュリティは組織が抱える他のリスクと同様になりました。 さらに、S.E.C.は現在、企業が戦略、ガバナンス、およびサイバーリスクから組織をどのようにサポートし、そのすべての情報を毎年10-Kに取り込むかについての組織を開発または詳しく説明する必要があります。 だから。 Boardroomは現在、これまで以上にサイバーに関与し、サイバーセキュリティリスクを監督し、SEC要件およびその他の一般的な規制要件を確実に満たすようにしています。

スティーブウェーバー [00:05:58]シャムラ、あなたの視点からそれに答えるものはありますか? 座って本を書くのにかかる時間をかけたのはこれが初めてです。 なぜ今なのか? 何。 あなたにとって緊急性はどこにありましたか?

シャムラ・ナイドゥ [00:06:10]私が付け加えたいのは、現在、ビジネスは電光石火の速さで成長しているということですよね?そして、どの企業も、ほとんどがすでに何らかのデジタル企業であると私は主張します。 しかし、それらはすべてデジタルフットプリントを増やしています。 私たちはデータ経済に住んでいるため、これまでにないほど多くのデータを作成および生成しています。 当社のテクノロジーはますます高速に機能しています。 そして率直に言って、それらはビジネスの成長に大きなチャンスをもたらすので、それらはすべて良いことです。 ただし、同時に、デジタルフットプリントが大きいほど露出ポイントが増えるため、サイバーセキュリティリスクに対応する努力と対応するレベルの注意を払う必要があります。 彼らは妥協の機会を増やします。 それらは盗難やその他の種類の不正行為の機会を増やします。 ですから、今こそ、取締役会が戦略を監督する時は、良いことに焦点を当てるだけでなく、うまくいかない可能性のあることに相応の注意を払うことだと思います。 しかし、私たちがこの本でやろうとしていること、そしてなぜ今なのかは、注目を集めることであり、私たちがここを見る必要があり、今回は迂回できないという認識をそのコミュニティに作り出すことです。

スティーブウェーバー [00:07:34]興味深いので、デジタルトランスフォーメーションという言葉が使用されているのを見るたびに、サイバーセキュリティという言葉が同じ文または次の文にあることを確認する必要があります。 ホマイラさんの話に戻りましょう。 技術的な観点から最も精通していない、または最も精通している取締役でさえ、多くの出版物があり、サイバーセキュリティについて理事会メンバーを教育することに専念するコースがあります。 明らかに、あなたはこの本をその環境に持ち込んでいます。 これらすべての選択肢を念頭に置いて、この本をどのように構成しましたか? 混雑しているが、それでも教育的見解を提供するのが難しいことに真の価値を加えるという点で、あなたの視点でそれについて何が異なっていましたか?

ホマイラ・アクバリ [00:08:22] シャムラと私は、必要に応じて、実際に市場にあるものを研究しましたが、私たちの本を書くきっかけは、実際にはギャップを見たからです。 したがって、現在主に存在しているもので見たのは、サイバーセキュリティの基本的な用語と、これらが基本的な概念であるものについて話している文章、本、パンフレットです。 そして、それは通常、取締役会メンバーが尋ねることができる時には何百もの質問にジャンプします。 CISOとして、私たちはディレクターの同僚の何人かが役員室でこれらの質問をしていることに気づき、リアルタイムで観察しました。 そして、彼らは理事会メンバーが言うでしょう、ああ、大丈夫、ありがとう。 しかし、CSOや経営陣全体との本当に意味のある議論や関与はなく、これらの回答の背後にあるものや、たとえば、会計や財務の質問をするとき、頻繁に議論があり、通常、サイバーセキュリティで見ると、実際には取締役会メンバーがその基本知識とその基礎知識を持っていないため、議論はありませんサイバーセキュリティ。 そこで、80ページというかなり短いボリュームで、すべての取締役会メンバーが必要とする基礎知識を作成するために、これを行うことに決めました。 そして、私たちの計画は、彼らがその知識、そのプラットフォーム上で構築し続けることです。 そして、ご存知のように、これは私たちが知っているように、特にサイバーセキュリティのための継続的な学習です。 しかし、非常にユニークだったのは、私たちが行ったことは、グラフィック形式で実際に消化でき、すべての取締役が非常に熟練した人々であるインテリジェントな取締役会メンバーによってかなり迅速に消化できる一連のメンタルモデルを作成したことです。 そして、それらは私たちがそれを一連の地図であると定義した方法でした。 本書には 4 つのマップがあり、最初のマップはビジネス資産グループを定義しており、基本的に 10 のカテゴリを作成しました。 それらのいくつかは、例えば、データが1つの事業資産グループ、金融資産である。 人々は他のものです。 しかし、実際には約10のビジネス資産グループがあり、それらを定義しています。 それらを定義したら、ホワイトハットが何であるかを示すために行きました。 私たちの資産は事業資産です。 彼らはそれにアクセスすることによってどのような利益を得るのか、そして彼らの動機は何ですか、なぜ彼らはそれをするのか、彼らはそれをどのように行うのか。 そして、それは私たちが攻撃ベクトルと呼ぶものに私たちをもたらしました。 そこで、各ビジネス資産グループに現在存在する攻撃ベクトルをマッピングして、これらのビジネス資産グループを直接攻撃するか、組織の王冠の宝石に到達するための導管として使用して、たとえば、データが王冠の宝石として定義され、そのうちの1つだけになります。 次に、マップ 3 に移り、マップ 3 は、ここでも、示したのと同じ 10 個のビジネス資産グループに関するものでした。 それらをどのように保護しますか? そこで、優れた企業、非常に優れた、または望ましいセキュリティ体制を持つ優れた組織の今日の防御戦略が、実際にこれらの特定の資産グループを防御した典型的な方法を示しました。 次に、マップ4に到達し、保護の有効性を示すために、各ビジネス資産グループのメトリックを再度提供します。 また、これは防御システムであるため、保護だけでなく、サイバーセキュリティでは検出、対応、および回復も含まれます。 また、テストによるセキュリティ体制の有効性の測定に関するメトリックと、検出と応答のメトリックも含めました。 ですから、これはこれまでにないユニークで非常に包括的だと思いますが、消化して学ぶのも非常に簡単です。

スティーブウェーバー [00:12:40]ええ、読者の観点から言うと、他の読者も同じことを見つけると思います。 これらのメンタルマップ構造は、優先順位と質問の階層に関する定義を置くのに本当に役立ちます。 ですから、私にとって、それは確かに非常に新しく、非常に重要で役に立ちました。 シャルマ 戻ってきて、クラウドについて具体的にお伺いします。 非常に多くの異なる規模の組織にとって、デジタルトランスフォーメーションは、あらゆる種類の異なる構成でクラウドに移行することについての会話になっています。 それでは、クラウドについて話しましょう。 そして、そのクラウドトランスフォーメーションとクラウド移行について考えるとき、どのような可能性、特にセキュリティに関して取締役会にどのような疑問が生じますか?

Shamla Naidoo [00:13:29] クラウドの概念を本に追加したとき、役員室ではほとんどの取締役がスピードの概念を理解しているため、それは重要なトピックだったと思います。 彼らは、私たちが本当に迅速に能力を構築する必要があることを理解しています。 そして、クラウドに何かを置くか、クラウドからサービスを消費することができると彼らに伝えると、すぐに接続できます。基本的な機能を構築するためにチームに時間と労力を費やす必要がないため、これははるかに速く行われます。 他の誰かがすでにそれをしました。 私たちはそれを購入し、借り、リースするなど、それを使用してその上に独自の機能を構築し、非常に迅速に市場に投入する準備が整います。 したがって、クラウドのメリットを確認したい場合、その速度は会議室での会話の通貨です。 しかし、私たちにとっての問題は、それがどのようにうまくいかないかを彼らが何を知るべきかということでした。 たとえば、クラウド環境をサポートするインフラストラクチャが物理的な制御の範囲外にあることは明らかですか? データセンターにあったら行わなかったであろうことは何ですか? そして、それが私たちがこのトピックに焦点を当てた本当の理由でした、私たちは物事をクラウドに入れることのリスクを理解する必要があるということです。 そして、それはあなたが触れて感じることができるものについて常にではありません。 時には、誰を監督する必要があるか、誰を監督する必要があるか、パートナーや第三者にどのような期待を抱くべきかなどです。 しかし、繰り返しになりますが、これらすべての大きなメリットにはリスクが伴い、彼らは彼らが望む結果に到達するために最も効率的な方法でそれらのリスクをどのように監視するかを理解する必要があります。

スティーブウェーバー [00:15:20]素晴らしい。 シャムラ、リスクはとても重要なものなので、リスクについてのあなたのポイントから飛び降りるつもりです。 私が話をする多くの取締役は、本質的に監督の場でリスクマネージャーとして自分自身について話します。 そして、ホマイラ、あなたに戻って、あなたの見解と、この本がこのサイバーリスク選好の問題に対処する方法について尋ねたいと思います。 リスクをゼロにすることはできません。 サイバーセキュリティを向上させるために、組織内のサービス、製品、プロセスに費やしています。 そして、当然の質問は、投資収益率が得られ、リスクを希望する場所に調整するという点で価値を得ていることをどうやって知ることができるかということです。 したがって、この場合の意思決定者または取締役が、その文脈でリスクについて建設的に具体的に考えるのにどのように役立つかについて話してください。

ホマイラアクバリ [00:16:12]私たちは多くの例といくつかのガイドラインを示しています。 そして、そこから、先に述べたように、それらの投資にリターンがあるかどうかを測定するのにも役立つ一連のメトリックについても話します。 しかし、最初に私たちが話していることは、私たちが話しているような例に行きましょう、それでまず第一に、取締役会は組織が必要な財政的および非財政的を行っていることに満足していなければならず、予防可能な攻撃を防ぎ、予防できない攻撃から防御するための非財務投資を強調したいと思います。 したがって、1つの尺度は、もちろん、金融に来るときにクラス最高のものがあり、最高の防御エコシステムを持っているクラス最高のサイバーセキュリティディフェンダーの1つは、ティア1の金融機関または銀行です。 したがって、典型的なティア1銀行は、サイバーセキュリティに毎年500〜10億ドルを費やしており、これは通常、IT予算の5〜10%に相当します。 ご存知のように、明らかに中小企業であり、それがティア1です。 彼らは銀行であり、クラスで本当に最高です。 しかし、IT予算の5〜10%を使用してそのようなお金を使う能力がないと思われる中小企業は、非常に小さく、ITの予算がかなり小さい場合を除いて、おそらくその予算の15〜20%以上を費やす必要があります。 重要なポイントは、あなたが以前に言ったことです。 防衛について考えるとき、サイバーセキュリティリスクから身を守る必要があると言うとき、それには4つの側面があります。 資産の保護があり、脅威の検出とその攻撃への対応があり、常にサイバー侵害が発生するため、その攻撃から回復します。 したがって、そのセキュリティ体制が定義されており、セキュリティがそれを作成するようにする必要があります。 したがって、クラス最高のツールとさまざまなツールが用意されています。 しかし、その非金融投資を強調することによってこの説明を終えなければ、私は見逃されるでしょう。 そしてそれは何ですか? 組織が適切なサイバー文化を持つことは、何よりもまず重要です。 どういう意味ですか。 それはどういう意味ですか? それは、CEOや経営陣から始まり、意識、サイバーセキュリティへの取り組み、会社のすべての従業員に至るまで、全面的な意識です。 そして、今日私たちが知っていることは、まだ3分の2であり、おそらくすべての違反の80%近くが、下請け業者の組織内の人々によって行われた意図的または意図的ではない何らかのエラーによるものです。 したがって、その認識、CEOによるサイバーセキュリティ文化の構築は、私はそれを信じています、私はそれにコミットし、献身的であり、それは組織全体に流れ、すべての幹部が責任があることを確認するだけでなく、CISOとシャムラはサイバーセキュリティを担当するCISOであったので、あなたにもっと話すことができます。

スティーブウェーバー [00:19:51]シャムラあなたに戻って、その日の質問をさせてください。 皆さんがこの本を書き始めたのは、大規模な言語モデルがまだ研究室や大学の人々が遊んでいた研究玩具だったときです。 今から8、9ヶ月前かな。 ChatGPTが登場し、突然、最も興味深く、興味をそそる重要な開発の1つであり、AIという言葉はいたるところにあります。 そこで、Generate AI ChatGPTのようなテクノロジーの台頭が、このような本の必要性をどのように変化または加速させるか、そして文化の変化を含め、Homairaが今話した変化の種類について話してください。

Shamla Naidoo [00:20:39] スティーブ、それについて興味深いのは、10年前にクラウドテクノロジーに対して同じ反応があったことです。 右。 そして最近では、それは雲でした。 今では人工知能、特に大規模な言語モデルです。 1年か2年以内に、それは量子コンピューターになるでしょう。 重要なのは、イノベーションは止まらないということです。 ですから、絶え間ない革新があります。 私たちは常に新しいテクノロジー、新しいアプローチ、新しいアーキテクチャ、新しいツールに直面するでしょう。 それがテクノロジーの本質です。 ですから、ここでの考え方は、何にでも備える必要があるということだと思います。 特に取締役会は、変化のペースを理解し、基礎知識をかなり迅速に作成する必要があることを理解する必要があります。 基盤がなければ、そこにあるこの素晴らしい情報はすべて着陸しますが、それは強力な基盤に着陸しないため、実際にそこから構築することはできません。 この本は、彼らがそれらの新しい技術、彼らにやってくる新しい構造に備えるために構築できる基盤を彼らに与えるだろうと私は思います。 そして、これが学習の始まりであるという考えです。 それは「その」学習ではありません。 それは他の知識が構築される基盤です。 ですから、将来のイノベーションに備えてください。 この本は、イノベーションの未来について考えるための基本的な概念、アプローチ、およびモデルを提供します。 しかし、ご存知のように、大規模な言語モデルは現在大きなトピックです。 私たちはデータ経済に住んでいるので、それはトピックです。 いたるところにデータがあります。 このテクノロジーが利用可能になるまで、ほとんどのデータは見えませんでした。 そのため、このすべてのデータに埋め込まれているビジネスインサイトを取得できます。 そして今こそ、データ、データ保護、データのリスク、エラーのリスク、脱落のリスク、そしてビジネスに使用する大規模な言語モデルに組み込まれているすべてのアクティビティに焦点を当てる機会だと思います。 しかし、繰り返しになりますが、それは基盤です。

ホマイラ・アクバリ [00:22:53] スティーブに頼めたら。 非常に興味深いのは、この本の中で、シャムラが言及したように、私たちは新興技術について話し、特に空気とチャットについて話しますが、IoTについても話しますが、たとえば、IoTに関しては、サイバーリスクの80%が私たちが持っていたものと非常に似ているという事実について話します。 しかし、それには特異性があります。 ChatGPTやAIの場合、ご存知のように、大きなリスクの1つは、モデルに間違ったデータを供給し、その結果、実際に偽のデータを作成するため、誤った結果が得られることです。 これは、データが非常に偽物になり、いくつかの点で信じられないほどになるディープフェイクと呼ばれるものに私たちをもたらしますが、一部の人々はそれを信じて、いわゆるディープフェイクを作成します。 ですから、それはまさにシャムラが言ったことだと思います、あなたが知っているように、私たちはどのように新興技術、あなたがそれについてどのように考えるべきかについて話します、しかしそれから私たちはこれらのケースのためにいくらかの具体性を与えます。 ですから、私たちは取締役会メンバーがトピックデュジュール、彼らがそれについてどのように進むべきかを考えるのを助けると思います。

スティーブウェーバー [00:24:10]2024年には新しいものがあり、それは私たちが進むにつれてテストされると確信しています。 ホマイラ、取締役会が自分自身を評価する方法と評価すべき方法について少し話しましょう。 取締役会や公開会社などが多数あることは明らかです。 そして、人々は自分自身に尋ねます、私たちはどうしていますか? 私たちがやっていることをどうやって知ることができますか? 私たちはうまくやっています。 良いものはどのように見えるかという質問は、私たち全員がよく聞くと思う質問です。 では、取締役会が自社の会社を評価し、サイバーセキュリティの成熟度や卓越性について考えたい場合、どのように取り組むべきでしょうか。 そして、この本はメトリックと比較についてどのように話し、その質問に答えますか、他の人がしていることと比較して良いものはどのように見えますか?

ホマイラアクバリ [00:24:55]スティービー 章全体があり、これは第7章と呼ばれ、取締役会メンバーやCISO、その他のエコシステム内の他の人々から何百万回も尋ねられてきた質問であるため、測定のためのメトリックについて話します。 第7章では、基本的に2セットの指標を定義しました。 1 つは運用レベルのメトリックで、もう 1 つはボード レベルのメトリックです。 運用レベルのメトリックは、それが説明するその領域のマップに対応し、基本的に、各ビジネス資産グループに対して、保護の有効性を測定する方法と、使用する検出と応答の方法論を示します。 また、組織のセキュリティ体制を測定またはテストする必要があるという事実についても説明しますが、実際には1つの尺度であり、唯一の尺度ではなく、その成熟度の1つの尺度が得られます。 次に、ボードレベルのメトリックに到達しますが、私たちの知る限り、Shamlaと私が作成したこの概念を実際に作成した人は誰もいませんが、このボードレベルのメトリックには実際には5つのコンポーネントがあり、そのうち2つは運用可能です。 つまり、1つは、サイバーセキュリティプログラム、有効性、規制コンプライアンスとは何か、そして私が言及した運用指標から得られるサイバーセキュリティリスクプロファイルは何かというインプットでした。 ただし、さらに 3 つの評価も追加されます。 1つは、サイバーセキュリティの文化は何ですか? 第二に、あなたの投資レベルと保険の適用範囲は何ですか? そして最後に、サイバー侵害の影響を管理するための組織の準備状況はどのようなものですか? そして、これは、どの組織も私たちが明確に表現した方法でこれを使用しているとは思わないと思いますが、そうすると、組織の成熟度を判断できるようになると信じています。 そして私たちにとって、これが鍵です。

スティーブウェーバー [00:27:04]素晴らしい。 シャムラ、あなたに話を戻させてください。 あなたとホマイラの間で、あなたは毎日サイバーセキュリティの世界を生き、呼吸しています。 あなたはそのパズルの非常に多くの異なる側面にいました、そして私は実際に本の終わりに、人々が本当に家に持ち帰る必要がある最も重要な反省、考え、そして持ち帰りは何だと思いますかのような感覚を得るために非常に重要であることがわかりました一日の終わりに。 優先順位付けはこの会話の非常に重要な部分だからです。 それで、締めくくりの考え、本の最後にある反省、読者がそれから奪うあなたにとって最も重要なことについて少し話してください。

シャムラ・ナイドゥ [00:27:48] だから、あなたが知っている、私は私が始めると思います、私たちは皆、テクノロジーの利点を測定する方法を知っていますよね? そして、それは簡単な部分です。 私たちが苦労しているのは、問題が発生したときに問題を測定し、計算し、実際に直面することであり、取締役会はそれを担当しています。 ですから、彼らを助けるために、私たちは考える必要があると思います、テクノロジーには多くの利点があります。 どうしてうまくいかないのですか? 重要なのは、あなたがサイバーセキュリティ会社であり、サイバーセキュリティ製品やサービスを販売していない限り、収益はサイバーセキュリティの実践から生み出されるものではないと思います。 収益はビジネス慣行から生成されますが、セキュリティ慣行、テクノロジー、ツール、制御などは、それらのビジネスを可能にします。 したがって、ビジネスの利点とビジネスから生み出される収益を計算する場合、セキュリティのコストでそれを相殺する必要があります。 そして、あなたが投資をすると、あなたは言う、大丈夫、これは私が私の純利益をどれだけのお金を稼いだかです。 ですから、そうです、それはビジネスを行うためのコストですが、それは収益のコストです。 ですから、これは重要な考慮事項です。 もう一つ覚えておくべきことは、このトピックのリーダーシップは、トピックのテクノロジーやツールと互換性がないということです。 したがって、取締役会のリスク選択を支援できる優れた強力なリーダーが必要です。 会社が直面する最大のリスクを選び出し、それを地面に突き止めるにはどうすればよいでしょうか。 そして、どのようにして的を射た次のステップを拾い上げ、リスクを冒して愚痴をこぼし続けるのでしょうか? なぜなら、ツールとテクノロジーだけに焦点を当てている場合、適切なレベルの優先順位で適切なものに焦点を合わせているかどうかをどうやって知ることができますか? そして、私たちは、あなたが知っている、これ、私たちが直面できる非常に多くの問題を持っています、同じレベルの厳格さで、同じレベルの投資でそれらすべてに同時に立ち向かうことは不可能です。 したがって、これらのリスクを慎重に選択することは、CSOとセキュリティリーダーが取締役会を支援する必要があると思います。 そして、私はまた、あなたが良い、豊かで、オープンで、透明な対話をすることが本当に重要であると言います。 したがって、取締役会はCISOと対話する必要があります。 ステータスだけでなく、ステータスの更新だけではありません。 それは本当に私たちが何をしていないのか、何に焦点を合わせていないのか、何に十分な時間を費やしていないのかについてのリスク議論であるべきですか? 私たちは皆、それをすべて行うのに十分な時間がないことを知っているからです。 したがって、その議論にはある程度の透明性が必要です。 そして、CISOだけがこのトピックの的を射ているリーダーであってはなりません。 すべてのビジネス上の決定、すべてのビジネス分野、彼らがお金を稼ぐとき、彼らはそれを報告する方法を知っています、彼らはまた、サイバーが彼らにどのように影響を与えるか、それがどのように彼らを可能にするか、そしてそれがどのように彼らを制約するかを知り、理解する任務を負うべきです彼らを傷つけたり傷つけたりするかもしれません。 そのため、サイバーセキュリティはビジネスではないため、ビジネスリーダーはCSOと同じくらい結果に対して説明責任を負わなければなりません。 それはあなたがする他のすべてのほんの一部です。 ですから、サイバーIQ、サイバー文化はすべて、本当に重要な考慮事項だと思います。 そして最後に、私が言ったように、CSOは、失敗したことや成功したことに対して的を射るべき唯一のエグゼクティブではありません。

スティーブウェーバー [00:31:35]興味深い。 Homaira、最も重要で最も強力なポイントについての追加の考えは、サイバーセキュリティのリスクプロファイル、ビジネスとの関係に関する取締役会レベルでの戦略的会話の質です。 彼らが本を終えるとき、人々と一緒に座り、そのように人々と一緒に暮らすべき最も重要なポイントは何ですか?

ホマイラアクバリ [00:31:53]スティーブ、数十の持ち帰りがあり、これらが呼び出されています。しかし、はい、私は1つのポイントを持っています、そしてそれは再びに基づいています、この質問は何度も私から具体的に尋ねられました、そしてまた私はシャムラから思います。 どうすれば効率的で安全になることができますか? 100%安全になるために何ができますか? 私は100%安全であるのに十分な支出をしたいです。 フォーチュン50企業の先輩から一度でも、なぜ政府は私たちを100%安全にしないのかと尋ねられました。 タイはできる、と彼らは言った。 そして現実はノーです、あなたは100%安全であることはできません。 なぜでしょうか。 その3つの理由。 第一の理由は、基本的にすべての企業や政府、そして消費者を含む世界中のあらゆるエンティティが、セキュリティを念頭に置いて設計されていない時代遅れのテクノロジーやITシステムに依存していることです。 そして彼らは脆弱性を生み出します。 そして問題は、これらの脆弱性の多くが今日、今日は明らかではないということです。 そして2番目の理由は、私たちが毎日新しいテクノロジー、新しいイノベーションを採用しており、その中にはセキュリティが設計されているものもあります。 しかし、これらの古いテクノロジーと統合するとすぐに、それらも脆弱になるか、古いテクノロジーでも脆弱性を生み出します。 そのため、攻撃対象領域が増加し、すでに存在するその表面に影響を与えると、大量の脆弱性が生まれ、そのうちのいくつかは私たちに知られています。 そして、それらのいくつかは、いわゆるゼロデイ脆弱性のように知られていません。 そして最後に、これはあなたが敵を持っている1つのセクターです。 あなたには、非常によく支払われている、またはそれらのいくつかが非常に裕福であり、実際に脆弱性を探して悪用している組織、犯罪組織の人々の軍隊があります。 そして、彼らはあなたが知っている、なぜ私たちが尋ねられたのか、なぜ彼らは私たちの前にこれを与えるのですか? 私が言及した最初の2つのために、私たちは気づいておらず、これらの人々は実際に継続的に働いており、これらの脆弱性を探すのに賢い人々だからです。 その結果、100%安全になることは決してないため、検出、優れた脅威インテリジェンス、他の企業やその他のエンティティに関する政府との協力、調整、協力が非常に重要ですその脅威インテリジェンスを持ち、任意のデバイスから検出、対応、回復できるようにするためです。

スティーブウェーバー [00:34:34]それは本当に重要です。 私たちが以前に話していたことに戻って私が覚えているレッスン、良い外観はどのように見えますか? 完璧な外観はなく、おそらく良い外観でさえ正しい質問ではないので、誰も完璧な外観がどのように見えるかを質問するべきではありません。 あなたが今言ったことから、おそらく正しい質問は、私たちが敵よりも速く良くなり、良くなっていることをどうやって知ることができるのかということです。

シャムラ・ナイドゥ [00:34:54]スティーブ、それに加えて、すべてのリスクがすべての企業で同じではないため、それはとても素晴らしいポイントです。右。 そして、それは適切であり、あなたの食欲の範囲内です。 そして、私が取締役に言うことの1つは、あなたが望むことを言うことです。 それがないので、あなたが重要だと思うものを明確にしてください。 CISOは、あなたが欲しいと思うものとあなたが必要だと思うものをあなたに与えるために本当に一生懸命努力します。 したがって、現時点でこの会社にとって、この取締役会にとって何が重要であるかを明確にしてください。 何が重要ですか? 何を知りたいですか? そして、私自身が開業医であることから、CISOはあなたが必要とするものをあなたに与えるだろうとあなたに言います。 しかし、彼らが推測しているなら、彼らがそれを間違えることを期待してください。

スティーブウェーバー [00:35:43]素晴らしい。 ええと、ほら、私は本を読む機会の利点がありましたが、私たちのリスナーの多くはおそらく読んでいません。 それで、彼らがこの本をどこで手に入れることができるかを説明することによって締めくくることができますか? 聴衆はどこで本を見つけることができますか? いつ利用可能になりますか?

ホマイラアクバリ [00:35:58]9月5日から利用可能になり、NetskopeURLで利用可能になります。

スティーブウェーバー [00:36:05]シャムラ、今日私たちの聴衆と共有する最後の考えはありますか?

シャムラ・ナイドゥ [00:36:08]あなたのボードが読んでいるものを読んでください。 ですから、この本を読んで、その会議室で彼らの前に出たときにどのような質問を予想すべきかを知ることができます。

スティーブウェーバー [00:36:16]今日はこのポッドキャストをしてくれてありがとう。 しかし、この本を書いてくれてありがとう。 多くの監督にとって大きなリソースになると思います。 広く読まれ、配布され、それを読んで最も重要なものを使用した人に楽しんでもらえることを願っています。

プロデューサー [00:36:32] セキュリティ ビジョナリーを聞いていただきありがとうございます。 ショーを評価してレビューし、それを楽しむかもしれない誰かと共有するために少し時間を取ってください。 隔週でリリースされるエピソードをお楽しみに、次のエピソードであなたを捕まえます。