Wywiad dotyczący bezpieczeństwa: radzenie sobie z nastawieniem „nie”

cyberfeed.pl 3 dni temu


Sharp Europe sprzedaje urządzenia elektroniczne, sprzęt AGD i wyposażenie zarówno osobom prywatnym, jak i firmom. Oferta biznesowa firmy została rozszerzona o usługi zarządzane i usługi wsparcia IT. Matt Riley jest inspektorem ochrony danych i bezpieczeństwa informacji firmy. Ma obowiązki zarówno w zakresie bezpieczeństwa wewnętrznego Sharp, jak i możliwości handlowych.

W ramach europejskiego biznesu Riley pełni dwuczęściową rolę. Pierwsza to bardziej tradycyjna rola inspektora ochrony danych, która nakłada się na świat bezpieczeństwa informacji i zapewnia, iż ​​biznes działa w sposób, w którym bierze pod uwagę nie tylko ryzyko ochrony danych, ale także ryzyko bezpieczeństwa informacji.

Inną częścią jego roli w brytyjskim biznesie jest analiza potencjalnych szans i zagrożeń. Dotyczy to firmy Sharp wewnętrznie, pomagając jej klientom biznesowym poruszać się po złożonych kwestiach dotyczących przepisów i technologii.

Przykładowo, kiedy Wielka Brytania opuściła Unię Europejską, przyjęła w całości Ogólne rozporządzenie o ochronie danych (RODO), co – jak zauważa Riley – oznacza, iż ​​przedsiębiorstwa mogą przez cały czas działać, mając do dyspozycji przepływy danych do i z UE, bez większych zmian.

Ale mówi: „Wielka Brytania prawdopodobnie odejść od takich rzeczy jak RODOco prowadzi do większej niepewności. Częścią mojej roli jest zrozumienie tego poziomu niepewności, a następnie pomoc w wewnętrznym wspieraniu Sharp.”

Patrząc na zagrożenia i szanse technologiczne, wielu liderów biznesowych chce wykorzystać możliwości, jakie oferuje generatywna sztuczna inteligencja (GenAI). Jednak z perspektywy zgodności z przepisami Riley zachowuje ostrożność. „Istnieje tak wiele wiele ryzyk związanych z GenAI które są słabo poznane” – ostrzega.

Riley niedawno opublikował na LinkedInie artykuł, w którym zbadał zagrożenia związane z tą technologią, biorąc pod uwagę łatwość korzystania z ChatGPT.

„Musimy zacząć stawiać tu pewne granice. Musimy zacząć edukować ludzi na temat niektórych prawdziwych fundamentalnych różnic w modelach AI, aby przynajmniej ludzie mogli podejmować świadome decyzje” – mówi.

Jak dodaje, liderzy biznesowi będą chcieli dostrzec korzyści płynące z GenAI, ale będą chcieli również korzystać z niej w bezpieczny sposób.

Zdobywanie serc i umysłów

Podobnie jak niemal każdy lider zajmujący się bezpieczeństwem IT, Riley często musi prowadzić trudne rozmowy ze współpracownikami na temat tego, co mogą, a czego nie mogą robić z perspektywy cyberbezpieczeństwa.

„Moje podejście” – mówi – „jest takie, iż odpowiedź nigdy nie brzmi „nie”. Nie zdobędziesz serc i umysłów naprawdę ważnym tematem, mówiąc „nie” cały czas”.

Odnosząc się do badań rządu Wielkiej Brytanii, Riley mówi, iż firmy postrzegają cyberbezpieczeństwo i bezpieczeństwo IT jako wysoki priorytet: „Wiemy, iż poziom obaw o cyberbezpieczeństwo rośnie. Ale w porównaniu do 10 lat temu, w tej chwili istnieje znacznie większa świadomość, dlaczego jest to ważne”.

Dla Rileya wyzwaniem dla specjalistów od cyberbezpieczeństwa jest to, iż poziom wiedzy na temat cyberbezpieczeństwa jest stosunkowo niski. Decydenci biznesowi nie są ekspertami w dziedzinie cyberbezpieczeństwa. „Samo powiedzenie „nie” oznacza, iż ​​stawiamy bariery” – dodaje.

Riley mówi, iż wykorzystuje storytelling, gdy prowadzi trudne rozmowy z kolegami biznesowymi na temat cyberzagrożeń związanych z inicjatywami lub projektami, które chcą popchnąć do przodu. Mówi: „Chodzi o to, aby ryzyko było zrozumiałe dla osoby, z którą rozmawiasz”.

Biorąc pod uwagę, iż bezpieczeństwo IT wykorzystuje wiele terminologii technicznej, przekonanie ludzi oznacza zapewnienie im sposobu na zrozumienie ryzyka w kontekście, który mogą zrozumieć. „Mam piękny przykład z zespołem kierowniczym Sharp”, mówi, gdzie decydenci biznesowi byli w stanie podjąć świadomą decyzję o tym, czy podjąć współpracę z nowym dostawcą sprzętu sieci bezprzewodowej.

„My jako firma, i każda firma, powinniśmy zachować prawdziwy poziom należytej staranności w odniesieniu do łańcucha dostaw”

Matt Riley, Sharp Europa

„To była naprawdę, naprawdę dobra propozycja” — mówi. „Wszyscy byli bardzo przekonani, iż to świetny pomysł. Dlatego podjąłem kroki, aby przejrzeć firmę. Musieliśmy zrozumieć, w jaki sposób będą chronić nasze dane”.

Po przeprowadzeniu należytej staranności Riley powiedział, iż usiadł z zespołem kierowniczym i zapytał, kto chciałby być zaangażowany na szczeblu zarządu w sponsorowanie dostawcy IT, o którym mowa. „Powiedziałem wtedy, iż jest kilka zastrzeżeń. Oni [the wireless equipment supplier] nie chcą nam dać umów o poziomie usług, nie chcą nam dać czasu sprawności, nie chcą nam dać żadnego zapewnienia, iż ​​ich produkt spełnia nasze minimalne wymagania bezpieczeństwa”.

Riley mówi, iż po tej rozmowie nikt nie chciał zostać sponsorem wykonawczym. „Nie powiedziałem „nie”, ale doprowadziłem ich do świadomej decyzji, w której i tak doszli do takiego wniosku” — dodaje.

Wśród rosnących obszarów zainteresowania szefów ds. bezpieczeństwa IT znajduje się łańcuch dostaw jako potencjalny punkt awarii i słabość cyberbezpieczeństwa. Riley spodziewa się, iż łańcuchy dostaw będą przez cały czas rosnąć wykładniczo w nadchodzących latach. Radzenie sobie z takimi atakami wymaga zmiany kulturowej, co zawsze jest trudne.

„My jako firma, i każda firma, powinniśmy mieć prawdziwy poziom należytej staranności w łańcuchu dostaw” – mówi. „Musimy jednak przyjąć podejście oparte na ryzyku, ponieważ nie żyjemy w świecie czerni i bieli: żyjemy w szarym spektrum tego, co jest bezpieczne, a co nie”.

W związku z tym, jego zdaniem, liderzy bezpieczeństwa IT muszą upewnić się, iż wdrożyli odpowiednie środki kontroli, które pomogą chronić firmę.

Posłuchaj podcastu tutaj >>



Source link

Idź do oryginalnego materiału