Będąc dyrektor ds. bezpieczeństwa informacji (CISO) dla głównego dostawcy wiąże się z wyzwaniami: pracujesz z ludźmi, którzy rozumieją Twoją pracę równie dobrze jak Ty, a atakujący ma przed sobą duży cel.
Spotkanie ze Stephenem McDermidem, regionalnym dyrektorem ds. bezpieczeństwa (CSO) w regionie EMEA o godz Oktaotwarcie mówi o utrzymywaniu silnych więzi z klientami i partnerami oraz zapewnianiu wszystkim bezproblemowej obsługi – ma to doświadczenie zdobyte na wysokich stanowiskach związanych z bezpieczeństwem cybernetycznym w takich firmach jak Salesforce i szkocka policja.
Mówi, iż wewnątrz Okty pełni rolę oczu i uszu firmy CISO David Bradbury, dzięki czemu może kontaktować się z klientami i pomagać im zrozumieć koncepcje bezpieczeństwa Okty, oferować wsparcie „i robić wszystko, co adekwatne w zakresie strategię firmy”.
Jeśli chodzi o klienta, McDermid twierdzi, iż postrzega go bardzo jako partnera firmy, ponieważ zapewnia mu się możliwie największą ochronę.
„Zajmujemy się robieniem rzeczy typowo SaaS [software as a service] dostawca nie zrobiłby tego; jeżeli jesteś zwykłym dostawcą SaaS, nie monitorowałbyś proaktywnie ataków atakujących Twojego klienta, ale Okta robi to, ponieważ wiemy, iż jeżeli wiesz, iż mamy taką widoczność, możemy to zobaczyć i czy możemy to zatrzymać i zaalarmować klientem, to będzie to dobra rzecz.”
Ta koncepcja A model wspólnej odpowiedzialności McDermid chętnie naciskał, chwaląc pracę wykonaną przez kadrę kierowniczą wyższego szczebla firmy, która umożliwiła Okcie współpracę z zespołem ds. bezpieczeństwa, aby zapewnić poparcie korporacyjne i zapewnić bardziej bezproblemowe doświadczenia wewnętrzne.
„Myślę, iż ostatecznie bezpieczeństwo to przez cały czas sprawa ludzi” – mówi. „Mimo iż mamy ludzi, którzy są niesamowitymi ekspertami [working for Okta]ostatecznie bezpieczeństwo to sprawa ludzi. To serca i umysły. choćby samo wyjaśnienie, dlaczego to robimy, jest ważne, ponieważ choćby jeżeli mogą tego nie zrozumieć, warto to zrobić, ponieważ tak naprawdę chodzi o plan działania”.
Jeden kierunek
McDermid wspomniał o Zobowiązanie Okta do bezpiecznej tożsamościwystrzelony w lutym 2024 rktóry, jego zdaniem, określa misję firmy, dzięki czemu nie tylko klienci i partnerzy znają kierunek firmy, ale ostatecznie ich pracownicy wiedzą, dokąd firma stara się osiągnąć i jaka jest jej długoterminowa wizja.
„Myślę, iż naprawdę ważne jest, aby wyjaśnić ludziom „dlaczego” niezależnie od tego, czy przebywają w strefie bezpieczeństwa, czy nie, ponieważ ostatecznie pozwoli im to w pewnym sensie wejść na pokład i zabrać ich ze sobą, zamiast po prostu im mówić coś zrobić.”
Jednym z przykładów, który przytoczył, było użycie symulacje phishingu jako metodę szkoleniową, w celu określenia zarówno gotowości, jak i jej wpływu na sposób myślenia użytkownika.
„Jak każda organizacja organizujemy szkolenia dotyczące phishingu i mierzymy skuteczność phishingu, a także wysyłamy szkolenia, a następnie, dosłownie, następną rzeczą, którą otrzymają, jest legalny e-mail z prośbą o przesłanie nam opinii” – mówi. „To nastawienie, iż wiemy, kiedy jest to dobre, a kiedy nie”.
Bez tarcia
Mówi, iż celem bycia mniej tarciowym jest zapobieganie wymuszaniu zmian na ludziach, „bez ich pełnego zrozumienia lub zrozumienia, dlaczego to robisz i jak może wyglądać koniec”. Doprowadziło to do utworzenia zespołu ds. kultury bezpieczeństwa, aby zapewnić skupienie się na wewnętrznym przesyłaniu wiadomości oraz mierzeniu i monitorowaniu tej kultury, ponieważ „ostatecznie w ten sposób zamierzamy podnosić i podnosić poprzeczkę bezpieczeństwa, którą posiadamy, i kontynuować postęp i wprowadzanie tych usprawnień.”
Przyznaje, iż koncepcja „działu nie”, z którą często wiąże się bezpieczeństwo, i która często się sprawdza, ponieważ jest „często najmniej ryzykowną opcją”, przyznaje jednak, iż takie podejście nie pomaga firmie w rozwoju i nie też nie pomaga klientom.
„Więc rzeczywistość jest taka, iż musimy znaleźć się na takiej pozycji, która umożliwia przedsiębiorstwom i uświadamia im, jakie niesie ze sobą ryzyko”. Utrzymując personel w dobrej kondycji i na boku, powinni czuć się bardziej zaangażowani w plan działania w zakresie bezpieczeństwa i rozumieć, gdzie napotykane są blokady, a nie polegać na zapobieganiu im lub spowalnianiu ich.
Ataki na innych
Ta uwaga dotycząca ryzyka prowadzi mnie do zastanowienia się, w jaki sposób CISO dużej firmy zajmującej się bezpieczeństwem cybernetycznym postrzega ataki na inne firmy i wyciąga z nich wnioski? McDermid mówi: „Jak reagujemy kiedy zobaczymy te zdarzenia w prasie; reagujemy, przyglądając się temu, co się stało, przyglądając się podmiotowi zagrażającemu i przyglądając się, jak byśmy na to zareagowali. Daje nam to możliwość myślenia o tych zagrożeniach z realnej perspektywy, zamiast zastanawiać się, co by było, gdyby do tego doszło”.
Powiedział też, iż nadchodzi okres autorefleksji i zastanowienia się, jaki wpływ będzie to miało na klientów i jakie pytania będą mieli do Okty. „Daje nam to szansę na przygotowanie i przeanalizowanie własnych możliwości oraz daje nam możliwości uczenia się – monitorujemy te rzeczy i możemy się z tego uczyć”.
McDermid twierdzi, iż wszystko, co dotyczy klientów, będzie sprawą najwyższej wagi, a zajęcie się wszelkimi problemami umożliwi firmie natychmiastowe zajęcie się nimi – na przykład w przypadku wykorzystania typowej luki w zabezpieczeniach lub exploita albo jeżeli osoba atakująca identyfikowała cele w określonych branżach.
W branży tak ze sobą powiązanej, jak bezpieczeństwo cybernetyczne, McDermid twierdzi, iż gdyby poszkodowana firma była partnerem lub klientem, skontaktowałby się z nimi, aby zaoferować jakąkolwiek pomoc, ponieważ „doceniana jest choćby druga para uszu, która może coś odbić”.
Chętnie podkreśla fakt, iż można i należy uczyć się na przykładach, a kluczem dla Okty jest potrzeba zachowania przejrzystości „i w ten sposób zdobywa się zaufanie – co się stało, co z tym robisz, jakie zmiany co robisz, i myślę, iż właśnie w tym miejscu możesz naprawdę uczyć się na błędach innych ludzi, a następnie oczywiście spróbować podnieść swoją własną pozycję”.
Około 12 miesięcy od dobrze opisanego zdarzenia naruszenie tokenów dostępuOkta czyni postępy w dziedzinie bezpieczeństwa cybernetycznego i udowadnia, iż incydent tego nie cofnął. W rzeczywistości firma rozwija w tej chwili swoją rolę dostawcy bezpiecznej tożsamości i podmiotu umożliwiającego świadczenie usług w chmurze, a jej pozornie silny rdzeń wewnętrznie służy w tym procesie.