Deine Lippen sagen „Nein“, aber ich höre nicht zu

Es gibt eine lange Geschichte von Sicherheitsexperten, die sich über die Unsicherheit neuer Technologien beschweren. Wenn neue Technologien auf dem Vormarsch sind, verfügen sie selten über eine große integrierte Sicherheit. Die Bevölkerung kommt nie vorbei und sagt: „Sicherheit ist richtig. Wir sollten aufhören, dieses Ding zu verwenden, das wir lieben.“ Die beliebte Technologie gewinnt IMMER.

Die Folge dieser Woche wird von mir, David Spark (@dspark), Produzent der CISO-Serie, und Andy Ellis (@csoandy), Betriebspartner von YL Ventures, moderiert. Unser Gast ist Rinki Sethi (@rinkisethi), Vizepräsident und CISO, BILL.

Haben Sie Feedback? Beteiligen Sie sich an der Diskussion auf LinkedIn.

[Voice-over]Was ich an Cybersicherheit hasse, los!

[Rinki Sethi] Was ich an der Cybersicherheit hasse, ist, dass die Geschlechtervielfalt in diesem Bereich nicht die Geschlechtervielfalt in der Welt widerspiegelt. Und der Grund, warum das frustrierend ist, liegt darin, dass wir vor einigen der schwierigsten Herausforderungen stehen, die wir lösen müssen, und dass wir unterschiedliche Wege brauchen, um die Herausforderungen der Cybersicherheit zu lösen. Und das können wir nur schaffen, wenn wir haben diese Art von Vielfalt.

[Voice-over]Es ist Zeit, mit dem Podcast der CISO-Serie zu beginnen.

[David Spark] Willkommen beim Podcast der CISO-Serie. Mein Name ist David Spark. Ich bin der Produzent der CISO-Serie. Und als mein Co-Moderator kommt Andy Ellis, wie Sie ihn schon einmal gehört haben. Er ist der operative Partner bei YL Ventures. Andy, grüße das nette Publikum.

[Andy Ellis]Hallo an das nette Publikum.

[David Spark] Wir sind unter cisoseries.com erreichbar, wo Sie alle unsere anderen Programme sehen können. Wir haben jede Menge Schuhe. Wir veröffentlichen acht bis zehn Episoden pro Woche, je nachdem, was gerade in der Staffel ist und was in dieser Woche passiert. Aber viel los. Unser Sponsor für die heutige Folge ist OffSec, das sich für die Weiterentwicklung von Cyber-Arbeitskräften und beruflicher Weiterentwicklung einsetzt. Ja, sie haben tatsächlich diese erstaunliche Bildungsplattform für die Ausbildung Ihrer eigenen Sicherheitsexperten. Sie werden etwas später in der Show hören wollen, was wir zu sagen haben. Bleiben Sie dran. Aber zunächst einmal, Andy, wir sind erst ein paar Wochen von der Reise nach RSA entfernt, als wir dies aufnehmen. Ich möchte wissen ... Sie haben einige tolle Tipps gegeben. Was ist für Sie die große Sache, die bedeutet: „Ich persönlich habe RSA gut gemeistert.“ Was ist das für Sie?

[Andy Ellis] Das ist wirklich eine schwierige Frage. Und ich glaube, ich werde es erst wirklich erfahren, wenn ich nach Hause komme. Weil es eigentlich zwei Dinge sind. Die eine ist, ob ich noch gesund bin. Und es gibt viele verschiedene Möglichkeiten, warum man das tut.

[David Spark]Ich habe letztes Jahr bei RSA COVID bekommen.

[Andy Ellis] Okay, das ist definitiv nicht die Möglichkeit, es zu tun. Aber es gibt Zeiten, in denen ich mich selbst ausbrenne. Ich renne völlig fertig. Und dann ist es für mich wirklich wichtig, wie viele Follow-ups ich habe, auf die ich mich freue. Es gibt viele Dinge, denen man nachgeht und die sagen: „Oh, ich muss dieser Person eine Amelia schicken, nur weil ich es gesagt habe, aber ich bin nicht begeistert davon.“ Aber es ist wie: „Oh, ich habe diese wirklich coole Person getroffen. Und ich kann ihnen eine E-Mail schicken, und jetzt werden wir ein Gespräch führen, weil wir gesagt haben, dass wir das tun würden.“ Darauf freue ich mich wirklich, beurteilen zu können und sagen zu können: „Ich habe während meiner Zeit bei RSA einige tolle Gespräche geführt und freue mich auf den nächsten Schritt.“

[David Spark] Das ist sehr gut. Was mich bei der Nachverfolgung frustriert, ist das große Interesse bei RSA und wie gering es wird, wenn man RSA verlässt. [Lacht]

[Andy Ellis] Absolut. Es gibt viele Leute, die so tun, als würden sie gerne mit Ihnen Kontakt aufnehmen, aber das sind sie nicht.

[David Spark] Ja. Nun, ich werde mich mit vielen Sponsoren und potenziellen Sponsoren treffen, was großartig ist. Und auch Treffen mit Gästen und potenziellen Gästen. Also, das ist immer... Allein das Networking ist für mich auch einfach riesig. Wir haben einen Gast bei uns, sind Turn-Champion-Gast. Wir hatten sie schon einmal bei uns, als sie CISO bei Twitter war. Und jetzt haben wir sie, jetzt, wo sie die CISO von BILL ist. Es ist kein anderer als Rinki Sethi. Rinki, vielen Dank, dass du wieder bei uns bist.

[Rinki Sethi]Danke für die Einladung.

3:21.887

[David Spark] Bei einem kürzlichen Auftritt in New York City sagte CISA-Direktorin Jen Easterly: „CEOs und Vorstandsmitglieder müssen die Cyber-Verantwortung von Unternehmen als eine Frage guter Unternehmensführung betrachten und nicht als etwas, worüber sich die IT-Leute Sorgen machen.“ Nun, Andy, ich möchte hier den Spieß umdrehen. Was tun Vorstandsmitglieder und C-Führungskräfte, um Ihnen die Risikominimierung zu erleichtern? Andy, Sie sagten, CISOs könnten nicht die einzigen sein, die sich weiterbilden, weil die C-Suite/der Vorstand Risikoentscheidungen auf der Grundlage von Vorkenntnissen trifft. Also... Und das ist der Teil, den ich hier aufzudecken versuche. Wenn die Führungsebene dazu befähigt ist, Cyber-Risiken zu verstehen, wie konnten sie dann besser agieren?

[Andy Ellis] Ich denke, sie hören auf, taktisch vorzugehen. Eine der Herausforderungen, die ich in vielen Unternehmen und im Gespräch mit vielen CISOs sehe, besteht darin, ein neues Vorstandsmitglied einzustellen, und das ist das Vorstandsmitglied, das sich mit Cyber ​​auskennt. Sie stürzen sich sofort ins Detail. Sie sagen: „Oh, kann ich sehen, dass Ihre Kontrollen an der CSF ausgerichtet sind? Oder lassen Sie uns über bestimmte Details sprechen.“ Und eigentlich ist es so etwas wie eine Devisentransaktion. Eigentlich verwende ich das Wechselkursrisiko gerne, um über Cyberrisiken zu sprechen. Jeder, der in einem multinationalen Unternehmen auf Führungsebene arbeitet, hat ein grundlegendes Verständnis dafür, wie sich Wechselkursrisiken auf sein Geschäft auswirken. Sie werden sich darauf verlassen, dass der CFO ihnen Teaser einbringt wie: „Oh, hey, wir sind vielleicht ein bisschen Es besteht eine übermäßige Hebelwirkung zwischen unserem Umsatz und unserer Tochtergesellschaft in Großbritannien und dem US-Dollar.“ Aber sie kennen die Grundlagen und wissen, wie alles zusammenpasst. Und das ist es, was wir steigern müssen. So wie CISOs ihrer Führungsspitze nicht sagen müssen: „Oh, wir müssen uns wegen dieses speziellen Namens eines Trojaners Sorgen machen.“ Aber wenn sie im Grunde nicht verstehen, wie Ransomware funktioniert … und wenn ich sage, wie sie funktioniert, meine ich eine Beschreibung in drei Sätzen … Sie gelangen auf eine Maschine, bewegen sich seitwärts und stehlen alle unsere Daten. Boom, das ist ihre Beschreibung. Damit sie, wenn sich etwas ergibt, einen klaren Rahmen haben, über den sie nachdenken: „Wie würde sich das auf unser Geschäft auswirken?“

[David Spark] Guter Punkt. Rinki, das werfe ich dir zu. Haben Sie mit den unterschiedlichen Graden an Cyber-bewussten Vorständen/Führungsebenen gearbeitet und nicht so sehr? Wie haben Sie festgestellt, dass die beiden Gruppen einfach unterschiedlich agieren, und wie erleichtert Ihnen das auf die eine oder andere Weise die Arbeit?

[Rinki Sethi]Ja, ich finde es interessant, weil ich als CISO in einem Vorstand sitze und dann auch als CISO den Vorständen Bericht erstattet habe.

[David Spark]Sie haben es also von beiden Seiten gesehen.

[Rinki Sethi] Ja, dazu gibt es ein paar unterschiedliche Perspektiven. Erstens denke ich, wenn ein CISO sein Material präsentiert, gibt es viele Kennzahlen und viele Daten. Und oft haben die Vorstandsmitglieder nach diesen Daten gefragt und gesagt: „Oh, wir haben einiges gelesen, und das sollten Sie präsentieren.“ Also gehen Sie und sammeln Sie das. Aber ist es das, was mich als CISO nachts wach hält? Ich denke, das ist das wichtige Gespräch darüber, ob Sie von der Führung die Unterstützung erhalten, die Sie brauchen. Was sind die Hauptrisiken, die Sie nachts wach halten? Gibt es in diesen Bereichen die richtigen Investitionen? Ob im Sitzungssaal oder im Einzelgespräch mit den Vorstandsmitgliedern und die Gespräche, um die richtige Unterstützung zu erhalten, sind meiner Meinung nach das Wichtigste.

[David Spark] Und bedeutet Unterstützung einfach Geld? Ich meine, was ist Support? Können Sie eine Ebene tiefer graben?

[Rinki Sethi] Nein, nicht unbedingt Geld. Ich denke, es geht darum, die Risiken zu verstehen und zu verstehen, dass es eine gute Sache gibt, wenn man nicht die richtigen Investitionen getätigt hat: „Okay, das ist die richtige Entscheidung für das Unternehmen und die Richtung, in die wir gehen.“ Oder wenn es heißt: „Ich glaube nicht, dass wir diese Lücke schließen sollten. Lasst uns die richtigen Investitionen tätigen.“ Ob das Geld ist oder was auch immer das sein könnte. Und ich denke, das ist wirklich wichtig. Ich habe gesehen, wie Vorstandsmitglieder auch Kurse zum Thema Cybersicherheit besucht haben, und ich denke, einiges davon ... Ich habe einiges von dem Material gesehen und es ist etwas veraltet. Ich denke, es wäre besser für sie, stattdessen mit einem CISO zu sprechen. Das andere, was ich bei Unternehmen gesehen habe, die ich ... Und das ist etwas Neues, das ich gesehen habe, und ich finde es eigentlich ziemlich cool: Dass sie anfangen, CISO-Beratungsausschüsse einzurichten, die den Vorstand beraten. So erhält man eine vielfältige Perspektive auf die Art und Weise, wie CISOs kommen und ihr Wissen teilen. Sie hören es nicht nur von einem CISO, der vielleicht im Vorstand sitzt. Ich denke also, dass es interessante Möglichkeiten gibt, das zu sagen: „Sehen Sie, wir sind uns als Vorstand nicht bewusst, also müssen wir uns weiterbilden. Aber das könnte einige Zeit dauern. Und also holen wir uns andere Leute, die kommen und uns helfen.“ Und ich sehe, dass immer mehr Boards das tun.

[David Spark]Andy, ich möchte nur eine der gleichen Fragen stellen, die ich Rinki gestellt habe: Was bedeutet die Unterstützung durch den Vorstand für Sie?

[Andy Ellis] Unterstützung bedeutet also … Ich denke, wenn der Vorstand fragt: „Haben Sie die richtige Unterstützung?“, dann fragt er: „Wenn Sie sagen, dass etwas wichtig ist, hören Ihnen Ihre Kollegen dann zu?“ Denn wenn Sie für jede Initiative, die Sie umsetzen müssen, die Zustimmung des CEO einholen müssen, dann haben Sie keine Unterstützung. Unterstützung bedeutet, dass Sie Teil des Unternehmens sind. Und wenn Sie sagen: „Hey, wir müssen das erledigen“, geschieht das im Rahmen des Zumutbaren und auf die gleiche Weise, als ob die Personalabteilung auftauchte und sagte: „Hey, Sie müssen das erledigen…“, dann drängen die Leute im Allgemeinen nicht dagegen alles, was die Personalabteilung verlangt. Wir schieben vieles davon zurück. Aber wenn Sie nur Widerstand erleben, haben Sie keine Unterstützung.

8:39.144

[David Spark] @myracoonhands auf Twitter… Nicht ihr richtiger Name. Sie heißen übrigens auch AKA Infosecsie. Gefragt ob…

[Andy Ellis]Mir gefällt der Stimmritzenstopp, den du da eingebaut hast.

[David Spark] Nur für dich. Wie gehen Sie in einer Führungsposition mit Misserfolgen um? Konkret innerhalb Ihrer Belegschaft. Und was halten Sie von dem Satz: „Scheitern ist keine Option.“ Deshalb möchte ich hier nur drei meiner Lieblingsantworten zitieren. Sean Mollett sagte: „Misserfolg bedeutet nicht, einen Fehler zu machen. Misserfolg bedeutet, einen Fehler nicht zu erkennen und zu korrigieren.“ @CyndyL44 sagte: „Ich arbeite im Softwareproduktmanagement. Und wenn Scheitern keine Option wäre, würden wir nie etwas bauen. Ich denke, das ist veralteter verkaufsmäßiger Motivations-Unsinn.“ Und Karsten Hahn von G DATA sagte: „Misserfolg ist nicht vermeidbar und eine Chance, zu lernen und die Dinge in der Zukunft besser zu machen. Er sollte genutzt werden, um Prozesse zu verbessern, anstatt ihn als persönlichen Fehler anzusehen. Meistens ist er das nicht.“ verursacht durch eine Person, sondern durch den Prozess.“ Also, Rinki, ich werde dir das sagen, aber ich werde ein wenig Hintergrundgeschichte zu dem Satz hinzufügen: „Misserfolg ist keine Option.“ Es handelt sich tatsächlich um einen Satz, der dem NASA-Flugdirektor Gene Kranz und der Mondlandemission Apollo 13 zugeschrieben wird. Aber er hat ihn nie gesagt. Es wurde nur im Film „Apollo 13“ von 1995 gesagt. Also, ich frage dich, Rinki, wie gehst du mit Misserfolgen bei deinen Mitarbeitern um? Und was halten Sie von dem Satz: „Scheitern ist keine Option.“ Ist es ein Satz, den Sie selbst geäußert haben?

[Rinki Sethi] Ich glaube nicht, dass ich diesen Satz selbst ausgesprochen habe. Ist es nicht unsere Aufgabe, als Cyber-Sicherheitsleute Fehler in Dingen zu finden? Das ist es, wovon wir leben. Wenn ich also an Misserfolge denke, denke ich an Fehler. Und ich stimme mit einigen der Zitate überein, die Sie auf … gemacht haben. Ich denke, dass Fehler dazu führen, wie man lernt, wie man wächst, wie man innovativ ist. Es ist, wenn man immer wieder dieselben Fehler macht oder die Absicht schlecht ist. Da denke ich, dass es gar kein Fehler mehr ist. Du redest von etwas ganz anderem. Aber ich glaube, dass man scheitern wird, wenn man wachsen will. Und daraus lernen... Und das ist es, was Erfolg ausmacht. Ich glaube also nicht, dass Scheitern keine Option ist. Das gefällt mir nicht.

[David Spark]Andy, wie gehen Sie mit Misserfolgen in Ihrem Team um?

[Andy Ellis] Also habe ich einfach in meinem Buch nachgeschaut … Entschuldigung, ich muss auf das Buch verweisen. Und von meinen 54 Kapiteln geht es in sechs um das Scheitern.

[David Spark]Haben Sie es nicht geschafft, sie zu schreiben?

[Andy Ellis] [Lacht] Ich habe es nicht geschafft, einige der anderen Kapitel zu schreiben. Früher gab es 55 Kapitel, bis mein Lektor das Buch las, und jetzt sind es nur noch 54.

[David Spark][Lacht] Warte mal, ich möchte wissen, welches davon abgeschnitten wurde?

[Andy Ellis]Die mit dem Titel „Es spielt keine Rolle, wie gut Ihre Fußballmannschaft ist, wenn Sie sie auf ein Hockeyfeld stellen, sind sie zum Scheitern verurteilt.“

[David Spark] Ja ich mag das. Das ist gut.

[Andy Ellis] Was mir eigentlich gefallen hat, aber es überschnitt sich mit zwei der benachbarten Kapitel. Also, jedenfalls. Erstens ist Scheitern die Art und Weise, wie Menschen wachsen. Wie jedes Mal, wenn Sie möchten, dass jemand wächst, müssen Sie ihn dem Risiko des Scheiterns aussetzen. Jetzt sollten Sie es auf kontrollierte Weise tun. Sie sollten es sicher machen. Sie sollten nicht einfach sagen: „Oh, Sie möchten sich also auf die nächste Jobebene vorbereiten? Nun, ich schicke Sie einfach unvorbereitet los.“ Ein Teil des Versagens wird auch darauf vorbereitet, sich für das Versagen innerhalb eines Unternehmensumfelds zu entschuldigen. Das heißt, wenn Sie scheitern, gehört es Ihnen. Sie sagen einfach: „Ja, wir haben versagt. Folgendes haben wir falsch gemacht. Folgendes werde ich als Führungskraft anders machen.“

Und Sie arbeiten mit Ihrem Team zusammen und sagen: „Daher habe ich Sie im Stich gelassen, weil ich Sie nicht rechtzeitig erwischt habe.“ Aber es ist auch sehr wichtig, bei Projekten zu scheitern. Wenn Sie nicht regelmäßig scheitern, schließen Sie nicht genügend Wetten ab. Alles, was Sie tun ... Nichts ist sicher. Wenn also alles, was Sie tun, erfolgreich ist, bedeutet das, dass Sie bei Ihren Investitionen viel zu konservativ waren. Egal, ob es sich um eine Produktorganisation oder sogar ein Sicherheitsprojekt handelt. Die Anzahl der Projekte, die mein Team begonnen, aber nie abgeschlossen hat, weil wir sie teilweise abgeschlossen hatten und sahen, dass sich der Wind gedreht hatte, war das nicht mehr nötig ... Und wir waren bereit, frühzeitig Scheitern einzugestehen und lieber schnell zu scheitern als Bleiben Sie engagiert, denn Scheitern war keine Option.

[David Spark] Rinki, was machst du mit deinem Team, damit es sich anstrengen kann, möglicherweise ein paar Dinge kaputt zu machen und daraus zu lernen? Gibt es etwas, das Sie tun, um an diesen Punkt zu gelangen?

[Rinki Sethi] Ja, ich denke, es befähigt sie, Fehler zu machen und bewusste Risiken einzugehen. Rechts? Deshalb konnte ich einigen Dingen, die Andy mehr sagte, nicht zustimmen. Aber wenn Sie nur daran denken, mit einem Unternehmen zusammenzuarbeiten, werden Sie alles kaputt machen. Und wenn das Team zu große Angst davor hat, dass ich etwas herunterfahren könnte ... ein Server könnte ausfallen ... werden Sie nicht das Risiko eingehen, die Dinge zu finden, die Sie finden müssen. Und so geben Sie ihnen die Möglichkeit zu sagen: „Schauen Sie, seien Sie schlau.“ . Aber es ist okay. Wenn du es vermasselst, werde ich da sein. Ich werde da sein, um dich zu verteidigen, und wir werden daraus lernen und sicherstellen, dass uns das nicht noch einmal passiert.“ Aber gleichzeitig werden wir auf diese Weise die Probleme finden, die wir finden müssen. Und so gab es Zeiten ...

Und ich kann Ihnen zwei Situationen nennen, die in der Vergangenheit passiert sind, zum einen, als es ein rotes Team war oder sie etwas zunichte machten und das teilten sie. Und dann lernen wir daraus und entweder ... oder wir finden eine Lücke, die wir schließen müssen. Es gab noch einen anderen Fall, bei dem sie es vertuschten. Und für mich ist das nicht die Art von Verhalten, die man sich wünscht. Aber wenn man Menschen Angst macht und ein Umfeld schafft, in dem man kein Scheitern zulässt, ist das eines der Dinge, die passieren können. Ich denke also, dass ich den Leuten einfach Kraft gebe und weiß: „Hey, es ist in Ordnung, Fehler zu machen. Ich habe auch Fehler gemacht. Und selbst wenn ich Fehler mache, mache ich immer noch Fehler. Und ihnen mitzuteilen, dass das die falsche Entscheidung war, oder.“ Das war falsch. Lassen Sie uns umschwenken. Ich denke, so zeigen Sie als Vorbild, dass Fehler in Ordnung sind.

[David Spark] Jetzt möchte Andy noch einmal auf sein Buch verweisen. Mach weiter, Andy.

[Andy Ellis] Ein Entschuldigungsbudget ermöglicht es Ihrem Team also, Risiken einzugehen. Und so etwas anpassen, nur damit die Leute es anders hören. Rinki sagte: „Wenn du es vermasselst, werde ich da sein, um dich zu verteidigen.“ Es ist tatsächlich ein bisschen anders. Es heißt: „Ich werde da sein, um mich für Sie zu entschuldigen.“ Es liegt an mir als CISO, dass Sie das getan haben, und wir haben dem Unternehmen geschadet. Und wir müssen uns für das Unternehmen entschuldigen und gleichzeitig verteidigen, dass dies ein notwendiges Risiko war. Aber ich werde da sein und nicht hinter dir stehen, aber ich werde bei dir sein und dich hoffentlich ersetzen, wenn die Leute sagen: „Ich muss jemanden anschreien.“ „Großartig, ich bin hier. Schreien Sie mich an. Es tut mir leid. Es war mein Team, das das auf meine Veranlassung hin getan hat.“ Jetzt könnte ich am Ende sagen: „Sie haben das Entschuldigungsbudget für das Jahr aufgebraucht. Ich möchte, dass Sie ein bisschen weniger Risiko eingehen und Ihre Kollegen ein bisschen mehr Risiko eingehen lassen.“ Ich habe dieses Gespräch schon früher mit Leuten geführt. Aber das ist es, was sie wirklich wissen müssen. Nicht, dass Sie im Kampf mit ihnen untergehen, sondern dass Sie den Druck aushalten, derjenige zu sein, der sich entschuldigt, wenn Sie das Unternehmen auf irgendeine Weise ruinieren.

[Rinki Sethi] Mir gefällt, wie du das gesagt hast. Genau das ist es. Genau das ist es.

15:43.021

[David Spark] Bevor wir weitermachen, möchte ich über unseren Sponsor OffSec sprechen. Das ist also ziemlich cool. Hören Sie sich das an. OffSec, das Unternehmen für Cybersicherheitslernen und Kompetenzentwicklung hinter der bekannten OSCP-Zertifizierung und Kali Linux Distro, hat jetzt eine neue Lösung speziell für die besonderen Anforderungen des Unternehmens entwickelt. Sie heißt Learn Enterprise. Oh, das ist einfach zu verstehen, oder? Mit einem Learn Enterprise-Plan erhalten Ihre Mitarbeiter uneingeschränkten Zugriff auf die OffSec-Lernbibliothek, die über 1.500 Videos, 2.000 praktische Übungen und mehr als 800 praktische Übungen umfasst. Die Bibliothek wird regelmäßig mit spezifischen Inhalten für Verteidigungs- und Offensivberufe von Grundlagen bis Fortgeschrittenen aktualisiert. Noch besser: Planinhaber erhalten exklusiven Zugriff auf die neue OffSec-Cyber-Reihe, um ihre Fähigkeiten in einer realen Umgebung zu üben. Google, VMware, Microsoft, um nur einige zu nennen, vertrauen OffSec bei der Teamentwicklung. Sie können mehr über das neue Angebot von OffSec, Learn Enterprise, erfahren, indem Sie einfach die Website von OffSec besuchen: offsec.com. Lassen Sie mich das für Sie buchstabieren. OffSec.com. OffSec.com, gehen Sie jetzt dorthin.

Es ist Zeit zu spielen: „Was ist schlimmer?“

23:00.114

[David Spark] Rinki, ich weiß, dass du weißt, wie man das spielt, weil du es schon einmal gespielt hast. Wir werden es noch einmal spielen. Und dieses kommt von ... Ich sage Ihnen, es ist unser Blue-Ribbon-Einreicher von „Was ist schlimmer?“-Szenarien. Das Problem ist, dass diese Person anonym ist, aber das Pseudonym Osman Young trägt[Phonetisch 00:17:36] .In Ordnung? Das ist also Osmans Szenario. Es ist ein wenig lang, also bleib dran, während ich damit durchkomme.

[Andy Ellis]Osman wird jedes Mal etwas komplexer, wenn ich es bemerke.

[David Spark] Ja, das ist verdammt komplex. Das werde ich sagen.

[Andy Ellis]Ich warte auf ein einfaches „Kopf oder Zahl. Was ist schlimmer?“

[David Spark] Nein nein Nein. Nun, Osman ist sehr kreativ. Wie ich bereits sagte, könnte Osman damit auch eine wirklich gute Karriere als Autor von Belletristik starten. Okay, ein Unternehmen hat keinen CISO, und Infosec ist eine Sache, die die IT betreibt und theoretisch manchmal handhabt, wenn sie Lust dazu hat. Daher sind Sicherheitsverletzungen in der gesamten Umgebung verstreut. Also gut, Szenario eins. Und ich möchte betonen, dass Ihnen beides wirklich nicht gefallen wird. Sie verfügen über einen DMZ-Webserver, der eine geschäftskritische Anwendung mit vielen regulierten personenbezogenen Daten in einer lokalen SQL-Datenbank hostet. Der NIC, Network Interface Controller, ist direkt mit dem Internet verbunden, ohne netzwerk- oder hostbasierte Firewall. Aber er läuft unter Windows 2022 und wird innerhalb von 24 Stunden nach dem Patch am Patch-Dienstag gepatcht. Auch SQL und die gesamte weitere Anwendungs-Middleware werden stets auf dem neuesten Stand gehalten. Die SQL-Datenbank ist voll von personenbezogenen Daten europäischer Kunden, die durch die DSGVO geregelt sind. Sie haben also Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Einkommen und Verkaufshistorie. Der Server verfügt über fortschrittliche Antimalware-Software von einem seriösen Anbieter, einen EDR-Client, eine erweiterte Konfigurationssperrlösung, eine gut konfigurierte Anmeldung und Feed-Outs auf eine gut abgestimmte SIM-Karte. Und ein fortschrittliches Betriebssystem, das die Hardware mit Ausnahme der Firewall auf den Empfehlungen des Industriestandards konfiguriert. Das ist das große Problem, das fehlt. Szenario Nummer zwei: Sie erhalten eine Windows XP-Workstation ohne Antimalware und ohne andere Sicherheitskontrollen. Es befindet sich in Ihrem internen Netzwerk. Sie haben keine interne Netzwerksegmentierung. Darauf läuft ein Webbrowser, der seit 2016 nicht mehr aktualisiert wurde. Die Praktikanten nutzen ihn in ihrer Mittagspause, um im Internet zu surfen. Die Windows XP-Workstation selbst enthält keine vertraulichen Informationen, wird aber mit etwas infiziert, das einem Angreifer dies ermöglicht Nutzen Sie es als Ausgangspunkt oder sammeln Sie Aufklärung über den Rest des Netzwerks und starten Sie andere Angriffe. Alles klar, Andy, welches ist schlimmer?

[Andy Ellis]Kann ich für das zweite Szenario davon ausgehen, dass ich irgendwo in meinem Netzwerk gleichwertige Daten habe?

[David Spark] Ja. Ja. Ja.

[Andy Ellis]Okay, ich wollte nur sichergehen, dass ich nicht … wie im zweiten Szenario, in dem ich in einem Unternehmen arbeite, das überhaupt keine Daten hat, was eigentlich ein ziemlich gutes sein könnte.

[David Spark]Im wahrsten Sinne des Wortes ist es wie ein Dummy-Computer, der nur... Es ist wie ein Bullauge für den Rest des Internets.

[Andy Ellis] Es handelt sich um einen Dummy-Computer in einer sehr sensiblen Umgebung. Oh, dann fällt mir das hier leicht. Ich gehe völlig davon aus, dass Nummer zwei das schlimmste Szenario ist.

[David Spark] Ja, aber die Sache ist, dass man überall sonst große Sicherheit haben könnte. Es ist einfach dieses Ding...

[Andy Ellis]Sie sagten, es könnte als Ausgangspunkt genutzt werden, was darauf hindeutet, dass ich nirgendwo sonst über große Sicherheit verfüge, sonst hätten Sie das erwähnt.

[David Spark] Nein, aber dieser spezielle Shop verfolgte bei der Netzwerksicherheit den harten Außenmantel-Ansatz. Intern gibt es keine Netzwerküberwachung, Anmeldung oder Kontrollen. Also, einmal ein Angreifer ... Nun, Sie haben Recht. Die dortige XP-Box kann sich frei im Netzwerk bewegen.

[Andy Ellis] Ja, Nummer zwei ist also definitiv die schlechteste. Und ich habe zwei Gründe dafür, und ich werde beide nennen. Und ich vermute, dass Rinki mir zustimmen wird, also werde ich dieses Mal gewinnen. Zunächst einmal sehen wir, dass moderne Gegner allesamt mehrstufige Angriffswege verfolgen. Diese Idee, dass, wenn sich die sensiblen Daten nicht auf dem Computer befinden, der ihr erster Eintrittspunkt ist, auf Nummer sicher gehen muss, muss einfach verschwinden. Man muss bedenken, dass das gesamte Netzwerk tatsächlich das ist, was sie angreifen, und jetzt … Wir haben ihnen einen Einstiegspunkt gegeben. Das ist also der erste Grund. Der Grund, warum ich das eigentlich nicht tue … Eigentlich gefällt mir Szenario Nummer eins irgendwie. Ich glaube nicht, dass es so schlimm ist. Denn was Sie postuliert haben, ist, dass bei dieser Maschine alles richtig gemacht wurde.

Was eigentlich bedeutet, dass ich keine Firewall brauche, und das wird für viele Leute sehr umstritten sein. Ich bin ein großer Fan von Ausgleichskontrollen. Aber eine Firewall ist eine kompensierende Kontrolle für die Unmöglichkeit, perfekte Sicherheit zu gewährleisten. Aber es ist dieses Szenario, und Osman Young hat mir perfekte Sicherheit für diese Box gegeben. Das bedeutet, dass keine Ports zum Internet offen sind, außer für die Dienste, die wir dem Internet zugänglich machen. Was eine Firewall dem Internet zugänglich machen würde. Das einzige wirkliche Risiko, das ich hier habe, wenn ich keine Abwehrmaßnahmen auf Netzwerkebene habe, ist DDAS. Das wäre ein Problem. Und wenn mir tatsächlich keine bessere Lösung einfallen könnte, wäre meine Antwort: Ich nehme Szenario eins, das mir am besten gefällt, und dann werde ich meinen Server komplett per DDAS auslasten, damit es nie zu einer Datenpanne kommen kann .Aber so weit muss ich gar nicht gehen. Ich möchte nur sagen, dass Nummer eins eigentlich kein schlechtes Szenario ist und besser als die Lage der meisten Unternehmen. Nummer zwei ist also absolut das Schlimmste.

[David Spark] In Ordnung. Gute Antwort. Alles klar, Rinki, ich gehe davon aus, dass du zustimmst. Sind Sie damit einverstanden? Weil ich viel Kopfnicken gesehen habe.

[Rinki Sethi] 100%. Nummer zwei ist schrecklich. Der Grund dafür, dass Sie über die gesamte Perimeter-Sicherheitsnetzwerksicherheit verfügen, liegt darin, dass Sie davon ausgehen, dass jemand durch Social Engineering manipuliert wird. Sie verfügen nicht über die perfekte Sicherheit, und es mangelt an Patches und ähnlichen Dingen, die dann genutzt werden, um an Ihre sensibelsten Daten zu gelangen. Die Tatsache, dass diese Leute 100-prozentige Sicherheit praktizieren, hat Andy auf den Punkt gebracht , es ist DDAS, worüber ich mir Sorgen machen würde. Aber selbst in diesem Fall wird es nicht zu einer Datenschutzverletzung kommen. Dies wird zu einem Verfügbarkeitsproblem führen. Szenario Nummer zwei ist also definitiv schlecht.

[David Spark]In Ordnung.

[Andy Ellis]Es gibt einen Grund, warum ich in meinem letzten Unternehmen Zero-Trust-Services aufgebaut habe: Szenario Nummer zwei zu stoppen.

23:00.114

[David Spark] Auf LinkedIn sagte Matthew Sullivan von Instacart: „Sicherheitsleute sind herzlich willkommen, so viel gegen offene KI, Chat GPT und Copilot vorzugehen, wie sie wollen. Aber denken Sie daran, dass wir das bereits mit BYOD, Dev Ops, Cloud usw. durchgemacht haben.“ und Bibliotheksverbreitung. Die Technologie gewinnt immer. Ihre Aufgabe ist es nicht, sie zu bekämpfen. Ihre Aufgabe ist es, der absolute Experte dafür zu werden und Ihre Mitarbeiter und Produkte zu erfolgreichen Ergebnissen zu führen.“ Mir ist also klar, dass es eine lange Geschichte von Sicherheitsexperten gibt, die sich über die Unsicherheit neuer Technologien beschweren. Und ehrlich gesagt, wenn neue Technologien auf dem Vormarsch sind, ist selten viel Sicherheit eingebaut. Die Bevölkerung kommt nie vorbei und sagt: „Sicherheit ist richtig. Wir sollten aufhören, dieses Ding zu verwenden, das wir lieben.“ Das beliebte Tool gewinnt also immer. Rinki, muss die Sicherheit immer die Hände hochwerfen, wenn schlecht gesicherte Werkzeuge populär werden? Müssen sie trotzdem einfach Experten werden? Oder gibt es vielleicht einen Mittelweg? Was denken Sie?

[Rinki Sethi] Ich glaube nicht, dass du die Hände hochwirfst. Es war lustig, ich habe gerade einen Artikel über fünf Merkmale gelesen, die einen schlechten CISO ausmachen, und einer davon spricht genau darüber. Ich glaube, es war CSO Online oder etwas, worüber ich diesen Artikel gelesen habe. Aber einer davon war, dass der CISO hereinkam und sagte: „Sie können keines dieser Tools verwenden, weil sie unsicher sind. Wir wissen noch nicht, wie sie Daten verarbeiten.“ Und so finden die Leute Workarounds. Sie werden die Tools sowieso nutzen, und dann wird der CISO zur schlechten Person in der Organisation. Deshalb denke ich, dass Sie herausfinden müssen, welches Risiko für Ihr Unternehmen besteht und wie Sie die Menschen darüber aufklären können, welche guten und welche schlechten Verwendungszwecke diese Dinge haben. Ich denke, das passiert, wenn man keine geschäftliche Perspektive einnimmt und es nicht tut Ich verstehe nicht, warum und wie die Leute das nutzen, und Sie versuchen, die Dinge so streng abzuriegeln. Dadurch entsteht dann eine größere Schwachstelle, als wenn man das Tool selbst tatsächlich nutzt. Und in manchen Szenarien und in manchen Risikoumgebungen akzeptieren Sie möglicherweise einfach nicht das Risiko, etwas wie Chat GPT oder Grammarly oder was auch immer zu verwenden. Aber ich denke, dass Sie wirklich verstehen, welche Risiken Ihr Unternehmen hat und wie viel Sie überwachen können und durchsetzen, und wie viel Sie Benutzer aufklären können. Und wenn das Ihre Denkweise ist, werden Sie nicht unbedingt eine Niederlage verspüren. Ich denke, es kommt wirklich darauf an, wie Sie darüber denken und wie Sie das Risiko gegenüber der Art des Geschäftswerts berücksichtigen.

[David Spark] Lass mich dir eine Frage stellen. Hatten Sie in irgendeiner Funktion eine Situation, in der etwas wie das Unternehmen beliebt war und Sie als Sicherheitsexperte dachten: „Oh mein Gott, was zum Teufel?“ Und Sie haben Ihrem gesamten Team gerade gesagt: „Wir müssen das herausfinden, weil wir nicht dagegen ankämpfen können. Das wird ausgenutzt. Was werden wir hier tun?“ Warst du in dieser Position?

[Rinki Sethi] Die ganze Zeit. [Lacht]

[David Spark]Okay.

[Rinki Sethi] Die ganze Zeit. Vor allem, wenn es Tools gibt, für die es eine Unternehmensversion gibt, und Sie sagen: „Hey, wir haben nicht das Budget, um die Unternehmensversion zu bekommen, die vielleicht sicherer ist.“ Oder für den Fall, dass es keine Enterprise-Version gibt, und genau das gilt für Sie, und wir müssen herausfinden, wie wir dies zulassen oder wie wir es blockieren können? Oder gibt es Alternativen? Und welche Alternativen gibt es? Ich denke, das ist etwas, worüber wir ständig reden müssen. In diesem Bereich kommen ständig neue Technologien auf den Markt, und wir führen diese Diskussionen, verstehen das Risiko und wissen, was man akzeptieren kann oder nicht. Ich denke, das ist … jeden Tag, das ist es, was wir tun.

[David Spark]Andy?

[Andy Ellis] Also deutete Rinki die Lösung für 99 % dieser Probleme an, nämlich Verträge. Zum Beispiel machen sich die Leute Sorgen über die Frage: „Na ja, was wäre, wenn wir sensible Daten an Open AI weitergeben würden?“ Aus diesem Grund sollten Sie die kostenlose Version wahrscheinlich nicht verwenden. Sie sollten die kostenpflichtige Version verwenden und über einen Vertrag verfügen, der sie zu einem echten Anbieter macht. So können Sie überprüfen und verstehen, was sie tun, und es liegt an Ihnen, zu entscheiden, ob Open AI Ihnen das erlaubt. Bei Chat GPT habe ich völlig andere Bedenken und ich denke, dass die meisten Sicherheitsexperten vergessen, dass das größere Risiko tatsächlich ein Reputationsrisiko darstellt. Welches ist Chat GPT Lügen.

[David Spark]Er ist übrigens ein guter Lügner.

[Andy Ellis] Es ist ein großartiger Lügner. Es ist wie dieser [Beep] auf einer Cocktailparty, der sich einfach Sachen ausdenkt, die gut klingen. Und wenn es in Ihrem Unternehmen Leute gibt, die sich darauf verlassen und diese Daten nur kopieren, einfügen und veröffentlichen, stellt das für die meisten CISOs ein größeres Risiko für Ihr Unternehmen dar als das Risiko, dass sensible Daten offengelegt werden. Jetzt sollten Sie es trotzdem versuchen um das Risiko sensibler Daten zu bewältigen, aber lassen Sie sich davon nicht aus der Fassung bringen und konzentrieren Sie sich auf dieses Kaninchenloch, wenn das eigentliche Problem darin besteht, dass Sie Leute haben, die nicht genug wissen, um die Antworten, die ChatGPT ihnen mithilfe von Chat GPT gibt, zu qualifizieren. Und ihnen muss beigebracht werden, wie sie überprüfen können, ob das, was Chat GPT Ihnen gerade gesagt hat, richtig ist. Und für diejenigen unter Ihnen, die Chat GPT großartig finden: Ich liebe es. Ich benutze es die ganze Zeit. Und um mich vor fast jedem Abschnitt daran zu erinnern, bitte ich ihn, eine Biografie von mir zu schreiben und sie mir zurückzusenden. Und es ist erstaunlich, was ich in meinem Leben getan habe. Es ist falsch.

[David Spark]Klingt es dadurch besser, als Sie sind?

[Andy Ellis] Zumindest anders. Mein Favorit ist, dass ich dadurch eine Reihe von Branchenauszeichnungen erhalten habe, die fast, aber nicht genau, die Branchenauszeichnungen waren, die ich hatte. Und ich denke: „Nun, dieser andere Andy hat innerhalb eines Jahres oder in naher Zukunft sechs Auszeichnungen gewonnen, als ich tatsächlich etwas von einer ähnlichen Publikation gewonnen habe.“ Es war sehr seltsam. Meine größere Sorge besteht darin, dass Sie so sehr damit beschäftigt sein werden, diesen Kampf darüber zu führen, ob die Leute Chat-GPT verwenden sollten oder nicht, dass Sie nicht darüber sprechen, in welchem ​​Prozess Chat-GPT verwendet werden soll eine Möglichkeit, die dem Unternehmen tatsächlich hilft.

28:41.374

[David Spark] Auf Dark Reading skizziert Steve Shelton von Green Shoe Consulting ein fiktives Szenario eines CISO, dessen CEO verärgert ist, weil er stundenlang keine E-Mails senden oder empfangen konnte. Der CISO ist in den Reihen aufgestiegen und hat mehr Verantwortung und Druck übernommen. Der CISO ist stolz auf seine Leistungen, befürchtet jedoch, dass ein Vorfall zusammenbricht und seinen Ruf ruiniert. Und schließlich – und das ist es, was ich in Frage stelle – erwartet die Führung 100-prozentigen Schutz vor böswilligen Bedrohungen und perfekte Leistung, was dem Sicherheitsteam klar ist eine unrealistische und unvernünftige Erwartung. Nun wurde dieses Szenario im Februar 2023 veröffentlicht. Meine Frage ist, wie realistisch dieses Szenario ist, insbesondere der letzte Teil. Und wo kann ein CISO, der mit einem dieser Probleme konfrontiert ist, auf der richtigen Seite sein? Was sind…? Und ich werde dich zuerst fragen, Rinki. Welche Leistungserwartungen werden an den CISO und sein Sicherheitsteam gestellt?

[Rinki Sethi] Das ist interessant, weil ich das Gefühl habe, dass es meine Aufgabe ist, die Erwartungen zu formulieren und sie zu kommunizieren, und zwar im Großen und Ganzen. Und damit meine ich das Verständnis dafür, dass es nicht nur meine Aufgabe ist, alle Risiken zu verstehen und auf meinen Schultern zu tragen, sondern dass es darum geht, wenn etwas passiert, wo die Leute erwartet haben: „Hey, warum sollte so etwas jemals passieren und wie kommt es.“ Diese Risiken wurden weder mir noch dem Unternehmen mitgeteilt? Warum gab es keine Transparenz?“ Dann hat man das Gefühl, dass man seinen Job nicht macht. Aber wenn Sie stattdessen proaktiv sind und sagen: „So sieht die Lage des Landes aus …“ Und das passt gut zu unserer Kommunikation mit dem Vorstand und der Geschäftsleitung zum Thema „Hier ist unsere Einschätzung. Hier ist, was wir“ tun. Es geht uns wirklich gut und was Sie in diesen Bereichen von mir erwarten können, weil wir als Unternehmen gute Investitionen getätigt haben. Aber hier sind die Bereiche, in denen uns die richtigen Investitionen oder die richtigen Fähigkeiten fehlen.

Oder wir haben als Führungsteam gemeinsam einige Entscheidungen darüber getroffen, bei welchen Risiken wir Risiken eingehen.“ Wenn dann etwas passiert, ist es nicht nur der CISO. Es ist: „Hey, wie machen wir …?“ Wenn das so wichtig wäre, müssen wir vielleicht zurückgehen und die richtigen Investitionen tätigen.“ Und deshalb betone ich zwei Dinge. Ich denke, die CISO-Rolle hat sich verändert und ist zu einer Kommunikation, einer Ausbildung, einem Verständnis des Geschäfts und einer Kommunikation von Risiken geworden. Es ist so, Es ist so wichtig, das zu tun und es nicht nur für sich zu behalten. Und dass es eine Übereinstimmung darüber gibt. Und wenn man das kontinuierlich tut, ist es meiner Meinung nach in Ordnung. Man gerät nicht in eine solche Situation. Hoffentlich. Und ich betone das Wort „kontinuierlich“, weil sich Risiken ändern, und es könnte sein, dass Sie sagen: „Ich denke, das ist ein enormes Risiko, und wir müssen etwas dagegen tun. Und deshalb ist es meine Aufgabe, …“ Weil ich Ich bin derjenige, der paranoid ist und ständig über diese Dinge nachdenkt. Es ist meine Aufgabe, meine Hand zu heben und es den entsprechenden Leuten zu sagen und uns dann darauf zu einigen, wie wir damit umgehen wollen.

[David Spark] Mike Johnson, unser anderer Co-Moderator, hat gesagt: Wenn Ihr CEO oder Ihr Vorstandsmitglied die klassische unbeantwortbare Frage stellt: „Wie sicher sind wir?“, dann haben Sie als CISO den Vorstand nicht angemessen geschult. Deshalb möchte ich schnelle Antworten von Ihnen beiden. Andy, was tust du, um sicherzustellen, dass diese Frage nicht auf diese Weise gestellt wird, und sie sollten sie stellen ...?

[Andy Ellis] Mike sagt oft: „Wo ist unser Sicherheitsprogramm? Zum Beispiel: Wo sind wir?“ Ich liebe diese Frage wirklich, weil man sie in eine Einladung zu einem tiefergehenden Gespräch verwandeln kann. Es ist in Ordnung zu sagen: „Sehen Sie, das ist eine wirklich komplexe Frage.“ Und ich habe humorvolle Möglichkeiten, es abzuwehren, wenn es sein muss. Ich scherze tatsächlich über das Militär und wenn man gebeten wird, ein Gebäude zu sichern, bedeutet „sichern“ je nach Gebäudeteil sehr unterschiedliche Bedeutungen. Vom Abschluss eines Mietvertrags bei der Luftwaffe bis zur einfachen Sprengung bei der Marine – seien Sie also vorsichtig, was Sie verlangen.

Aber Sie können dieses Gespräch führen, denn was Sie wirklich mit dem Vorstand besprechen möchten, ist zu sagen: „Hey, hier sind die inakzeptablen Verluste, über die wir uns Sorgen machen. Das sind die schlimmsten Dinge, die möglich sind. Hier ist, was wir tun.“ Kontrolle für sie. Und wir denken, dass das angesichts unserer Unternehmensgröße und der Risiken, denen wir ausgesetzt sind, angemessen ist.“ Und irgendwann müssen sie Ihnen vertrauen. Denn letzten Endes vertrauen sie darauf, dass Sie ihr Berater sind und dass Sie ihnen sagen, ob das aktuelle Programm sinnvoll ist. Und ihre Regierungsführung basiert genau darauf. Nun könnten Sie versuchen, ihm eine Nummer mitzuteilen. „Oh, wir sind eine 75 auf der Spark-Skala.“ Oder: „Wir sind ein rotes Epsilon auf der Ellis-Skala“ oder welche verrückten Dinge Ihnen und mir auch immer einfallen. Aber letztendlich ist es Ihr Ziel, einfach klar kommunizieren zu können. Und du wirst schlechte Tage haben. Was mich an dieser Frage faszinierte, war das Szenario, dass jemand mitten in einem Vorfall war und sich nach dem Vorfall Sorgen um seinen Job machte, was mir eigentlich sagt, dass es ein Problem gibt. Denn während eines Vorfalls konzentriert man sich auf Folgendes: „ Wie beheben wir den Vorfall? Wie kommunizieren wir?“

[David Spark]Nun, es ist in diesem Szenario offensichtlich, dass es kein gutes Verhältnis zum oberen Management und zum CISO gibt.

[Andy Ellis] Möglicherweise gibt es kein gutes Vorfallmodell, aber möglicherweise gibt es auch kein gutes Vorfallmodell. In einer gesunden Organisation kommt es regelmäßig zu Zwischenfällen. Die meisten von ihnen haben keine wirklich schlechten Ergebnisse. Aber sie sind zumindest sichtbar, damit das Management versteht, dass man in der Lage ist, Vorfälle zu bewältigen. Denn das lese ich zwischen den Zeilen. Und vielleicht sind das nur meine eigenen Vorurteile. Aber so, als ob das hier nicht funktioniert und du die Dinge für mich in Ordnung bringst. Warum ist es noch nicht zurück? Warum versteht der CEO nicht, wie Vorfälle funktionieren? Haben Sie ihnen in all den Jahren des Reparierens von Dingen nicht beigebracht, dass man Dinge nicht sofort repariert?

[David Spark]Es ist möglich, dass der Autor dieses Stücks eine Ausbildung zum Belletristik-Schreiben von Osman Young benötigt.

[Andy Ellis]Ich denke, das ist eine tolle Idee.

[David Spark] Ja. Ja, das denke ich. Alles klar, Rinki, ich möchte, dass du das für uns erledigst. Was tun Sie, wenn Sie mit der Frage „Wie sicher sind wir“ konfrontiert werden?

[Rinki Sethi] Ich denke, Andy hat es geschafft. Ich denke, wenn es so ist ... Hoffentlich habe ich ihnen ein Bild gemalt, um ihnen bereits zu zeigen, was unser Sicherheitsprogramm ist. Auf die Frage, wie sicher wir sind, gibt es keine Antwort. Es geht vielmehr darum: „Hier ist unser Sicherheitsprogramm und hier liegen unsere Risiken.“ Und ich möchte, dass sie rausgehen und sagen: „Ich verstehe wirklich gut, wo wir investiert haben und wo es uns an Investitionen in Sicherheit mangelt. Oder welche Risiken wir eingegangen sind und mit denen wir gut zurechtkommen und welche wir eingehen.“ 'T." Und das ist meiner Meinung nach ihre Antwort auf die Frage, wie sicher wir sind. Wir bekommen solche Fragen. „Geben Sie mir eine Zahl, die es definiert.“ Und es ist, als gäbe es so etwas nicht, und das bedeutet, dass es an umfassendem Verständnis dafür mangelt. Und für Andy bedeutet das, dass ich meine Aufgabe nicht erfüllt habe, indem ich wirklich klar definiert habe, was Sicherheit ist.

35:25.191

[David Spark] Ausgezeichneter Punkt. Nun, das bringt uns zum Ende dieser Show. Vielen Dank, Rinki, der... Das war Rinki Sethi, der CISO von BILL. Nur BILL. Aber Sie können sie auf bill.com finden. Und ein großes Dankeschön an unseren Sponsor OffSec für die Unterstützung dieser Episode. Brandneuer Sponsor der CISO Series. Denken Sie daran, ihre Website ist offsec.com. Und wenn Sie Ihr Personal vergrößern möchten, was ich annehme, weil jeder ein noch klügeres Personal braucht, schauen Sie sich das bitte auf offsec.com an. Rinki, stellen Sie gerade ein?

[Rinki Sethi] Wir stellen auf jeden Fall ein. Und wenn Sie interessiert sind, würden wir uns freuen, Sie im Team zu haben. BILL konzentriert sich auf die Frage, wie wir Finanzvorgänge für kleine und mittlere Unternehmen automatisieren können. Und wir sind auch ein Anbieter, dem man vertrauen kann. Wir haben hier ein großartiges Team von Cybersicherheitsexperten, dem unsere Kunden und unsere Kundendaten wirklich am Herzen liegen.

[David Spark] Eindrucksvoll. Sehr gut. Ich gehe also davon aus, dass Sie sich die Website von BILL ansehen. Und können sie Sie über LinkedIn kontaktieren? Ja?

[Rinki Sethi]Absolut.

[David Spark] Eindrucksvoll. Andy, noch ein paar letzte Worte?

[Andy Ellis] Oh, ich liebe immer die letzten Worte. Aber wenn Rinki sich in diesem Fall dazu entschließt, Sie nicht einzustellen, ist unser Portfolio immer die Einstellung von Mitarbeitern. Sie können zu jobs.ylventures.com gehen.

[David Spark]Sie sagen also allen, sie sollen zuerst bei bill.com vorbeischauen.

[Andy Ellis] Absolut. Ich wollte mein gesamtes Berufsleben lang für Rinki arbeiten, habe es aber nie geschafft, so dass ich unsere Zuhörer stellvertretend miterleben konnte.

[David Spark] Ach. Wenn Sie einen Job bekommen ... Geben Sie übrigens unseren Namen an, wenn Sie mit ihnen Kontakt aufnehmen. Wer weiß, was passieren wird? Ich habe keine Kontrolle darüber. Aber lassen Sie einfach unseren Namen fallen, wann immer Sie können. Vielen Dank, Rinki. Vielen Dank, Andy. Und vielen Dank an unser Publikum. Wir freuen uns sehr über Ihre Beiträge und dafür, dass Sie sich den Podcast der CISO-Serie angehört haben.

[Voice-over] Damit ist eine weitere Episode abgeschlossen. Wenn Sie den Podcast noch nicht abonniert haben, tun Sie dies bitte. Wir haben viele weitere Shows auf unserer Website cisoseries.com. Bitte besuchen Sie uns freitags für unsere Live-Shows, Super Cyber ​​Friday und Cyber ​​Security Headlines – Week in Review. Diese Show lebt von Ihrem Input. Wir sind immer auf der Suche nach weiteren Diskussionen, Fragen und „Was ist schlimmer?“-Szenarien. Wenn Sie daran interessiert sind, den Podcast zu sponsern, schauen Sie sich die Erklärvideos an, die wir im Sponsorenmenü auf cisoseries.com haben. Und/oder kontaktieren Sie David Spark direkt unter david@cisoseriescom. Vielen Dank, dass Sie sich den Podcast der CISO-Serie angehört haben.