211service.com
Kiberdrošība 2020. gadā: CISO pieaugums
Datu pārkāpumi sniedza uzņēmumiem smagas mācības 2019. gadā. Viena no galvenajām atziņām: viņiem ir nepieciešams galvenais informācijas drošības speciālists, saka Forresteras Stefānija Balaura.
2020. gada 24. februāris
Ražots sadarbībā ar Microsoft drošība
Sākoties jaunajam gadam (un jaunajai desmitgadei), viens ir skaidrs: kiberdrošībai joprojām būs arvien lielāka ietekme uz uzņēmējdarbību gan labā, gan sliktākā virzienā. Šajā epizodē mēs dzirdam no Stefānijas Balaurasas, kiberdrošības ekspertes, kura 15 gadu laikā Forrester Research ir runājusi ar tūkstošiem klientu. Viņa ir drošības un riska izpētes, kā arī infrastruktūras un operāciju izpētes viceprezidente un grupas direktore.
Balaouras uzskata, ka visos uzņēmumos ir jābūt galvenajam informācijas drošības speciālistam jeb CISO, jo kiberdraudu pasaule kļūst sarežģītāka un bīstamāka. 'Pat uzņēmumiem, kuriem ir CISO, vajadzētu rūpīgi pārbaudīt, cik augsta līmeņa organizācija tie ziņo,' saka Balaouras. 'Vai viņiem ir pareizais budžets? Vai viņiem ir pietiekami daudz darbinieku? Vai esat viņiem devis pareizo kontroles posmu?
Balaouras arī pārskata dažas no lielākajām kiberdrošības tendencēm 2019. gadā un sniedz prognozes 2020. gadam.
Biznesa laboratoriju vada Laurela Ruma, Insights direktore, MIT Technology Review pielāgotās izdevējdarbības nodaļa. Izrāde ir MIT Technology Review iestudējums, kurā piedalās Collective Next. Mūzikas autors ir Merlīns no Epidemic Sound.
Kiberdrošība nav tikai redzamo draudu apturēšana. Tas ir par to, lai apturētu tos, kurus jūs neredzat. Tāpēc Microsoft Security nodarbina vairāk nekā 3500 kibernoziedzības ekspertu un izmanto AI, lai palīdzētu paredzēt, identificēt un novērst draudus. Tātad jūs varat koncentrēties uz sava biznesa attīstību, un Microsoft Security var koncentrēties uz tā aizsardzību. Uzziniet vairāk vietnē Microsoft.com/cybersecurity.
Rādīt piezīmes un saites
Forrester Research: kiberdrošība
CISO ceļvedis pārmaiņu vadīšanai autors: Jinan Budge, Forrester Research
Nepieciešamība pēc pilnīgas mākoņdrošības, intervija ar Stefāniju Balaourasu vietnē YouTube
Pilns atšifrējums
Laurela Ruma: No MIT Technology Review es esmu Laurel Ruma, un šī ir Business Lab, izrāde, kas palīdz uzņēmumu vadītājiem saprast jaunās tehnoloģijas, kas nāk no laboratorijas un nonāk tirgū.
Drošības draudi ir visur. Tāpēc Microsoft Security vairāk nekā 3500 kibernoziedzības ekspertu pastāvīgi uzrauga draudus, lai palīdzētu aizsargāt jūsu uzņēmumu. Vairāk vietnē microsoft.com/cybersecurity.
Mūsu šodienas tēma ir kiberdrošība un, konkrētāk, galvenā informācijas drošības virsnieka, CISO, loma. Mēs arī pārskatīsim 2019. gada kiberdrošības jaunumus un skatīsimies uz kiberdrošības tendencēm 2020. gadā. Viens vārds jums: Deepfakes. Mana viešņa ir Stefānija Balaura (Stephanie Balaouras), kas ir kiberdrošības analītiķe un ir runājusi ar tūkstošiem klientu gandrīz 15 Forrester pētniecības gados. Stefānija ir drošības un riska izpētes, kā arī infrastruktūras un operāciju izpētes viceprezidente un grupas direktore. Stefānija, liels paldies, ka runājāt ar mani Business Lab.
Stefānija Balaura: Paldies.
Laurels: Lai sāktu, 2017. gadā Forester publicēja jūsu komandas locekļa Džefa Polarda ziņojumu par CISO, galveno informācijas drošības virsnieku, karjeras ceļiem. Un man īpaši patīk runāt par šo lomu, jo tas ir tik jauns C-suite biznesā. Ja Citibank tikko iecēla pirmo CISO 1995. gadā, tā patiešām ir nesena vēsture. Bet, ja katrs uzņēmums ir arī tehnoloģiju uzņēmums, kāpēc katram uzņēmumam nav CISO?
Stefānija: Ja paskatās uz citu lomu vēsturi, piemēram, kā, manuprāt, pirmais TKO, galvenais mārketinga speciālists bija 1950. gados, tad 20, 30 gadus vēlāk jums joprojām bija uzņēmumi bez TKO. Tātad, kad šīs jaunās lomas pirmo reizi sākas, paiet zināms laiks, lai tas kļūtu par normu. Bet es teikšu, ka katram uzņēmumam patiešām vajadzētu būt CISO. Publiski tirgotajiem uzņēmumiem ir jābūt CISO. Bet tas, ko mēs bieži atklāsim, atkarībā no uzņēmuma lieluma ir tas, ka dažreiz viņi izvairīsies no CIO saukt arī par CISO vai kādu citu IT vadītāju par CISO. Tātad tas ir diezgan izplatīts mazākiem uzņēmumiem — tie iztiks bez atsevišķas lomas.
Bet tas, ko jūs atradīsiet arī tad, ja viņiem ir pārkāpums vai kāda veida nopietna kiberdrošības problēma vai pat nopietns atbilstības pārkāpums, kas saistīts ar datu drošību, vispirms viņi nosauks īpašu CISO. Un tad pat uzņēmumi, kuriem ir īpaša CISO, ja tie ir pieļāvuši pārkāpumu, bieži vien tie saprot, ka CISO nav pietiekami augstu norādījis organizācijā, vai arī tiem nebija atbilstošas atbildības vai pietiekama budžeta. vai pietiekami daudz cilvēku. Tad viņi to izlabos. Nosaukumam CISO vajadzētu būt prasībai, taču es teiktu, ka pat uzņēmumiem, kuriem ir CISO, ir rūpīgi jāpārbauda, cik augstu organizācijas līmeni tie ziņo. Vai viņiem ir pareizais budžets? Vai viņiem ir pietiekami daudz darbinieku? Vai esat nodrošinājis viņiem pareizo kontroles diapazonu?
Laurels: Jo tas ir dārgs risinājums, vai ne?
Stefānija: Jā tieši tā.
Laurels: Vai tikai pēc uzbrukuma mums ir jāskatās uz lomām un pienākumiem jaunā gaismā, atbildīgākā gaismā?
Stefānija: Tieši tā.
Laurels: Tātad, ja ideāls CISO ir gan uzņēmējs, kurš var runāt tieši ar izpilddirektoru, izskaidrot drošības un riska mazināšanas nepieciešamību, bet arī runāt ar klientiem, iespējams, kā arī citiem darbiniekiem un runāt par drošību un to, kā šī loma ir. uzņēmumam svarīgi. No kurienes nāk šie cilvēki? Kur viņi iegūst visu šo izglītību?
Stefānija: Kad mēs apskatījām CISO karjeras ceļus, mēs atklājām, ka lielākā daļa no tiem ir nonākuši drošības rindās. Tātad parasti viņi sāka strādāt kā drošības speciālisti. Viņi ieguva gadu desmitiem ilgu pieredzi šajā lomā. Taču mēs bieži atklājām, ka lielākā daļa no viņiem bieži atgrieztos, lai iegūtu maģistra grādu, un patiesībā viņi iegūtu uzņēmējdarbības grādu. Viņi bieži ieguva MBA, un tas bija tāpēc, ka viņiem bija jāatbilst abām šīm prasībām, proti, jā, es esmu tehnoloģiju vadītājs, bet tajā pašā laikā es esmu tehnoloģiju vadītājs, kas lielā uzņēmumā atskaitās valde reizi ceturksnī vai ziņo tieši CIO vai tieši izpilddirektoram. Tātad tas noteikti ir izglītības un pieredzes apvienojums.
Es teiktu, ka universitātes dara labāku darbu, nodrošinot bakalaura un maģistra grādus informācijas drošības jomā. Dažās jomās tās ir neticami vājas, piemēram, lietojumprogrammu drošība nav labi mācīta bakalaura līmenī, ja vispār. Tas ir izdarīts patiešām slikti. Otra lieta, par ko es izvēlēšos universitātes, ir tā, ka tās neveic labu darbu, pieņemot darbā sievietes bakalaura un maģistrantūras programmās. Ir milzīgs trūkums prasmju jomā, kā arī personāla problēma drošības jomā, un Forrester mums patīk teikt, ka tas lielākoties ir pašu radīts, jo mēs nepieņemam darbā cilvēkus no puses iedzīvotāju, un mēs nepieņemam darbā cilvēkus no dažādām vidēm. Mēs esam ieguvuši vienu cilvēku, no kuriem mēs pieņemam darbā, un tad esam šokēti, kad nevaram atrast pietiekami daudz cilvēku ar šo ļoti šauro prasmju kopumu.
Laurels: Jā, ziņojumā teikts, ka deviņi no 10 CISO ir vīrieši.
Stefānija: Tieši tā, tieši tā. Mēs vēl neesam apskatījuši 2019. gada beigas, taču pēdējos pāris gadus tā ir bijusi patiesība. Un, ja paskatās arī uz personālu, tas ir sliktāk nekā vispārējā drošības nozare. Tas ir aptuveni 11% no drošības darbiniekiem ir sievietes. Tas ir sliktāk nekā vispārējā IT. Vispārējā IT arī ir problēma, taču tā ir vairāk kaut kur no 20% līdz 30%, tāpēc drošība ir vēl sliktāka.
Laurels: Tātad, kad mēs runājam par drošības daudzveidības trūkumu kopumā, kā uzņēmumi cenšas uz to reaģēt? Vai redzat kādu konkrētu uzņēmumu, kas demonstrē labāko praksi?
Stefānija: Noteikti ir dažas labākās prakses. Patiesībā esmu redzējis daudzus pārdevējus, piemēram, lielus tehnoloģiju pārdevējus, viņi faktiski sadarbojas ar universitātēm un faktiski pat sadarbojas vidusskolas līmenī. Piemēram, ar Amerikas meiteņu skautiem, lai faktiski veicinātu programmas, kas meitenes aizrauj un interesējas par kiberdrošību jau no mazotnes un pēc tam vēlas turpināt ar to bakalaura un absolventu līmenī. Vairākās universitātēs ir diezgan agresīvas stipendiju programmas.
Un tad arī notiek tikai liela pašpārbaude, kas notiek korporatīvajā līmenī, kur mēs skatāmies uz drošības komandu kultūru. Mēs aplūkojam daudzus tradicionālos maršrutus, no kurienes mēs vervējam, proti, konferences, kurās dominē vīrieši, vai atkal, mums ir šie amatu apraksti, kuros kā piemērs tiek uzsvērta liela militārā pieredze. Tātad tas ir līdzīgi kā paplašināt to cilvēku loku, kuri tiks pieņemti darbā drošības nozarē, vēlmi attīstīt savas prasmes, kā arī veikt daudz labāku darbu, faktiski piepildot piltuvi, aizpildot faktisko cauruļvadu ilgtermiņā.
Taču, jūsuprāt, dažādas komandas pieņem labākus lēmumus, un ilgtermiņā tās ir efektīvākas. Un tad otrā lieta, ko es teiktu, ir tik daudz brīvu darba vietu drošības jomā ne tikai ASV, bet arī visā pasaulē. Tā ir arī matemātikas problēma. Mēs neaizņemsim šīs atvērtās amata vietas, ja nepieņemsim darbā pusi iedzīvotāju.
Laurels: Turklāt šķita, ka ne daudzi drošības talanti noteikti tika veicināti no iekšpuses. Forrester ziņojumos izklausījās, ka jums ir lielāka iespēja tikt paaugstinātam amatā, ja dodaties uz citu uzņēmumu. Vai uzņēmumi tagad atkārtoti pārbauda savus talantus?
Stefānija: Tas faktiski attiecas gan uz individuālo, gan uz CISO līmeni. Tāpēc starp Fortune 500 esam atklājuši, ka pirmo reizi CISO bija reti, un tie netika paaugstināti no iekšpuses. Tāpēc viņi vēlētos nolīgt ārējus CISO, un viņi vēlējās, lai CISO būtu iepriekšēja CISO pieredze. Un patiesībā, ja jūs esat kāds drošības jomā, tas nozīmē, ka, ja vēlaties tikt paaugstināts par CISO, jūsu labākā iespēja patiesībā ir paskatīties uz āru, ārpus sava uzņēmuma. Un mēs arī atklājām, ka tad, kad uzņēmumi nolīga CISO ārēji, nevis veicināja to paaugstināšanu no iekšpuses, tie, visticamāk, liks viņiem ziņot augstāk organizācijā. Tātad, jā, CISO līmenī uzņēmumi varētu veikt labāku darbu, ieskatoties savā iekšienē un dodot šīm personām pareizo iespēju ziņot par augstāku līmeni organizācijā.
Taču mēs arī atklājām līdzīgas lietas vadītāju un individuālo līdzstrādnieku līmenī, proti, viņi nepieņēma darbā no uzņēmuma iekšienes vai, pieņemot darbā personas, viņi nedeva viņiem labus karjeras ceļus un nepārtrauktu prasmju attīstību. Tātad, ja šīs personas patiešām vēlējās turpināt savu karjeru, lielākā daļa no viņiem aizgāja. Tāpēc mēs sakām, ka liela daļa prasmju un personāla izaicinājumu ir pilnībā pašu radītas.
Laurels: Tātad tā ir mazliet aklā zona, kurā, iespējams, ikviens varētu darīt mazliet labāk, vai ne?
Stefānija: Tieši tā. Jā.
Laurels: Es lasīju šo Ponemon institūta ziņojumu, un šī konkrētā frāze man iešāvās prātā, un, kad mēs runājām par CISO un par to, kāda veida cilvēks varētu pildīt šo lomu, un viņu pieredzi, kas ir vairāk nekā tikai CV. arī jūsu attieksme un spēja rīkoties patiešām ātri un patiešām gudri un arī ļoti labi sazināties. Bet citāts bija, un es šeit mazliet pārfrāzēju, tehnoloģijas ir pārveidojušas interneta laikmetu par nežēlīgu brīnumu periodu drošības speciālistiem. Visi mūsu nežēlīgie brīnumi ir tādi, ka mums katrā kabatā ir ierīces. Mēs varam doties jebkur, mēs varam sarunāties ar ikvienu jebkurā laikā, un mēs varam to izdarīt zibens spēriena ātrumā, bet tajā pašā laikā, ja esat CISO, kā to visu nodrošināt?
Stefānija: Taisnība. Jā. Visas šīs ierīces, kas paplašina uzņēmuma četras sienas, būtībā paplašina organizācijas uzbrukuma virsmu. Tātad CISO tas ir bijis tāds kā gājiens no tradicionālās uz perimetru balstītas pieejas drošībai un faktiski vairāk izmanto uz datiem un lietojumprogrammām orientētu pieeju, un es pat teiktu, ka uz identitāti orientēta pieeja drošībai.
Ne tas, ka tīkls nebūtu svarīgs, tīkla drošība ir ļoti svarīga, taču tā ir vairāk krasi mainījusies uz perimetru balstīta pieeja drošībai. Tātad atkal, kur nav īstu četru korporācijas sienu. Perimetrs patiesībā ir daudz mazāks. Tāpēc mums ir tendence domāt par drošiem anklāviem. Kā izveidot mikro perimetru ap mūsu svarīgākajiem īpašumiem?
Ja mēs runājam par paplašinātu visu veidu ierīču tīklu, piemēram, jūs minējāt, vai pašu skaitļošanas vidi, kas varētu būt lokāla, mākoņa, mitināta privātā mākoņa un jebkura to varianta kombinācija un jebkura veida lietotāju kopa, kas mijiedarbojas ar uzņēmuma sistēmas un dati. Tie varētu būt jūsu darbinieki, patērētāji un klienti, tie varētu būt trešo pušu partneri. Tātad, ja domājat par ierīcēm, lietotāju populācijām un dažādiem skaitļošanas modeļiem, perimetra nav. Tāpēc galvenā uzmanība tiek pievērsta pašu datu aizsardzībai neatkarīgi no tā, kur tie tiek pārvietoti, un neatkarīgi no mitināšanas modeļa vai atrašanās vietas. Tiešām, ļoti rūpīgi aplūkojot identitāti. Tik ierobežojot un stingri ieviešot piekļuvi gan cilvēkiem, gan necilvēkiem. Tātad tas nedaudz apvērš tradicionālo drošības paradigmu. Jūs virzāties no perimetra orientētas uz datiem un identitāti orientētas.
Tas ir tas, ko mēs parasti iesakām CISO. Un mēs to saucam par nulles uzticības drošības modeli, kas nozīmē, ka jūs pieņemat, ka jums jau ir pārkāpums, un jūs nekad neuzticaties savai videi. Jūs vienmēr pieņemat, ka kaut kur kaut kas noiet greizi, bet tas darbojas. Tas, iespējams, nav pozitīvākais grieziens pasaulē, piemēram, ak, nulle uzticēšanās, bet tas darbojas. Tas ir ļoti efektīvs.
Otra lieta, ko es teiktu, ir tas, ka es patiešām mudinātu visu šo ierīču, IoT sensoru, IoT ierīču ražotājus, visu, ko jūs varat iedomāties, lai tie patiešām jau no paša sākuma veiktu labāku darbu, lai nodrošinātu drošību pašā ierīcē. Tas noteikti ievērojami atvieglotu CISO darbu. Tas ir tik ļoti nomākta. Tas arī lielā mērā ir ārpus viņu kontroles.
Laurels: Taisnība? Nu, īpaši -
Stefānija: Izņemot CISO, kas faktiski strādā produktu uzņēmumos. Jums jāiesaistās produktu izstrādē. Jums vajadzētu konsultēt organizāciju.
Laurels: Un tas ir interesanti, jo drošība ne vienmēr ir pirmajā vietā, vai ne?
Stefānija: Nē.
Laurels: It īpaši, ja jūs veicat produktu dizainu. Tātad, vai jūs redzat, ka tas notiek bieži? Vai CISO aktīvi iesaistās produktu dizainā?
Stefānija: Diemžēl ne līdz šim, bet mēs to iesakām. Un es teiktu, ka daži CISO to ne vienmēr uzskata par savu tradicionālo lomu, piemēram, viņu tradicionālā loma ir bijusi nodrošināt ierakstu un infrastruktūras un uzņēmuma datu aizmugursistēmas un ne vienmēr iesaistīties izstrādē, bet mēs patiesībā aktīvi rīkojamies. mudiniet CISO iesaistīties produktu izstrādē un izstrādē, lai patiešām palīdzētu organizācijai nodrošināt to, ko jūs pārdodat. Tātad neatkarīgi no tā, ko jūs pārdodat, neatkarīgi no tā, kādu pakalpojumu jūs sniedzat patērētājam, pacientam, pilsonim, citai korporācijai, ja esat B2B organizācija, kas aktīvi iesaistās pārdotā produkta nodrošināšanā.
Laurels: Un tas noteikti ir konkurences atšķirības faktors, vai ne?
Stefānija: Jā, absolūti. Pilnīgi noteikti. Mēs atklājām, ka drošība, kā arī privātums — un tie nav sinonīmi, bet dažreiz tie iet roku rokā — rada uzņēmumiem konkurētspējīgu atšķirību.
Laurels: Jā. Un tas ir svarīgs atšķirības faktors un viss jūsu radītais troksnis. Tātad, ja ir kaut kas ļoti specifisks, ko varat tirgot, tas būtu labi. Bet mēs runājam arī par to, ka CISO patiešām aktīvi piedalās visā. Tātad jums ir jābūt šim daudzpusīgam cilvēkam, kurš var runāt un saprast produktu, kā arī būt sabiedrībā, vai ne? Vienlaicīgi kopīgojiet, bet ne kopīgojiet uzņēmuma noslēpumus un to, kā jūs aizsargājat datus, jo pastāv šī ideja, jo īpaši tehnoloģiju kopienā, kur jūs dalāties ar savu labāko praksi un to, no kā esat iemācījies. Un es tikai mazliet prātoju par to, kā CISO patiesībā dalās, bet nedala visu?
Stefānija: Jā, ir tāds izaicinājums. Daudziem CISO ir ļoti riebīgi runāt par to izvietošanas specifiku, un es ne vienmēr redzu, ka tas drīz mainīsies. Tomēr dažreiz mazākās grupās ir daudz kopienu, kas atbalsta CISO. Faktiski Forester mums ir vienādranga tīklu grupa, kurā ir aptuveni 100 CISO. Ir visu veidu ISAC un izlūkdatu kopienas, piemēram, CISO, kas ir raksturīgas nozarei. Tik bieži vien saspringtās kopienās, kur valda izpratne, ka viss ir pakļauts NDA, kur valda atklātība, kur ir dažas personiskas attiecības, CISO dalīsies daudz vairāk. Bet es atklāju, ka CISO vēlas runāt par vispārējo stratēģiju. Kad es minēju pāreju no uz perimetru balstītas pieejas uz datiem un identitāti orientētu. Runājot par kultūru. Kultūra patiesībā ir ļoti svarīga ne tikai CISO, bet arī pārējai drošības organizācijai.
Tā kā jums ir nepieciešama organizācija, kurā ir piemērots personāls, kas var runāt ar izstrādātājiem un būt daļa no drošas lietojumprogrammu izstrādes, kas var strādāt ar infrastruktūru un operāciju komandām, lai nodrošinātu mākoņa izvietošanu. Tas faktiski varētu sadarboties ar mārketinga komandām, lai palīdzētu tām izprast privātuma ietekmi uz to, kā viņi varētu personalizēt pakalpojumus, datus un reklāmas patērētājiem. Tāpēc jums ir nepieciešama arī pati drošības komanda, ne tikai CISO, bet arī pati drošības komanda, lai tā būtu skaļa un atklāta, sadarbotos un gatava iesaistīties galvenajos biznesa un IT procesos visā organizācijā. Tātad viņi runās par kultūru, viņi runās par personālu, viņi runās arī par prasmēm, kas ir nepieciešamas. Mēs noteikti tur redzam dažas izmaiņas.
Laurels: Un arī uzņēmumam ir jābūt gatavam ļaut drošībai sasniegt pilnu apli šai idejai, bet ne tikai produktam, bet arī visiem pārējiem. Tātad mārketings, domāšana, atkal drošība vispirms vai drošība kādā brīdī. Kā tad jums šī saruna, lai visi ir mazliet izglītoti? Ja nodarbojaties ar mārketingu, jums nav jābūt drošības ekspertam, taču jums ir jābūt gatavam uzklausīt.
Stefānija: Daudzas reizes CISO stāstīja stāstus, un viss bija nolemts un drūms. Manuprāt, izmantojiet daudz vairāk uz risku balstītu pieeju, lai palīdzētu uzņēmumam izprast nākotnes riskus un vienkārši izprast gan iespējamību, gan ietekmi, kā arī ieteiktu pieņemt pareizos lēmumus, piemēram, pāriet no nē nodaļas uz vairāk konsultatīvo. loma, manuprāt, palīdz. Jo vairāk jūs kļūstat par konsultatīvo priekšmetu ekspertu, jo vairāk jūs varat paņemt līdzi pārējo organizāciju. Es domāju, ka tā ir liela palīdzība, un atkarībā no CISO prasmju kopas tas ir atkarīgs no tā, cik labi viņi to dara. Es domāju, ka jebkurā laikā jūs varat nodot lietas pozitīvā biznesa izteiksmē, tas palīdz.
Manā komandā bija analītiķis, kurš uzrakstīja šo ziņojumu, to sauca par drošību peļņas gūšanai, un tajā viņš izklāstīja veidus, kā drošība varētu būt uzņēmuma ieņēmumu avots. Atkal, tās varētu būt pievienotās vērtības funkcijas, par kurām cilvēki bija gatavi maksāt vairāk, vai arī tas kļūst par konkurētspējīgu atšķirību jūsu piedāvātajā produktā vai pakalpojumā. Tātad tas faktiski varētu veicināt augšējo līniju. Un tad viņš arī izklāstīja visus veidus, kā faktiski var ietaupīt uzņēmuma naudu, izņemot izvairīšanos no pārkāpumiem un izvairīšanos no soda naudas.
Ir dažādi veidi, kā pareizi nodrošināt drošību var ievērojami uzlabot darbinieku pieredzi un samazināt darbības izmaksas uzņēmumā. Identitāte ir viens no lielākajiem piemēriem, ja domājat par darbinieka uzņemšanu darbā un spēju automatizēt visus veidus, kā nodrošināt viņam piekļuvi nepieciešamajām sistēmām. Paroļu atiestatīšana. Es domāju, ka ir tik daudz vienkārši zemu augļu, ar kuriem jūs varat atvieglot darbinieku dzīvi, bet tad jūs patiešām ievērojami samazinat izmaksas.
Laurels: Jā. Un tas noteikti ir kaut kas tāds, par ko jūs nedomājat, bet jūs noteikti esat neapmierināts, kad jums ir jāpārveido parole, un tas ilgst mūžīgi un/vai jums ir jāpāriet uz citu sistēmu un bla, bla, bla. Taču šāda veida racionalizācija nav tikai no drošības viedokļa, bet, kā jūs teicāt, no ikviena perspektīvas ir tikai atvieglot viņu dzīvi, ko galu galā vēlas katrs darbinieks.
Stefānija: Jā.
Laurels: Tātad, kā CISO sekot jaunākajām tendencēm? Es domāju konferences, tās mazās grupas, ar kurām viņi runā?
Stefānija: Jā, es domāju, ka viņi paši veic pētījumus neatkarīgi no tā, vai tās ir tādas publikācijas kā jūsu, tādas firmas kā Forrester, kā arī citas lielas stratēģijas konsultāciju firmas. Tomēr viņi paši veic pētījumus. Viņi bieži sūtīs savus darbiniekus uz daudzām konferencēm. Un tad es domāju, ka arī šīs vienaudžu tīklu grupas palīdz dramatiski. Taču ir grūti sekot katrai iespējamajai tendencei. Tāpēc es domāju, ka vienmēr ir noderīgi arī daži ārējie padomi, lai sniegtu jums informāciju par jauniem draudiem, par jauniem riskiem, par gaidāmo atbilstību un noteikumiem, kas notiek visā pasaulē.
Laurels: Jā, un, kā jūs teicāt, šī vienaudžu grupa izveido uzticību un zināmu pārredzamību, daloties ar paraugpraksi un vienkārši uzklausot dažādus stāstus, pat ja tos ir dzirdējis draugs, lai saņemtu šos brīdinājumus dažādas organizācijas un cilvēki. Runājot par to, vai ir daudz sadarbības starp valdību un uzņēmumiem, izņemot šajās vienaudžu grupās? Vai jūs to redzat vairāk, vai arī cilvēki diezgan labi paliek savās joslās, jo pastāv citi konflikti, par kuriem jāuztraucas ar uzņēmumiem un valdībām?
Stefānija: Jā. Ja ASV un faktiski citās valstīs, piemēram, Apvienotajā Karalistē, jūs uzskatāt par kritiskās infrastruktūras nozari, jums būs jāizveido ciešas attiecības ar federālās valdības amatpersonām. Ja atrodaties kritiskā infrastruktūrā, es domāju, ka būs nozarei specifiski kiberdrošības noteikumi, kas jums ir jāievēro, ja esat enerģētikas jomā. Es domāju, pat finanšu pakalpojumi tiek uzskatīti par kritisku infrastruktūru. Tātad, piemēram, jums būs jāievēro NIST vadlīnijas. Ikvienam, kas veic darījumus ar federālo valdību, būs jāievēro NIST.
Jūs nevēlaties gaidīt, lai izveidotu attiecības ar federālo valdību vai noteiktām aģentūrām, piemēram, FIB. Jūs nevēlaties gaidīt, kamēr jums kaut kas ir aizdomas vai pārkāpums. Vai arī daudzos gadījumos tas ir otrādi, viņi ir kaut ko atklājuši, viņi brīdina jūs par to. Dažreiz viņi nevar jums piedāvāt konkrētu informāciju, jo viņu rokas ir sasietas kā daļa no lielākas izmeklēšanas. Tātad jūs faktiski varat izveidot attiecības ar daudzām ASV federālās valdības aģentūrām pirms laika, lai varētu dalīties ar draudu izlūkdatiem. Vai arī, ja kaut kas patiešām notiktu, jums jau ir šīs iepriekš esošās attiecības.
Laurels: Jā, un runājot par kaut ko jau notiekošu un sagatavošanās plāniem, vai jūs redzat, ka arvien vairāk uzņēmumu izstrādā šos sagatavošanās plānus, atkal, nevis tad, ja tie tiek uzlauzti vai notiek kiberuzbrukums un viņiem tas jādara publiski pieejams?
Stefānija: Tātad, reaģējot uz incidentiem, ir sava veida iekšējā incidenta reakcija, kas ir sava veida visi procesi, kas jums ir jānosaka, pēc tam jānovērš un pēc tam jāreaģē. Un liela daļa no atbildes ir vairāk par to, ko mēs saucam par atbildēšanu kriminālistikas līmenī: precīzi noteikt, kas noticis, novērst to, potenciāli savākt kriminālistikas pierādījumus, ja esat nolēmis, ka patiesībā gatavojaties uzsākt tiesvedību atkarībā no tā, kurš tas bija vēlāk. . Tad ir ārēja reakcija, un jums tiešām ir nepieciešami abi. Jums patiešām ir nepieciešama sarežģīta reakcija uz incidentiem, process un iniciatīva uzņēmumā ar īpašiem ekspertiem, it īpaši, ja esat liels uzņēmums.
Bet es domāju, ka uzņēmumi bieži vien patiešām krīt uz āru, reaģējot uz ārējiem pārkāpumiem. Un atkal, noteikumi nosaka, ka, ja tas ir saistīts ar patērētājiem, ja tas skar personas, jums ir jāinformē tās noteiktu dienu laikā. Daudzos gadījumos tas ir 30 dienas. Saskaņā ar GDPR Eiropā tas ir 72 stundas vai mazāk. Un mēs esam redzējuši, ka uzņēmumi karaliski ir apgrūtināti reaģējot uz ārējiem pārkāpumiem, kas nozīmē, ka tie bija neprātīgi, piedāvājot informāciju patērētājiem.
Es nevēlos izvēlēties uzņēmumus, jo upuru vainošana bieži vien nav tik noderīga, taču esmu redzējis, ka uzņēmumi savā ziņā vaino patērētāju, sakot: 'Ak, ja jums būtu labāka paroles higiēna, ja jūs Ja jūs daudz rūpīgāk uzraudzītu savus kontus, tam nebūtu tik lielas ietekmes. Nē. Jums ir jāizrāda empātija pret saviem klientiem. Novietojiet tos pirmajā vietā. Dariet visu iespējamo, lai viņus aizsargātu. Neuztraucieties, apmainoties ar informāciju CYA veida bažu dēļ. Un dažos gadījumos, ja jūs darāt to pareizi, tā ir iespēja nezaudēt viņu uzticību, bet, iespējams, pat to nostiprināt un veidot, ja esat tos izvirzījis pirmajā vietā. Bet jūs patiešām varat to sabojāt un padarīt pārkāpumu daudz sliktāku, nekā tas bija nepieciešams.
Laurels: Un tas uzņēmumam izmaksāja vēl vairāk naudas.
Stefānija: Tieši tā.
Laurels: Atskatoties uz 2019. gadu un ir daudz ko runāt par kiberdrošību, ja mēs aplūkojam trīs konkrētas jomas, vispirms ir tikai kiberuzbrukumi, bet ļoti konkrēti pilsētām un pašvaldībām. Tātad Ņūorleāna bija jaunākā gada beigās, par kuru mēs zinām, taču tā bija arī Luiziānas štata papēži, kurā notika kiberdrošības uzbrukums. Mēs zinām, ka tas notiek visā valstī. Tātad, lai uzdotu ļoti pārslogotu jautājumu, kāpēc pilsētas un pašvaldības ir vērstas pret kiberuzbrukumiem, ja tās ne vienmēr ir vislabāk finansētās tērpi?
Stefānija: Jā. Tieši tāpēc, jo tie ir viegli mērķi. Tātad, ja viņi gadiem ilgi ir nepietiekami finansējuši savus drošības pasākumus, viņiem ir daudz vieglāk iekļūt un pēc tam lūgt izpirkuma maksu, pat ja izpirkuma maksa ir maza.
Laurels: Tas ir labāk nekā nekas.
Stefānija: Tas ir labāk nekā nekas. Tas patiesībā ir lielas komandas vienprātība, vai tik daudzas no šīm vietējām, pilsētu un štatu valdībām un pašvaldībām ir tik vienkārši mērķi, jo tām gadiem ilgi ir nepietiekams finansējums un darbinieku trūkums. Un lielākoties ir finansiāla motivācija, bet ir arī citi motivācijas veidi. Tas varētu būt politisks, sociāls. Ja jūs nokļūsit lielāka veida štatos vai federālajā aģentūrā, jūs pat varētu nokļūt ģeopolitiskajā un pat militārajā jomā.
Patiesībā Ņūorleānas pilsēta, kas tajā bija interesanti, ir tas, ka uzbrucēji neprasīja izpirkuma maksu. Tāpēc viņi izmantoja ransomware, lai tos atspējotu. Viss tika šifrēts un viņus piespieda. Es domāju, ka viņi aizstāja tonnas datoru infrastruktūras. Var būt ļoti grūti atgūt no dublējuma. Mēs to sakām tik niecīgi, piemēram: 'Ak, vienkārši atkopjieties no dublējuma.' Lielākā daļa dublējumkopiju, kurās ir kļūdas, un iespēja atgūt no dublējuma lielā mērogā patiesībā ir ļoti, ļoti sarežģīta. Un kas zina, kad izpirkuma programmatūra tika ieviesta? Tātad jūs vienkārši atkārtoti instalējat izspiedējprogrammatūru.
Laurels: Interesanti.
Stefānija: Bet jā. Manuprāt, viņi faktiski neprasīja izpirkuma maksu. Tāpēc viņu motivācija nebija finansiāla. Tātad tas varēja būt...
Laurels: Vienkārši traucējumi.
Stefānija: ... tikai traucējumi tā dēļ.
Laurels: Lai redzētu, vai viņi to var izdarīt, jā.
Stefānija: Interesanti, ka es izlasīju šo rakstu, kurā pilsēta ir spiesta nomainīt daudz datoru infrastruktūras, klēpjdatorus, galddatorus, serveru infrastruktūru. Tāpēc daļa no manis domā: “Ak, tie varētu būt pilsētas darbinieki. Es zinu, kā panākt, lai pilsēta tiktu modernizēta.
Laurels: Pareizi, pareizi. Piespiediet viņus.
Stefānija: Piespiediet viņus.
Laurels: Visu sabojājot.
Stefānija: Jā. Tāpēc tie ir viegli mērķi, un uzbrukuma motivācija, manuprāt, ir ļoti dažāda, ja runa ir par kritisko infrastruktūru un pēc tam pilsētu, štatu un pašvaldību.
Laurels: Un ne vienmēr, kad tiek prasīta izpirkuma maksa, jūs kādreiz uzzināsit, no kurienes viņi nāk vai kas viņi ir, vai arī viņi ir ārvalstu aktieri.
Stefānija: Jā, jūs ne vienmēr zināt.
Laurels: Tu nekad nezināsi. Tas ir tikai minējums.
Stefānija: Jā. Mēs faktiski šogad publicējām pretrunīgu ziņojumu, kurā teikts, ka dažos gadījumos organizācijas varētu vēlēties apsvērt izpirkuma maksu. Es teikšu godīgi, es domāju, ka pilsētas, valsts un vietējām pašvaldībām tām varētu būt aizliegts maksāt izpirkuma maksu. es nezinu. Man tas būtu jāizpēta, bet privātā sektora uzņēmumi, lai gan esmu pārliecināts, ka FIB un citas tiesībaizsardzības iestādes dotu priekšroku, ka tās to nedarītu, dažos gadījumos tas varētu būt loģiski. Un kiberapdrošinātāji pat teiktu, ka dažos gadījumos tam varētu būt jēga. Un patiesībā ir uzņēmumi, kas specializējas, lai palīdzētu uzņēmumiem samaksāt izpirkuma maksu. Dažreiz jūs patiešām varat vienoties par mazāku izpirkuma maksu. Tas ir kā maiņas darījums. Viņi darbosies kā starpnieks starp dažādiem uzņēmuma varoņiem. Acīmredzot jūs maksājat viņiem kriptovalūtā. Jūs ne tikai pārskaitāt skaidru naudu.
Laurels: Protams.
Stefānija: Tātad viņi var arī to atvieglot. Es domāju, ja paskatās uz Baltimoras pilsētu, tas, ko viņi iztērēja, lai atgūtu no izpirkuma programmatūras uzbrukuma, iespējams, simts reižu pārsniedza faktisko izpirkuma maksu. Es aizmirsu skaitļus, bet atšķirība bija smieklīga.
Laurels: Tāpēc daži padomi pilsētām un pašvaldībām būtu reāli apskatīt savas sistēmas un mēģināt tās kaut kādā veidā atjaunināt un aizsargātas.
Stefānija: Jā. Noteikti izmantojot izspiedējvīrusu, pārliecinieties, vai visas jūsu sistēmas ir atjauninātas un labotas. Ja paskatās uz veiksmīgākajiem uzbrukumiem, ārējiem uzbrukumiem, tie izmanto ievainojamības un cita veida programmatūras izmantošanas priekšrocības. Tas nav nekas izdomāts. Ikvienam vienmēr patīk izmantot uzlabotus uzbrukumus vai valsts sponsorētus uzbrukumus. Realitāte ir tāda, ka lielākā daļa no šiem uzbrukumiem ir diezgan zema budžeta, taču joprojām ir efektīvi.
Otra lieta ir rūpīgi apskatīt dublējumus. Es nevaru to pietiekami uzsvērt. Cilvēki vienmēr neievēro savus dublējumus. Tas kļūst par vienkāršu IT procesu, uz kuru neviens nekad neskatās divreiz, vai arī cilvēki to noniecina un sauc par nenozīmīgu. Šodien tas varētu būt svarīgāk, ja nevēlaties maksāt izpirkuma maksu.
****
Laurels: Kiberdrošība nav tikai redzamo draudu apturēšana. Tas ir par to, lai apturētu tos, kurus jūs neredzat. Tāpēc Microsoft Security nodarbina vairāk nekā 3500 kibernoziedzības ekspertu un izmanto AI, lai palīdzētu paredzēt, identificēt un novērst draudus, lai jūs varētu koncentrēties uz sava biznesa attīstību, bet Microsoft Security varētu koncentrēties uz tā aizsardzību. Uzziniet vairāk vietnē microsoft.com/cybersecurity.
****
Laurels: Tātad vēl viena interesanta tēma, kas iznāks 2019. gadā, bija tikai vispārīgi datu pārkāpumi. Tātad 2019. gadā patiešām šķita, ka katru otro dienu kāds uzņēmums vai kāds paziņo par datu pārkāpumu. Pēc tam saskaņā ar Risk Based Security datiem 2019. gadā tika atklāti vairāk nekā septiņi miljardi ierakstu. Tātad, atgriežoties pie CISO, kā uz to reaģē CISO un uzņēmumu vadītāji, ja 2019. gads bija tāds kā šogad, kad viena gada laikā [esam redzējuši tik daudz] pārkāpumu?
Stefānija: Jā. Es domāju, ka 2019. gads beidzot bija pārkāpuma noguruma gads. Es domāju, ka mums pat bija grūti sekot līdzi katram pārkāpumam, kas pienāca ziņās. Es domāju, ka tas palīdz to aplūkot perspektīvā. Ne katrs no šiem pārkāpumiem bija uzbrukums. Daudzas no tām patiesībā bija nejaušas iedarbības rezultāts. Tātad, ja, piemēram, nepareizi konfigurējāt mākoņkrātuvi, tas faktiski tiek uzskatīts par pārkāpumu, lai gan ne vienmēr ir pierādījumi tam, ka kāda trešā puse vai ārējs uzbrucējs vai organizācija patiešām ir ļaunprātīgi izmantojusi datus. Tikai tas, ka kāds vai nu iekšēji, vai bieži vien drošības pētnieks atklāj, ka visa informācija ir bijusi mazāk atklāta. Tas tiek uzskatīts par pārkāpumu.
Bet jā. Ja paskatās uz pašiem pārkāpumiem, tad 51% uzņēmumu pēdējā gada laikā bija vismaz viens pārkāpums. Un šis skaitlis, iespējams, ir lielāks, jo daudzas organizācijas par to nezina uzreiz. Taču liela daļa no tiem, patiesībā lielākā daļa, ir iekšēji, iekšēju incidentu, trešo pušu incidentu vai vienkārši pazaudētu vai nozagtu ierīču rezultāts. Un, ja skatāties uz patiesiem ārējiem pārkāpumiem, kad tā bija ārēja puse, kas jums uzbruka un ieguva piekļuvi jūsu sensitīvajiem datiem, atgriežoties pie liela budžeta, trīs galvenie uzbrukuma vektori bija tiešs uzbrukums jūsu lietojumprogrammai, programmatūras ievainojamības vai uzlauztu lietotāja akreditācijas datu izmantošana.
Un trīs no tiem, ja paskatās uz to... Man riebjas būt vaļsirdīgam un teikt, ka tas ir viegli atrisināms, taču ne vienmēr ir nepieciešama vismodernākā programmatūras tehnoloģija, bet gan droša lietojumprogrammu izstrāde. Atgriežoties pie visas mūsu produktu izstrādes un dizaina, ir tikai jāpārliecinās, ka jūsu izstrādātās lietojumprogrammas, kas paredzētas klientiem, ir drošas pēc konstrukcijas — lai jūs tajās izveidotu drošību jau no paša sākuma. Tas samazinās lielu skaitu tiešo uzbrukumu lietojumprogrammām. Un pēc tam, kad lietojumprogrammas ir izvietotas ražošanā, atkal aizsargājot tās ar visu, sākot no tīmekļa lietojumprogrammu ugunsmūriem un beidzot ar cita veida drošības pasākumiem, kas ir lietojumprogrammas un aizsardzības iesaiņojums.
Otra lieta ir programmatūras izmantošana. Tik daudzi uzbrucēji tikai izmanto ievainojamības, kas nav novērstas. Tātad, ja ir patiešām spēcīga ievainojamības pārvaldības programma — tā nav seksīgākā tēma pasaulē, ievainojamības pārvaldība, taču uzņēmumiem faktiski nav laba veida, kā noteikt ievainojamības prioritātes un pēc tam tās novērst.
Laurels: Un tas ir zemu auglis.
Stefānija: Tādi zemu nokareni augļi. Un tad lietotāja akreditācijas datu kompromiss, vairāku faktoru autentifikācija.
Laurels: Jā. Dodieties uz savu tālruni. Ievadiet paroli. Tomēr mēs esam diezgan pieraduši.
Stefānija: Taisnība. Un tik daudzas reizes ar šiem lielajiem pārkāpumiem... un mēs mēdzām rakstīt šo ikgadējo ziņojumu par gūtajām atziņām, un tas gandrīz kļuva garlaicīgi, jo es tikai atkal un atkal sniedzu vienus un tos pašus padomus, piemēram, par drošu lietotņu izstrādi, ievainojamību pārvaldību, lielāko daļu šifrēšanu. sensitīvie dati, kas jums ir, un pēc tam divu faktoru autentifikācija, un pēc tam tiek ieviesta stabila noteikšanas un incidentu novēršanas programma. Tātad tur joprojām ir zemi nokareni augļi. Es domāju, ka mēs tik daudz runājam par iepriekšējiem uzbrukumiem un pieaugošo uzbrukuma virsmu, un tā ir taisnība, bet atkal mēs joprojām neesam pievērsušies tik daudziem pamatiem.
Laurels: Un šie pamati, kā jūs teicāt, jūs esat par tiem rakstījis gadiem ilgi. Vai jūs domājat, ka daži no šiem ievērojamākajiem uzbrukumiem piešķir krāsu un varbūt pievērš cilvēku uzmanību tādā veidā, ka viņi ir gatavi faktiski veltīt daļu no IT budžeta ievainojamības novēršanai?
Stefānija: Viņi dara. Jūsu viedoklim par daudzfaktoru autentifikāciju, manuprāt, tas tagad ir kļuvis par aizmirstu secinājumu un pieņemtu labāko praksi — jums tas ir jāievieš. Pagāja kāds laiciņš. Tam bija jābūt pārkāpumam pēc pārkāpuma. Tam bija jābūt nozarei, kas saka: divi faktori, divi faktori, divi faktori. Pat patērētāju tehnoloģiju uzņēmumi saviem klientiem saka: 'Ieslēdziet divu faktoru, ieslēdziet divu faktoru'. Tāpēc es domāju, ka jo vairāk mēs atkārtojam dažas no šīm paraugpraksēm, jo vairāk tās beidzot iesakņojas. Es ceru, ka tas pats notiks ar drošu lietojumprogrammu izstrādi.
Un tad atkal ievainojamību pārvaldība ir patiešām svarīga, lai noteiktu prioritāti ievainojamībām, kuras jums jārisina. Katru gadu Nacionālajai ievainojamību datu bāzei tiek pievienoti tūkstošiem ievainojamību, un 30% no tām tiek uzskatītas par kritiskām. Tātad tas nepalīdz. Lai palīdzētu labot sistēmu, jums ir nepieciešams iekšējs process, kurā ievainojamības tiek noteiktas par prioritāti, pamatojoties uz jūsu biznesa kontekstu, IT kontekstu un draudu vidi.
Laurels: Jo pretējā gadījumā tas ir tikai...
Stefānija: Tas būtu satriecoši.
Laurels: Tik satriecoši.
Stefānija: Jā.
Laurels: Es domāju, ka bankas un banku nozare ir viena no nozarēm, kas piespiež divu faktoru autentifikāciju. Vai redzat kādas konkrētas nozares, kas to dara ar lietojumprogrammu nodrošināšanu vai drošu lietotņu izveidi?
Stefānija: Kas, manuprāt, varētu būt vadošais, veidojot drošas lietotnes? Tas ir labs jautājums. Es nezinu, vai kāda cita nozare patiešām izceļas. Mēs nesen sagatavojām šo pielietojuma stāvokļa drošības ziņojumu, un tas bija diezgan atvērts, kā arī drūms. Tas nebija labs ziņojums. Un tad mēs izveidojām nozarei specifisku versiju, kurā filtrējām valdības rīcībā esošos datus. Un federālā valdība bija vēl sliktāka nekā privātais sektors, tāpēc tas ir diezgan satraucoši. Es domāju, ka nozares, kas mani satrauc visvairāk, būtu veselības aprūpe un valdība.
Laurels: Un tie ir divi, kurus lielākā daļa cilvēku, iespējams, izmanto biežāk nekā gandrīz jebko citu.
Stefānija: Taisnība.
Laurels: Jā. Veselības aprūpe nemaz nav maza problēma. Ideja par slimnīcu datiem, personas datiem, bet arī PII [personu identificējoša informācija] un tikai nokļūšana sistēmās un iekārtās. Vai viss rada bažas? Kad viss ir satraucošs, kā jūs to faktiski nosakāt par prioritāti, ja esat veselības aprūpes iestāde?
Stefānija: Jā. Es domāju, ka veselības aprūpē ilgu laiku liels uzsvars tika likts uz atbilstību HIPAA. Runājot par ASV specifisko. ASV tika likts tik daudz uzsvars uz atbilstību HIPAA, pat CISO koncentrējās uz HIPAA, nevis patieso kiberdrošību. Tātad vēsturiski mēs bieži atklājām, ka diemžēl veselības aprūpei drošībai tērē mazāk nekā citās nozarēs. Un atkal, ja viņiem bija CISO, mēs bieži atklājām, ka viņš vai viņa nebija pietiekami augsta līmeņa organizācijā vai viņam nebija atbilstošas kontroles. Tas mainās. Es domāju, ka problēma ir arī veselības aprūpei, pat ja viņi risina dažas vēsturiskās budžeta problēmas, kas viņiem bija, tā ir nozare, kas cīnās ar izmaksām. Ja jums ir dolārs, ko tērēt klīniskai sistēmai salīdzinājumā ar kiberdrošību, tā ir patiešām grūta izvēle, jo īpaši ASV, kur mēs tik daudz tērējam veselības aprūpei, taču joprojām ir sliktākie veselības aprūpes rezultāti no visām attīstītajām valstīm. Tā ir patiesā cīņa, jo drošībai ir vajadzīgs pienācīgs budžeta apjoms, lai tas labi darbotos.
Jā. Tātad veselības aprūpe, mani uztrauc tas, ka tās atpaliek no citām nozarēm kopējā brieduma ziņā, bet es domāju, ka tas mainās. Es domāju, ka nākamā joma, kas, iespējams, uztrauc mani veselības aprūpē, būtu medicīnas ierīču drošība un lietojumu drošība.
Laurels: Jā, tā ir pavisam cita, biedējoša tēma, vai ne? Visbeidzot, tas, par ko es domāju no 2019. gada, ir tāds, ka šī tēma ir plaša un liela, taču arī ļoti svarīga lielākajai daļai uzņēmumu, kas faktiski ražo fizisku preci vai sūta lietas no vienas vietas uz citu, proti, piegādes ķēdes drošības uzbrukumi. Ja uzņēmuma piegādes ķēde ir tik ļoti gara un sarežģīta, mēs nerunājam tikai par jūsu fizisko telpu vai mākoņa nodrošināšanu. Tas ir arī produkts. No kurienes tas tiek nosūtīts, kur tas tiek nosūtīts, un tad arī pārdevēji.
Stefānija: Sastāvdaļas.
Laurels: Komponenti un pārdevēji, ar kuriem strādājat.
Stefānija: Jā. Es domāju, ka liela daļa no tā sāksies ar vispārējo trešās puses risku. Trešās puses risks un piegādes ķēdes risks, es domāju, piegādes ķēde ir sava veida kopējā trešās puses riska apakškopa. Kopumā es teiktu, ka trešo pušu risks ir bijis viens no pieciem galvenajiem izaicinājumiem, par kuriem daudzi mūsu CISO klienti runā ar mums pēdējos vairākus gadus. Atkal, ja paskatās uz pārkāpuma datiem, gandrīz 25% līdz 30%, kaut kur šajā pārkāpumu diapazonā ir trešo pušu rezultāts. Un parastam lielam uzņēmumam var būt pat 300 trešo pušu attiecības, ja saskaitāt ne tikai piegādātājus, bet pēc tam domājat par IT pakalpojumu sniedzējiem, mākoņpakalpojumu sniedzējiem. Es reiz veicu uzņēmējdarbības ietekmes analīzi, kurā es inventarizēju visas attiecības ar trešām pusēm patiešām vidējai organizācijai, tūkstotim darbinieku. Un es atklāju apmēram 30 trešo pušu attiecības, par kurām IT organizācija neko nezināja.
Laurels: Ak, oho.
Stefānija: Un tāpēc tagad jūs to nogādājat lielā uzņēmumā. Tāpēc es domāju, ka liela daļa no tā atgriezīsies, ja varēsit sākt ar galveno trešās puses riska programmu. Viens, vai tev tāds ir? Vai drošība ir iekļauta trešās puses riskā? Vai viņiem ir veto tiesības trešo pušu attiecībās? Un tas nav tikai vienreizējs trešo pušu drošības stāvokļa novērtējums. Tās ir arī pastāvīgas attiecības, kurās jūs periodiski tās pārvērtējat. Ir daudz prasību, lai noteiktu pakalpojumu līmeņa līgumus par drošību ar trešajām pusēm. Tātad viss sākas ar pamata trešās puses riska pārvaldību. Un tad es domāju, ka tas attieksies arī uz piegādes ķēdes risku.
Laurels: Un jūs, iespējams, to redzēsit, piemēram, ar cilvēkiem vai uzņēmumiem, kuri tikai demonstrē paraugpraksi. Viņi to nosūta pa straumi visiem saviem pārdevējiem. Tātad, ja plānojat strādāt ar mums, jums būs jāievēro šīs procedūras.
Stefānija: Tieši tā.
Laurels: LABI.
Stefānija: Tieši tā. Jā. Es jau kādu laiku vēlējos uzrakstīt šo ziņojumu, kas, lai gūtu ilgtermiņa panākumus uzņēmējdarbībā, ir jārīkojas kā pārkāpuma uzņēmums. Uzņēmumi, kuriem faktiski ir bijuši milzīgi pārkāpumi un kas pārdzīvoja sākotnējās sekas, pēc aptuveni pieciem gadiem faktiski uzrāda biznesa rezultātus, kas bieži pārsniegs S&P 500. Un, ja jūs atgriežaties un paskatās uz to, ko viņi ir izdarījuši. Tas liek viņiem pieņemt patiešām smagus biznesa, kā arī IT un drošības lēmumus. Tātad, raugoties no biznesa perspektīvas, tas liks viņiem mainīt prioritāti daudzām stratēģiskajām iniciatīvām, jo pārkāpums viņiem izmaksāja 300 miljonus, 500 miljonus, pat 1 miljardu ASV dolāru. Tāpēc tas liek viņiem daudz grūtāk aplūkot savu vispārējo uzņēmējdarbības stratēģiju un biznesa operācijas, jo viņiem vienkārši nav naudas, ko tērēt visam. Vai arī dažos gadījumos viņiem ir jāatbrīvojas no sliktiem lēmumiem, kuros viņi vienmēr gribēja ieliet naudu.
No IT viedokļa mēs redzēsim, ka viņi ieviesīs lietas, kuras viņiem vajadzēja darīt visu laiku. Trešās puses risks. Man bija viens uzņēmums, kuram bija pārkāpums, un teica, ka pēc pārkāpuma jūs nevarat nopirkt zīmuli bez …
Laurels: Apstiprinājums.
Stefānija: Apstiprinājums. Un jūs noteikti nevēlaties nonākt šajā galējībā, taču bija skaidrs, ka viņiem iepriekš nebija trešās puses riska. Vai arī viņi pieņems darbā PSO, vai arī mainīs, kur PSO ziņo, sāks finansēt reaģēšanas uz incidentiem un pārkāpumu programmas. Tātad pārkāpums faktiski liek viņiem būt daudz nobriedušam un labākam uzņēmumam. Žēl, ka viņiem bija jāiziet cauri pārkāpumam, lai tur nokļūtu.
Laurels: Tur nokļūt. Es domāju, ka katram uzņēmumam, iespējams, kādā brīdī tas būtu jāskatās, vai mēs tiešām darām visu, kā vajadzētu? Kāds ir lietas stāvoklis, uzņēmuma stāvoklis? un kārtīgi palūkojoties. Bet esmu pārliecināts, ka arī tas jūs nepadarītu ļoti populāru, ja tas būtu tikai vingrinājums.
Stefānija: Jā.
Laurels: Ja jūs piedzīvojat šausmīgu drošības pārkāpumu, tad jums ir attaisnojums. Tātad mēs atgriežamies pie lietas, kur, kad notiek kaut kas briesmīgs, tagad jums ir attaisnojums, lai…
Stefānija: Es domāju, ka brieduma novērtējumi tur palīdz. Es domāju, ka kiberdrošībai ir daudz nozarei raksturīgu brieduma novērtējumu. Forrester mums ir savs brieduma novērtējums. Tāpēc mēs bieži konstatēsim, ka klienti to izmantos kā pamatu, un pēc tam viņi var doties pie padomes, pie sava uzņēmuma un IT vadītājiem un teikt: “Skatieties, pretēji nozares paraugpraksei, šeit mēs esam nobrieduši. , un šeit mēs patiešām esam vāji. Un tad arī tas palīdz viņiem sākt veidot līdzīgus ceļvežus un pēc tam attaisnot finansējumu konkrētām iniciatīvām, jo var teikt, ka tas uzlabos mūsu briedumu no 1,5 līdz 3. Un tas tiešām attiecas uz mūsu nozari, mums ir jābūt vismaz 3 šajā jomā.
Tāpēc es domāju, ka jūs domājat, ņemot vērā šo pamatlīniju, salīdzinot ar nozares paraugpraksi un izvēloties brieduma novērtējumu, jūs zināt — Forrester, kāda cita konsultāciju firma. Bet nosakiet savu drošības stāvokli, paziņojiet rezultātus, sadarbojieties ar uzņēmumiem, lai izvirzītu reālus mērķus par to, kur jums vajadzētu būt uzņēmumam un nozarei. Un tad tas patiešām nosaka jūsu ceļvedi un lielu finansējumu. Tātad tas sniedz jums kā īstus ziemeļus, uz kuriem norādīt.
Laurels: Un tas liek jums būt drošībai kā atšķirtspējai.
Stefānija: Tieši tā.
Laurels: Jā. Tāpēc 2020. gadā, iespējams, mēs to redzēsim vairāk. Bet vēl daži satraucoši papildinājumi. Mēs tikai īsi pieskārāmies ģeopolitikai. Gada beigas mums rādīja nedaudz bedrainu ceļu tieši ar Irānu. Tātad, cik daudz, jūsuprāt, vidusmēra uzņēmumi ir nobažījušies par ģeopolitiku, vai arī tiem ir nepieciešams uzlabot drošību tikai jebkuram sliktam dalībniekam?
Stefānija: Mēs faktiski bijām uzrakstījuši šo ziņojumu jau 2016. gadā, un tas bija paredzēts CISO. Un tā nosaukums bija Ignorēt ģeopolitisko risku jūsu briesmās. Un tieši šai idejai CISO patiešām bija jāpamostas ģeopolitiskā riska ietekmei uz kiberdrošību. Tātad, jā, šodien ir Irāna. Nākotnē tā varētu būt cita valsts. Pat ja jūs domājat, ka, ak, es neesmu valdībā, es neesmu kritiskajā infrastruktūrā, privātā sektora organizācijas visu laiku tiek mērķētas. Atkal, dažos gadījumos tāpēc, ka tie ir viegli mērķi, jo jūs veicat darījumus ar federālo valdību.
Tāpēc jums ir jāuztraucas par ģeopolitisko risku. Un atkal, daudziem lieliem uzņēmumiem, kuros esat starptautisks, jums ir jādomā par to, kā tas ietekmēs jūsu darbiniekus, jūsu birojus un trešās puses, ar kurām veicat darījumus. Tātad, it kā PSO nebūtu pietiekami daudz darāmā, tām ir jāņem vērā ģeopolitiskais risks. Kā tas palielina risku? Vai tas viņus padara vairāk par mērķi? Interesanti, ka, ja paskatās uz dažiem pārkāpumiem, jūs zināt, piemēram, Marriott. Himna, es aizmirsu, ja tas bija apmēram pirms trim gadiem. Viņi nebūtu domājuši, ka ir nacionālas valsts mērķi, taču viņi gribēja viņu datus.
Laurels: Protams. Un vai šādi telšu nosaukumi ir vairāk apdraudēti, vai tiešām jums ir daži lieliski dati?
Stefānija: Es domāju, ka tas bija mazāk par nosaukumu, bet vairāk par tiem konkrētajos gadījumos par datiem, kas viņiem bija. Jūs zināt, Marriott gadījumā viņiem bija neticami detalizēta informācija par valdības darbinieku un augstāko amatpersonu ceļošanas paradumiem. Es domāju, ka dažos gadījumos viņiem pat bija pases numuru kopijas kā daļa no slepenajiem datiem, kas tika apdraudēti.
Himnas gadījumā jums ir sensitīva medicīniska informācija par personām. Jums ir jādomā par ģeopolitisko risku un to, kā nacionālā valsts varētu izmantot jūsu datus.
Laurels: Tur noteikti ir daudz. Bet kā ar iekšpolitiku un risku? 2020. gads ir vēlēšanu gads. Bet, izņemot vēlēšanu urnu drošību, kādas citas īpašas interešu grupas un kampaņas var vākt datus, kas varētu būt mērķtiecīgi?
Stefānija: Jā, es domāju, ka tas ir interesants. Nu, atkal, spēja mērķēt uz vēlētājiem ir ļoti spēcīga. Tātad vēlreiz, ja esat patērētāju organizācija, kurai ir ļoti detalizēta informācija par indivīdiem, piemēram, vēlmēm, simpātijām, paradumiem. Var nebūt izmantots nelietīgiem mērķiem, piemēram, identitātes zādzībai. Bet atkal, to varētu izmantot kāds, kurš vēlas mērķēt un ietekmēt šīs personas. Tāpēc es noteikti atkal redzu, ka, ja esat patērētāju uzņēmums, kuram ir neticami detalizēti dati par vēlmēm, pirkšanas paradumiem un attieksmi, tas viss noteikti būtu piemērots mērķauditorijas atlasei.
Laurels: Kā arī tādi uzbrukumi kā dziļi viltojumi, vai ne?
Stefānija: Jā.
Laurels: Tātad, vai jūs teiktu, ka dziļi viltojumi ir kā jaunā pikšķerēšana, vai arī tā ir tikai pikšķerēšanas garša?
Stefānija: Garša. Tā ir sava veida nākamā sociālās inženierijas evolūcija. It kā sociālās inženierijas problēmas nebūtu pietiekami grūti risināt, tagad mums ir jācīnās arī ar dziļajiem viltojumiem. Un man šķiet, ka ar deepfake tie nogatavojās daudz ātrāk, nekā nozare gaidīja. Es domāju, ka es atceros, ka lasīju un klausījos kā aplādes, un eksperti saka, piemēram: 'Ak, jūs zināt, mēs joprojām esam daudzu gadu attālumā no viltojumiem, kas patiešām var apmānīt ekspertus.' Un man šķiet, ka šī laika skala bija tālu.
Laurels: Veids paātrināts.
Stefānija: Veids paātrināts.
Laurels: Tātad Forrester ir šis lieliskais ziņojums ar nosaukumu Prognozes 2020, un tiek prognozēts, ka nākamgad dziļi viltojumi uzņēmumiem izmaksās vairāk nekā ceturtdaļu 1 miljarda ASV dolāru. Tātad tehnoloģija paātrinās, bet arī ietekme un kaitējums.
Stefānija: Jā, pareizi. Un es domāju, ka tāpat kā parastam pārkāpumam ir tūlītējas izmaksas. Tātad, ja padomājat par saviem tipiskajiem sociālās inženierijas uzbrukumiem. Pavisam nesen kāds Vācijas uzņēmums patiešām pārliecinoši spēja viltot izpilddirektora balsi, un viņi pārliecināja citu uzņēmuma vadītāju pārskaitīt viņiem apmēram ceturtdaļmiljonu dolāru. Tātad, šeit ir piemērs jūsu nākamajai biznesa kompromisu un sociālās inženierijas uzbrukumu attīstībai. Tātad jūs varat iedomāties, ka tas ir vēl izsmalcinātāks, grandiozāks, bet tad tas arī risina tā sekas. Pierādīt, ka tā bija dziļa viltošana, kā rīkoties, reaģējot uz pārkāpumu, kā ar to rīkoties. Tā kopējās izmaksas, mūsuprāt, varētu būt ievērojamas.
Laurels: Vai apdrošināšanas kompānijas ir gatavas vai var rīkoties ar to?
Stefānija: Interesanti, ka piemērs, ko es tikko minēju, tātad tas ir dziļš viltojums, viss notika vai skaitļošanas infrastruktūra. Tā tiktu uzskatīta par krāpšanu pretstatā ārējam uzbrukumam. Tāpēc es neesmu pārliecināts, ka jūsu kiberapdrošināšana to pat segtu.
Laurels: Oho.
Stefānija: Un es zinu, ka daudzi uzņēmumi to dara kā daļu no savas atbildes. Pastāv pieņēmums, ka liela daļa no tā tiks segta. Lielam uzņēmumam nav nekas neparasts, ja viņiem ir 100 miljonu ASV dolāru kiberapdrošināšanas polise. Tātad, ja vēlaties izmantot šos 100 miljonus ASV dolāru atkarībā no notikušā rakstura. Ja tas ir klasificēts kā krāpšana, viņi to var nesegt.
Laurels: Ko vadītāji varētu darīt? Atgriezieties pie slepenajām parolēm un rokasspiedieniem vai...
Stefānija: Jā, jokojot malā. Ja šajos elektronisko pārskaitījumu gadījumos vai jebkurā citā lietā, kas ietver, piemēram, sensitīvus datus, otrais faktors, autentifikācija, manuprāt, ir patiešām svarīgs.
Laurels: Interesanti. Acīmredzot dziļi viltojumi, daudz ātri mainīgu tehnoloģiju, viss virzās un kļūst tik daudz sarežģītāks. Tātad, mēs nerunājam tikai par labiem puišiem, kuriem ir piekļuve visām tehnoloģijām. To dara arī sliktie puiši. Tātad, ko mēs aplūkojam citā Forrester pareģojumā par ieročiem mākslīgo intelektu un mašīnmācīšanos? Tā ir liela tēma, taču ar tik strauji attīstošām tehnoloģijām un visiem ir pieejami vieni un tie paši rīki, vai notiek bruņošanās sacīkstes, vai arī mums visiem ir jāuzmanās vienam par otru un tas vienkārši jāpadara?
Stefānija: Es domāju, ka tas ir abi. Es domāju, ka drošība ir mūžīgas bruņošanās sacensības. Es teikšu, es domāju, ka drošības komandām ļoti ātri ir jāaptver mašīnmācība un citi mākslīgā intelekta veidi. Tikpat ātri, cik nelabvēļi ir. Es domāju, ka drošības jomā ir milzīgas iespējas automatizēt daudzus mūsu pamatprocesus. Viss, sākot no atklāšanas līdz labošanai un beidzot ar faktisko atbildi.
Mašīnmācības izmantošana labākām noteikšanas iespējām. Tāpēc iedomājieties, ja mēs varētu kaut ko ātrāk atklāt un tad tik daudz vairāk mūsu atbildes būtu automatizētas. Pašlaik liela daļa no tā, ko mēs darām, ir manuāli. Noteikšanas rokasgrāmata, tāpat kā drošības komandas bieži, piemēram, ja paskatās uz tipisku SOC, es domāju, ka tās ir pārpludinātas ar tūkstošiem brīdinājumu. Ir grūti saprast, kuri brīdinājumi ir svarīgāki par citiem. Tātad atkal tā ir sava veida prioritāšu noteikšana. Tāpat kā ļoti svarīgi ir nekavējoties saprast, kuri no tiem ir patiesi nelietīgi un bīstami. Un jūs varētu pieņemt darbā tik daudz cilvēku, cik vēlaties. Jūs nekad nespētu tam sekot līdzi.
Laurels: Taisnība.
Stefānija: Tātad jums patiešām ir nepieciešama tehnoloģija, lai to izdarītu jūsu vietā. Bet pēc tam, kad uzzināsit, ka kaut kas patiešām ir ļaunprātīgs, tagad tas ir manuāls process, kas tiek uzsākts, proti, jums būs manuāli jāatiestata lietotāja paroles. Jums būs manuāli jāizolē ierīces no tīkla. Viss tiek darīts manuāli, un dažos gadījumos mums joprojām ir daudz darbību, kurās mēs lūdzam apstiprinājumu. Nākotnē tas viss notiks automātiski. Jums būs jāsadarbojas ar jums, lai pateiktu: 'Labi, no šī brīža, ja tas sasniedz noteiktu slieksni, ja mēs esam 90% pārliecināti, ka tas ir ļaunprātīgs, tad drošības komanda, visi procesi ir automatizēti.' Viss, ko tikko aprakstīju, piemēram, paroļu atiestatīšana, ierīču izolēšana, tas viss var notikt automātiski. Jums nav jāgaida neviena apstiprinājums.
Laurels: Un laikam ir nozīme?
Stefānija: Jā, tāpēc mums ir jārunā par uzņēmumiem, kuriem jāveic digitālā transformācija, lai apmierinātu klientu jaunās cerības un mainīgās biznesa prasības. Es domāju, ka drošības komandām ir jāveic sava digitālā transformācija, jo viss, ko mēs šodien darām, ir tik manuāls un tik laikietilpīgs. Un, ja mēs gatavojamies sekot līdzi kibernoziedzniekiem, kas izmanto šīs tehnoloģijas, mums tas jādara ātrāk nekā vēlāk.
Bija viens uzņēmums, kas izmantoja mašīnmācīšanās algoritmus, lai mērķētu uz personām ar sarežģītākiem sociālās inženierijas ziņojumiem, un spēja palielināt ne tikai kopējo cilvēku skaitu, ko viņi varēja sociāli izstrādāt, bet arī palielināt klikšķu panākumus eksponenciāli, izmantojot mašīnmācīšanos un automatizācijas tehnoloģijas. Tātad, jā, mums ir jāseko līdzi.
Laurels: Vai jūs teiktu, ka ir kādas citas konkrētas tendences 2020. gadā vai lietas, kurām cilvēkiem vajadzētu pievērst uzmanību?
Stefānija: Es tiešām domāju, ka trešās puses risks un piegādes ķēde arī turpmāk būs liela, liela problēma. Un tā patiesībā ir vēl viena joma problēmas apjoma dēļ. Kad es runāju par uzņēmumu, kuram ir 300 trešo pušu attiecības, tas ir tikai vidējais rādītājs. Ir lieli uzņēmumi, kuru skaits ir pat lielāks, un tas ir ļoti laikietilpīgi, lai novērtētu stāvokli, vienotos par SLA, turpinātu tos novērtēt, sekot līdzi, saņemtu no tiem žurnālus, lai jūs saprastu, kur atrodas jūsu dati. Tāpēc trešās puses riska izaicinājumam vien ir nepieciešams savs automatizācijas rīku un piegādes ķēdes noteikumu kopums. Es domāju, ka SOC pārveide joprojām būs problēma 2019. gadā.
Laurels: Drošības operāciju centrs?
Stefānija: Drošības operāciju centrs. It kā mums nebūtu prasmju un darbinieku trūkuma. Pat ja jūs varētu pieņemt darbā visus cilvēkus, kurus vēlaties, jūs nevarat sekot līdzi problēmu mērogam un izaicinājumam. Tātad jums ir jāpieņem arī automatizācija.
Laurels: Vai jūs redzat uzņēmumus, kas vispirms ievieš automatizāciju, iespējams, drošības jomā, kur tie varētu būt vilcinājušies citās uzņēmējdarbības daļās?
Stefānija: Jā. Un ilgu laiku bija vilcināšanās pieņemt automatizāciju, jo bija bailes, ka es varētu bloķēt likumīgu biznesa darījumu. Un jūs zināt, vēsturiski drošības komanda cīnījās, lai tiktu uzskatīta par biznesa partneri. Viņi bija nodaļa Nr. Un tāpēc radās šausmīgās bailes potenciāli bloķēt jebkāda veida likumīgu biznesa darījumu. Es domāju, ka šīs bailes tagad ir pazudušas, ņemot vērā visus mūsu esošos pārkāpumus. Uzņēmējdarbība ir līdzīga: 'Nē, jūs zināt, ka kaut kas ir ļaunprātīgs, jūs to bloķējat.'
Laurels: Taisnība.
Stefānija: 'Vai arī noteiktā pārliecībā, ja jūs domājat, ka tas ir ļaunprātīgs, jūs to bloķējat.' Tātad noteikti ir atvērtība automatizācijai. Es teikšu, tur ir tāda frāze kā neautomatizēt stulbu. Jūs nevarat ieguldīt tikai automatizācijas tehnoloģijā, ja jūsu SOC trūkst pamatprocesu. Tātad, jums ir jāsagatavo savas SOC darbības un jābūt nobriedušiem procesiem, un pēc tam varat tos automatizēt. Pretējā gadījumā jūs vienkārši automatizējat stulbi. Un dažos gadījumos arī tāpēc daudzi uzņēmumi pievēršas pārvaldītiem pakalpojumiem.
Lielākā daļa drošības budžeta tagad faktiski tiek tērēta pakalpojumiem. Neatkarīgi no tā, vai tie ir konsultatīvi, profesionāli pārvaldīti pakalpojumi vai drošība, kas faktiski tiek nodrošināta kā pakalpojums no mākoņa. Tas ir pārvietots no lokāliem produktiem uz pakalpojumiem. Un es domāju, ka daļa no tā atspoguļo vajadzību pēc drošības komandām, tām ir vajadzīga ārēja palīdzība. Viņiem ir problēmas mērogs, viņiem ir ekspertīzes problēma, tāpēc viņi arvien vairāk pievēršas pakalpojumiem. Un tad, kad bizness kļūst arvien vairāk balstīts uz mākoņiem, arī jūsu drošības tehnoloģijām jākļūst uz mākoņa bāzes.
Laurels: Un strauji.
Stefānija: Tieši tā.
Laurels: Jā. Un tas noteikti atgriežas pilnā aplī, nedariet to viens. Jūs to nevarat izdarīt viens pats tuksnesī.
Stefānija: Noteikti nē.
Laurels: Nu, liels paldies, Stefānija. Bija lieliski, ka jūs šodien apmeklējāt Biznesa laboratoriju.
Stefānija: Paldies, ka esat mani. Bija lieliski šeit būt.
Laurels: Tā bija Stefānija Balaura (Stephanie Balaouras), Forrester Research drošības un riska izpētes, kā arī infrastruktūras un operāciju izpētes viceprezidente un grupas direktore, ar kuru es runāju no Kembridžas, Masačūsetsas štatā, MIT un MIT Technology Review mājas, no kuras paveras skats uz Čārlza upi. Paldies arī mūsu partnerim Microsoft Security.
Tas ir viss šajā Business Lab epizodē. Es esmu jūsu saimnieks Laurel Ruma. Es esmu Insights direktors, MIT Technology Review pielāgotās izdevējdarbības nodaļa. Mēs esam dibināti 1899. gadā Masačūsetsas Tehnoloģiju institūtā, un jūs varat mūs atrast arī drukātā veidā, tīmeklī un desmitiem tiešraides pasākumu katru gadu. Lai iegūtu papildinformāciju par mums un šovu, lūdzu, apmeklējiet mūsu vietni TechnologyReview.com. Šī pārraide ir pieejama visur, kur saņemat aplādes. Ja jums patika šī sērija, mēs ceram, ka veltīsit brīdi, lai mūs novērtētu un sniegtu atsauksmi. Business Lab ir MIT Technology Review produkcija. Šo sēriju producēja Collective Next. Paldies par klausīšanos.
Drošības draudi ir visur. Tāpēc Microsoft Security vairāk nekā 3500 kibernoziedzības ekspertu pastāvīgi uzrauga draudus, lai palīdzētu aizsargāt jūsu uzņēmumu. Vairāk vietnē Microsoft.com/cybersecurity.
