Родители Джейми Нортона подарили ему компьютер в детстве, с которым он играл и экспериментировал, пока рос. Когда он поступил в университет, он изучал информационные технологии и бухгалтерский учет, «по сути, просто как второстепенное направление». Это было как раз во время зарождения интернета, и он начал работать с Unix и другими операционными системами, имея за плечами опыт разработки программного обеспечения.
Покинув университет, он еще не знал, чем займется в сфере технологий, но бум доткомов открыл целый ряд технологических возможностей, и его первая должность была связана с разведкой для Министерства обороны. «Именно там я начал думать в терминах безопасности», — рассказывает он CSO о тех ранних днях работы ведомства в сфере технологической безопасности. «Но концепции риска, защиты сетей и некоторые основы уже присутствовали». И тогда Нортон впервые осознал, что кибербезопасность может стать карьерной возможностью.
Примерно в 2000 году Нортон «официально погрузился» в кибербезопасность.
«Начав после работы в обороне, я работал на стороне поставщиков и в некоторых стартапах. Прошел период, связанный с очень сильными системами цифрового доверия, аутентификацией, идентификацией, а затем перешел на более общие и ранние руководящие роли в сфере кибербезопасности». В середине карьеры Нортон также занимал несколько должностей в сфере продаж, прежде чем вернуться к руководящим ролям в кибербезопасности, а «недавно вернулся к консалтингу».
Его карьера в области кибербезопасности включала работу во Всемирной организации здравоохранения (ВОЗ), NEC Australia и Австралийском налоговом управлении. Сегодня он является заместителем председателя совета директоров ISACA и техническим директором по информационной безопасности (CISO) Австралийской комиссии по ценным бумагам и инвестициям (ASIC).
CSO побеседовал с Джейми Нортоном о проблемах кибербезопасности в финансовом и государственном секторах, а также о сохранении талантов. Ниже приводится отредактированное для краткости и ясности интервью.
Каковы основные проблемы, с которыми сегодня сталкиваются руководители в сфере кибербезопасности?
Нортон: Очевидно, это очень сложная область, но в то же время существуют фундаментальные вещи, которые значительно меняют ситуацию. Часть проблемы для CISO заключается в том, как внедрить эту базовую гигиену в организациях. Устаревшие среды — это, пожалуй, самая большая проблема, особенно в правительстве. Попытка защитить системы, которые стары и устарели, больше не обновляются и требуют значительных инвестиций для изменения позиции в области безопасности.
Но поверх этого лежит концепция общей гигиены во всей среде, и даже выполнение основных шагов может быть очень сложной задачей. Здесь есть элемент процесса, очевидно, есть технологический элемент, но также и человеческий. Так что это попытка согласовать все эти аспекты.
Прямо сейчас появляются ИИ и целый ряд вещей, которые станут огромными, и мы не знаем, как будет выглядеть ситуация через 10 лет, возможно, даже через пять. Все меняется так быстро, и как люди, занимающиеся технологиями и безопасностью, мы хотим быть инновационными и двигаться быстро, быть на переднем крае, потому что в противном случае есть риск остаться позади. Но мы должны делать это безопасно, чтобы случайно не раскрыть конфиденциальную информацию. Это тоже проблема.
По вашему опыту работы руководителем в сфере кибербезопасности, что обычно означает кибербезопасность для организаций?
Нортон: Это варьируется. Это, безусловно, менялось со временем и между организациями. Это зависит от размера и масштаба, но также во многом зависит от совета директоров и общего мышления руководства в отношении безопасности. В средних и крупных государственных учреждениях существует реальная концентрация внимания на кибербезопасности на уровне руководства. Существуют также строгие политики и рамки, такие как PSPF [Рамки политики защитной безопасности] и другие требования.
В корпоративном секторе это сильно варьируется. Мы видели даже в некоторых крупных организациях, где было непросто заставить руководство и совет директоров принять на себя ответственность за риск безопасности. Они просто тратят на это немного больше времени, чем, возможно, те, кто давно выступает за безопасность. Я думаю, что с учетом происходящего на рынке, более широкого регулирования, общего уровня обсуждения вопросов безопасности в СМИ и других источниках, а также инцидентов — стоимости этих инцидентов, таких как недавние OPTUS, Medibank и Qantas, — это меняет ситуацию, повышая внимание к эффективному киберуправлению. Я думаю, что на самых высоких уровнях организаций — у руководства и директоров — появляется все больше поддержки, что позволит нам сдвинуть ситуацию еще дальше.
Как вы поддерживаете мотивацию своей команды, чтобы удержать специалистов по кибербезопасности от ухода?
Нортон: В правительстве у нас часто не такой уровень компенсации, как в корпоративном секторе, поэтому мы стараемся создать позитивную культуру и среду, в которой людям нравится работать. Моя личная цель — предоставлять наставничество и советы команде, будучи при этом очень прозрачным в отношении карьерных возможностей и того, как выглядит отрасль в разных областях. Я самый сильный защитник своей команды в плане помощи им в поиске своего пути и достижении карьерных устремлений, будь то в правительстве или за его пределами.
Старайтесь сокращать бюрократию. Иногда это трудно, но старайтесь минимизировать влияние таких вещей. Обучение, вероятно, является ключевым рычагом, чтобы дать людям это преимущество и возможность учиться и развиваться дальше в своей карьере, а также доступ к интересным технологиям.
Элемент миссии в правительстве также имеет решающее значение. Мы часто привлекаем людей, ориентированных на миссию и стремящихся к успеху, который больше их самих. Они пытаются достичь чего-то для страны или для определенной области экономики. Это ключевой результат, который мы предлагаем.
Но в равной степени существует элемент, особенно на уровне выпускников и начинающих специалистов, когда мы знаем, что часто являемся инкубатором для следующего шага в их карьере. И я думаю, что смириться с этой концепцией — не плохо. Да, они могут прийти, мы получим от них отличные инновации в течение первых трех-пяти лет их карьеры, они получат от нас обучение и поддержку, а затем могут уйти в частный сектор на некоторое время, но могут вернуться в правительство позже. Я думаю, это своего рода притяжение и отталкивание в экономике.
Каким вы видите будущее роли руководителя в сфере кибербезопасности?
Нортон: Инновации, такие как ИИ, коренным образом повлияют на роль и нашу повседневную деятельность. Некоторые аспекты не изменятся, но многие аспекты будут трансформироваться и меняться в ближайшее время. Как индустрия, мы все еще отходим от восприятия нас как чисто технологической функции и переходим к более тесному сотрудничеству с функцией управления рисками. Это происходит не в каждой организации, но уже происходит в финансовом секторе. Я надеюсь, что мы начнем видеть эту тенденцию и в правительстве, когда безопасность будет подчиняться главному операционному директору или главному специалисту по рискам, в зависимости от организации, что устранит этот чисто технологический взгляд и связанные с ним конфликты.
Но сама роль значительно изменилась за последние 20–25 лет: от очень технических начал до нынешнего уровня, когда C-уровень тесно взаимодействует с советом директоров и исполнительным [руководством]. Эта тенденция сохранится, и мы начинаем видеть, что у большего числа директоров есть хотя бы некоторый опыт в области кибербезопасности.
Какие вопросы CISO часто упускают из виду, обеспечивая безопасность организаций сегодня?
Нортон: Я думаю, стоит спросить себя: какова ваша реальная видимость и насколько вы уверены, что ваша картина происходящего верна и останется верной через три месяца?
Чем вы больше всего и меньше всего гордитесь в своей карьере?
Нортон: Я чувствую, что работа, которую я делаю с ISACA, имеет реальное влияние и наследие, с амбициозной повесткой дня, включающей общеотраслевые глобальные инициативы, которые, по нашему мнению, улучшат отрасль для профессионалов.
Что касается ошибок, их было много. Я из тех, кто верит в принцип «быстро терпи неудачу и учись». Правительство не всегда придерживалось этого подхода, мышление руководства немного иное, поэтому справедливо сказать, что у меня было достаточно неудач и достаточно презентаций, которые не были восприняты. Но я думаю, что главное послание таково: как CISO, вы не можете быть идеально подготовлены с первого дня. Когда вы начинаете новую роль — значимую или в организации среднего размера — вам придется учиться реагировать, восстанавливаться и начинать заново, и вы не всегда будете впечатлять всех, потому что иногда вам придется доносить жесткие сообщения. Большая часть вызова быть CISO — это построение эффективного повествования и завоевание доверия вашего руководства и совета директоров, чтобы они были полностью вовлечены, и вы могли донести трудные сообщения, когда это необходимо.
Это также вопрос построения устойчивости, потому что иногда бывает одиноко. Иногда именно вы будете принимать на себя удары от некоторых руководителей, потому что они недовольны вашим сообщением, которое их затрагивает. Я думаю, именно поэтому выгорание в кибербезопасности является такой проблемой. Часто приходится принимать все удары, и наступает момент, когда ты просто говоришь: «Я больше не хочу этого делать». Многое из этого связано с организационной культурой и, надеюсь, с наличием очень поддерживающей организации.
Как вы думаете, ИИ расширит разрыв в навыках или поможет кибербезопасности?
Нортон: Я думаю, что в течение следующих 5–10 лет некоторые роли в киберпространстве значительно изменятся, а некоторые могут сократиться. Думаю, это окажет более глубокое влияние на другие части экономики. С технической точки зрения, я думаю, что большая часть анализа данных и некоторых систем поддержки принятия решений все больше и больше будет чем-то, что ИИ поддерживает и начинает автоматизировать. Таким образом, они начнут как системы поддержки принятия решений, где нам потребуется меньше людей, потому что мы сможем быстрее получать необходимую информацию от ИИ, а затем, постепенно, с агентным ИИ и тем, что грядет, это позволит им принимать простые решения, затем немного более сложные, и со временем, я думаю, мы начнем заменять некоторые роли. Я оптимистично настроен, что это также подтолкнет работников-людей выше по цепочке создания ценности; они будут выше с точки зрения лидерства, возможно, глубже с технической точки зрения.
Есть ли у вас какой-нибудь девиз, которым вы руководствуетесь?
Нортон: Когда я работал в Налоговом управлении, у нашего тогдашнего комиссара Криса Джордана был лозунг: «Делай основы блестяще», и он закрепился во мне как общая мантра, но он так хорошо применим к безопасности, потому что, если вы хорошо делаете основы, вы получите значительный рост вашей киберпотенциал. Нельзя сосредотачиваться только на этом, потому что есть много других движущихся частей. Но если вы не можете правильно выполнить эти основы, это обеспечит большую защиту.
Другой, который мне нравится и который, думаю, мне хорошо помог, и я считаю, что это по-прежнему правда, это тщетность «повторения одного и того же снова и снова, ожидая другого результата». Это применимо во многом. Если вы ожидаете другого результата, вы должны попытаться изменить ситуацию. Тем не менее, я вижу это так часто во многих аспектах жизни.
Какие советы вы можете дать тем, кто хочет начать карьеру в кибербезопасности?
Нортон: Для выпускников и начинающих специалистов в области кибербезопасности мы понимаем, что переход к раннему этапу карьеры и получение первой работы — сложная задача. Я думаю, настойчивость и драйв — это критически важные качества, и я понимаю, что мне легко это сказать отсюда. Но я вижу, что те, кто настойчив, вовлечен, активно обращается и берет все, что может, проактивно, они могут быть сбиты с толку пару раз, но они продолжат учиться. Они могут присоединиться к ISACA. Они могут пройти раннюю сертификацию, чтобы получить небольшое конкурентное преимущество. Чаще всего возможности возникают благодаря отношениям, установленным через нетворкинг и участие, когда вы выставляете себя напоказ.
На более высоких уровнях это становится сложнее. Я думаю, это снова процесс обучения, убедитесь, что ваше резюме демонстрирует, что вы наращиваете потенциал. Понимание своего бренда и его профессиональная отточка. Таким образом, полировка резюме, чтобы оно действительно отражало ваш бренд и то, что вы приносите на стол, имеет ключевое значение. Вы не можете просто бросить одно и то же устаревшее резюме и надеяться, что что-то сработает, потому что это могло сработать, когда у нас был дефицит, но в наши дни на рынке слишком много предложения.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Qual-score: 8/8
Bajan-score: 0.715682
Автор – Samira Sarraf
