Информационная безопасность была важнейшим элементом 24-летней военной карьеры полковника в отставке Барри Хенсли, офицера связи армии США, поскольку он часто отвечал за проектирование и установку «военных сетей, как в гарнизоне, так и при поддержке развернутых боевых подразделений».
«Вершиной моей военной карьеры была работа с элитной группой кибервойск с главной миссией — управлять глобальной сетью связи армии и защищать ее», — говорит Хенсли изданию CSO. «Именно в этот период я осознал серьезность проблем кибербезопасности, стоящих перед этой [американской] нацией, и захотел посвятить свою профессиональную карьеру участию в решении этих проблем, продолжая вести правое дело».
Сегодня Хенсли является директором по информационной безопасности (CSO) в Brown & Brown, глобальной страховой брокерской компании, с целью помочь клиентам защитить то, что для них наиболее важно.
CSO поговорил с Барри Хенсли о кибербезопасности в страховой отрасли, о том, как поддерживать мотивацию у специалистов по кибербезопасности, и о многом другом.
Как организации сегодня воспринимают кибербезопасность?
Хенсли: Сегодня осведомленность о рисках кибербезопасности стала более последовательной во всех отраслях; однако степень необходимого призыва к действию часто сильно различается. Кибербезопасность является фундаментом для любой организации, особенно там, где доверие и уверенность клиентов имеют первостепенное значение. И частью этого доверия является безопасность сетей, данных и предоставляемых нами услуг.
Не так давно организации не верили, что риски реальны или применимы к ним. Времена изменились, поскольку больше организаций либо столкнулись со значительным инцидентом лично, либо увидели достаточно уведомлений о нарушениях от третьих и четвертых сторон, чтобы принять меры. Все эти события повышают осведомленность и придают достоверность угрозам и связанным с ними рискам. Однако все еще существует проблема в установлении соответствующей толерантности к риску, которая стимулирует правильные инвестиции в эффективные средства контроля безопасности, особенно для организаций с ограниченным бюджетом.
Мы также не должны забывать о росте государственного вмешательства, штрафах и других регуляторных действиях, связанных с инцидентами в области кибербезопасности, которые повлияют на эти восприятия.
С какими конкретными рисками безопасности вы сталкиваетесь сегодня в страховой отрасли?
У злоумышленников сегодня общая тема — это то, как они используют полученный доступ. Поэтому лично я не делаю чрезмерного акцента на отраслевых угрозах; речь идет о данных или доступе, которыми обладают эти организации, и их воспринимаемой ценности. Конкретно для страховой отрасли может существовать информация, собранная для оформления страхового случая или полиса, которую злоумышленник может счесть ценной, даже если она лишь уточняет их усилия по нацеливанию на других.
Однако мы также не можем игнорировать «идеалистов» или «идеологически мотивированных» злоумышленников, которые нацелены на страховую отрасль из-за исторических заблуждений или враждебности к ней.
Говоря конкретно о программах-вымогателях, злоумышленники, вероятно, будут нацеливаться на организации, которые с высокой вероятностью заплатят, или будут использовать их уязвимости. Таким образом, это в большей степени связано с данными, которыми обладают эти организации, а не обязательно с отраслевыми вертикалями самими по себе, и зрелостью их программы безопасности. Злоумышленники хотят затратить наименьшее количество ресурсов для получения максимальной отдачи от инвестиций, поэтому они часто нацеливаются на «легкую добычу», которой во многих случаях являются наименее зрелые программы безопасности.
Изменится ли ваша стратегия кибербезопасности в ближайшие несколько лет?
Наша стратегия остается прежней: сфокусированные инвестиции в безопасность, соответствующие нашей толерантности к риску, и опережение все более активного ландшафта угроз. Примером является внедрение инструментов взлома с использованием искусственного интеллекта, что явно демонстрирует необходимость адаптации. Вопрос в том, как наши команды безопасности противостоят этому развитию с помощью нашей собственной стратегии ИИ? Как мы можем использовать ИИ для выполнения рутинных задач, освобождая наших коллег-людей для сосредоточения на бизнес-контексте, связанном с общим снижением рисков и приоритизацией обучения этих моделей ИИ?
Представьте себе рабочую силу в области безопасности, основанную на ИИ, под руководством экспертов-людей, которые гарантируют наличие у нас надлежащих средств защиты в нужное время и в нужном месте. Примером может служить проведение непрерывного тестирования на проникновение для выявления уязвимостей в нашей защите, которые в противном случае могли бы остаться незамеченными.
Мы наблюдаем развитие управления рисками третьих и четвертых сторон, особенно в том, как мы проверяем зрелость и устойчивость наших партнеров по безопасности. Эволюция рисков частично основана на том, что третьи и четвертые стороны меняют свои базовые технологии для снижения затрат или повышения эффективности, о чем клиент имеет мало или вообще никакого представления о возможных рисках. Таким образом, для функций безопасности, которые мы будем предоставлять внутри компании, мы сосредоточимся на основах и будем делать их хорошо. В отношении контролей/функций, которые мы передаем на аутсорсинг, мы должны переосмыслить не только то, как мы проверяем среды наших партнеров, но и то, как мы активно участвуем в улучшении их программ безопасности, а также наших собственных.
Мы не должны забывать, что большая часть кибербезопасности заключается в блестящем выполнении основ. И в данном случае эти основы включают создание и обеспечение безопасности инфраструктуры, которая будет использоваться долгие годы.
Что вы делаете для удержания специалистов по кибербезопасности?
Лидерство заключается в том, как вдохновлять людей на достижение или реализацию общего видения за пределами того, на что они когда-либо рассчитывали. Лидеры должны сначала понимать увлечения и соответствующие навыки своих коллег, чтобы согласовать их для достижения бизнес-целей. Получение их согласия является ключом, при этом необходимо четко сформулировать, где они вписываются в общее видение.
В Brown & Brown мы помогаем другим защитить то, что для них наиболее ценно. Чтобы удержать наши лучшие таланты, мы гарантируем, что наши коллеги понимают свое место в этой миссии. Наша история успеха основана на ежедневном завоевании доверия клиентов, и обеспечение безопасности нашей среды, сетей и данных имеет решающее значение для построения и поддержания этого доверия. Мы должны продемонстрировать нашим коллегам, насколько они неотъемлемы для поддержания этого доверия в наших отношениях с клиентами. Мы хотим, чтобы они просыпались каждый день, зная, что играют важную роль не только в нашей программе безопасности, но и в более широкой экосистеме Brown & Brown.
В Brown & Brown мы ставим на первое место сотрудника, поскольку его экспертиза всегда будет ключевым отличием.
Чем вы больше всего гордитесь?
Я больше всего горжусь вдохновляющей командой специалистов по безопасности, с которой я работаю каждый день. Они всегда ставят команду выше себя, стремятся быть лучшими в своем деле и всегда идут на шаг впереди, чтобы обеспечить безопасность и защиту своих коллег и организации. Мне действительно повезло быть частью удивительной команды, чья трудовая этика и стремление к совершенству беспрецедентны в моем опыте.
Есть ли вопросы, которые CISOs должны задавать себе?
Оцениваем ли мы наиболее актуальные риски, а не риски вчерашнего дня? И, поскольку мы можем слишком увлечься «руководством», которое мы использовали в нашей предыдущей организации, как мы можем гарантировать, что текущее «руководство» актуально для данной организации? Примером может служить то, сколько времени мы уделяем обучению фишингу, что возлагает на наших коллег бремя быть первой линией обороны, тогда как мы могли бы вместо этого использовать обнаружение на основе аномалий для автоматизации действий по обнаружению и реагированию.
Какие самые большие проблемы безопасности стоят перед лидерами кибербезопасности прямо сейчас?
Хенсли: В этом бизнесе нет одной самой большой проблемы, а есть множество постоянно развивающихся проблем, которые борются за наше внимание.
Общей проблемой для всего сообщества кибербезопасности является необходимость быть правым на 100% в мире, где злоумышленники настолько гибки, инновационны, хорошо обеспечены ресурсами и имеют преимущество неожиданности. Специалисты по кибербезопасности также борются с приоритизацией своих усилий при предоставлении инновационных решений для своих предприятий. Каждый лидер в области кибербезопасности должен бороться с рисками, связанными с новыми технологиями; ИИ — лишь одна из многих.
Хотя абсолютного «правильного» ответа на вопрос о рисках не существует, старая формула смягчения угроз для ваших наиболее критически важных активов остается неизменной. Команды безопасности имеют постоянную миссию по выявлению уязвимостей, оценке вероятности их использования и определению результирующего воздействия на бизнес. Это трудный, но необходимый шаг в компромиссе между риском и вознаграждением.
Что не дает вам спать по ночам?
Хенсли: Неизвестность. Как я уже упоминал выше, специалисты по кибербезопасности должны быть правы на 100% времени, в то время как злоумышленникам нужно только использовать одну неизвестную или неустраненную уязвимость, или воспользоваться одним пользователем с привилегированным доступом. Наше моделирование рисков должно быть направлено на инвестирование в эффективные средства контроля безопасности, чтобы максимально минимизировать неизвестные угрозы для наших наиболее критически важных активов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Samira Sarraf
