Путь Роны Мишель Шпигель в кибербезопасность может показаться некоторым нетрадиционным: она изучала искусство. Но, поскольку она росла во времена, когда компьютеры только появились и все хотели с ними экспериментировать, она много занималась мультимедиа. Ее всегда интересовали технологии, и она обсуждала с коллегами из мира искусства, куда движется мир в отношении электронных «штуковин».
«Я занималась музыкой. Я делала всевозможные работы, которые мы назвали бы междисциплинарным искусством. И я много играла с эволюцией систем и цифровых технологий, а также с тем, как люди будут с ними взаимодействовать. И я встраивала это в некоторые свои художественные работы. Я всегда любила живопись и традиционные виды искусства. Но очень быстро я включилась в тему того, как это взаимодействует с системами и инструментами, и как технологии повлияют на человечество», — рассказывает Шпигель CSO.
Она была в группе, а затем начала заниматься электронной музыкой. Ее также интересовала киноиндустрия, куда она пришла через звуковой дизайн. Это было время больших возможностей, говорит Шпигель.
«Все дело в цифровой трансформации, и это та нить, которая проходит через меня, и так было всегда. Цифровая трансформация и концепции интерфейса «человек-компьютер» — как люди взаимодействуют с системами и как они влияют друг на друга?» — говорит она.
Именно это мышление, ориентированное на цифровую трансформацию, привело Шпигель в Deloitte Consulting, где она помогала создавать первую практику по пользовательскому опыту. Там она получила большой опыт в управлении продуктами и научилась общаться с другими людьми о зависимостях и рисках.
В Cisco она начала работать в области технологического управления, но ей представилась возможность испытать еще одно изменение: переход от оборудования к программному обеспечению, когда предприятия начали потреблять продукты по подписной модели, основанной на облаке.
Лишь спустя 10 лет работы в Cisco ее наставник поинтересовался ее намерениями получить степень магистра. Время было подходящее, так как ее сын, которого она в основном воспитывала как мать-одиночка, собирался поступать в колледж. Поэтому Шпигель занялась получением степени магистра в области кибербезопасности.
Ее следующая должность была в Wells Fargo, где у нее появилось «совершенно иное видение, и я действительно смогла глубоко погрузиться в облачный контроль. И я поняла: «Да, я хочу работать в этой сфере»», — говорит она. На эту должность повлияла реструктуризация, после которой Шпигель решила работать самостоятельно, помогая стартапам и малому бизнесу с соблюдением нормативных требований.
Сейчас Шпигель занимает должность старшего менеджера по безопасности и доверию в сфере слияний и поглощений в Autodesk, и она побеседовала с CSO обо всем, что касается кибербезопасности.
Каковы основные проблемы кибербезопасности в контексте слияний и поглощений?
Шпигель: Прежде всего, это понимание разницы между зрелой компанией и небольшой компанией. В небольшой компании нужно учитывать, насколько для них приоритетным является обеспечение кибербезопасности. Если у них нет продукта и нет клиентов, то им нечего защищать. И если у них очень ограниченные ресурсы, им трудно это обосновать. Вся суть риск-менеджмента заключается в количественной оценке потенциального риска, того, что вы можете потерять.
Поэтому трудно оправдать вложение огромных средств в покупку инструмента или наем опытного CISO для выполнения подобной работы, когда вы знаете, что у вас едва хватает бюджета на создание продукта, и у вас пока нет большого дохода.
Когда я сейчас занимаюсь слияниями, я рассматриваю, как поглощение этого бизнеса повлияет на ваши риски. Это повлияет на вашу позицию в области безопасности, поэтому вам нужно понять ее и разработать стратегию, которая позволит приобретающей компании извлечь выгоду из приобретения, не подвергая себя риску унаследования уязвимостей.
С какими ключевыми проблемами, связанными с ИИ, вы сталкиваетесь сегодня?
Шпигель: В области ИИ главные вопросы — как использовать ИИ, как обезопасить ИИ и как противостоять ИИ — и все это одновременно. А затем рассмотреть это в разрезе различных продуктовых линеек и различных компонентов. Вам также необходимо учитывать третьи стороны и экосистему, и все это усугубляется при приобретении и интеграции других компаний, больших и малых; и масштаб действительно имеет значение.
Вы просто добавляете так много сложности и так быстро. Мы быстро наращиваем сложность в цепочке поставок и экосистеме. Эта трансформация мне чем-то напоминает переход в облако. Все делают это одновременно, но с какой целью? И сделает ли это нас более защищенными или более уязвимыми?
Каково ваше мнение о найме и нехватке кадров?
Шпигель: Существует заблуждение, что у нас недостаточно людей. Людей много. Я благодарна за то, что у меня есть работа в этой сфере, но ожидания очень высоки: мы должны обладать всем этим опытом в стольких разных областях. У нас много практикующих специалистов, и некоторые из них без работы.
Предлагается меньше позиций начального уровня, и это станет проблемой, потому что инструменты хороши, но вам действительно нужен кто-то, кто понимает, что он читает, а это требует широкого спектра опыта, навыков решения проблем, критического мышления, чтобы иметь возможность агрегировать весь этот огромный объем данных, следуя предписанным процессам. Позиции начального уровня помогают формировать этот потенциал, и именно этого нам не хватает.
Я думаю, есть опасение нанимать людей, у которых нет всего опыта во всех областях. Я работаю с этой некоммерческой группой под названием Project Cyber, и мы помогаем женщинам получить работу в технических сферах. Одно из основных соображений: «Каковы навыки?» И это как изучение греческого или латыни; это другой набор навыков, а кибербезопасность — это вызов, потому что она так огромна.
И для CISO это не отличается: от руководства в сфере кибербезопасности ожидается способность ротироваться в разных областях. Это совершенно другое мышление, поскольку оно включает общение с советами директоров. Вам нужно уметь представить бизнес-кейс для финансирования, вы должны быть рассказчиком, вы должны уметь понимать данные, считывать их и различать. А еще есть разведка, тестирование на проникновение, этичный хакинг, управление рисками. От специалистов по кибербезопасности всех уровней ожидается очень многое.
Как вы поддерживаете вдохновение в своей команде?
Шпигель: Я думаю, важно давать людям возможность высказаться, следить за тем, чтобы им нравилось то, что они делают, чтобы они учились, чувствовали уважение, чувствовали связь. Не заставлять людей приходить в офис, а относиться к людям как ко взрослым: они могут сами принимать эти решения, потому что все разные.
Осознавать признаки выгорания, следить за тем, чтобы люди брали отпуск. По-настоящему слушать и уважать — я думаю, это самое важное. Я не верю в старомодное управление «сверху вниз», потому что я не считаю себя умнее других. Я думаю, что с опытом я могу видеть надвигающиеся проблемы и могу видеть закономерности, что для меня является своего рода суперспособностью, которую кто-то вдвое моложе меня пока не сможет увидеть, потому что он не жил в этих циклах. Сотрудничество в многопоколенческой рабочей силе будет мотивировать всех и приводить к лучшим результатам.
Каким вы видите роль лидера в сфере кибербезопасности в ближайшие годы?
Шпигель: Многие представители сообщества CISO говорят о понятии профессии кибербезопасности в противовес ремеслу. Когда мы смотрим на это, на всю профессию кибербезопасности и развитие лидерства CISO — это интересный разговор. Я считаю, что это сочетание того и другого, или, вернее, некоторые искренне считают, что это профессия, и проблематично считать ее исключительно ремеслом, хотя некоторые аспекты набора навыков подтверждают этот аргумент.
Но я думаю, что нынешняя тенденция заключается в том, что ремесло — это практический начальный уровень, начало работы в этой области и технический аспект. А профессия — это на самом деле о повышении уровня, стандартизации, помощи друг другу в росте и развитии, о большем благе и взаимосвязи с другими профессиями, связанными с технологиями и управлением рисками. Я думаю, что коллективное решение о том, являемся ли мы профессией или ремеслом, еще не принято. Но чем больше я общаюсь со своими коллегами, тем больше мы все приходим к выводу, что это сочетание того и другого.
Затем возникает проблема с видимостью. Наблюдается тенденция, когда CISO или лидеры в области кибербезопасности задерживаются на одном месте недолго. Я думаю, это ошибка. Я считаю, что эта роль выходит за рамки простого вхождения во второстепенную руководящую команду. И я думаю, что она становится на высшем уровне руководства.
Происходит слияние управления, риска, соблюдения требований, а также всех уязвимостей, обусловленных программным обеспечением, уязвимостей, обусловленных данными, и уязвимостей, обусловленных технологиями. Я думаю, когда мы видим кибербезопасность в инженерной сфере, мы начинаем видеть понятие доверия и прозрачности этого доверия, которое затем начинает сливаться с физической безопасностью, а иногда даже с конфиденциальностью и устойчивостью. Поэтому я вижу появление директоров по доверию (Chief Trust Officer).
Чем вы больше всего и меньше всего гордитесь в своей карьере?
Шпигель: Больше всего в своей карьере я гордилась тем, что смогла построить ее, будучи матерью-одиночкой, постоянно перемещаясь между учебой и работой, и я даже не знаю, как мне это удалось. Я не рекомендую это всем, но вернуться к учебе и получить степень магистра одновременно.
Я должна сказать, что программа магистратуры по информации и кибербезопасности (MICS) в Школе информации Калифорнийского университета в Беркли просто потрясающая. И сеть контактов — возможно, именно благодаря этому я смогла всего этого добиться: благодаря правильным наставникам и людям, которые были рядом и поддерживали. И сама программа замечательная.
Кроме того, она позволила мне получить эти сертификаты, полностью посвятить себя и подготовиться к этому повороту, и, по сути, этот поворот к кибербезопасности стал конечным результатом. А еще — воспитание этого замечательного мальчика.
Я была по-настоящему поражена, когда получила сертификат CISSP. Это было очень тяжело для меня — так усердно учиться, сидеть и сдавать такой экзамен, а потом чувствовать, что могу поставить это после своего имени. Это было очень, очень приятно.
Сейчас мне также очень нравится наставлять людей: этих студентов колледжей, которые изучают поведенческую психологию и кибербезопасность, и науку о данных, и которые по-настоящему осознают, насколько это удивительно.
Я чувствую, что для управления личными аспектами работы в любой профессии требуется большая эмоциональная зрелость. Для меня работа в сфере технологий и кибербезопасности, а также развитие лидерских качеств требуют самосознания, и мне кажется, что мне потребовалось много времени, чтобы его обрести. … Меньше всего я горжусь, возможно, некоторыми эмоциональными реакциями, которые у меня были.
Мы говорим о выгорании. Но в первые годы мы не говорили о выгорании. Я думаю, важно говорить об этом и следить за тем, чтобы, двигаясь вперед и прилагая максимум усилий, вы не причиняли больше вреда, чем пользы. И иногда это означает поиск способов деперсонализировать свои реакции на сложные ситуации, но также помнить, что человеческий фактор и отношения важнее всего в долгосрочной перспективе и действительно помогают всем добиться успеха.
Мне кажется, что в начале моей карьеры у меня не хватало этого эмоционального интеллекта, и мне потребовалось много времени, чтобы его развить. И любые сожженные мосты по пути, я думаю, — это то, за что приходится расплачиваться позже. И я чувствую, что добилась огромного прогресса в этой области, и это действительно способствует моей способности руководить.
Можете ли вы порекомендовать какие-либо книги коллегам-лидерам в сфере кибербезопасности?
Шпигель: «Седьмое чувство» Джошуа Купера Рамо о том, как быть готовым к будущему, что, я думаю, очень и очень важно. Эта книга историческая и в некотором роде антропологическая; я читала ее пару раз и цитировала из нее. Мне очень нравится эта книга.
Разговоры об ИИ — та, что меня по-настоящему зацепила и которую я рекомендую, — это «Грядущая волна» Мустафы Сулеймана. Она о сближении всех огромных скачков, которые мы совершаем в технологиях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Samira Sarraf
