Get Cyber Resilient Ep 90 | Cyber Awareness Fatigue - mit Sara Abak, Leiterin Cybersicherheit und Risiko, Dulux Group
Diese Woche ist Sara Abak, Leiterin der Abteilung Cybersicherheit und Risiko bei der Dulux Group, bei uns zu Gast.
Sara spricht mit uns über ihre Sicht auf die Ermüdung bei der Bewusstseinsschulung, Strategien für die Gewinnung und Bindung von Cyber-Talenten, und wir erhalten einige großartige Einblicke, wie sich die eKriminalität verändert hat und was dies für die Sicherheitsführung bedeutet.
Die Get Cyber Resilient Show Episode #90 Mitschrift
Garrett O'Hara: Willkommen zum Podcast "Get Cyber Resilient". Ich bin Gar O'Hara, und Sara Abak kommt heute von der Dulux Group zu uns, wo sie Leiterin der Abteilung Cybersicherheit und Risiko ist. Sara spricht mit uns über ihre Sicht der Ermüdung bei der Bewusstseinsschulung, wo wir gewinnen und wo wir in diesem Bereich verlieren. Wir befassen uns mit der Gewinnung und Bindung von Talenten und stellen einige großartige Strategien für beide Bereiche vor. Zum Abschluss diskutieren wir darüber, wie sich die Computerkriminalität verändert hat und was dies für die Führungskräfte im Sicherheitsbereich bedeutet.
Heute ist Sara Abak bei uns, die Leiterin der Abteilung Cybersicherheit und Risiko bei der Dulux Group. Wie geht es Ihnen heute, Sara?
Sara Abak: Gut, Gar. Wie geht es Ihnen? Vielen Dank für die Einladung.
Garrett O'Hara: Ein absolutes Vergnügen. Ich bin so froh, dass ich dich im Podium habe. Wir haben uns vor kurzem auf einem Podium unterhalten, und ja, ich war von den Erkenntnissen und Ihren Kommentaren geradezu überwältigt, so dass ich mich sehr gefreut habe, dass Sie die Einladung angenommen haben, heute bei uns zu sein. Also willkommen.
Sara Abak: Natürlich, danke, es war mir ein Vergnügen. Ich wollte schon immer bei einem Podcast mitmachen. (lacht)
Garrett O'Hara: Na also, geht doch. Und ich glaube, Sie haben zwei Leute, die sich diese Folge zu Hause anhören werden, also...
Sara Abak: Ja.
Garrett O'Hara: ... hallo, hallo an diese Jungs. (lacht)
Sara Abak: [Crosstalk 00:01:06] Leute, aber ich denke, wir werden eine Menge Leute zum Zuhören bekommen.
Garrett O'Hara: Gute Zeiten. Sara, hören Sie, die erste Frage, die wir immer stellen, ist: Wie sind Sie dahin gekommen, wo Sie heute sind? Offensichtlich sind Sie der Leiter für Cybersicherheit und Risiko bei der Dulux Group, einem ziemlich bekannten Unternehmen. Ja, ich würde gerne wissen, wie Sie dahin gekommen sind, wo Sie heute sind.
Sara Abak: Ja, auf jeden Fall. Ich glaube, ich hatte eine traditionelle Art von Reise. Ich habe als Hochschulabsolvent bei den Big 4 angefangen, bei KPMG, jetzt sind es die Big 4, und habe als IT-Auditor angefangen und mich auf SAP-Audits spezialisiert, und bin dann im Grunde in die Bereiche Informationsrisikomanagement, Informationssicherheit und Beratung eingestiegen. Ich bin für kurze Zeit in die Innenrevision gegangen, in die IT-Innenrevision. Dann wechselte ich in den Bereich der Informationssicherheitsberatung und dann in diese Rolle im Bereich der Cybersicherheit, die sich ganz natürlich entwickelte. Und ich denke, dass der Bereich IT-Audit oder IT-interne Kontrolle oder Informationsrisikomanagement sehr gut zu dieser Rolle passt, weil er auf der Frage basiert, welche Richtlinien und Standards und Rahmenwerke wir anwenden oder implementieren müssen, um eine gute Sicherheitslage zu haben. Es handelt sich also um eine gute Art von Sicherheitsvorkehrung.
Wahrscheinlich funktioniert das sehr gut, so dass jeder IT-Auditor oder Berater für Informationsrisiken in diese Art von Rolle schlüpfen kann. Und wissen Sie, ich wusste vieles nicht, als ich die Stelle antrat, aber man entwickelt seine Fähigkeiten einfach weiter. Man lernt durch die Bildung von Teams, und die verschiedenen Teammitglieder haben unterschiedliche Fähigkeiten. Es ist also ein ständiges Wachsen und Lernen, aber es ist wirklich aufregend, und es ist zu einer meiner Leidenschaften geworden.
Garrett O'Hara: Es saugt einen förmlich ein. Bevor wir mit den Aufnahmen begannen, sprachen wir über die Branche und darüber, wie, ich weiß nicht, ob ich einfach zu optimistisch bin, aber die Leute sind einfach wunderbar. Die Leute sind sehr offen und teilen und kümmern sich. Ich hatte schon viele Jobs in der Tech-Branche, und Cybersecurity ist derjenige, bei dem man wirklich das Gefühl hat, dass es mehr eine Gemeinschaft ist als nur ein Job, den man macht. Ich will nicht kitschig klingen, aber ich habe das Gefühl, dass es definitiv eine Sache ist.
Sara Abak: Das tut es, nicht wahr? Ja, ja. Wir haben vorhin gesagt, dass es vor zehn oder fünf Jahren noch verpönt war, darüber zu sprechen, wie es zu einer Sicherheitsverletzung gekommen ist, oder wenn etwas Schreckliches passiert ist, oder irgendeine Art von Rahmenwerk oder Ansatz offenzulegen, den man verwendet, um ein Cyber-Ereignis oder einen Vorfall zu bewältigen, und jetzt ist es zu einer Art Abzeichen geworden, Man wird nicht in ein Klischee gepresst, und es schadet weder der Marke der Organisation noch der Person, die die Organisation vertritt, wenn man darüber spricht, wie schwierig es ist und was man im Grunde genommen tut, um all diese Gegner und die Vorfälle zu bekämpfen, die sich ereignen. Es ist also sehr schön, dass die Gemeinschaft zusammenkommt und wir uns zusammenschließen, um zu versuchen, all diese Risiken und Bedrohungen, die ständig auftreten, anzugehen, und es ist wahrscheinlich eine großartige Sache, wenn man sich darüber austauscht, was andere Leute tun, oder von ihnen lernt, denn man will nicht in der Lage sein, die Dinge zu wiederholen, die jemand anderes bereits gelöst hat.
Garrett O'Hara: Jepp.
Sara Abak: Warum sollten Sie nicht davon lernen und es für Ihre Organisation anwenden oder abwandeln? Oder v- oder m- die meisten Menschen in den verschiedenen Branchen haben eine andere Risikobereitschaft und eine andere Art, Dinge zu bearbeiten, und eine andere Kultur. Denn viele der von uns durchgeführten Änderungen der Politik hatten Auswirkungen auf unsere Nutzer und Mitarbeiter. Wir müssen also dafür sorgen, dass die von uns verfolgte Politik und das Verfahren akzeptiert werden und dass die Menschen in der Lage sind, unsere Mitarbeiter zu engagieren. Das kann im Bankensektor anders sein, im Verteidigungsministerium anders als bei der Dulux Group oder einer anderen Lieferketten- und Marketingorganisation.
Ich denke, eine Methode ist nicht für jeden anwendbar, aber man kann immer etwas daraus lernen und es anpassen, um Ideen zu bekommen.
Garrett O'Hara: Auf jeden Fall. Und genau das ist der Sinn dieser Show, genau das.
Sara Abak: Ja.
Garrett O'Hara: ... Leute wie Sie dazu zu bringen, ihre Erfahrungen mitzuteilen, und selbst wenn die Leute nur eine neue Idee oder eine neue Denkweise mitnehmen, ist das ein Gewinn, denke ich. Ich möchte ein paar Dinge zusammenfassen, die Sie dort gesagt haben. Sie sprechen also von Richtlinien und Rahmenbedingungen, und dazu gehören Dinge wie ISO-Zertifizierungen, [unhörbar 00:06:04] Sie wissen schon, CPS 2, 3, 4, für einige Organisationen, usw. Und dazu gehört auch immer mehr der Gedanke der Bewusstseinsschulung, und es gibt eine Reihe von Vorstellungen darüber, was gut ist. Ich bin nicht ganz davon überzeugt, dass diese Rahmenwerke oder Zertifizierungen manchmal der beste Weg sind, aber sie sind eine Möglichkeit, Dinge zu tun.
Sara Abak: Mm-hmm [bejahend].
Garrett O'Hara: Und eines der großen Probleme, das kann man wohl mit Fug und Recht behaupten, ist die Tatsache, dass wir zwar unbedingt Cyber-Awareness betreiben müssen, davon kommen wir nicht los, aber in unserer Branche gibt es eine riesige Debatte darüber, ob es funktioniert, ob es nicht funktioniert, wie es am besten funktioniert und wie man die besten Ergebnisse erzielt - Entschuldigung [lacht]. Es wäre schön, von Ihnen zu hören, wo wir Ihrer Meinung nach in Sachen Cyber-Bewusstsein gewinnen?
Sara Abak: Ja, ich denke, wir haben viel Unterstützung, nicht nur in der Cyber-Gemeinschaft und, Sie wissen schon, Bewusstsein im Allgemeinen in Organisationen. Ich finde, dass die Botschaften im Radio, in der Werbung, auf YouTube, im Internet, auf Instagram, wo auch immer die Leute sind, mehr und mehr Botschaften und Inhalte zum Thema Cybersicherheit zu finden sind. Ich denke also, das ist...
Garrett O'Hara: Ja.
Sara Abak: ... wirklich helfen, einschließlich der Menschen, die Nachrichten erhalten, Phishing-Betrug und solche Dinge, die durchschnittliche Person ist jetzt wahrscheinlich mehr Cyber-Bewusstsein, wissen Sie, in einer Familie und Organisation im Vergleich zu vielleicht vor fünf Jahren, nur weil die australische Regierung ist auch, wissen Sie, drängen, um ein wenig mehr Bewusstsein zu tun. Ich denke also, dass diese breite Botschaft über verschiedene Plattformen und Kanäle wirklich hilfreich ist. Aber es ist wirklich ein kontinuierlicher Prozess. Das ist eines der Dinge, die wir als Verantwortliche für Cybersicherheit ausbalancieren müssen. Wir haben zwar die besten der besten Tools, aber eine einzige Person, die sich kompromittiert und etwas Falsches tut, kann all die harte Arbeit und alle Tools, die wir haben, zunichte machen, und die beste Überwachung und Bedrohungsjagd, die wir haben, hilft nicht wirklich. Ich denke also, dass es sehr wichtig ist, dass die Menschen aufgeklärt werden und wir dann in der Lage sind, es zu erkennen und relativ schnell zu reagieren, um die Auswirkungen zu minimieren, egal ob es sich um eine oder mehrere Personen handelt.
Daher denke ich, dass die Phishing-Tests und -Simulationen, die viele Unternehmen durchführen, sehr gut funktionieren. Sie sind recht glaubwürdig, und je mehr man sie einsetzt, was ein wenig störend ist, desto mehr muss man bestimmte Genehmigungen einholen oder sicherstellen, dass der Service Desk oder andere Bereiche darauf vorbereitet sind, ohne zu viele Informationen preiszugeben. Die Durchführung von Phishing-Tests, damit die Leute tatsächlich lernen können, wenn sie auf ein gefälschtes Formular klicken und ihre Anmeldedaten eingeben, ist auch Teil des Lernprozesses, denn man lernt, indem man etwas tut, und nicht nur...
Garrett O'Hara: Jepp.
Sara Abak: ... die Leute sagen es Ihnen. Ich denke also, dass die Balance zwischen diesen beiden Faktoren wirklich funktioniert hat. Aber im Großen und Ganzen habe ich das Gefühl, dass die Menschen in der Welt, sowohl global als auch lokal, einfach sicherer im Umgang mit dem Internet sind, dass es mehr Botschaften gibt, sogar in den Schulen, in der Ausbildung, und ich finde, dass Kinder regelmäßig unterrichtet werden, wissen Sie, als Teil ihrer jährlichen Standardmaßnahmen und -schulungen zur Cybersicherheit, die, wissen Sie, vor 10 oder 20 Jahren, als wir in die Schule gingen, in die Grundschule oder in die High School, nicht wirklich eine Säule der Cybersicherheit waren, wissen Sie, als wir lernten. Aber jetzt ist es eine Stiftung, im Grunde genommen. Ich glaube also, dass mehr Menschen als früher sichere Verfahren und Aktivitäten im Internet praktizieren. Aber natürlich haben wir immer noch eine anfällige Bevölkerungsgruppe, die nicht mit der Zeit geht, aber wir werden weiterhin, so denke ich, verschiedene Zielgruppen mit Nachrichten ansprechen.
Garrett O'Hara: Jepp. Ja, ich denke, Sie haben den Nagel auf den Kopf getroffen, was meine Herangehensweise angeht, nämlich das Lernen durch Handeln. Denn ich denke, eines der Dinge, über die ich viele Gespräche auf dem Podium geführt habe, ist das... Ich denke da fast an die alte Schule, wo man vielleicht einmal im Monat eine E-Mail schickt oder irgendwo ein Poster aufhängt. Aber wie Sie schon sagten, haben wir das Gefühl, dass wir in eine Ära der Ansätze zur Verhaltensänderung eingetreten sind, anstatt nur zu versuchen, den Menschen Informationen zu geben und zu hoffen, dass sie das Richtige tun. Und ich denke, Sie haben Recht, wir haben eine hoffentlich heranwachsende Generation, die, wenn es um Technologie und den Bau von Dingen geht, von Sicherheit durch Design spricht, aber fangen wir tatsächlich an, Menschen mit Sicherheit durch Design zu schaffen? Sie erhalten diese Ausbildung in jungen Jahren und bringen sie in die Geschäftswelt ein, und in 10 oder 20 Jahren haben wir hoffentlich weniger Probleme... Ich glaube, da träume ich, aber man weiß ja nie. (lacht)
Sara Abak: Hm, es ist gut, optimistisch zu sein, aber ja. Da stimme ich voll und ganz zu, das ist ein wirklich guter Punkt. Das erinnert mich an eine kulturelle Gewohnheit, die wir uns angewöhnt haben. Es wird zur Gewohnheit.
Garrett O'Hara: Hm.
Sara Abak: ... zu denken, "Nun, das ist einfach das, was wir tun, so sind wir eben." Ähnlich wie wenn wir in ein Auto einsteigen und den Sicherheitsgurt anlegen, müssen wir nicht bewusst darüber nachdenken, "Oh, ich steige in ein Auto ein, ich sollte mich besser anschnallen, sonst passiert mir etwas Schreckliches, wenn ich in einen Unfall gerate." Ich habe das Gefühl, dass dieses Element der Cybersicherheit und die Gewohnheiten, die wir bei den Menschen nicht nur in den Organisationen, sondern auch in der älteren und jüngeren Generation der Gemeinschaft aufbauen, wahrscheinlich einfach zu einem Teil unserer Arbeit werden: "." Es ist kein Zusatz, keine zusätzliche Sache, die wir tun, sondern das ist die Art und Weise, wie wir im Grunde leben müssen.
Ich erinnere mich, dass ich vor ein paar, vielleicht drei oder vier Monaten zusammen mit einem anderen Kollegen eine Präsentation für die IT-Gruppe in meinem Unternehmen gehalten habe, in der ich einen Zeitplan für die Entwicklung von Malware und die Entwicklung von Cyber-Vorfällen gegeben habe. Angefangen hat es in den 90ern, 2000ern, Anfang der 2000er mit kleinen Viren und Bugs, wie dem ILOVEYOU-Virus, und dann, wenn man sich die Entwicklung ansieht, bis 2020 und darüber hinaus, sehen wir Ransomware, die man als Service kaufen kann, und dann... was ich vorhergesagt habe, ist, dass Kriege im Grunde im Cyberspace stattfinden. Sie wissen schon...
Garrett O'Hara: Hm.
Sara Abak: ... Wenn wir das aktuelle Beispiel der russischen Invasion in der Ukraine nehmen, dann kann man sich auch im Cyberspace einen Vorteil verschaffen. Die Kriege finden zwar auf dem Boden statt, aber Organisationen oder andere Kriminelle, kriminelle Gruppen oder Regierungen gehen im Grunde in den Cyberspace, um den Schaden zu beseitigen oder zu verursachen. Das ist erstaunlich, wenn man darüber nachdenkt, dass man früher Munition hatte und viele Leute in der Armee hatte, die alles niedermachten, und dass man mit viel Munition den Krieg gewinnen konnte. Aber jetzt kann man sehen, dass man mit den Kenntnissen und Fähigkeiten im Bereich der Cybersicherheit auch einen Krieg beeinflussen und verhindern kann, dass etwas passiert. Es ist unglaublich, es ist sehr mächtig.
Garrett O'Hara: Beängstigend. Ich erinnere mich an ein Buch, das ich als Kind gelesen habe, und ich meine, vielleicht wäre es schön, wenn wir das erreichen würden. Aber anstatt dass Menschen tatsächlich ihr Leben verlieren, ist es wie eine virtuelle Welt, in der man, wenn man in eine Schlacht gegen eine andere Nation oder was auch immer zieht, einen Anzug mit haptischem Feedback anzieht, und es ist eine VR-Erfahrung, in der man in einen traditionellen Krieg mit Panzern und, Sie wissen schon, geht.
Sara Abak: Wow.
Garrett O'Hara: ... Menschen, die sich gegenseitig erschießen, aber es gab keine wirklichen Todesfälle, denn in dem Buch, weißt du, im Grunde genommen gewinnst du vielleicht den Krieg, aber am Ende ziehen die Leute die Anzüge aus und, weißt du, [unhörbar 00:14:06] und, weißt du, die Leute haben sich darauf eingelassen, als eine Art Vereinbarung. Aber ja, [Crosstalk 00:14:12]-
Sara Abak: Oh, ja, wie eine Simulation, [Überschneidung 00:14:12]-
Garrett O'Hara: Ja.
Sara Abak: ... um zu üben und Erfahrungen zu sammeln, ohne dass es zu Konsequenzen kommt.
Garrett O'Hara: Ohne jemanden zu verletzen, ja, das wäre schön, wenn man das in dieser Situation tun könnte. Um noch einmal auf das Thema Cyber-Bewusstsein zurückzukommen: Sie haben bereits über viele Dinge gesprochen, die gut laufen. Was können wir Ihrer Meinung nach besser machen? In welchen Bereichen gibt es z. B. in Bezug auf Sensibilisierungsschulungen oder Cyber-Sensibilisierung noch etwas zu tun?
Sara Abak: Ja, ich denke, ich denke, das Wichtigste ... Was ich meiner Erfahrung nach festgestellt habe, ist, dass die wiederholten Nachfassaktionen nicht immer etwas bewirken.
Garrett O'Hara: Jepp.
Sara Abak: ... wissen Sie, wir haben Plattformen und unsere Prozesse, um zu gehen, "Hey, Sie haben Ihr Training nicht gemacht, Ihr, Sie wissen schon, Sie sind nicht konform, wenn wir messen, wie viele Leute in der Organisation ihr Awareness-Training absolviert haben, oder wie viele Leute erfolgreich gephisht wurden oder nicht gephisht wurden. Wissen Sie, die, die darüber berichten, das ist großartig. Aber ich finde, dass wir, um auf unseren Punkt "by design" zurückzukommen, damit beginnen müssen, unseren Führungskräften, unseren Organisationen und unseren Mitarbeitern zu vermitteln, dass jeder für die Sicherheit verantwortlich ist, und dass es im Grunde genommen nur unser Job ist. Es handelt sich also nicht um ein zusätzliches Angebot, und ich denke, dass wir in diesem Bereich wahrscheinlich mehr tun müssen. Wir müssen dafür sorgen, dass die Menschen zur Rechenschaft gezogen werden und wissen, dass sie für das Bewusstsein für Cybersicherheit verantwortlich sind und tatsächlich eine Rolle zu spielen haben, und es ist nicht nur die Cybersicherheitsabteilung oder die IT-Sicherheit oder der Helpdesk oder wer auch immer ihnen helfen und sie schützen wird.
Ich denke also, dass es sich nicht mehr nur um eine Funktion, um Plattformen und Prozesse handelt, die von der Cybersicherheitsfunktion ausgeführt werden, die wir auch weiterhin ausführen, unterstützen und fördern werden, sondern wir müssen irgendwie die Kultur verändern und dies bei unseren Führungskräften, Managern und Aufsichtsräten verankern, damit sie die richtigen Worte finden, den Ton an der Spitze angeben und sicherstellen, dass sie diese Prozesse unterstützen, damit sie Teil ihrer Arbeit werden. Und es ist nicht hinnehmbar, dass man Opfer eines Phishing-Angriffs wird, es ist nicht hinnehmbar, dass man seine Ausbildung nicht absolviert, und all diese anderen Dinge, wissen Sie. Es ist nicht akzeptabel, wenn man eine E-Mail erhält, in der man aufgefordert wird, schnell eine Bankverbindung zu ändern, und dies dann ohne Prüfung verfahrensbezogener Dinge tut. Ich denke also, dass die Verantwortung jetzt geteilt werden muss. Ich denke, das ist der Weg, den wir einschlagen müssen, das ist meine professionelle Meinung. Und wenn wir das nicht tun, dann wird es ein harter Kampf, und wir werden in der gleichen Situation sein wie vor 10 Jahren oder jetzt, wo die Leute immer noch denken, dass die Cybersicherheit für das Bewusstsein verantwortlich ist.
Wir sind es, wir liefern es, und es ist unsere Verantwortung und Verpflichtung, dafür zu sorgen, dass es eine Abschwächung ist, um die Menschen zu schützen, aber wir müssen, ähnlich wie die Cybersicherheitsgemeinschaft, alle zusammenkommen und wir müssen dies gemeinsam bekämpfen. Ich denke also, dass wir in Organisationen wahrscheinlich genauso vorgehen müssen.
Garrett O'Hara: Ja, da stimme ich voll und ganz zu. Kennen Sie das, wenn jemand etwas sagt und Ihnen dann klar wird, dass Sie von nun an den Satz klauen werden?
Sara Abak: [lacht]
Garrett O'Hara: Also, der Ton an der Spitze ist, der Ton an der Spitze ist Teil meiner, meiner Phrasen, also wenn ich ... Ich werde dafür sorgen, dass Sie [lacht], dass Sie die Anerkennung dafür bekommen. Sie erwähnten, als Sie anfingen zu sprechen, diese Art von Müdigkeit in Bezug auf die Nachrichtenübermittlung, Sie wissen schon, jeden Monat die gleiche Nachricht zu bekommen, oder diese Wiederholung. Und ich stimme Ihnen übrigens vollkommen zu. Ich war letzte Woche bei einem Vortrag mit den Jungs von Netskope und CrowdStrike, und wir haben uns über den Kontext unterhalten, und der Punkt ist, dass, genau wie Sie es gerade beschrieben haben, es sich anfühlt, als bekämen die Nutzer immer die gleiche Nachricht.
Und, wissen Sie, ich verwende die Analogie, es ist ein bisschen wie Zähneputzen. Wissen Sie, niemand erinnert sich wirklich an das morgendliche Zähneputzen, weil man jeden Tag dasselbe an derselben Stelle tut, so dass man es irgendwie verdrängt. Und es fühlt sich an, als würden wir den Nutzern Nachrichten geben, aber es gibt keinen Kontext. Sie sind immer gleich, es gibt keine Veränderung, sie sind nicht dynamisch, und sie geben den Menschen nicht die Informationen, die sie brauchen, um gute Entscheidungen zu treffen. Es ist nur ein, "Das könnte gefährlich sein, tu das nicht," aber ohne den Kontext ist es wirklich schwer, eine gute Sicherheitsentscheidung zu treffen.
Also vielleicht eine zweiteilige Frage. Ich denke, du stimmst mir zu, aber tust du das auch? Sind Sie damit einverstanden? Und wie glauben Sie, dass wir dieses Problem lösen können, oder können wir das überhaupt?
Sara Abak: Ja, ich stimme definitiv zu, dass die Menschen müde und gelangweilt werden. Es hat nicht dieselbe Wirkung, und wahrscheinlich ist es eine psychologische Sache, und...
Garrett O'Hara: Jepp.
Sara Abak: ... wissen Sie, wahrscheinlich würden die Leute, mit denen Sie gesprochen haben, oder nach Ihrer Erfahrung würden Sie sehen, dass es auch um menschliche Psychologie geht, richtig? Die Menschen werden sich langweilen und ermüden, und wir müssen, wie ich schon sagte, Abwechslung schaffen. Wir müssen also wahrscheinlich mehr von unseren Plattformen erwarten, und dann...
Garrett O'Hara: [Crosstalk 00:19:02]-
Sara Abak: ... Sie wissen schon, Sensibilisierungsplattformen, um sicherzustellen, dass sie dynamisch und anpassungsfähig sind und über eine Art von Abhilfemaßnahmen oder Strategien verfügen, die Organisationen dabei helfen, diese Ermüdungsprobleme erfolgreich anzugehen. Wir können also nicht einfach jeden Monat die gleichen Inhalte liefern und erwarten, dass die Leute immer wieder das gleiche Zeug aufnehmen. Aber was können wir ihnen sonst noch anbieten, vielleicht etwas Ausgefalleneres wie einen Laufstall oder so etwas, um ihnen ein Video zu zeigen, in dem zu sehen ist, was ein Hacker tut, oder ein Beispiel dafür, was einem passieren kann, anstatt zu sprechen. Ich habe kürzlich auch mit einigen strategischen Partnern gesprochen, die vorgeschlagen haben, die Sensibilisierungskampagnen oder Phishing-Kampagnen durch persönliche Gespräche zu ergänzen. Aber ich meine, in der gegenwärtigen Situation mit Tausenden von Angestellten ist es ziemlich schwierig, diese Zeit zu skalieren und zuzuordnen, um persönliche Gespräche mit, sagen wir, 10.000 oder 4.000 Personen in der Organisation führen zu können.
Wir müssen also bessere Wege finden, um diese Müdigkeit zu bekämpfen. Und mir gefällt Ihr Beispiel der VR, Sie wissen schon, der virtuellen Realität. Vielleicht -
Garrett O'Hara: Hm.
Sara Abak: ... das wird es sein. Vielleicht wird es den Leuten ein Virtual-Reality-Erlebnis bieten: "Hey, seht euch das an, so ist es einer Oma ergangen," oder "so ist es einem Firmenangestellten ergangen," ihr wisst schon, "so ist es einem Buchhalter ergangen," oder, ihr wisst schon, "so ist es einem Elektriker ergangen. Welcher Beruf auch immer, es spielt keine Rolle, wir müssen einen Bezug dazu haben und sagen: "Das ist, weißt du, das ist, was passieren kann." Und jedes Mal, wenn wir ihnen zeigen, was passieren kann, lernen sie wahrscheinlich etwas und es kann bei ihnen ankommen. Ich bin mir also nicht sicher, aber ich denke auf jeden Fall, dass wir eine Rolle dabei spielen müssen, unsere Plattform zur Sensibilisierung für Cybersicherheit, unsere Partner und, ich denke, auch die Anbieter zu unterstützen, um sicherzustellen, dass wir sie dazu bringen, uns, Sie wissen schon, zu verbessern und zu modernisieren, was sie tun, um sich an unsere Bedürfnisse anzupassen. Und manchmal sind sie nicht vor Ort und wissen nicht, wie wir Dinge tun und womit wir zu kämpfen haben. Ich denke also, dass es für sie wirklich wichtig ist, sich mit den Erfahrungen der Kunden zu verbinden und wirklich zu verstehen, was die Leute tun und wie sie es nahtloser machen können.
Also ja, ich glaube nicht, dass es bisher irgendwelche Plattformen gibt, von denen ich weiß, dass es sie gibt, die einem diese unterschiedlichen Inhalte bieten, ja? Aber ich glaube, wir kommen langsam an dieses Ziel heran, denn in den letzten zwei Wochen und zwei Jahren, seit die Pandemie ausgebrochen ist, haben die Menschen ihre Sensibilisierungs- und Simulationsaktivitäten beschleunigt, um die Abgeschiedenheit der Menschen zu bekämpfen und zu versuchen, mit ihnen in Kontakt zu treten und sie zu sensibilisieren, denn man kann schnell skalieren und so viele Tausende von Menschen auf einmal erreichen. Es wird also immer wichtiger, dass die Zeit knapp wird, die Menschen sind erschöpft.
Garrett O'Hara: Ja.
Sara Abak: ... zwei Jahre Pandemie, dieses Jahr sollte eine Erholung sein und es sollte uns besser gehen, aber wir haben ein weiteres Jahr mit Herausforderungen und Unsicherheiten vor uns. Vielleicht brauchen die Leute einfach nur einen kleinen Anstoß oder eine andere Art, sie zu motivieren und zum Lernen zu bewegen. Und vielleicht gibt es neue Bedrohungen und Dinge, die da draußen passieren, von denen ich nicht weiß, ob Sie sie erhalten und gehört haben, aber es gibt so viele ... wissen Sie, Sie haben eine Art Zustellungsnachricht auf Ihrem Handy, oder einfach eine unbekannte Nummer, die Sie ständig anruft, und das ist jetzt wohl weit verbreitet, und es ist sehr ärgerlich. Und was machen wir jetzt damit?
Garrett O'Hara: Ja, ich denke, wir sollten alle ein Jahr Pause machen. Die Regierungen auf der ganzen Welt sollten sich darauf einigen, uns ein Jahr Urlaub zu gewähren, damit wir ein Jahr lang Picknicks machen und uns entspannen können, damit alle ihre Batterien wieder aufladen können. Ich denke, du hast Recht, und mir gefällt, was du über das Zeigen von Menschen gesagt hast. Es gab einen Vortrag, den wir eine Zeit lang mit [inaudible 00:23:29] gehalten haben, bei dem wir einen Live-Hack durchgeführt haben, also nur mit Kali Linux und ziemlich weit verbreitetem Zeug, aber wir haben ihnen in Echtzeit gezeigt, wie einfach es ist, wenn man auf einen Link klickt, die Kontrolle über einen Rechner zu übernehmen, das Dateisystem zu sehen, Screenshots zu machen, die Webcam zu kontrollieren. Es ist sehr, sehr einfach, wenn man weiß ... Eigentlich wollte ich sagen, wenn man weiß, was man tut. Auch wenn Sie nicht wissen, was Sie tun. Weißt du, mit Kali ist alles automatisiert, es ist... [Crosstalk 00:23:51]-
Sara Abak: [Crosstalk 00:23:52]-
Garrett O'Hara: ... das ist nicht schwer zu machen. Ich glaube, ich erinnere mich daran, wie ich in einem Raum mit [inaudible 00:23:57] Firmen stand und beobachtete, wie sich der Gesichtsausdruck der Partner veränderte: "Oh, jetzt geht das schon wieder los, noch so eine Sache, die wir durchstehen müssen," und dann beobachtete ich den Moment, nicht den Schrecken, sondern den "Oh mein Gott" Moment, in dem ihnen [lacht] klar wurde, wie trivial es eigentlich sein kann, eine Maschine zu kompromittieren, und wozu das führen könnte. Und man konnte sehen, wie sich die Rädchen in ihren Köpfen drehten, als ihnen klar wurde, dass dies kein akademisches Thema ist, sondern sehr, sehr, sehr real ist.
Sara Abak: Und zugänglich, richtig? Wie [Crosstalk 00:24:26]-
Garrett O'Hara: Zugänglich, ja.
Sara Abak: ... ja. Es ist zugänglich, es ist Open Source, also kann so ziemlich jeder etwas damit anfangen, und die Leute haben offensichtlich mehr Zeit, weil sie nicht mehr so viel unterwegs sind ...
Garrett O'Hara: Ja.
Sara Abak: In letzter Zeit haben sie mehr Zeit, um Dinge herunterzuladen und auszuprobieren, und man kann jetzt so ziemlich alles googeln und YouTube oder TikTok benutzen, was man will. Und man lernt schnell durch Fehler, durch Versuch und Irrtum, und ja, die Leute sind einfach mehr daran interessiert, solche coolen Sachen zu machen. Und das hat im Moment keine Konsequenzen. Aber ja, ich denke, wir müssen auf jeden Fall etwas Neues ausprobieren und anfangen, etwas mehr über den Tellerrand zu schauen und nicht nur den Status quo beizubehalten. Denn es wird nicht funktionieren, es wird auslaufen, seinen Lauf nehmen, und die Menschen werden sich wahrscheinlich abwenden.
Garrett O'Hara: Ja, wenn sie es nicht schon sind, leider. Und da wir gerade von der Entfremdung der Mitarbeiter sprechen: Im Großen und Ganzen leiten Sie eine Cybersicherheitsfunktion und eine Risikofunktion für ein ziemlich großes Unternehmen.
Sara Abak: Mm-hmm [bejahend].
Garrett O'Hara: Eine der größten Herausforderungen für die meisten Sicherheitsverantwortlichen sind die Cyber-Talente. Wir sprechen in unserer Branche viel darüber und wissen, dass...
Sara Abak: Ja.
Garrett O'Hara: ... massiv umkämpften Landschaft wäre es toll zu hören, Sie wissen schon, angesichts der großen Resignation, Sie wissen schon, die seltsame Welt, in der wir heute leben, und, und wie umkämpft diese Art von Talentakquisitionslandschaft ist, wie haben Sie, als Ausgangsfrage, wie gehen Sie vor, um die richtigen Leute zu finden?
Sara Abak: Ja, es war wirklich eine Herausforderung. Der große Rücktritt, ich erinnere mich, letztes Jahr einen Artikel darüber gelesen zu haben. [lacht] Ich denke: "Oh je, nein." aber ich glaube, wir mussten uns anpassen. Für mich persönlich und beruflich bedeutet das, dass ich über den Tellerrand hinausschauen und mir eine Strategie zurechtlegen muss.
Garrett O'Hara: Ja.
Sara Abak: ... und nicht, wie ich vermute, in den Untergangs- und Schwarzmalerei-Modus zu verfallen. Und im Grunde genommen bauen wir starke Partnerschaften auf, strategische Partnerschaften mit verschiedenen Firmen, mit denen wir bereits zusammenarbeiten, um die Talente dort zu finden und sie dazu zu bringen, uns zu unterstützen und eine Art Erweiterung unseres Teams zu sein und das, was wir tun, zu verstärken, ob es sich nun um kleine Projekte oder Initiativen handelt, die uns bei einem vorrangigen Punkt, den wir liefern wollen, helfen, oder wir schauen uns auch interne Talente an und bringen Leute, die bereits in der IT oder in verschiedenen Unternehmen arbeiten, und sehen, wie groß ihr Interesse ist, und bringen sie dann in eine neue Fähigkeit ein.
Aber überraschenderweise haben sich so viele Leute bei mir gemeldet und ihre Hand gehoben, dass sie eine Karriere im Bereich der Cybersicherheit anstreben, was wahrscheinlich für viele andere Führungskräfte im Bereich der Cybersicherheit nicht überraschend ist.
Garrett O'Hara: Ja.
Sara Abak: Aber es gibt eine Menge Talente in Ihrem Unternehmen, und ich denke, dass man einfach nur Netzwerke aufbauen und mit den Leuten reden muss, um Talente ausfindig zu machen. Wenn Sie also sehen, dass die Leute interessiert und engagiert sind, können Sie sie auf jeden Fall fragen, was auf ihrem Entwicklungsplan steht, und dann einen Übergang für sie finden, damit sie zu Cyber kommen. Und der dritte Teil ist natürlich die Betrachtung des Betriebsmodells. Ich schaue mir also immer das Betriebsmodell an und denke: "Nun, was sind die Dinge, die ... Wo wollen wir sein, wie wollen wir arbeiten? Was sind die Dinge, in denen wir gut sein wollen und die wir intern kontrollieren und intern verwalten wollen, und was sind die Dinge, in denen wir wahrscheinlich nicht in der Lage sein werden [unhörbar 00:27:57], Talente und Fähigkeiten zu haben, und was sind die Dinge, die wir auslagern wollen oder ein hybrides Modell haben wollen? Wir haben Experten, die wissen, was sie tun, und sie können diese Talente halten und anziehen, und wir bezahlen sie für eine Dienstleistung oder eine Art Abonnement."
Man muss also all diese Dinge gegeneinander abwägen, und das hängt wiederum von der Größe des Unternehmens und dem Umfang des Budgets für Cybersicherheit sowie von der Anzahl der Mitarbeiter ab.
Garrett O'Hara: Hm.
Sara Abak: Und wie ernst Sie die Cybersicherheit nehmen. Aber für mich sind es definitiv diese drei Dinge, weißt du. Sie sollten Ihre strategischen Partnerschaften nutzen und sicherstellen, dass Sie bereit sind und mit ihnen zusammenarbeiten. Man sollte auf jeden Fall auf interne Talente achten, sie fördern und ihnen eine Chance geben und sie im Unternehmen halten, aber...
Garrett O'Hara: Hm.
Sara Abak: ... sie zu verschieben. A- und dann auf jeden Fall einen Blick auf Ihr Betriebsmodell. Denn wenn Sie wissen, dass Sie nicht in der Lage sein werden, die Fähigkeiten zu erhalten, ist es wahrscheinlich eine gute Idee, zu prüfen, ob es kosteneffektiv und effizient ist, es an Partner auszulagern, die wissen, was sie tun, und dann nur die internen Talente zu behalten, die Sie behalten wollen. Und bereiten Sie sich auch darauf vor, dass Sie wahrscheinlich nicht mehr als 15 Monate von jedem Menschen bekommen werden.
Garrett O'Hara: Ja.
Sara Abak: Vielleicht, im schlimmsten Fall. Sie müssen das also in Ihren Prozess und Ihr Budget einbauen, um diesen Druck zu mindern. Eine andere Strategie, die ich in der Vergangenheit angewandt habe, ist, dafür zu sorgen, dass wir Knowledge-Base-Artikel und Dokumentationen über die Schritte und Dinge, die die Leute tun müssen, haben. Wenn es also einen Neuankömmling gibt, können Sie ihn einführen und ihm helfen, sich reibungsloser in Ihre Organisation und in Ihre Gruppe einzufügen, weil es zumindest eine Art Dokumentation und Schritte gibt, die er befolgen muss, und eine Reihe von regelmäßigen Aufgaben, die er ausführen muss. Sie zu entwickeln. Ich würde also sagen, das sind wahrscheinlich die wichtigsten Dinge. Ja, ja.
Garrett O'Hara: Ja, es ist interessant zu hören, wie Sie über die interne Entwicklung von Talenten und die Idee sprechen, dass wir in der Branche viel darüber sprechen. Sie wissen schon, dass man manchmal Leute aus benachbarten Rollen oder aus ganz anderen Abteilungen anzieht, aber gibt es eine Abteilung, an der Sie mehr Interesse haben als an anderen? Gibt es so etwas wie einen natürlichen Schwerpunkt, wenn Menschen den Übergang ins Internet vollziehen?
Sara Abak: Auf jeden Fall. Wir hatten alle möglichen Leute, aber hauptsächlich sind es Leute, die in der Netzwerksicherheit tätig sind, wie z. B. die Verwaltung von Netzwerken, Leute, die im Service Desk arbeiten, und Leute, die im Desktop-Support tätig sind.
Garrett O'Hara: Jepp.
Sara Abak: Das sind also wahrscheinlich Ingenieure und Leute, die IT-Systeme betreiben und warten. Sie sind im Allgemeinen diejenigen, die sich die Hände schmutzig machen wollen, und es ist aufregend, und es ist wahrscheinlich ein Schrittwechsel in ihrer Karriere, und sie streben danach, ihre Fähigkeiten und ihr Wissen zu entwickeln, denke ich. Und das Schwierigste ist, ins Internet zu kommen, denn,
Garrett O'Hara: Ja.
Sara Abak: ... offensichtlich gibt es eine Menge Hochstapler da draußen [lacht], die behaupten, sie hätten Erfahrung im Cyberbereich, aber sie haben nicht wirklich nachweisbare Erfahrung. Ich denke also, dass jede Möglichkeit für Menschen, sich seitwärts zu bewegen oder in eine andere Rolle aufzusteigen, Sie wissen schon, die Menschen sind jetzt offener für das, was sie wollen. Sogar die neue Generation und die, die sagen: "Hier will ich sein." Sie schämen sich nicht zu sagen, dass sie in 12 Monaten im Bereich Cyber arbeiten oder in zwei Jahren zum Cyber-Spezialisten werden wollen. Vor 10 Jahren hätte man darüber nicht einmal mit seinem Manager gesprochen. Weißt du, wenn du zu deinem Vorgesetzten sagst: "Ich möchte in eine andere Abteilung wechseln," würden sie dich wahrscheinlich fürchten und versuchen, dich zu entlassen [lacht] oder-
Garrett O'Hara: Ja.
Sara Abak: ... Sie ersetzen, um sicherzustellen, dass sie das Wissen behalten und so weiter. Es ist jetzt ein ganz anderes Umfeld, die Leute sind, wie ich schon sagte, sehr akzeptierend und unterstützen Menschen, die ihre Karriereziele erreichen wollen, und unterstützen die Wünsche ihrer Mitarbeiter, anstatt zu versuchen, sie in einer Rolle zu halten, die vielleicht zum Unternehmen oder zur Abteilung passt, aber nicht unbedingt zum Einzelnen und zu dem, was er erreichen möchte. Ganz anders. (lacht) Und die Leute sind so offen dafür.
Garrett O'Hara: Ja, das finde ich wunderbar. Ja, ich denke, wenn es darauf ankommt, sind gute Leute gute Leute, und es scheint, nun ja, für mich jedenfalls, da ich verschiedene Leute über die Jahre hinweg beobachtet habe, ist es so, dass wenn man eine [unhörbar 00:32:33] Arbeitsmoral hat, oder wie man zu einer Rolle kommt, dann wird man oft schnell lernen, aber man wird erfolgreich sein, weil man jemand ist, der irgendwie, das ist, das ist, was man wertschätzt, vorausgesetzt, man macht es nicht nur so nebenbei. Ich würde gerne ein wenig zurückgehen. Sie erwähnten. Wissen Sie, das Problem der Mitarbeiterbindung, mit dem wohl jeder zu kämpfen hat, weil die Konkurrenz so groß ist, und ich weiß aus Gesprächen mit unserem Team, dass LinkedIn ständig mit "Hey, dieser coole Job," Sie wissen schon, die Scheuklappen und die Sterne, und, Sie wissen schon, es wird alles fantastisch sein. Ich würde gerne von Ihnen hören, welche Tipps Sie für Cyber-Führungskräfte haben, wie Sie sicherstellen, dass die Leute so lange wie möglich bleiben, vorausgesetzt, das ist das Richtige für sie und das Richtige für das Unternehmen und all diese Dinge.
Sara Abak: Ja, ich habe diese Diskussion letzte Woche mit einem anderen Kollegen geführt, was sehr interessant war. Wir haben viel Zeit auf unser Wertversprechen für die Mitarbeiter verwendet, und ich habe festgestellt, dass es nicht nur um Geld geht, sondern um...
Garrett O'Hara: Hm.
Sara Abak: ... interessiert. Die Menschen wollen, dass die Cybersicherheit einen höheren Stellenwert erhält und zu einer wichtigen Säule im Unternehmen wird. Sie wollen eine sichtbare Unterstützung der Unternehmensleitung für den Cyberspace sehen, und wie wir schon sagten, ist es das, was wir tun, es ist eingebettet in das, was wir tun, es ist im Grunde das Wichtigste für unser Unternehmen, um zu überleben. Das ist eines der Elemente, die meiner Meinung nach die Menschen dort halten, weil sie sich geschätzt fühlen, weil sie das Gefühl haben, dass sie ein Ziel haben, und weil sie tatsächlich etwas bewirken, einen Einfluss auf den Schutz der Organisation haben.
Flexibilität, das haben Sie wahrscheinlich schon oft gehört [lacht], und in Ihrem Unternehmen wollen die Menschen Flexibilität, um überall und jederzeit arbeiten zu können und ihre Zeit nicht mit Reisen zu vergeuden, wenn es nicht notwendig ist. Aber wenn sie Kinder haben, jüngere Kinder oder andere Verpflichtungen, und sogar Leute, die ein eigenes Geschäft haben, wissen Sie...
Garrett O'Hara: Mm-hmm [bejahend].
Sara Abak: ... Online-Geschäfte oder andere Aktivitäten, es hat definitiv keinen Einfluss auf ihre derzeitige Rolle, sie versuchen sich in anderen Dingen, also hat sich das sogar geändert, wissen Sie, sie haben diese Flexibilität, es ist für jeden anders. Die Menschen können jetzt die Zeit, die sie bei der Arbeit verbringen, verlängern oder verkürzen. Und dann wollen sie natürlich, dass ihr Vorgesetzter oder ihre Organisation sie dabei unterstützt, ihre Arbeit und ihr Leben miteinander zu vereinbaren. Es geht also wieder um das Element der Flexibilität. Aber diese Art von Verständnis und Einfühlungsvermögen gegenüber den Mitarbeitern, dass Menschen menschlich sind, keine Nummern, und dass sie es wahrscheinlich manchmal schwer haben werden und manchmal sehr gut abschneiden werden, aber sie gehören zu einer Organisation, die das versteht und sie bei diesen Herausforderungen unterstützt.
Und was sich immer mehr herauskristallisiert, ist die Ethik. Sie wollen für eine Organisation arbeiten, die für etwas Wichtiges steht, eine Organisation, die das Richtige tut, uns, Sie wissen schon, nachhaltig und auf dem Weg in die Moderne, auf dem Weg zu, ich schätze mal, einer Art von gemeinsamen Themen, von Herausforderungen, die zu Problemen werden. Ja, ich denke, das ist es, wonach die Leute insgesamt suchen. Und obwohl finanzielle Vorteile immer ganz oben auf der Liste stehen, gibt es auch nicht-finanzielle Vorteile, wie z. B. die Sicherstellung, dass die Mitarbeiter die Möglichkeit haben, sich weiterzubilden, auf Konferenzen zu lernen, Netzwerke zu knüpfen und aus ihrer Komfortzone herauszukommen und etwas anderes zu tun oder sogar an einem Projekt in verschiedenen Teams zu arbeiten, um diese Silos aufzubrechen. Jemand, der sich mit Cybersicherheit befasst, kann also für kurze Zeit in einem anderen Projekt als Architekt oder ähnliches arbeiten oder Ratschläge erteilen oder an einem Netzwerksicherheitsprojekt oder einer Art Infrastrukturprojekt arbeiten. Solche Dinge halten ihr Interesse wach.
Garrett O'Hara: Ja, absolut. Sie haben das Thema schon leicht angerissen, und es klingt, als würden Sie bereits darüber nachdenken, aber die Unterstützung der psychischen Gesundheit ist etwas, das Sie gerade erwähnt haben, und wir haben uns schon über Burnout unterhalten, was normalerweise ein CISO-Burnout ist. Wissen Sie, angesichts des Stresses [lacht] und ja, die Last auf diesen Schultern ist einfach enorm. Aber, um auf Ihren Punkt zurückzukommen, ich denke, wir beginnen zu sehen, dass das Burnout auch auf andere Teile der Organisation übergreift, und zwar auf die Leute in den Rollen der einzelnen Mitarbeiter und sogar auf das untere und mittlere Management. Sie haben das Thema bereits leicht angerissen, da Sie die Unterstützung für die psychische Gesundheit und so weiter erwähnt haben.
Eines der Dinge, über die wir in der Sendung bereits gesprochen haben, ist der Gedanke des Burnouts. Normalerweise sind es die CISOs, die ausbrennen, aber nach dem, was wir bisher besprochen haben, sieht es so aus, als ob das langsam nach unten durchsickert, und wir sehen das auf der Ebene der einzelnen Mitarbeiter. Ich würde gerne hören, ob Sie speziell über Burnout nachgedacht haben, oder ob das einfach in Ihren allgemeinen Plan zum Engagement für [Überschneidung 00:37:40]- passt.
Sara Abak: Nein, das ist ein guter Punkt. Und ich bin froh, dass Sie es angesprochen haben, denn ich hatte vor, es in meinen, unseren früheren Diskussionen zum Thema Bindung und Gewinnung von Talenten und einigen anderen Strategien zur Bindung von Mitarbeitern anzusprechen. Ich finde, und darauf habe ich mich in diesem und im letzten Jahr konzentriert, dass eine wirksame Strategie darin besteht, alle Prioritäten, die man hat, zu überprüfen, was man im Grunde genommen in seinem Cybersicherheitsprogramm leisten muss, und genau das habe ich getan. Ich habe mir sehr genau überlegt, was ich unbedingt erreichen muss und wofür ich die Unterstützung meines Teams brauche. Deshalb sollte man seine Prioritäten überdenken und sicherstellen, dass sie klar und erreichbar sind, und einfach versuchen, den Druck vom Team zu nehmen. Ich finde, das hat mir sehr geholfen, und es ist eine kontinuierliche Sache, die man nicht nur einmal macht.
Ich finde also, dass es hilft, Klarheit zu schaffen und zu sagen: "Okay, Leute, das sind die zwei drei Dinge, bei denen ihr sichergehen müsst, dass ihr nicht den Ball fallen lasst, konzentriert euch nur auf diese Dinge und die anderen ungeplanten Dinge, wisst ihr, die lassen wir einfach liegen, oder wir können sie leider verschieben." Und dann ehrlich zu den Führungskräften und dem Senior Management zu sein und zu sagen: "Wir können nur diese Dinge erfüllen. Leider sind das die Dinge, die Herausforderungen, mit denen wir konfrontiert sind, und wir müssen sicherstellen, dass wir unsere Mitarbeiter nicht überlasten, denn sie sind von den letzten Jahren einfach erschöpft." Das nimmt in der Regel den Druck, gibt Flexibilität und die mentale Möglichkeit, "Hey, du hast Unterstützung, mach dir keine Sorgen." Wenn Sie ein Problem mit Ihren Herausforderungen haben, mit Ihren Prioritäten, dann sollten Sie es ansprechen. Wir haben regelmäßige Treffen mit den Mitarbeitern, um zu sehen, wie es ihnen geht, wie sie Fortschritte machen, das würde ich empfehlen.
Und dann, wissen Sie, in diesen Sitzungen, müssen Sie sich wirklich darauf konzentrieren und verstehen, wissen Sie, was Ihre Prioritäten sind? Sind Sie in der Lage, das zu schaffen? Und wenn nicht, heben Sie die Hand. Ich denke also, wir sollten ehrlich und transparent sein und sagen: "Wir werden in der Lage sein, all diese Dinge zu liefern, aber wir sind aus diesen Gründen nicht in der Lage, diese Dinge zu liefern, also müssen wir sie aufschieben," und dem Team Zeit zum Nachdenken geben und die Zeit in die Aktivitäten stecken, die sie brauchen.
Ich finde, dass dies wahrscheinlich ein weiteres Wertversprechen für die Mitarbeiter ist, wenn man ihnen diese Möglichkeit bietet und sie wissen, dass sie Prioritäten haben und diese klar sind, und dass sie einen Zeitrahmen haben, oder dass sie Sicherheit in einem Umfeld mit viel Unsicherheit haben, und-
Garrett O'Hara: Ja.
Sara Abak: ... Verwirrung und Veränderung, es gibt ihnen ein gewisses Maß an Kontrolle: "Richtig, ich kann nicht alles kontrollieren, was um mich herum passiert, mit der Pandemie oder persönlichen Problemen und was auch immer, aber eigentlich weiß ich, was ich liefern muss und worauf ich mich konzentrieren muss, mein Chef hat mir beigebracht, oder die Organisation hat mir beigebracht, dass dies die Dinge sind, die ich im Auge behalten muss," und das gibt ihnen einfach ein Gefühl der Kontrolle und weniger Angst, in der Lage zu sein, zu liefern, und dann wissen sie, dass sie die Unterstützung haben."
Und sehen Sie, die Leute kommen jetzt immer öfter und sagen: "Sehen Sie, ich kann nicht ... Das ist eine Menge. Ich kann nur so viel tun, und das sind die Dinge, die ich tun muss, aber ich bin mir nicht sicher, was kann ich parken?" Manchmal werden die Leute, das Personal, es zur Sprache bringen. Aber es ist besser, dies früher zu erkennen, diese roten Fahnen zu sehen und zu sehen, ob Ihr Team Probleme hat, und sicherzustellen, dass Sie dies sofort angehen, bevor es überhaupt passiert. Und das ist etwas, was ich im letzten Jahr getan habe, ich habe einige Initiativen geparkt und zurückgestellt, [unhörbar 00:41:28], "Wissen Sie was? Die Leute sind erschöpft, es ist November, Dezember, wir werden nicht in der Lage sein, diesen Initiativen die nötige Zeit und Mühe zu widmen, die wir brauchen, da sie alle ausgebrannt sind oder so hart gearbeitet haben."
Ich würde also sagen, dass das wahrscheinlich eine Strategie für alle Führungskräfte ist, nicht nur für die [unhörbar 00:41:49], einfach regelmäßig die Prioritäten zu überdenken. Nur weil man sich zu einem Budget und einem Plan verpflichtet hat, heißt das nicht, dass man ihn blindlings ausführen muss, nur weil man es versprochen hat. Man muss sie an die aktuelle Bedrohungslage und die Entwicklungen in der eigenen Organisation anpassen, und das kann sich ändern. Ich denke also, dass wir das regelmäßig überwachen und uns genau darüber im Klaren sein müssen, wo die Anstrengungen und die Ressourcen zugewiesen werden müssen.
Und dann die andere Sache, um noch einmal darauf zurückzukommen - entschuldigen Sie, dass ich mich so langatmig ausdrücke - aber ich möchte auch noch einmal auf Ihre strategischen Partner zurückkommen. Deshalb finde ich manchmal...
Garrett O'Hara: Mm-hmm [bejahend].
Sara Abak: ... nun, das kann ich mit den derzeitigen internen Ressourcen, A- und C-Kapazitäten nicht wirklich erreichen. Ich suche also extern nach Kapazitäten, wo es offensichtlich funktioniert. Wir, wir [inaudible 00:42:36] eine Menge Dinge, die geliefert werden und dann einfach über den Zaun geworfen werden, und wir haben keine Ahnung. Wenn es also sinnvoll ist, wenn es sich um eine technische Änderung handelt, die keine großen Auswirkungen auf mein Team haben wird, dann ist es vielleicht etwas, bei dem Sie Ihre strategischen Partner um Hilfe bitten. Es gibt also Möglichkeiten, und ich würde sagen, dass diese beiden Strategien funktionieren.
Garrett O'Hara: Auf jeden Fall. Sie bekräftigen damit etwas, das Phil Zongo in einem anderen Kontext, aber mit dem gleichen Ansatz angesprochen hat, nämlich realistische Erwartungen an die Leistungen eines Sicherheitsteams.
Sara Abak: Mm-hmm [bejahend].
Garrett O'Hara: Und, wissen Sie, das Ergebnis auf geschäftlicher Ebene ist, dass man Vertrauen zu den Führungskräften aufbaut, weil man nicht zu viel verspricht und nicht...
Sara Abak: Mm-hmm [bejahend].
Garrett O'Hara: ... sagen Sie, dass Sie den Ozean zum Kochen bringen werden, aber eigentlich sind Sie sehr strategisch in Bezug auf die Dinge, die Sie tun werden, nach Prioritäten geordnet.
Sara Abak: Mm-hmm [bejahend].
Garrett O'Hara: ... diese abliefern und dann weitermachen. Und der zusätzliche Vorteil ist, dass das Team Klarheit und Gewissheit hat, in einer Zeit, in der wir alle nach einem Anker suchen, an dem wir uns festhalten können.
Sara Abak: Mm-hmm [bejahend].
Garrett O'Hara: ... wir können eine Art von Konsistenz von Tag zu Tag haben. Irgendwie, wie eine letzte Frage, ich schaue gerade auf die Uhr hier, und, [Überschneidung 00:43:43] es ist erstaunlich, wie schnell die Zeit vergeht [lacht] in diesen Gesprächen. Es ist eine etwas schwierige Frage, aber ich muss sie trotzdem stellen. Sie haben vorhin Ransomware als Dienstleistung erwähnt und wie sich eCrime im Allgemeinen zu dieser Art von Tier entwickelt hat, bei dem es Leute gibt, die sich auf Zugangsvermittler spezialisiert haben, und Leute, die diesen und jenen Teil übernehmen, und Leute, die den Kundenerfolg und den Service sicherstellen, um Ihnen bei der Zahlung der Bitcoins zu helfen, und all diese Dinge - es ist einfach so anders, oder? Es ist nicht mehr... Du hast den ILOVEYOU-Virus erwähnt, das ist es nicht mehr. Es ist sehr anspruchsvoll, fast so, als ob wir gegen eine andere Branche kämpfen würden. Wie hat sich Ihr Denken dadurch verändert? Was bedeutet das für Sie als Leiter des Bereichs Cyber und Cybersicherheit und Risiko? Was hat sich in Ihrer Denkweise heutzutage geändert?
Sara Abak: Ja. Ich denke, die meisten Mitglieder der Cyber-Community sind gespannt, wie die Regierung, der Gesetzgeber und die Politiker reagieren werden. Und ich glaube, wir bewegen uns darauf zu, dass die Menschen anfangen, Gesetzesentwürfe darüber zu entwickeln, was akzeptabel ist, was kriminell ist und was nicht. Zu diesem Zeitpunkt wissen wir also noch nicht einmal, ob die Zahlung von Lösegeld eine Straftat sein kann. Was bedeutet das also für Unternehmen, die eine Art Onboarding durchführen und eine Cybersicherheitsversicherung abschließen? In der Vergangenheit hat die Cybersicherheitsversicherung ihnen die Sicherheit gegeben, Zugang zu vielen Experten zu haben, die ihnen bei größeren Cyber-Ereignissen und Störungen helfen. Aber lohnt es sich jetzt noch, eine Cybersicherheitsversicherung abzuschließen, wenn man bedenkt, dass wir als Gemeinschaft vielleicht nicht in der Lage sein werden, Lösegeld zu zahlen, oder wenn Leute eine Erpressungsforderung stellen, dass dies eine Straftat sein wird und die Organisation darunter leiden wird. All das ist also noch im Gange, und wir alle beobachten als Gemeinschaft, wie es sich weiterentwickeln wird.
Aber ich denke, insgesamt werden sich unsere Strategien nicht allzu sehr ändern. Ich denke, dass die Grundlagen, zurück zu den Grundlagen, wie z.B. sicherzustellen, dass Sie ein gutes, starkes M- Sie wissen schon, mehrere interne Kontrollrahmen haben, weil einige Rahmen nicht alles bieten. Man könnte sich an das NIST-Framework und an CIS und ASD Essential Eight halten, aber ich denke, man braucht eine gute Kombination aus einer Vielzahl davon, nicht nur eine, und dann muss man einfach sicherstellen, dass man sich um seine Hygiene kümmert, insgesamt, und dann um seine Resilienz-Aktivitäten, denn man weiß, dass man wahrscheinlich von irgendeinem Vorfall betroffen sein wird, sei es eine Person, durch menschliches Versagen, oder sei es kalkuliert und jemand zielt auf einen, man muss einfach vorbereitet sein.
Ich glaube also nicht, dass es etwas anderes ist als früher. Die Bedrohung...
Garrett O'Hara: Jepp.
Sara Abak: ... und der Druck ist wahrscheinlich höher.
Garrett O'Hara: Ja.
Sara Abak: Aber man muss einfach zu den Grundlagen zurückkehren und gehen, "Weißt du was? Wir werden versuchen, mit den uns zur Verfügung stehenden Ressourcen das Beste zu tun,", und, wie gesagt, einen Risikomanagement-Ansatz zu verfolgen, Ihre Cybersicherheitsrisiken und -bedrohungen zu bewerten, sicherzustellen, dass Sie über Abhilfemaßnahmen verfügen, um diese Lücken zu schließen, und dass sich die Führungskräfte und der Vorstand über diese Lücken im Klaren sind, und Investitionen zu tätigen, Ich schätze, sie unterstützen Sie und stellen Investitionen zur Verfügung, um diese zu verbessern und aufrechtzuerhalten, und gleichzeitig stellen Sie sicher, dass Sie wissen, dass Sie eine gute Verteidigung haben. Als Leiter der Cybersicherheit habe ich eine gute Verteidigung, ich habe so viel wie möglich getan und die Schwachstellen oder verbesserungswürdigen Bereiche aufgezeigt, und in diesem Sinne können Sie nur Ihr Bestes tun.
Wissen Sie, wenn Sie sich gut verteidigen können, wenn Sie über gute Rahmenbedingungen, Kontrollen und Verhaltensweisen verfügen, dann ist das wirklich alles, was Sie tun können. Man kann nicht jeden Ransomware-Angriff oder Erpressungsangriff stoppen, aber es gibt Abhilfemaßnahmen und Dinge, die man tun kann, um eine glaubwürdige Verteidigung zu haben, die besagt: "Hey, wir haben alles richtig gemacht, und wir konnten das nicht kommen sehen, oder wir haben es kommen sehen, und wir haben Maßnahmen ergriffen, um es zu umgehen oder es zu bekämpfen. Und sehen Sie, es ist eine Lernaktivität. Wir haben etwas erlebt, und jetzt werden wir versuchen, es besser zu machen. Ich denke also, dass wir als Gemeinschaft, als Organisation [lacht], nachsichtiger geworden sind. Ich weiß nicht, ob bei einem großen Cyber-Ereignis die Köpfe der Leute auf dem Hackklotz liegen, wie in...
Garrett O'Hara: Mm-hmm [bejahend].
Sara Abak: ... Sie wissen schon, vor 10 Jahren. Ich weiß nicht, ob das immer noch der Fall ist, aber es scheint nicht so zu sein. Aber ich denke, das ist es, was ich sagen würde. Kehren Sie einfach zu den Grundlagen zurück und stellen Sie sicher, dass Sie eine gute Verteidigung haben, d. h. eine glaubwürdige Verteidigung dessen, was Sie tun, und seien Sie transparent, und das ist alles, was Sie tun können.
Garrett O'Hara: Auf jeden Fall. Sie haben den Kreis mit Ihren Bemerkungen zur Gemeinschaft sehr elegant geschlossen. Ich weiß nicht, ob das beabsichtigt war, aber es war, es war, [lacht] es war wunderschön gemacht. Und es...
Sara Abak: [Crosstalk 00:48:48]-
Garrett O'Hara: ... es scheint mir der perfekte Zeitpunkt zu sein, um mich bei Ihnen zu bedanken, und ich schätze es sehr, dass Sie heute bei uns sind, Sara.
Sara Abak: [unhörbar 00:48:54].
Garrett O'Hara: Ich habe das Gespräch sehr genossen.
Sara Abak: Ja, ausgezeichnet. Ich danke Ihnen.
Garrett O'Hara: Vielen Dank an Sara, dass sie sich uns angeschlossen hat. Und wie immer vielen Dank, dass Sie dem Get Cyber Resilient Podcast zugehört haben. Stöbern Sie in unserem Backkatalog von Episoden, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.