В това издание на „Разговори за CISO“ обсъждаме маршрута, ролята и изискванията за превръщане в успешен CISO – в този случай с лидерите по киберсигурност на две големи фирми за управление на уязвимости: Джая Балу от Rapid7 и Джонатан Трул от Qualys.
Джая Балу отрано проявява интерес към компютрите, но никога не се е концентрирала върху тях в академичната си дейност. Подобно на много младежи по онова време, тя е привлечена от системата за информационни табла (BBS) като метод за подобряване на знанията, но е отблъсната от разходите за използване на CompuServe. Затова тя написала своя собствена програма за набиране на военни номера.
В академичните си занимания изучава политически науки и международни отношения (PoliSci/IR). И двамата ѝ родители работят в ООН и тя се включва в Модела на ООН (образователна симулация на ООН и нейната работа). Но тя никога не губи интереса си към компютрите и прекарва колкото се може повече време в компютърната лаборатория на университета.
„Нямах официално [компютърно] образование – обяснява тя, – но имах много неформално обучение и часове на компютри. Бях обсебена – това ми беше хоби. Правех го за забавление; винаги работех в компютърната лаборатория за забавление и поправях неща за забавление“. Смисълът, продължава тя, „е, че когато правиш нещо за забавление и то не е за училище или за работа, го правиш по-задълбочено“.
До края на формалното си академично обучение (университет „Тъфтс“) тя има квалификация по политически науки и опит с компютри и телекомуникации (включително как да ги принуди да доведат до непреднамерени последствия). Интернет и киберсигурността бяха нови, но нямаше официална квалификация по темата. Имаше нарастващо търсене на хора с доказани умения в областта на киберсигурността, но малко търсене на политолози.
Първата ѝ работа е като обучител по интернет сигурност в Bankers Trust, където работи по проблеми на експортната криптография за клиенти с висока нетна стойност. След това работи в KPN, France Telecom, Verizon, отново в KPN (този път като CISO), Avast (CISO), а сега е CISO в Rapid7.
Професионалният път на Балу показва, че кариерата в областта на киберсигурността не зависи от университетската диплома, а по-скоро от личните способности, подкрепени с доказани умения. Тя смята, че това важи и днес, въпреки че може би е по-трудно просто защото вече няма такъв недостиг на пряко академично обучение.
„Наистина смятам, че ако хората обичат да учат и да проявяват любопитство, и ако наистина са толкова заинтересовани да продължат напред, те могат да го направят с наличните неформални ресурси. Някои от най-добрите служители, които съм наемала, никога не са завършвали университет и едва са успявали да си изкарат хляба в гимназията. Това, което направиха, беше, че толкова много обикнаха киберсигурността и компютърните науки, че използваха обучението Hack the Box, за да се научат да хакват; следваха каналите в YouTube и посещаваха евтини онлайн курсове за обучение. Аз съм голям почитател на този подход.“
Пътят на Джонатан Трул към лидерството в областта на киберсигурността е различен. Той е учил компютърни науки в университета, но отбелязва, че в курса не е била включена киберсигурност. „Не си спомням да е имало област, наречена киберсигурност. Дори нямаше курс по сигурност като цяло.“
Независимо от това, той има разбиране за компютрите и изчислителната техника. Първата му работа е в областта на одита на програми в щата Колорадо. Приблизително по същото време става резервист във военноморските сили и стига до командир-лейтенант. Смята, че комбинацията от техническа подготовка (образование), нарастващото разбиране за значението на точния софтуер (одит в началото на кариерата) и лидерските качества, които е придобил във флота, са се съчетали и „гравитационно“ са го привлекли към киберсигурността – това е било по-скоро естествена сила, отколкото планирана кариера.
Възможността, а не планирането на кариерата, го убеждава да се съсредоточи върху това, което по онова време все още се нарича ИТ сигурност. Той става CISO в щата Колорадо.
Оттам става CISO в Qualys за малко повече от година, след което става CISO в Optiv (отново за малко повече от година); след това е главен мениджър по откриването и реагирането на инциденти в Microsoft, преди да се върне в Qualys като главен директор по сигурността и ръководител на архитектурата на решенията. През цялото това време той е допълвал академичната си компютърна подготовка с по-подходящи квалификации: като CISO Executive Certification от Carnegie Mellon (той вече е бил CISO повече от десетилетие) и развитие на лидерството от Harvard Business School (отново, той вече е бил лейтенант-командир във флота, като офицер от разузнаването, работещ по морското пиратство и ръководещ екипи, които понякога са включвали членове от военновъздушните сили и армията).
Това почти случайно навлизане в областта на киберсигурността, съчетано със способността да се разпознае и фокусира върху дадена възможност и подсилено от личните усилия да се научи повече, е често срещан кариерен път за много от днешните водещи CISO. Подобно на Балу, той вярва, че този път все още съществува.
„Не мисля, че би трябвало да съгласувате курса си в бакалавърската степен със стажа и първата си работа като официален план, водещ до лидерство в областта на киберсигурността“, коментира той. „Не мисля, че днес има много хора, които заемат кариерни позиции въз основа на университетското си обучение. Повечето хора поемат по опортюнистичен път в кариерата си, а днес това може би е дори по-лесно, защото киберсигурността има толкова много припокриващи се, но различни области, изискващи различни набори от умения. Преминаването към кариера в областта на киберсигурността е много възможно.“
Лидерството е единствената област, в която няма вероятност да се случи нещо случайно. Ако цитираме Шекспир, някои се раждат лидери, а други постигат лидерство. Но всички CISO трябва да бъдат лидери. Всеки бъдещ CISO трябва да е способен и да желае да бъде лидер. „Някои хора са естествени лидери“, коментира Трул. За други това може да се научи. Трул смята, че е „научил“ лидерството извън киберсигурността, докато е бил в армията – но според него ученето на лидерство е непрекъснат процес.
Ставането на CISO е естествената цел за амбициозните професионалисти в областта на киберсигурността. За да се постигне това, разбирането на ролята на CISO е от съществено значение, тъй като тя непрекъснато се променя.
Преди около две десетилетия киберсигурността израсна от ИТ сигурността. По онова време ИТ сигурността често беше просто бюро в стаята за ИТ. С течение на времето киберсигурността беше призната за отделна област и получи свой собствен ръководител на отдел, който се превърна в главен служител по информационна сигурност (CISO). Но CISO запази ИТ произхода си и обикновено се отчиташе на главния информационен директор. Това все още е стандарт, но започва да се променя.
„В идеалния случай искате функцията CISO да бъде малко по-независима от ИТ и да се отчита на ИТ директора. В тази йерархия имате липса на независимост при докладването, което е неудобно, когато CISO може да се наложи да каже на CIO: „Хей, твоето дете е грозно, закъснява, прави бъркотия и има твърде много поправени уязвимости“, обяснява Балу. „Това е трудна позиция, в която трябва да се намираш, когато докладваш на CIO.“
Нейното собствено предпочитание е CISO да е равнопоставен с CIO, а не да му докладва. Същото важи и за CTO, защото и трите позиции трябва да работят заедно за създаването и поддържането на сигурна среда. По принцип тя смята, че CISO трябва да бъде равнопоставен на позициите, които са причинили проблемите, които CISO трябва да реши. „Моето предпочитание е CISO да се отчита пред главния изпълнителен директор, като има връзка с управителния съвет“, продължава тя. „Ако това не е възможно, докладването на главния оперативен директор, на когото се отчитат и CIO, и CTO, би било добра алтернатива.“
Но тя добави: „Не е толкова важно къде се намира CISO, важно е къде стои CISO в лицето на опозицията на това, което трябва да се направи.“
Това издигане на позицията на CISO е в ход, с различна скорост и в различна степен, в зависимост от съответната компания. В някои случаи ролята на CISO и CIO или CISO и CTO се обединяват под ръководството на едно лице. В някои случаи CIO вече се отчита пред CISO. Това се обуславя преди всичко от нарастващото значение на киберсигурността за по-нататъшния успех на компанията – и тази еволюция вероятно ще продължи.
Съществуват и други видове натиск, които оказват влияние върху длъжността. Правителствените разпоредби увеличават значението на киберсигурността. Това е разбираемо. Но има и други изисквания, при които ефектът все още не е известен. Пример за това са неотдавнашните промени в правилата за разкриване на информация на Комисията по ценните книжа и фондовите борси (SEC) и въвеждането на лична юридическа отговорност за CISO. Ще промени ли това ролята на CISO?
„Мисля, че вече се е променила. Мисля, че това напълно промени моята професия“, казва Балу. Тя се опасява, че CISO е изгубил защитата на компанията за изпълнение на изискванията за работа и CISO може да направи малко по въпроса. Длъжността може да бъде подведена под правна отговорност отвън, но без адекватни правомощия в компанията. „Представете си, че имате CIO или CTO, които са внесли нещо, при което вие не сте в състояние да промените или поправите, или дори да оцените съответните решения, но сте държани отговорни за тях, когато се объркат. Това е проблем.“
Непосредственото изискване към CISO е да се уверят, че имат покрити потенциални съдебни разходи. Трябва ли това да бъде застраховка, финансирана лично, или осигурена от компанията? „Представете си дилемата, в която може да се окажете, ако трябва да обмислите ипотекирането на къщата си, за да покриете съдебните такси за ситуация – в която решения, взети извън вашия контрол и които сте се опитвали да коригирате – в крайна сметка могат да ви вкарат в затвора.“
Нейната надежда е, че ефектът от правилата на SEC ще се съчетае с нарастващото значение на ролята на CISO, за да бъде трансформиран в насърчаването на по-добри практики за сигурност в цялата компания.
[По-нататъшно обсъждане на правилата за оповестяване на SEC можете да намерите в Cyber Insights 2024: Трябва ли най-накрая ръководството на киберсигурността да се професионализира?]
Трул е съгласен, че правилата на SEC ще променят ролята на CISO в публичните компании и има подобни надежди за благоприятен бъдещ резултат. Впоследствие това може да се отрази и на други компании, особено на частните, които възнамеряват да станат публични в бъдеще.
„Правилата на Комисията по ценните книжа и фондовите борси (SEC) за киберпространството значително променят ролята и очакванията на CISO“, обяснява той. „Ще станем свидетели на големи промени в начина, по който CISO потвърждават и съобщават за управлението. Задължителните изисквания на SEC ще накарат CISO да получат това, което винаги са искали – много по-голямо внимание от страна на бизнес лидерите.“
Това внимание ще бъде различно в различните компании, но той вижда, че то вече се случва. „Мисля, че SEC ще стимулира промени отгоре надолу, като минималната летва за това, което CISO трябва да постигне, и основните изисквания за управление и докладване на инциденти. Но все още има много вариации и те вероятно ще се различават в зависимост от индустрията.“
Но това също така хвърля тежест върху приемането на новата работа от CISO. „Когато поемате нова роля на CISO в публично търгувана компания, която ще бъде наблюдавана и регулирана от SEC, трябва да сте сигурни, че имате или можете да получите нужното ниво на внимание, за да можете да направите необходимите промени; и че имате право да управлявате риска на тази компания. Трябва да направите това, за да избегнете поставянето си в положение, в което е вероятно да бъдете обвиняем.“
Една от най-важните функции на CISO е да набира и задържа успешен екип по сигурността. В този случай „задържане“ означава да задържите хората в рамките на индустрията – това не означава да им попречите да преминат на по-висши позиции в областта на сигурността в други компании.
Освен намирането на кандидати по време на така наречения „недостиг на умения“, важна необходимост е и сплотеният екип. „Един страхотен екип не се създава от един човек или дори от един страхотен лидер“, казва Балу. „Това е като във футбола – не ви трябва Меси, трябва ви солиден отбор“. Изводът е, че цялостната сплотеност на екипа е по-важна от индивидуалните, но отделни умения.
Трудно е да се постигне тази напълно закръглена твърдост, но Балу се фокусира върху разнообразието на мисълта. Това не е многообразие заради самото многообразие, не става въпрос просто за равни пропорции на мъжете и жените, за символичен етнически произход или религии, или географско положение (въпреки че това може да помогне за многообразието на мисълта).
„Всички ние сме склонни да имаме присъщи предразсъдъци“, обяснява тя. „Когато набираме персонал, ние търсим неща, които разбираме, че са подобни на нас и които отговарят на определени модели на това, което смятаме, че е необходимо за определена роля.“ Подсъзнателно търсим хора, които мислят по същия начин като нас – и Балу вярва, че това води до не толкова оптимални резултати. „Когато набирам кадри за екипа, търся разнообразието на мисленето почти на първо място, на преден план и в центъра.“
Така че за Балу способността за нестандартно мислене е поне толкова важна, колкото и произходът и образованието. Ако разбирате от технологии и можете да приложите различен начин на мислене за това, можете да станете добър член на екипа. Невродивергентността, например, може да добави разнообразие на мисловните процеси независимо от социалния или образователния произход.
Трул се съгласява с необходимостта от разнообразие, но отбелязва, че необходимостта от експертни умения понякога може да вземе превес. „На макроравнище разнообразието е наистина важно. Но има моменти, когато експертните познания са по-съществени – например за криптографски познания или опит във FedRAMP.“ За Трул въпросът е по-скоро да се включи разнообразието, когато е възможно, отколкото да се формира екипът според разнообразието.
След като екипът е събран, той трябва да бъде подкрепян и насърчаван. Наставничеството, под формата на кариерни съвети, е важна част от това. Успешните CISO често са получавали добри съвети по време на собствения си път. За Балу най-добрият съвет, който е получила, е бил предаден от финансовия директор, докато е била в KPN (преди това той е бил министър на финансите в холандското правителство и е чул това от министър-председателя). Става дума за политика.
„Не трябва да се изненадвате, че тя съществува, а трябва да стоите на разстояние и просто да ѝ се възхищавате“. Балу прилага това към политиката в офиса. „Винаги ще има офис политика. Но не е нужно да играете – можете да наблюдавате, без да играете. Мислех, че това е брилянтен съвет, защото ви позволява да бъдете верни на себе си и на ролята си“. Техническите специалисти, казва тя, не са политици и не трябва да играят в офисната политика.
Вторият съвет, който е останал с нея през цялата ѝ кариера, е: „Не се продавайте на безценица“. Това й допада. „Продължавах да се изключвам от възможностите за работа, защото просто предполагах, че търсят някой с много по-голям опит от много по-голяма компания, който не е жена и може би е малко по-възрастен, с друг опит и не изглежда или не се държи като мен… И това не можеше да не е вярно.“
След като самата тя е достигнала върха, съветът, който дава на екипа си, е: „Не приемайте, че единственият начин да напреднете в кариерата е да станете мениджър. Това може да не е пътят на ускоряване, в който вярвате. Това, което прави хората наистина специални, правещи нещата добре на високо ниво в информационната сигурност, е, че те са запазили техническите си корени. Те никога не са загубили напълно способността си да разбират и да научават нови неща и да усвояват нова технология. Ако хората останат верни на техническите си умения, докато учат нови неща, мисля, че това е най-добрият път за бъдещето. Така че не губете техническите си умения, за да се превърнете в генералист.“
Едно от изискванията към CISO, което не сме обсъждали, е необходимостта от 360-градусова визия. Докато следи за вътрешни уязвимости и наблюдава поведението на потребителите, CISO трябва да е наясно и с настоящите и бъдещите външни заплахи.
За Балу заплахата е от новите технологии, под които тя разбира квантовите и изкуствения интелект. „Склонни сме да възприемаме новите технологии с вградени стари уязвимости или с нови уязвимости, които не сме в състояние да предвидим.“ Квантовата заплаха за сегашното криптиране се преодолява чрез разработването на нови криптографски алгоритми, но решението все още не е доказано, а прилагането му е сложно.
ИИ е втората област. „Джинът е толкова здраво изпуснат от бутилката, че компаниите го използват. Те използват данни на други компании от тяхната верига за доставки, за да захранват тези системи за ИИ. И тези компании надолу по веригата често не знаят, че техните данни се използват за тази цел. Те не са наясно с това. Освен това има и пропускливи API, които се използват с ИИ. Истински се притеснявам не само за заплахата от ИИ, но и за неговото прилагане. Като човек, който се занимава със сигурност, това ме тревожи.“
SecurityWeek
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.