Hvorfor ferdigheter innen cybersikkerhet bør læres på handelshøyskoler

Hvorfor cybersecurity bør læres på handelshøyskoler For å bygge en Zero Trust-sikkerhetsmodell og fylle mangelen på cybersecurity-ferdigheter, bør handelshøyskoler undervise i defensiv taktikk, sier administrerende direktør i RedSeal, Ray Rothrock.

Du vil ikke ansette en person til å designe annonsene dine, hvis de ikke vet noe om reklame. På samme måte bør du ikke ansette en person på teamet ditt hvis de ikke har en grunnleggende cyberforståelse. Dan Patterson i TechRepublic snakket med RedSeal-administrerende direktør Ray Rothrock for å diskutere hvordan skoler og selskaper kan bidra til å lukke gapet på nettopp skolene. Nedenfor er en transkripsjon av intervjuet.

Patterson: Kunnskapskraften i cybersecurity kan være en av de beste måtene for selskaper å bli mer cybersecure. Ofte ser vi på teknologiske løsninger, og disse løsningene fungerer veldig bra, men opplæring og utdanning av arbeidere og ansatte er fortsatt en av de mest effektive taktikkene.

For TechRepublic og ZDNet er jeg Dan Patterson, og det er en glede i dag å snakke med Ray Rothrock, han er administrerende direktør i RedSeal. Ray, du har informert noen selskaper, faktisk noen handelshøyskoler, om at de trenger å utvikle seg. På hvilke måter kan handelshøyskoler utvikle seg for å lære selv ikke-studenter å bli mer teknisk kyndige og mer nettbaserte?

Rothrock: Hei, god morgen Dan, takk for at du har meg på. Utviklingen av handelshøyskoler, og jeg gikk til en for rundt 30 år siden, lærer handelshøyskoler grunnleggende strategi. Strategi inkluderer konkurranse, venn og fiende, og hvilke fordeler du kan ha. De prøver alltid å vippe bordet mot deg som eier av en bedrift, CO for en bedrift. Noe av det som må være en del av samtalen nå handler om cyber, og hva er cyber?

Cyber ​​pleide å være en slags nedrykk til hjørnet av IT, litt bittelitt slags ... Det var ingeniørproblemet, selv CIO brydde seg ikke så mye om det. Vel, det er ikke lenger tilfelle, da vi alle er klar over alle overskriftene og hendelsene som vi leser om i nyhetene og fortsettelsen av denne sagaen. Hvis du ikke kommer foran det, blir cyber en skatt på virksomheten din, og det er en dårlig ting. Jeg snakker om pengeskatt.

Bare å bruke penger på disse teknologiske løsningene som du foreslo, er bare en del av løsningen. Den virkelige delen av løsningen er å bli klar over den, trene folket ditt og deretter teste folket ditt. Du må bare gjøre det. Det er som om du ikke ville ansette noen som leder av markedsføring hvis de aldri har markedsført. Du ville aldri ansatt en ingeniør hvis de sannsynligvis ikke hadde en ingeniørgrad, så du burde virkelig ikke ansette noen som ikke har grunnleggende cyberforståelse fordi omtrent 95% av all vellykket infiltrasjon og eksport av data som et resultat av et menneske som gjør en feil.

Det skjer til og med i selskapet mitt, vi hadde nettopp en forrige uke, og det er bare veien for virksomheten. Hvis du ikke kommer foran det, blir det beskattet i hjel, og hvis du blir beskattet i hjel, har du ikke kontanter, du har ikke penger til å investere i nye produkter, og bedriften din lider.

Cyberwar and the Future of Cybersecurity (ZDNet spesialrapport) | Last ned rapporten som en PDF (TechRepublic)

Patterson: Jeg kan tenke meg at dette varierer virksomhet til næringsliv og noen av de grunnleggende taktikkene som pennetesting og bare holder øye med disse phishing-taktikkene, jeg tror de fleste mennesker kan registrere seg og si: "Ok, jeg vet hva de skal gjøre." Når du trener folk, spesielt eksperter på handelshøyskolen, hvordan lærer du dem mer sofistikerte og nyansemetoder for nettbasering?

Rothrock: Det er et godt spørsmål. Cyber, det er ikke produkter per se. Produktene er en del av det, og folk er en del av det, men det er en strategi om det. Strategien er å ha de beste produktene, ha retningslinjer, informasjon om samsvar, ikke bare regulatoriske ting som loven sier at du må gjøre. Som du sa, hver virksomhet er litt annerledes. Hvis du er helt online, så har du tydeligvis ett sett med kriterier, hvis du er helt frakoblet, har du et annet, men du har cyberproblemer.

Strategien vil for eksempel omfatte at selskapet mitt selger en nettverksmodelleringsevne, slik at vi forstår nettverkene dine på den mest vakreste detalj, den dypeste detalj. Hvis du for eksempel sier, kjører den annenhver uke, kan du få en oppdatering av nettverket ditt, slik at hvis du blir angrepet, kan du være forberedt på å takle det. Teknologiløsninger er bare en del av svaret, du må ha folk som forstår hva de skal gjøre hvis du er under angrep. Det må være et styrenivå. Det må sannsynligvis være i revisjonskomiteen hvis ikke et eget utvalg. Du må ha tiltak, tjener vi på det, tjener vi ikke på det?

En del av det jeg gjør og mange av de andre selskapene, vi scorer ting, vi gjør det mulig for deg å vite om du gjør det bedre. Hvis CIO-en din går inn og vil ha 100 millioner dollar for å investere i cybersikkerhet, er det mye penger uansett hvem du er. Det er som "Vel, kan du bevise for meg at du har gjort det bedre?" En del av strategien din, må du involvere denne typen tenkning der du har, akkurat som hva som helst, du investerer penger, du forventer avkastning. Du investerer penger du forventer andre produkter, penger i cyber du forventer bedre beskyttelse. Det er bare en del av tanken som må gå inn på det.

Jeg kan tenke meg noen gode forretningssaker som det kunne snakkes om nå, men spørsmålet er, hva kunne de ha gjort annerledes eller hva kunne de gjort bedre i fremtiden?

Patterson: Jeg tenker faktisk som svaret på spørsmålet, fordi forskjellige hacking-taktikker og forskjellige forsvarsmekanismer vil forandre seg når teknologiene skifter. Hvordan lærer du ledere å ansette de riktige menneskene som kan håndtere de raskere skift og trender som skjer innen cybersikkerhet. Så, hvordan lærer du disse menneskene å kommunisere oppover til ledelsen, slik at spørsmål med reell bekymring eller overhengende fare blir kommunisert til de rette menneskene til rett tid.

Rothrock: Kommunikasjon kan være skikkelig vanskelig fordi cyber er full av det jeg kaller sluke-gook-språk. For det første tror jeg ledelsen må erkjenne at det ikke er noen perfekt teknologisk løsning, og at folk vil gjøre feil. Når du lærer det og tar deg inn at i DNA-et i kulturen din, er du mye bedre forberedt og du vil ansette folk som er forberedt. Du vil ansette brannmenn, for eksempel. Når de dukker opp er de ikke brannmenn til å begynne med, de gjennomgår treningsprosesser, de lærer hvordan de skal sette fyr ut.

Forventer vi at bygninger vil ta fyr? Vel, egentlig ikke, jeg mener ditt hjem, jeg kan se en sprinkler på veggen rett der. Bygningen jeg er i har også sprinkler, men det kan oppstå en brann og disse brannmennene vet hva de skal gjøre. De har valgt personer som har bestått evne og eksamener som har en holdning til at teknologien ikke er perfekt, folk er ikke perfekte, så hva må jeg gjøre? De vet hvordan de skal tenke på det.

Jeg kommer til å gjøre en vanskelig referanse. Jeg var kjernetekniker for omtrent 30 år siden, for 35 år siden, ved et kjernekraftverk vi tror dette konseptet kalles forsvar og død, som kanskje eller ikke er kult, men det tenker hva som kan gå galt? Hvis det gikk galt, hva ville du gjort for å dempe? Det er den typen mentalitet som ledelsen må ha på høyeste nivå. Du vet, Equifax-testen. Hvis gjør databasen vår stjålet, hva gjør vi da? Hvordan reagerer vi på det? Hvordan forbereder vi oss på det?

Det virker bare bedre for meg i dag å være administrerende direktør i et datarikt selskap. Du må tenke: "Det kan skje, og hva ville jeg gjøre med det?"

Patterson: Ray Rothrock, han er administrerende direktør i RedSeal. Ray, det er gode råd. Jeg lurer på om du kan la oss være med noen råd fremover i 2018 og utover. Cyberlandskapet skifter veldig raskt. Hvordan skal selskaper på kort sikt kommunisere behovene, de spesielle behovene til teamet deres, til sine ansatte? Så, hvordan skal de finne gode måter å incentivere de ansatte til å kommunisere cyberbehov oppover i kjeden?

Rothrock: Ja. Jeg ville sette opp et tilbakevendende opplæringsprogram. Det er mange på nettet, de er enkle å gjøre, de tester folk, du bør gjøre det. Se, 2018 og utover truslene endrer seg, og det er de, og teknologien kan ikke følge med, så det handler først om mennesker, for det andre om teknologi. Den andre tingen du gjør er å være litt skeptisk. Det måtte du bare, hvis du ser denne lappen fra CO som sier trådpenger til det, og så må du bare tenke deg om to ganger før du bare sa: "OK!"

Folk må ha litt følsomhet for dette og dessverre i e-postalderen eller tekstalderen eller hva vi synes det er total autoritet og det ikke. Jeg tror dette, kommunikasjonen, hvordan kommuniserer du opp? Se, dine ansatte er din beste informasjonskilde. Hvis folk leser og forstår. De leser tekniske ting, noen mennesker leser prosessen. Jeg har skrevet flere artikler om spørsmål du kan stille.

Hvis du har en kanal som kan gå opp til CIO eller en annen administrerende direktør, slik at de kan høre alle disse valgene, fordi ingen mennesker kan komme med alt, tar det virkelig en landsby å holde det hele sammen. På mine faste ukentlige personalmøter kommer vi inn og noen vil si noe ingen har hørt om. Den trusselen som vi leser ... Det er som: "Herregud, hvem visste det?"

Jeg har en fyr på feltet, det er alt han gjør. Han sitter der og snuser ut alle disse tingene, og når noe skjer, publiserer han umiddelbart hvordan du kan slå det med programvaren vår. Det er bare folk som gjør det, du må ha disse menneskene på laget ditt. Du må finne dem, du må belønne dem med 'atta-gutter og' atta-jenter og hva som motiverer mennesker. Det er ikke alltid penger, vil jeg si deg, noen ganger er det bare å reise seg og få en medalje, bokstavelig talt å stikke en medalje på folk, en forskjell.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

Se også

  • 42% av de mest populære nettstedene er sårbare for nettangrep (TechRepublic)
  • Rapport: E-postangrep øker, men ikke så mye som etterligner phishing (TechRepublic)
  • Hvorfor automatisering er den eneste måten å lukke mangelen på cybersecurity-ferdigheter (TechRepublic)
  • IT-lederveiledning for trusselen om nettbråk (Tech Pro Research)
Bilde: iStockphoto / ismagilov

© Copyright 2020 | mobilegn.com