As ameaças de segurança cibernética organizacional Mude todos os dias e mova -se por todo o mundo. É por isso que as empresas precisam fazer investimentos estratégicos para se proteger, Theresa Payton, ex -diretora de informações da Casa Branca sob o presidente dos EUA, George W. Bush, alertou durante sua recente discussão com Ketil Gjerstad da BCG. Você começará destacando como definir a segurança cibernética, o que isso significa e como pensar sobre isso? Mas os cibercriminosos mudaram muito suas táticas.
Theresa, thanks for joining us this afternoon to talk about what I know is your favorite topic: cybersecurity. Will you start by highlighting how to define cybersecurity, what it means, and how to think about it?
The old-school way of looking at cybersecurity was thinking about a company and the company's networks and then putting firewalls around the networks. But cybercriminals have changed their tactics so much.
Então, a maneira como eu descreveria a segurança cibernética a um imigrante digital está protegendo sua impressão cibernética. Você deixa uma impressão cibernética em sua vida pessoal e deixa uma em sua vida profissional. Essa cyberfootprint é os pequenos detalhes e pistas e as faixas que você deixa para trás com base em como você conduz negócios ou conduz sua vida pessoal. Esses são os itens que precisam ser protegidos porque, se não forem, podem ser aproveitados pelos cibercriminosos.
Como você pode obter segurança cibernética na agenda dos executivos? Como você pode abordar o problema? E como você pode estruturar a defesa?
Nenhuma empresa é perfeita. Não é uma questão tecnológica. É uma questão de criatividade e uma questão dos riscos de negócios. Temos que realmente tentar entender quais riscos estamos dispostos a correr e quais são riscos comerciais não negociáveis. Você costuma ver um conselho de governança, que pode ser executivos diferentes de toda a empresa - para que você possa ver [executivos de] marketing, atendimento ao cliente, jurídico, finanças e risco. Passar esse tempo para falar antecipadamente no nível executivo sobre segurança, no que se refere aos ativos mais críticos, é vital para garantir que o problema realmente permeia durante todo o restante da empresa. Quando eu trabalhava em serviços financeiros, minha perspectiva na época era: "Se pudéssemos treinar melhor todo mundo, termos mais claramente políticas e procedimentos escritos e apenas lembrar as pessoas, todos estaríamos mais seguros". Eu percebo agora que estava errado. Treinamento baseado em computador sobre segurança, que todos temos que levar, por que as pessoas ainda clicam nos links? " É literalmente porque a tecnologia nunca foi construída com eles em mente. Então eles realmente significavam bem. Eles não estavam sendo negligentes. Algumas das melhores práticas que vi incluem realmente realizando concursos. Por exemplo, alguns farão treinamento em engenharia social. [Os hackers usam abordagens de engenharia social, como o phishing, para obter informações que lhes permitam ignorar os sistemas de segurança de computadores.] Eles dirão a todos os funcionários que farão um concurso, e a equipe que não é vítima da engenharia social [tenta enganar os funcionários a compartilhar informações de segurança] que é uma festa de pizza ou algo assim. Vergonha - destacando basicamente que eles colocaram a empresa em risco. Tem que ser o que funciona para sua cultura.
What you see in safer companies are the executives taking this very seriously. You often see a governance board, which could be different executives from around the company—so you may see [executives from] marketing, customer service, legal, finance, and risk.
Often, finance is assuming the role of getting that group together because finance is also thinking about the business strategy, business enablement, and new things coming down the pike for the company. Spending that time to talk upfront at the executive level about security as it relates to the most critical assets is vital to making sure that the issue actually permeates through the whole rest of the company.
I would assume that given that much of [the problem] is related to human mistakes in the first place, how do you implement cultural and other changes related to cybersecurity?
Culture is so important. When I was working in financial services, my perspective at the time was, "If we could just train everybody better, have more clearly written policies and procedures, and just remind people, then we'd all be safer." I realize now I was wrong.
And I realized when I got to the White House, "These threats change every day. They're moving all over the globe. If I'm going to chase more than 3,000 people down to tell them what they need to worry about that day, they're not going to be able to do their jobs—and I'm going to fail at mine."
It dawned on me, "Why in spite of all of these hours of absolutely boring computer-based training on security, which we all have to take, why do people still click on links?" It's literally because the technology was never built with them in mind.
Often, when you see the data breach and the fact that a human was the creator of it, [the error] was that person actually trying to get something done for the company. So they actually meant well. They weren't being negligent.
How do you get into the hearts and minds of the employees so they pause and take a deep breath before they click on that link or open that attachment?
Some of it is training and some of it is culture, coming from the top. Some of the best practices I've seen include actually holding contests. For example, some will do social engineering training. [Hackers use social engineering approaches like phishing to get information that enables them to bypass computer security systems.] They'll tell all the employees they're going to do a contest, and the team that doesn't fall prey to the social engineering [attempts to trick employees into sharing security information] gets a pizza party or something like that.
Now I've also seen in other cultures where the [names of the] people who clicked on links went [into a virtual] hall of shame—basically highlighting that they put the company at risk. It has to be what works for your culture.
Como você enquadraria a segurança cibernética para estabelecer uma boa estratégia? Estamos conversando em treinar o humano, dizendo a eles para não clicar nos links para, não sei, 10 anos, e eles ainda o fazem. Então, por que achamos que este ano, se apenas os treinamos mais, teremos um resultado diferente? Porque o treinamento baseado em computador não está funcionando. Vamos tentar algo novo. Costumava ser muito fácil identificar um email de engenharia social. E a maioria das pessoas sabe não pegar uma unidade de polegar no estacionamento no trabalho e depois conectá -lo a uma área de trabalho.
Well, for starters, I'd ask, “What is that we're been doing wrong here?” We've been talking about training the human, telling them not to click on links for, I don't know, 10 years, and they still do. So why do we think that this year, if we just train them more, we're going to get a different result?
So I would actually ask the questions, "What have we not tried? Do we think it will actually make a difference? How do we do something different?" Because the computer-based training is not working. Let's try something new.
Get creative and get innovative with it because the cybercriminals change their tactics all the time. It used to be it was very easy to spot a social engineering email. And most people know not to pick up a thumb drive in the parking lot at work and then plug it into a desktop.
Então, por que eles ainda entram? Porque eles ficam cada vez mais criativos. Portanto, todos os anos, temos que mudar e também temos que aumentar nosso jogo.
É possível medir o retorno dos investimentos em segurança cibernética? Não é fácil, mas se alguém puder fazê -lo na organização, será o CFO. A maneira como eu analisaria isso é que não há fórmula perfeita, mas gostamos de olhar para o custo esperado se uma violação de dados acontecesse. Mas escolha aqueles, dois ou três ativos mais críticos que são vitais para a sua organização - aqueles que [se algo aconteceu com eles], você basicamente deixaria de existir como empresa. Isso ajuda você a entender se há ou não um verdadeiro retorno do investimento lá. Nem tudo deve ser automatizado. Gostaria que as pessoas pensassem sobre o orçamento deles no que se refere ao risco inerente e ao custo associado se algo ruim acontecesse e alocasse seu orçamento com base nisso. Apenas gastar 10% do orçamento de TI pode não fazer sentido. Pode ser necessário ser 2%, dependendo do que você está fazendo, ou pode ser 15%. Diga a todos sem espiar. Desmaiar pequenos cartões de índice e peça a todos que escrevam [esses ativos]. Em seguida, alguém facilite [as deliberações do grupo] até obter sua lista. Você pode acabar com uma lista dos 10 melhores [a princípio], mas pelo menos você pode forçá-los. Nomeie -o e defina. Pratique [lidar com] esse pesadelo. Aprenda quais capacidades você tem e não tem. Descubra onde você precisa de novos parceiros e obtenha esses novos parceiros. E então descubra o que você não pode mitigar por conta própria através de parceiros, por meio de processo, através da tecnologia-é isso que você deseja obter um seguro cibernético para cobrir. Se você estiver segurando algumas plataformas de correio herdadas e coisas assim, talvez seja hora de reintroduzir a tomada de uma decisão estratégica em torno da nuvem. Isso poderia economizar dinheiro e, se você escolher o provedor certo, criar um novo conjunto de proteções e protocolos de segurança que você não tem internamente. Você fez perguntas fabulosas. Essas são todas as perguntas que todas as empresas devem fazer.
It is. It's not easy, but if anybody can do it in the organization, it's going to be the CFO. The way I would look at that is there's no perfect formula, but we like to look at the expected cost if a data breach were to happen.
You don't want to start creating some ridiculous number. But pick those one, two, or three most critical assets that are vital to your organization—the ones that [if something happened to them] you'd basically cease to exist as a company.
Then look at the cost of investment [in protecting those] and look at the difference between the two. That helps you understand whether or not there's a true return on investment there.
The other thing I would ask the CFO to do is to challenge the technology and the security and compliance group. Not everything has to be automated.
What is a typical budget or what should a budget for cybersecurity be in a normal corporation?
I've seen studies all over the place. I'd like people to think about their budget as it relates to the inherent risk and the cost associated if something bad were to happen, and then allocate your budget based on that. Just spending 10% of the IT budget may not make sense at all. It may need to be 2% depending on what you're doing, or it may need to be 15%.
What’s the two or three things anyone should be doing next Monday?
The first one is to ask, "Have we actually had a company discussion on what our top two or three most critical assets are? And do we agree?"
I think a very simple way to do that is you get in a staff meeting. Tell everybody no peeking. Pass out little index cards and have everybody write [down those assets]. Then have somebody facilitate [group deliberations] until you get your list. You might end up with a top 10 list [at first], but at least you can force-rank them.
The next thing to do is to ask, "What is our worst digital-disaster nightmare?" Name it and define it. Practice [dealing with] that nightmare. Learn what capabilities you have and don't have. Discover where you need new partners, and go and get those new partners. And then figure out what you can't mitigate on your own through partners, through process, through technology—that's what you want to go get cyberliability insurance to cover.
The other thing that I think companies overlook is that you can increase your security and reliability and also your resiliency if you pick the right cloud-services provider. If you are holding on to some legacy mail platforms and things like that, it may be time to reintroduce making a strategic decision around the cloud. That could save you money and it could, if you pick the right provider, create a whole new set of security protections and protocols you don't have in-house.
Theresa, thank you so much for being with us and for sharing your thoughts on cybersecurity.
Thank you very much. You asked fabulous questions. Those are all questions that every business should ask.
