Büyük bir tedarikçinin bilgi güvenliği sorumlusu (CISO) olmak zorlukları da beraberinde getirir: işinizi sizin kadar iyi anlayan insanlarla çalışıyorsunuz ve arkanızda bir saldırgan için büyük bir hedef var.
Okta’da EMEA bölgesel baş güvenlik sorumlusu (CSO) Stephen McDermid ile otururken, müşteriler ve ortaklarla güçlü bir bağlantının sürdürülmesi ve herkes için sorunsuz bir deneyim sağlanması hakkında açıkça konuşuyor; üst düzey siber güvenlik görevlerinde hizmet vermiş olduğu bir deneyime sahip. Salesforce ve İskoç Polis teşkilatı gibiler için.
Okta’nın içinde, müşterilerle iletişim kurabildiği ve onların Okta’nın güvenlik kavramlarını anlamalarına yardımcı olabildiğini, destek sunabildiğini ve güvenlik açısından tüm doğru şeyleri yapabildiğini, CISO David Bradbury şirketinin gözü ve kulağı gibi hareket ettiğini söylüyor. bir şirket stratejisi”.
Müşteri açısından McDermid, onları şirketin bir ortağı olarak gördüğünü, dolayısıyla onlara mümkün olduğunca fazla koruma sağlandığını söylüyor.
“Kendimizi tipik olarak SaaS olan şeyleri yaparken buluyoruz [software as a service] sağlayıcı bunu yapmaz; Normal bir SaaS sağlayıcısıysanız, müşterinizi hedef alan saldırganları proaktif bir şekilde izlemezsiniz, ancak Okta bunu yapıyor çünkü biliyoruz ki, eğer bu görünürlüğe sahip olduğumuzu biliyorsanız, onu görebiliriz ve eğer onu durdurabilir ve uyarabilirsek. müşteri, o zaman bu iyi bir şey olacak.
Bu paylaşılan sorumluluk modeli kavramı, McDermid’in üzerinde durmaya istekli olduğu bir kavramdı; şirketin üst düzey yöneticilerinin, Okta’nın güvenlik ekibiyle birlikte çalışarak kurumsal katılımı garanti altına almasına ve şirket içinde daha sorunsuz bir deneyime izin vermesine olanak sağlamak için yaptığı çalışmaları övüyordu. .
“Sonuçta güvenliğin hala insanların işi olduğunu düşünüyorum” diyor. “İnanılmaz uzmanlara sahip insanlarımız olmasına rağmen [working for Okta]Sonuçta güvenlik bir insan işidir. Kalpler ve akıllardır. Bir şeyleri neden yaptığımız konusunda net olmak bile önemli, çünkü anlamasalar bile bunu yapmak mantıklı çünkü bu gerçekten yol haritasıyla ilgili.”
Tek yön
McDermid, Şubat 2024’te başlatılan ve şirketin misyonunu ortaya koyduğunu söylediği Okta Güvenli Kimlik Taahhüdünden bahsetti ve böylece yalnızca müşteriler ve ortaklar şirketin yönünü bilmekle kalmıyor, sonuçta kendi personeli de şirketin nereye varmaya çalıştığını biliyor. başarmak ve uzun vadeli vizyonun ne olduğu.
“Güvenlik içinde olup olmadıklarına bakmaksızın insanlara ‘nedenini’ açıklamanızın gerçekten önemli olduğunu düşünüyorum, çünkü sonuçta bu onların bir nevi gemiye binmelerine olanak tanıyacak ve onlara sadece söylemek yerine onları da yanınızda getireceksiniz. bir şeyler yapmak için.”
Bahsettiği örneklerden biri, hem hazırlığı hem de kullanıcının zihniyetini nasıl etkilediğini belirlemek için kimlik avı simülasyonlarının bir eğitim yöntemi olarak nasıl kullanıldığıydı.
“Her kuruluş gibi biz de kimlik avı eğitimi veriyoruz ve kimlik avı başarısını ölçüyoruz, ayrıca eğitimi de gönderiyoruz ve kelimenin tam anlamıyla alacakları bir sonraki şey, bize geri bildirimde bulunmalarını isteyen meşru bir e-posta olacak” diyor. “Yani bu, bunun ne zaman iyi bir şey olduğunu, ne zaman olmadığını bilme zihniyetidir.”
Sürtünmesiz
Daha sorunsuz olmanın amacının, insanları “onlar bunu tam olarak anlamadan, bunu neden yaptığınızı veya sonunun nasıl görüneceğini anlamadan” değişiklik yapmaya zorlamamak olduğunu söylüyor. Bu, şirket içi mesajlaşmaya odaklanmayı sağlamak ve bu kültürü ölçmek ve izlemek için bir güvenlik kültürü ekibinin oluşmasına yol açtı; “sonuçta, sahip olduğumuz güvenlik çıtasını bu şekilde yükseltip yükselteceğiz ve ilerlemeye devam edeceğiz” ve bu iyileştirmeleri yapıyoruz.”
Güvenliğin sıklıkla katranladığı “hayır departmanı” kavramının “çoğunlukla en az riskli seçenek” olarak işe yaradığını kabul ediyor, ancak tutumun işin ilerlemesine yardımcı olmadığını ve bu yaklaşımın işe yaramadığını kabul ediyor. Müşterilere de yardım etmiyorum.
“Yani gerçek şu ki, işi mümkün kılacak ve onları risklerin ne olduğu konusunda bilinçlendirecek bir konumda olmalıyız.” Personeli uyumlu ve hazır tutarak, kendilerini güvenlik yol haritasına daha fazla dâhil hissetmeli ve nerede blokajlarla karşılaşıldığını, bunun onları engellemek veya yavaşlatmakla ilgili olmadığını anlamalıdırlar.
Başkalarına saldırılar
Risklerle ilgili bu nokta beni şunu merak etmeye yöneltiyor: Büyük bir siber güvenlik şirketinin CISO’su diğer şirketlere yapılan saldırıları nasıl görüyor ve onlardan ders alıyor? McDermid şöyle diyor: “Basında bu olayları gördüğümüzde nasıl tepki veriyoruz; Ne olduğuna bakarak tepki veririz, tehdit aktörüne bakarız ve buna nasıl tepki vereceğimize bakarız. Bu bize, ‘Ya bu olsaydı’ yerine, bu tehditler hakkında gerçek bir perspektiften düşünme yeteneği veriyor.“
Ayrıca bir öz değerlendirme döneminin olduğunu ve bunun müşteriler üzerindeki etkisinin ne olacağını ve müşterilerin Okta’ya ne gibi sorular soracağını düşündüğünü söyledi. “Bu bize kendi yeteneklerimizi hazırlayıp analiz etme şansı veriyor ve bize öğrenme fırsatları veriyor; bunları izliyoruz ve onlardan öğrenebiliyoruz.”
McDermid, müşterileri etkileyen her şeyin birincil endişe kaynağı olacağını ve herhangi bir sorunun ele alınıp ele alınmasının, örneğin ortak bir güvenlik açığı veya istismarın kullanılması ya da bir saldırganın belirli sektörlerdeki hedefleri belirlemesi durumunda şirketin bu sorunlara anında çözüm bulmasını sağlayacağını söylüyor.
McDermid, siber güvenlik kadar birbirine sıkı sıkıya bağlı bir sektörde, etkilenen bir şirketin bir ortak veya müşteri olması durumunda, herhangi bir yardım sunmak için onlarla iletişime geçeceğini, çünkü “bir şeyi geri çevirmek için ikinci bir kulak bile memnuniyetle karşılanacağını” söylüyor.
Örneklerin öğrenilebileceği ve öğrenilmesi gereken noktayı ve Okta için anahtarın şeffaf olma ihtiyacı olduğunu vurguluyor: “İşte burası güven kazandığınız yer; ne oldu, bu konuda ne yapıyorsunuz, ne değişiyor?” Yapıyorsunuz ve bence bu noktada aslında diğer insanların hatalarından ders alıp kendi konumunuzu yükseltmeye çalışabilirsiniz.”
Erişim belirteçlerinin ihlalinin iyi bir şekilde rapor edilmesinin üzerinden yaklaşık 12 ay geçtikten sonra Okta, siber güvenlik alanında ileri adımlar atıyor ve olayın geri adım atmadığını kanıtlıyor. Aslında şirket artık güvenli bir kimlik sağlayıcısı ve bulut tabanlı hizmetlerin sağlayıcısı olarak rolünü geliştiriyor ve görünen güçlü çekirdeği dahili olarak bu yolculuğun bir parçası olarak hizmet ediyor.