Kvinner i cybersikkerhet, håndtering av risiko og viktigheten av kommunikasjon: Et intervju med Jane Frankland

Hvordan cybersikkerhetstrusler påvirker bedrifter

Gjennom hele 2017 føltes det som om det var en ny cybersikkerhetskatastrofe nesten hver dag. Men hvilken begivenhet forårsaket den største forstyrrelsen i fjor, og har vi lært noe som et resultat?

«Det er et vanskelig spørsmål. Selv om det amerikanske forbrukerkredittrapporteringsbyrået Equifax ble rammet av et av de verste angrepene de siste årene med nesten 143 millioner amerikanske borgere som ble rammet, var de største katastrofene for meg WannaCry og IkkePetya.

"WannaCry var forskjellig fra de fleste andre løsepengevareangrepene. Ved hjelp av EternalBlue fikk den ekstern tilgang og løsepengevare var i stand til å spre seg over nettverk med lynets hastighet. WannaCry infiserte mer enn 300,000 4 datamaskiner globalt og brukte to forskjellige måter å utnytte svakheter på – begge fra NSA-lekkasjen fra Shadow Brokers. Dens økonomiske innvirkning var også enorm, med en omtrentlig kostnad på XNUMX milliarder dollar i tap.

"NotPetya viste større raffinement når det gjelder kompleksiteten i angrepet og oppløsningen. Det var også en form for viskerskadelig programvare. Den imiterte utseendet til en løsepengevare, men dens sanne hensikt var ødeleggelse.»

Og jeg antar at det som har vist oss er at enhver organisasjon av enhver størrelse kan være et mål for nettkriminalitet. Tror du det er nok utdanning tilgjengelig for organisasjoner til å hjelpe til med å beskytte seg selv og administrere deres informasjon og cybersikkerhet?
"Jeg gjør. Det er tonnevis med informasjon tilgjengelig. Problemer oppstår pga løsninger for å redusere risiko varierer fra selskap til selskap. Mange organisasjoner vet at teknologi vil hjelpe dem, men at det ikke er en sølvkule. Det er de klar at de står overfor neste lag, mangefasetterte trusler som er både kjente og ukjente.

«De vet at når teknologien blir smartere, vil skyen og tingenes internett (IoT) bli mer sammenkoblet. De vet at de også holder på, for fremtiden deres er avhengig av fortidens teknologier – operativsystemer, dataspråk, programvaremiljøer, som er sårbare og ofte ikke støttes.

"Dette er grunnen til at de ønsker å revurdere og redefinere sin forståelse av trusler, risikoer og løsninger i et landskap i stadig endring. Det er derfor de spør: Hvilke trusler bør de forberede seg på? Hvilke risikoer er involvert? Hvilke prosesser og prosedyrer bør de implementere? Hvilke typer mennesker trenger de for å hjelpe dem med dette?

"Det er også grunnen til at cybersikkerhetseksperter må kunne svare på alle disse spørsmålene og vite hvordan de skal oppdage angrep, svare på dem og komme seg raskt fra dem og med minimal innvirkning på virksomheten.

«Det er grunnen til at de må kunne utdanne de viktigste interessentene i deres organisasjoner og hjelpe dem til å forstå hvordan sikkerhet påvirker hver persons roller, og deretter implementere løsningene – det være seg mennesker, prosesser og teknologier. De må være i stand til ikke bare å beskytte organisasjonen, men å aktivere den og tjene den fullt ut.»

Datavernutfordringer for organisasjoner

Så i din rolle som CISO-rådgiver, hva er de største utfordringene du hører organisasjonen snakke om i forhold til å administrere deres informasjonssikkerhet og etterlevelse av forskrifter som GDPR?
"De største utfordringene jeg hører akkurat nå er mer å gjøre med ressurser, spesielt å ansette de rette menneskene for å sikre miljøene eller takle ny regulering som GDPR.

«Sikkerhet er en menneskelig virksomhet, og med mangel på tilgjengelig talent, må organisasjoner enten gå inn i lønnsbudkriger for å lokke folk bort, eller akseptere at de må utvikle talent internt, noe som vil ta tid og potensielt utsette dem for risiko, om enn kortsiktig."
Hvorfor tror du det er så mye forvirring rundt GDPR?
«GDPR er den største omveltningen av databeskyttelseslover på over 20 år.

"Selv om GDPR burde ikke by på mye av en utfordring for britiske organisasjoner, da de alle burde følge DPA og nøye vurdere og beskytte dataene sine, vi vet at det er det. Vi vet også at mange organisasjoner vil ta databeskyttelse seriøst for første gang noensinne. Ettersom det gjelder for alle organisasjoner, uansett omsetning eller antall ansatte, vil den største utfordringen for dem være å finne ut hva organisasjonen må gjøre for å overholde kravene.

«Nok en gang vil dette komme ned på risikoappetitten deres. Mens bøter for brudd på GDPR driver mye handling, er det en alvorlig risiko for at nøkkelprinsippene for åpenhet og ansvarlighet går tapt i støyen.»

Kommunisere og håndtere risiko

Så vi har snakket om risiko og kommunikasjon. NCSC har publisert veiledning for risikostyring for cybersikkerhet. Synes du dette går langt nok til å hjelpe mikro- og småorganisasjoner, gitt bekymringene du hører?

"Nei. Selv om det er en god start, har de gjort en grunnleggende kommunikasjonsfeil. De har ikke satt seg inn i denne organisasjonens sko og sett ting gjennom deres objektiv.

"Siden deres har for mye informasjon å gå gjennom og lenker å klikke på. Det er sjargongrikt og har bare blitt gitt i ett format, tekst.

"Ettersom mange mennesker lærer annerledes, ville det vært bedre om de hadde produsert e-bøker, lyd og videoer for små og mellomstore bedrifter og mikroorganisasjoner."

I boken din, IN Security, gjør du poenget at kvinner har en naturlig evne til administrere risiko, spesielt i forhold til cyber. Fortell oss litt mer om teorien din bak det.

«Kvinner er fundamentalt forskjellige fra menn. De er forskjellige versjoner av samme art. Mens tidligere forskning har indikert at menns og kvinners hjerner er koblet ulikt, indikerer ny forskning at nesten alle har et unikt utvalg av mannlige og kvinnelige strukturer. [2]

"Men når det kommer til hormoner, er kvinner og menn forskjellige, siden begge kjønn produserer de samme hormonene, men i varierende nivåer. Den viktigste kjønnshormonelle driveren for kvinner er østrogen, og dette oppmuntrer til bånd, samarbeid, samarbeid og relasjoner. Den støtter også den delen av hjernen som involverer sosiale ferdigheter og observasjoner, pluss at den hjelper kvinner å finne ut hvordan de oppfatter risiko og unngå konflikt.

"Serotonin er hormonet som er ansvarlig for å stabilisere humør og regulere angst. Ifølge forskere produserer kvinner 52 % mindre serotonin enn menn, noe som kan indikere hvorfor de har mer en tendens til å bekymre seg enn menn. Så er det testosteron, det viktigste kjønnshormonet for menn, som er assosiert med aggresjon, impulsivitet, enkeltsinnethet, uavhengighet, mangel på samarbeid, makt, seier og risikotaking.

«Det siste er åpenbart av stor betydning for oss innen cybersikkerhet. Utallige studier har vist at kvinner og menn måler risiko forskjellig. Kvinner er langt flinkere til å vurdere odds enn menn, og dette viser seg ofte som økt unngåelse av risiko. Siden kvinner vanligvis er mer risikovillige, gjør deres naturlige detaljerte utforskning dem mer tilpasset endret mønsteratferd – en ferdighet som er nødvendig for å identifisere trusselaktører på riktig måte og beskytte miljøer.

«Da det norske selskapet CLTRe og Gregor Petric, PhD, førsteamanuensis i sosialinformatikk og leder av Senter for metodikk og informatikk ved Det samfunnsvitenskapelige fakultet, studerte Universitetet i Ljubljana (Slovenia) mer enn 10,000 XNUMX ansatte fordelt på fem vertikaler i to land I Norden fant de at kvinner fulgte regler og omfavnet organisatoriske kontroller og teknologi mer enn menn. I tillegg, mens menn vurderte sin kunnskap og bevissthet om IT-sikkerhet, kontrollerer og atferd mye høyere enn kvinner, rapporterte menn høyere nivåer av risikoatferd, både fra sin egen side og hos sine kolleger. [4]

"Disse funnene korrelerer med andre rapporter som beskriver kjønnsforskjeller med hensyn til etterlevelse og tillit på nettet. Da HMA, en leverandør av virtuelle private nettverkstjenester, bestilte en studie av Internett-brukere i USA, fant de at flere kvinner vurderte det de delte på nettet mer enn menn; var mer usannsynlig å gi bort Personlig informasjon slik som fødselsdato, adresse i den virkelige verden eller personnummer på en profil på sosiale medier enn menn; og var mer usannsynlig å tilby denne informasjonen mens de chattet online med en venn enn menn.

"De fant også at menn rapporterte at kontoene deres ble kompromittert eller hacket, eller at de ved et uhell installerte spyware, skadelig programvare eller et virus oftere enn kvinner. Likevel fant de ut at etter at kvinner opplevde et sikkerhetsproblem, var det mer sannsynlig at kvinner enn menn gjorde varige endringer i deres nettadferd for å beskytte seg mot fremtidige problemer. Menn, derimot, hadde en tendens til å falle tilbake på tekniske beskyttelsesmidler.[5]

"I tillegg til disse egenskapene er kvinner anerkjent for å være svært intuitive også. Menn, på den annen side, har en tendens til å være mer pragmatiske med tankegangen sin. Hvorvidt du tror det er fordi kvinner ble holdt tilbake informasjon gjennom århundrene og måtte utvikle intuitive ferdigheter er uvesentlig. Det som betyr noe er deres evne til å tenke annerledes, for når to sett med mennesker angriper et problem, er de i stand til å løse det unikt og mye raskere. Ettersom ikke all risiko er den samme, er også dialogen om hvordan man skal gripe den rikere.

«Kvinner skårer høyt når det kommer til emosjonell og sosial intelligens, noe som gir mange fordeler, inkludert evnen til å forbli rolige i tider med turbulens – en egenskap som kreves når brudd og store hendelser inntreffer.[6]

«I en verden som verdsetter hastighet og smidighet, blir dessuten evnen til å bruke intuitiv tenkning og ta gode beslutninger raskt uten å ha all informasjonen mer nødvendig.[7]

Kvinner i cybersikkerhet

I boken din ga du også mange praktiske råd til kvinner som ønsker å komme inn i cybersikkerhetsindustrien. Hvis det bare var ett råd du kunne gi, hva ville det vært?
"Det ville være å bygge nettverket deres innen cybersikkerhet. Det gir så mange fordeler ved å få jobber og støtte til å lære nye måter å tenke på. Det er velkjent at kvinner har svakere bånd enn menn til kolleger og årskull både på jobb og utenfor. Faktisk, ifølge en studie fra Lean.in org og McKinsey & Co., innrømmer 10 % av kvinnelige ledere at de har fire eller flere ledere som støtter dem for å fremme karrieren, sammenlignet med 17 % av mennene. I tillegg sa over 50 % av disse seniorkvinnene at de trodde at sponsing på høyere nivå var avgjørende for karriereutvikling.

"Svake bånd som oppstår fra nettverksbygging er vanligvis forbundet med å finne jobber. Inntil sosiologen Mark Granovetter publiserte sin forskning, trodde de fleste at jobber ble funnet gjennom sterke bånd – personlige forbindelser med venner, familie eller jevnaldrende på jobben. Det Granovetter oppdaget var at den primære kilden til jobbsøk kom fra svake bånd – fjerne bekjente eller venner av en venn.

"Det viser seg at folk sjelden henviser sine nære forbindelser til jobber fordi de enten er bekymret for at det vil reflektere dårlig på dem hvis det ikke fungerer, eller fordi de er mer sannsynlig å vite om deres nære forbindelsers feil og svakheter, som de mener kan forstyrre å være en god medarbeider.

"Men dette var ikke alt Mark oppdaget. Når det kom til informasjon, gjorde det å ha et løst og mangfoldig nettverk av bekjentskaper det mulig for folk å benytte seg av mye bredere informasjonskilder og utvide tankegangen sin. Ved å ha et nettverk av likesinnede kontakter som opererer i samme kretser som deg, lærer du sjelden noe nytt. Men når du er i stand til å få tilgang til et bredere fellesskap, kan du få tilgang til forskjellige typer tenkning og løse utfordringer med selvtillit. "
Hva kan vi alle gjøre for å få en mer mangfoldig cyber- og infosec-arbeidsstyrke?
"Dette er et stort spørsmål, og som de fleste andre ting, er det ingen sølvkule. Miljøer er mangfoldige og komplekse. Løsningene er derfor forskjellige. Det som er riktig for en organisasjon vil ikke være riktig for en annen. Kultur spiller stort rolle og organisasjoner må se på hva de gjør for å tiltrekke, ansette og beholde en mer mangfoldig infosec-arbeidsstyrke. De må måle effektiviteten av handlingene de tar og akseptere at de ikke vil få det til hele tiden. Å nærme seg dette med en gründertankegang vil være avgjørende.

«Når jeg snakker om dette på konferanser, deler jeg det vanligvis inn i fem områder. Den første er utdanning. I følge Raytheon og National Cybersecurity Alliance, da de undersøkte karriereinteressene og utdanningsberedskapen Millennials i 12 land, fant de at 62 % av mennene og 75 % av kvinnene sa at ingen dataklasser på videregående eller videregående skole tilbød ferdighetene til å hjelpe dem med en karriere. innen cybersikkerhet. Vi må endre dette og forbedre måten vi utdanner barn og unge voksne om nettsikkerhet.

«På alle unntatt noen få universiteter rundt om i verden blir ikke studenter undervist i at innen cybersikkerhet må du forstå mennesker, virksomhet, prinsipper og konsepter, så vel som teknologi, eller gitte metoder for å gjøre det. I tillegg blir de ikke forberedt på teamarbeid. Imidlertid vil de bli pålagt å ha kontakt og samarbeide med eksperter på mange områder, for eksempel fysisk sikkerhet, virksomhet, forskrifter, markedsføring, finans og så videre. Og mange er, forbløffende nok, uvitende om at de må holde seg oppdatert på fremskritt både på offensiv og defensiv side, ettersom de forventes å gi råd om hvilke cybersikkerhetsteknologier som vil møte et bestemt forretningskrav, samt forstå hvordan de passer inn i en organisasjons generelle cybersikkerhetsstilling.

"Kandidater fra cybersikkerhet kommer ut av universitetet boksmarte, men ikke arbeidsklare, og mange ansettelsesledere formidler sin misnøye med det nåværende utdanningssystemet, og implikasjonene i form av økt mottakelighet for cyberangrep. Siden cybersikkerhet er et dynamisk felt, med nye trusler og forsvar som dukker opp daglig, har de rett til å klage, for det er et reelt behov for en kompetent arbeidsstyrke med god kunnskap om hvordan implementere, kombinert med erfaring og praktiske ferdigheter.

"Når det kommer til karriereomdreininger og veier inn i cybersikkerhet fra andre karrierer, må vi ta tak i dette for det er et reelt behov. Det er imidlertid knapt noen informasjon om nøyaktig hvordan du gjør dette.

«Det andre området er markedsføring. I dag er det fortsatt en misforståelse om at cybersikkerhet er et rent teknisk domene. Sannheten i saken er imidlertid at cybersikkerhet aldri har vært en frittstående disiplin. Det ble født fra IT, er en spesialitet innen IT, og å behandle det ellers kan vise seg å være en kostbar feil for cybersikkerhet.

"Dette bringer meg inn på det tredje området, profesjonalitet, ettersom mange i bransjen ønsker å profesjonalisere den, som regnskap, jus, medisin og ingeniørfag, med charter, reguleringsorganer og formelle utdanningsprogrammer. Andre vil at det skal forbli yrkesrettet. De som foretrekker en mer yrkesrettet vei trekker frem et par ting. Den første er at de fra de væpnede styrkene og politiet, som utgjør en stor andel av arbeidsstyrken vår, ikke har en IT-bakgrunn. Imidlertid har de tatt de grunnleggende prinsippene for fysisk sikkerhet eller etterretning og brukte dem på cyber med suksess. Den andre er at cybersikkerhet bør sees på som en karriere for de innen IT å strebe etter, og ikke et yrke med stillinger på startnivå. De hevder at alle stillinger innen cybersikkerhet bør oppnås med betydelig erfaring innen IT, og at en grad som er spesifikk for cybersikkerhet ikke er nødvendig. Snarere må ansettelsesledere bli gode talentspottere, og først se etter dyktige fagfolk i organisasjonene deres som, til tross for at de ikke har noen uttalt erfaring innen cybersikkerhet, raskt kan tilpasse seg cybersikkerhetsroller. Fagfolk kan derfor være innenfor eller utenfor IT, for eksempel HR, juridisk, kundeservice, personlige assistenter eller til og med salg, PR eller markedsføring.

«Det fjerde området er ansettelse og rekruttering. Dette kan forbedres enormt gjennom formaliserte prosesser og teknologi. Takket være fremskritt innen sistnevnte, kan data også bidra til å informere og redusere skjevheter. Verktøy, som Textio, kan analysere språket som brukes i stillingsbeskrivelser og sikre at det er nøytralt. Visst, når det kommer til kvinner, er språket ofte utilsiktet, kjønnskodet og spiller inn i en rekke stereotypier, ideologier og trossystemer som i det skjulte prøver å rettferdiggjøre status quo. Når stillingsbeskrivelser ikke kontrolleres for kjønnsskjevhet, kan de avskrekke mange kvinnelige talenter fra å søke.

«Til slutt, det femte området er miljø. Fra dialogene jeg har hatt med kvinner i feltet, vet jeg at årsakene de oppgir for å flytte jobber er feiltilpasning til organisasjonens kultur, utbrenthet, urettferdig behandling, følelsen forbigått for forfremmelse eller på grunn av familie. Bedriftskulturer kan være fiendtlige miljøer for kvinner i cybersikkerhet, ettersom noen fortsatt er bygget rundt mannlig bånd og tilrettelagt av seksuell objektivering av kvinner.

"Forbedringer i kulturen kan utgjøre en enorm forskjell for måten alle cybersikkerhetseksperter opererer på arbeidsplassen, ikke bare kvinner. En man må takle proaktivt er den hardt arbeidende, lek-harde kulturen – den hensynsløse, macho konkurransen om å komme tidlig, bli sent, jobbe hardere og feste, som fortsatt er utbredt blant mange cybersikkerhetsorganisasjoner og konsulentselskaper, men som likevel har vist seg å øke omsetningshastigheten og fravær, og kveler ytelse og fortjeneste.

«Den uuttalte gammeldagse regelen for ledere, eller alle som ønsker å bli det, er at hvis du slutter før en viss tid, er du ikke forpliktet til jobben din, og forfremmelse vil være usannsynlig. Presset er spesielt merkbart for kvinner, spesielt hvis de er mødre eller omsorgspersoner. I miljøer som disse aksepterer mange kvinner enten realiteten at hvis de ikke vil overholde forventede standarder, vil karrieren deres bli kvalt, eller overdrevent kompensert ved å jobbe hardere, bli senere og adoptere mer av en mannlig persona. De vil prøve å passe inn, ellers vil de skjule familieordningene sine.

«Hvis noen har en appetitt på å lære mer, vil jeg oppfordre dem til å lese boken min, IN Security. Den er tilgjengelig på Amazon i pocket- og Kindle-format. De kan også henvende seg til meg for samtaler, opplæring, coaching og rådgivning.»
For å finne ut om Jane og arbeidet hun gjør med gründere, besøk nettstedet hennes. Jane jobber også med ledere og utøvere, og du kan finne ut mer om det på Cyber ​​Security Capital.

Informasjonen i denne bloggen er til generell veiledning og utgjør ikke juridisk rådgivning.

Janes referanser:

[1]. https://www.livescience.com/41619-male-female-brains-wired-differently.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effective-leadership/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]