“ایجاد رابطه و داستان سرایی”: گفتگوی واقعی از رهبران امنیت سایبری


از زمانی که مردم وجود داشته اند، مردم دیگران را فریب می دهند.

در طی مصاحبه اخیر، دنیس لیبر، رئیس موقت CISO در UConn Health، پیشنهاد کرد که در دنیای امنیت سایبری مراقبت های بهداشتی، دزدی و فریب چیز جدیدی نیست. تفاوت این است که ما اکنون این کار را با استفاده از کامپیوتر و مهندسی اجتماعی انجام می دهیم. «ترفندها» با تداخل در مراقبت از بیمار و آسیب قابل توجهی به نتایج نهایی، بیمارستان ها و اقدامات را فلج می کند. در برخی موارد، حملات سایبری منجر به مرگ بیماران شده است.

خوشبختانه، رهبران شروع به انجام کاری می کنند که زمانی غیرممکن بود: به اشتراک گذاشتن بهترین شیوه ها. نه تنها در مکالمات خصوصی، بلکه در قالب های عمومی تر مانند رویدادهای صنعتی، و همچنین وبینارها و مصاحبه ها. و بحث‌ها فقط بر چارچوب‌ها و اسکن آسیب‌پذیری تمرکز نمی‌کنند. این همچنین در مورد مشارکت هایی است که باید ایجاد و پرورش یابند، استراتژی هایی برای جذب و حفظ استعدادها، و تکامل مداوم نقش های رهبری امنیت فناوری اطلاعات.

در زیر، ما برخی از بینش‌های مجموعه‌ای از مصاحبه‌های CISO را گردآوری کرده‌ایم که چالش‌های متعددی را که رهبران با آن روبرو هستند، و نحوه کار آنها برای غلبه بر آنها را برجسته می‌کند.

یک داستان بگویید

هر کسی که در یک موقعیت CISO کار کرده است می‌داند که چیزی که یک فرد را در این نقش مؤثر می‌کند، روابط است، زیرا شما باید بتوانید داستانی را تعریف کنید. شما باید بتوانید این اطلاعات را به اشتراک بگذارید و آن را تجزیه کنید و داستان خطرات را بگویید و داستانی را بگویید که چگونه می توانیم به طور جمعی تغییراتی برای کاهش یا کاهش خطرات ایجاد کنیم. آنها باید احساس کنند که بخشی از سفر هستند، نه اینکه با آنها صحبت کنند و به آنها بگویند که چه کار کنند، بلکه بخشی از داستان و بخشی از راه حل هستند. و این چیزی است که در نقشم به من خدمت کرده است، ایجاد رابطه و داستان سرایی.

ملیسا رابل، CISO، بیمارستان کودکان و مرکز پزشکی

محافظان، نه نگهبانان

ما خود را محافظان شرکت می‌دانیم، نه به عنوان نگهبان. ما اینجا نیستیم که موعظه کنیم، “هی، تو باید این کار را انجام دهی.” ما اینجا هستیم تا محافظت کنیم. سرعت در هر کاری که انجام می‌دهیم ضروری است. سپس مردم مایل به صبور بودن هستند. اما اگر یک شغل امنیتی دارید که تقریباً مانند یک تنگنا یا بوروکراسی می شود که در آن وارد می شوید و نمی دانید چه زمانی خروجی قرار است تحویل داده شود، این یک مشکل می شود.

Rishi Tripathi، CISO، سیستم بهداشت کوه سینا

همه در امان هستند

نه تنها در فرآیندها و فناوری، بلکه روی افراد نیز سرمایه گذاری می کند. من فکر می کنم این یک متغیر واقعا مهم است. یکی از مفاهیمی که من همیشه سعی می‌کنم با آنها ارتباط برقرار کنم این است که همه در سازمان ما عضوی از تیم امنیتی هستند. فقط من و تقسیمات من نیستم. هر کسی نقش و مسئولیتی دارد. یکی از موثرترین روش هایی که برای مبارزه با فیشینگ استفاده کرده ایم، مثلاً حملات فیشینگ، این است که دکمه ای برای گزارش ایمیل های مشکوک در اختیار کاربران قرار داده ایم. به دلیل هوشیاری آنها و به دلیل آگاهی که ایجاد کرده ایم، بسیاری از حملات را از موفقیت خنثی کرده ایم.

کتی هیوز، CISO، Northwell Health

از زبان مدیرعامل صحبت کنید

هنگامی که به مدیر عامل می روید، “این باید در مورد اهداف استراتژیک باشد، این اهداف را با جهت سازمان هماهنگ کند، و شما باید بتوانید آن را در هر دو جهت ترجمه کنید. شما باید دو زبان را یاد بگیرید. بنابراین، لزوماً نمی خواهید به مدیر عامل یا مربی اطلاع دهید یا او را به زبانی که استفاده می کنید راهنمایی یا مربی کنید، بلکه می خواهید از زبان او بیشتر استفاده کنید و بتوانید آن را به تیم خود ربط دهید.

– دنیس لیبر، رئیس موقت CISO، UConn Health

بهره وری در سایت

من فکر می کنم وقتی با آن شخص وقت می گذرانید، ارتباطات بهتری پیدا می کنید، اما این شرط برای اکثر مشاغل نیست. مطمئن شوید که با تیم خود خوب هستید، مطمئن شوید که آن رفاقت را دارید، مطمئن شوید که متوجه می شوید در زندگی یکدیگر چه می گذرد… از دیدگاه من، فکر می کنم از راه دور کار می کند. فرقی نمی کند که در کجا زندگی می کنید اگر مشخصات استعداد دارید و برای انجام آن انگیزه دارید.

جیسون الرود، CISO، سیستم سلامت MultiCare

آربیتراژ

رهبری اجرایی باید اهمیت امنیت سایبری و دیدگاه مراقبت از بیمار را درک کند و زمینه مشترک پیدا کند. گاهی اوقات بحث یکی یا دیگری نیست، بلکه در مورد ایجاد تعادل بین این دو است. و بنابراین، من فکر می‌کنم مهم‌ترین چیز این است که رهبران اجرایی آن را درک کنند… به نظر من، درک کسب‌وکار و آنچه مورد نیاز است و ایجاد تعادل بین آن‌ها تا حد امکان مهم است.

سوما بهادری، CISO، NYC Health + Hospitals

با افراد تجاری ارتباط برقرار کنید

من می‌خواستم مطمئن شوم که همه کسانی که وارد می‌کنیم، تجربه فوق‌العاده‌ای در زمینه امنیت سایبری، ذهنیت مدیریت ریسک بسیار فعال دارند، و همچنین یک رهبر تجاری هستند، نه فقط یک رهبر فنی. مهم این بود که آنها بتوانند به طور مناسب با سهامداران و شرکای تجاری ما صحبت کنند، آنها را از اهمیت امنیت سایبری آگاه کنند و اطمینان حاصل کنند که امنیت سایبری به عنوان مانعی برای تجارت دیده نمی شود.

کریستن مایرز، معاون اجرایی / مدیر ارشد اطلاعات سیستم بهداشت کوه سینا

گرفتار