Kvinder i cybersikkerhed, risikostyring og vigtigheden af ​​kommunikation: Et interview med Jane Frankland

Hvordan cybersikkerhedstrusler påvirker virksomheder

Gennem hele 2017 føltes det, som om der var en ny cybersikkerhedskatastrofe næsten hver dag. Men hvilken begivenhed forårsagede den største forstyrrelse sidste år, og har vi lært noget som følge heraf?

"Det er et svært spørgsmål. Selvom det amerikanske forbrugerkreditindberetningsbureau Equifax blev ramt af et af de værste angreb i de seneste år, hvor næsten 143 millioner amerikanske borgere blev ramt, var de største katastrofer for mig WannaCry , NotPetya.

"WannaCry var anderledes end de fleste andre ransomware-angreb. Ved hjælp af EternalBlue fik den fjernadgang, og ransomware var i stand til at sprede sig på tværs af netværk med lynets hast. WannaCry inficerede mere end 300,000 computere globalt og brugte to forskellige måder at udnytte svagheder på – begge fra NSA-lækagen fra Shadow Brokers. Dens økonomiske indvirkning var også enorm, med en omtrentlig pris på 4 milliarder dollars i tab.

"NotPetya viste større sofistikering med hensyn til kompleksiteten af ​​dets angreb og opløsning. Det var også en form for wiper malware. Det efterlignede udseendet af en ransomware, men dens sande hensigt var ødelæggelse."

Og jeg formoder, at det, det har vist os, er, at enhver organisation af enhver størrelse kunne være et mål for cyberkriminalitet. Tror du, at der er nok uddannelse til rådighed for organisationer til at hjælpe med at beskytte sig selv og administrere deres informations- og cybersikkerhed?
"Jeg gør. Der er et væld af information tilgængelig. Problemer opstår pga løsninger at mindske risikoen varierer fra virksomhed til virksomhed. Mange organisationer ved, at teknologi vil hjælpe dem, men at det ikke er en sølvkugle. Det er de opmærksom på at de står over for næste lag, mangefacetterede trusler, der er både velkendte og ukendte.

"De ved, at når teknologien bliver smartere, vil skyen og tingenes internet (IoT) blive mere forbundet. De ved, at de også følger med, for deres fremtid afhænger af fortidens teknologier – operativsystemer, computersprog, softwaremiljøer, som er sårbare og ofte ikke understøttes.

"Dette er grunden til, at de ønsker at revurdere og redefinere deres forståelse af trusler, risici og løsninger i et landskab i konstant forandring. Det er derfor, de spørger: Hvilke trusler skal de forberede sig på? Hvilke risici er involveret? Hvilke processer og procedurer skal de implementere? Hvilke typer mennesker har de brug for for at hjælpe dem med at gøre dette?

"Det er også grunden til, at cybersikkerhedsprofessionelle skal være i stand til at besvare alle disse spørgsmål og vide, hvordan man opdager angreb, reagerer på dem og kommer sig hurtigt efter dem og med minimal indvirkning på virksomheden.

“Det er derfor, de skal være i stand til at uddanne de vigtigste interessenter i deres organisationer og hjælpe dem med at forstå, hvordan sikkerhed påvirker hver persons roller, og derefter implementere løsningerne – det være sig mennesker, processer og teknologier. De skal være i stand til ikke bare at beskytte organisationen, men at aktivere den og tjene den fuldt ud."

Databeskyttelsesudfordringer for organisationer

Så i din rolle som CISO-rådgiver, hvad er de største udfordringer, du hører organisation tale om i forhold til at administrere deres informationssikkerhed og at overholde regler som GDPR?
"De største udfordringer, jeg hører lige nu, er mere at gøre med ressourcer, især at ansætte de rigtige mennesker til at sikre miljøerne eller tackle ny regulering som f.eks. GDPR.

"Sikkerhed er en menneskelig forretning, og med mangel på ledigt talent er organisationer enten nødt til at gå ind i lønmodtagerkrige for at lokke folk væk eller acceptere, at de er nødt til at udvikle talent internt, hvilket vil tage tid og potentielt udsætte dem for risiko, om end kortsigtet."
Hvorfor tror du, der er så meget forvirring omkring GDPR?
“GDPR er den største omvæltning af databeskyttelseslovgivningen i over 20 år.

"Selvom GDPR burde ikke udgøre en stor udfordring for britiske organisationer, da de alle burde overholde DPA og nøje overveje og beskytte deres data, det ved vi, at det er. Vi ved også, at mange organisationer vil tage databeskyttelse seriøst for første gang nogensinde. Da det gælder for alle organisationer, uanset deres omsætning eller antal ansatte, vil den største udfordring for dem være at finde ud af, hvad deres organisation skal gøre for at overholde reglerne.

"Igen vil dette komme ned til deres risikoappetit. Mens bøder for overtrædelse af GDPR driver en masse handling, er der en alvorlig risiko for, at nøgleprincipperne om gennemsigtighed og ansvarlighed går tabt i støjen."

Kommunikation og risikostyring

Så vi har talt om risiko og kommunikation. NCSC har udgivet risikostyringsvejledning for cybersikkerhed. Synes du, at dette går langt nok til at hjælpe mikro- og småorganisationer i betragtning af de bekymringer, du hører?

"Ingen. Selvom det er en god start, har de begået en grundlæggende kommunikationsfejl. De har ikke sat sig i denne organisations sted og set tingene gennem deres linse.

"Deres side har for meget information at vade igennem og links at klikke på. Det er jargon-rigt og er kun blevet givet i ét format, tekst.

"Da mange mennesker lærer anderledes, ville det have været bedre, hvis de havde produceret e-bøger, lydfiler og videoer til SMV'er og mikroorganisationer."

I din bog, IN Security, fremhæver du, at kvinder har en naturlig evne til styre risiko, især i forhold til cyber. Fortæl os lidt mere om din teori bag det.

"Kvinder er fundamentalt forskellige fra mænd. De er forskellige versioner af den samme art. Mens tidligere forskning har vist, at mænds og kvinders hjerner er forbundet forskelligt, viser ny forskning, at næsten alle har en unik række af mandlige og kvindelige strukturer. [2]

”Men når det kommer til hormoner, er kvinder og mænd forskellige, da begge køn producerer de samme hormoner, men i varierende niveauer. Den vigtigste kønshormonelle drivkraft for kvinder er østrogen, og dette fremmer binding, samarbejde, samarbejde og relationer. Det understøtter også den del af hjernen, der involverer sociale færdigheder og observationer, plus det hjælper kvinder med at bestemme, hvordan de opfatter risiko og undgå konflikt.

"Serotonin er det hormon, der er ansvarlig for at stabilisere humør og regulere angst. Ifølge forskere producerer kvinder 52 % mindre serotonin end mænd, hvilket kan indikere, hvorfor de har mere tendens til at bekymre sig end mænd. Så er der testosteron, det vigtigste kønshormon for mænd, som er forbundet med aggression, impulsivitet, ensrettethed, uafhængighed, mangel på samarbejde, magt, sejr og risikotagning.

»Det sidste har naturligvis stor betydning for os inden for cybersikkerhed. Utallige undersøgelser har vist, at kvinder og mænd vurderer risiko forskelligt. Kvinder er langt bedre til at vurdere odds end mænd, og det viser sig ofte som en øget risikoundgåelse. Da kvinder typisk er mere risikovillige, gør deres naturlige detaljerede udforskning dem mere tilpassede til at ændre mønsteradfærd – en færdighed, der er nødvendig for korrekt at identificere trusselsaktører og beskytte miljøer.

“Da den norske virksomhed CLTRE og Gregor Petric, ph.d., lektor i socialinformatik og formand for Center for Metodologi og Informatik ved Det Samfundsvidenskabelige Fakultet, undersøgte Universitetet i Ljubljana (Slovenien) mere end 10,000 ansatte på tværs af fem vertikaler i to lande i Norden fandt de, at kvinder overholdt reglerne og omfavnede organisatorisk kontrol og teknologi mere end mænd. Derudover, mens mænd vurderede deres viden og kendskab til it-sikkerhed, kontrollerer og adfærd meget højere end kvinder, rapporterede mænd højere niveauer af risikoadfærd, både fra deres egen side og deres kollegers. [4]

"Disse resultater korrelerer med andre rapporter, der beskriver kønsforskelle med hensyn til overholdelse og tillid online. Da HMA, en virtuelt privat netværkstjenesteudbyder, bestilte en undersøgelse af internetbrugere i USA, fandt de, at flere kvinder overvejede det, de delte online, mere end mænd; var mere usandsynligt at give væk personlige oplysninger såsom deres fødselsdato, adresse i den virkelige verden eller cpr-nummer på en social medieprofil end mænd; og var mere usandsynlige til at tilbyde denne information, mens de chattede online med en ven end mænd.

"De fandt også ud af, at mænd rapporterede, at deres konti blev kompromitteret eller hacket, eller at de ved et uheld installerede spyware, malware eller en virus oftere end kvinder. Alligevel fandt de ud af, at efter at kvinder havde oplevet et sikkerhedsproblem, var kvinder mere tilbøjelige end mænd til at foretage varige ændringer i deres onlineadfærd for at beskytte sig selv mod fremtidige problemer. Mænd, på den anden side, havde en tendens til at falde tilbage på tekniske beskyttelsesmidler.[5]

"Ud over disse egenskaber anerkendes kvinder også at være meget intuitive. Mænd har på den anden side en tendens til at være mere pragmatiske med deres tænkning. Hvorvidt du tror, ​​det er fordi kvinder blev tilbageholdt information gennem århundreder og var nødt til at udvikle intuitive færdigheder, er ligegyldigt. Det, der betyder noget, er deres evne til at tænke anderledes, for når to sæt mennesker angriber et problem, er de i stand til at løse det unikt og meget hurtigere. Da ikke alle risici er ens, er dialogen om, hvordan den skal gribes an, også rigere.

"Kvinder scorer højt, når det kommer til følelsesmæssig og social intelligens, hvilket medfører mange fordele, herunder evnen til at forblive rolige i tider med turbulens – en egenskab, der er påkrævet, når brud og større hændelser opstår.[6]

"Yderligere, i en verden, der værdsætter hurtighed og smidighed, bliver evnen til at bruge intuitiv tænkning og hurtigt træffe gode beslutninger uden at have alle oplysningerne mere af en nødvendighed."[7]

Kvinder i cybersikkerhed

I din bog tilbød du også en masse praktiske råd til kvinder, der ønsker at komme ind i cybersikkerhedsindustrien. Hvis der kun var ét råd, du kunne give, hvad ville det så være?
"Det ville være at bygge deres netværk inden for cybersikkerhed. Det giver så mange fordele ved at få job og støtte til at lære nye måder at tænke på. Det er velkendt, at kvinder har svagere bånd end mænd til kolleger og årgange både på arbejde og udenfor. Faktisk, ifølge en undersøgelse foretaget af Lean.in org og McKinsey & Co., indrømmer 10 % af ledende kvindelige ledere, at de har fire eller flere ledere, der støtter dem til at fremme deres karriere sammenlignet med 17 % af mændene. Derudover sagde over 50 % af disse seniorkvinder, at de mente, at sponsorering på højere niveau var afgørende for karriereudvikling.

”Svage bånd, der opstår ved netværk, er typisk forbundet med at finde job. Indtil sociologen Mark Granovetter offentliggjorde sin forskning, troede de fleste, at job blev fundet gennem stærke bånd – personlige forbindelser med venner, familie eller jævnaldrende på arbejdet. Hvad Granovetter opdagede var, at den primære kilde til jobkunder kom fra svage bånd – fjerne bekendte eller venner af en ven.

"Det viser sig, at folk sjældent henviser deres nære forbindelser til job, fordi de enten er bekymrede for, at det vil afspejle sig dårligt på dem, hvis det ikke lykkes, eller fordi de er mere tilbøjelige til at kende til deres nære forbindelsers fejl og svagheder, som de mener kan forstyrre at være en god medarbejder.

"Men det var ikke alt, Mark opdagede. Når det kom til information, gjorde det at have et løst og mangfoldigt netværk af bekendte folk i stand til at benytte sig af meget bredere informationskilder og udvide deres tænkning. Ved at have et netværk af ligesindede kontakter, der opererer i de samme kredse som dig, lærer du sjældent noget nyt. Men når du er i stand til at få adgang til et bredere fællesskab, kan du få adgang til forskellige typer tænkning og løse udfordringer med tillid. “
Hvad kan vi alle gøre for at hjælpe med at få en mere mangfoldig cyber- og infosec-arbejdsstyrke?
"Dette er et stort spørgsmål, og som de fleste ting er der ingen sølvkugle. Miljøer er mangfoldige og komplekse. Løsningerne er derfor forskellige. Hvad der er rigtigt for én organisation vil ikke være rigtigt for en anden. Kultur spiller stort rolle og organisationer nødt til at se på, hvad de gør for at tiltrække, ansætte og fastholde en mere forskelligartet infosec-arbejdsstyrke. De er nødt til at måle effektiviteten af ​​de handlinger, de tager, og acceptere, at de ikke får det rigtige hele tiden. At gribe dette an med en iværksættertankegang vil være afgørende.

“Når jeg taler om dette på konferencer, plejer jeg at opdele det i fem områder. Den første er uddannelse. Ifølge Raytheon og National Cybersecurity Alliance, da de undersøgte karriereinteresser og uddannelsesberedskab Millennials i 12 lande, fandt de ud af, at 62 % af mændene og 75 % af kvinderne sagde, at ingen sekundær- eller high school-computerklasser tilbød færdigheder til at hjælpe dem med at forfølge en karriere inden for cybersikkerhed. Vi er nødt til at ændre dette og forbedre den måde, vi uddanner børn og unge voksne om cybersikkerhed.

"På alle på nær nogle få universiteter rundt om i verden bliver studerende ikke undervist i, at man inden for cybersikkerhed skal forstå mennesker, forretning, principper og koncepter såvel som teknologi eller givne metoder til at gøre det. Derudover bliver de ikke forberedt til teamarbejde. De vil dog være forpligtet til at samarbejde og samarbejde med eksperter på mange områder, f.eks fysisk sikkerhed, forretning, reguleringer, markedsføring, økonomi og så videre. Og mange er forbavsende nok uvidende om, at de bliver nødt til at holde sig ajour med fremskridt på både den offensive og defensive side, da de forventes at give råd om, hvilke cybersikkerhedsteknologier der vil opfylde et bestemt forretningskrav, samt forstå hvordan de passer ind i en organisations overordnede cybersikkerhedsposition.

"Cybersikkerhedsuddannede kommer ud af universitetet bogsmarte, men ikke arbejdsklare, og mange ansættelsesledere videregiver deres utilfredshed med det nuværende uddannelsessystem og implikationerne i form af øget modtagelighed for cyberangreb. Da cybersikkerhed er et dynamisk felt, hvor nye trusler og forsvar dukker op dagligt, er de ret til at klage, for der er et reelt behov for en kompetent arbejdsstyrke med en solid viden om, hvordan man implementerer, kombineret med erfaring og praktiske færdigheder.

"Når det kommer til karriereomdrejningspunkter og veje til cybersikkerhed fra andre karrierer, må vi tage fat på dette, for der er et reelt behov. Der er dog næppe nogen information om præcis, hvordan man gør dette.

”Det andet område er markedsføring. I dag er der stadig en misforståelse om, at cybersikkerhed er et rent teknisk domæne. Men sandheden i sagen er, at cybersikkerhed aldrig har været en selvstændig disciplin. Det er født fra IT, er et speciale indenfor IT, og at behandle det ellers kan vise sig at være en kostbar fejl for cybersikkerhed.

"Dette bringer mig ind på det tredje område, professionalisme, da mange inden for branchen ønsker at professionalisere det, såsom regnskab, jura, medicin og ingeniørvidenskab, med chartre, reguleringsorganer og formelle uddannelser. Andre ønsker, at det forbliver erhvervsrettet. De, der foretrækker en mere erhvervsrettet vej, påpeger et par ting. Den første er, at de fra de væbnede styrker og politiet, som udgør en stor procentdel af vores arbejdsstyrke, ikke kommer fra en IT-baggrund. Men de har taget de grundlæggende principper for fysisk sikkerhed eller efterretninger og anvendte dem på cyber med succes. Den anden er, at cybersikkerhed skal ses som en karriere for dem inden for IT at stræbe efter, og ikke en profession med entry-level positioner. De fastholder, at alle stillinger inden for cybersikkerhed bør optjenes med betydelig erfaring inden for it, og at en grad, der er specifik for cybersikkerhed, ikke er påkrævet. Snarere skal ansættelsesledere blive gode talentspottere, der først inden for deres organisationer leder efter dygtige fagfolk, som på trods af ingen erklæret erfaring med cybersikkerhed hurtigt kan tilpasse sig cybersikkerhedsroller. Fagfolk kan derfor være inden for IT eller uden for det, såsom HR, jura, kundeservice, personlige assistenter eller endda salg, PR eller marketing.

”Det fjerde område er ansættelse og rekruttering. Dette kan forbedres enormt gennem formaliserede processer og teknologi. Takket være fremskridt inden for sidstnævnte kan data også hjælpe med at informere og reducere bias. Værktøjer, som Textio, kan analysere det sprog, der bruges i jobbeskrivelser og sikre, at det er neutralt. Sikkert, når det kommer til kvinder, er sproget ofte utilsigtet, kønskodet og spiller ind i en række stereotyper, ideologier og trossystemer, der i det skjulte forsøger at retfærdiggøre status quo. Når jobbeskrivelser ikke kontrolleres for kønsbias, kan de afskrække mange kvindelige talenter fra at søge.

”Endelig er det femte område miljø. Fra de dialoger, jeg har haft med kvinder i feltet, ved jeg, at de årsager, de nævner til at flytte job, er mistilpasning til deres organisations kultur, udbrændthed, uretfærdig behandling, følelse af forbigået for forfremmelse eller på grund af familie. Virksomhedskulturer kan være fjendtlige miljøer for kvinder i cybersikkerhed, da nogle stadig er bygget op omkring mandlig binding og lettet af kvinders seksuelle objektivering.

"Forbedringer i kulturen kan gøre en enorm forskel for den måde, som enhver cybersikkerhedsprofessionel opererer på arbejdspladsen, ikke kun kvinder. En, der skal tackles proaktivt, er den hårde og hårde kultur – den skånselsløse, macho-konkurrence om at komme tidligt, blive sent, arbejde hårdere og feste, som fortsat er udbredt blandt mange cybersikkerhedsorganisationer og konsulentvirksomheder, men som alligevel har vist sig at øge omsætningshastigheden og fravær og kvæler præstationer og overskud.

"Den uudtalte gammeldags regel for ledere, eller enhver, der ønsker at blive det, er, at hvis du går før et bestemt tidspunkt, er du ikke forpligtet til dit job, og forfremmelse vil være usandsynlig. Presset er især mærkbart for kvinder, især hvis de er mødre eller omsorgspersoner. I miljøer som disse accepterer mange kvinder enten den virkelighed, at hvis de ikke vil overholde de forventede standarder, vil deres karriere blive kvalt eller alt for kompenseret ved at arbejde hårdere, blive senere og antage mere af en mandlig persona. De vil prøve at passe ind, ellers skjuler de deres familiearrangementer.

"Hvis nogen har lyst til at lære mere, vil jeg opfordre dem til at læse min bog, IN Security. Den er tilgængelig på Amazon i paperback og Kindle-format. De kan også henvende sig til mig for samtaler, træning, coaching og rådgivning.”
For at finde ud af om Jane og det arbejde hun laver med iværksættere, besøg hendes hjemmeside. Jane arbejder også med ledere og praktikere, og det kan du finde ud af mere om på Cybersikkerhedshovedstad.

Oplysningerne i denne blog er til generel vejledning og udgør ikke juridisk rådgivning.

Janes referencer:

[1]. https://www.livescience.com/41619-male-female-brains-wired-differently.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effective-leadership/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]