Eine Konföderation von Dummköpfen - Die Rolle von Bildung und Erfahrungen in der Cybersicherheit

Wenn es irgendetwas gibt, das den Ton dieses Artikels bestimmt, ist, dass ich jedes Mal zusammenzucke und pausiere, wenn ich „Cybersicherheit“ auf nicht-ironische Weise in irgendetwas schreiben muss. Als ich in meine Karriere einstieg, gab es diesen Begriff in der Fachsprache nicht, und um ehrlich zu sein, konnte ich nicht genau sagen, wann ich darauf stieß, aber ich fand ihn sofort abstoßend. Es ist jedoch meine adoptierte Karriere, und es ist das, womit ich täglich lebe, obwohl meine Karriere von einem Punkt zum anderen fortgeschritten ist und mich von einem neuen College-Absolventen zu dem führt, was in manchen Kreisen als a bezeichnet werden könnte Tech Executive - alles in 20 kurzen, seltsamen Jahren. Aber es ist alles eine Mischung aus Bildung, formal und autodidaktisch und langjähriger Erfahrung.

Die Beobachtung

Angesichts der jüngsten Kerfuffle bezüglich der vermuteten Qualifikationen des ehemaligen CISO von Equifax angesichts des ziemlich katastrophalen Verstoßes gab es unvermeidliche Kommentare der „Sicherheitsgemeinschaft“ zu anwendbaren Fähigkeiten, Bildung und Schuldzuweisungen. Der Twitter-Hashtag „#NotQualifiedForTech“ und snarky Variationen davon werden von denselben Personen verwendet. Sie berichten über ihre Hintergründe und Erfahrungen und warum sie mit dem Messstab anderer Social-Media-Beiträge nicht im Job sein sollten Sie haben, wenn es auf der formalen Bildungsmetrik basiert. Viele dieser Geschichten reichen von der Erklärung, dass sie keine formale Ausbildung hatten oder keinen nicht-technischen Hauptfach hatten, oder von einer anderen Variante, um ihren Erfolg in ihrer Karriere hervorzuheben, obwohl sie „angemessen anerkannt“ waren. Eine der Lücken in ihrer Argumentation übersieht jedoch tendenziell die Erfahrung trotz Bildung und Qualifikation im Zusammenhang mit technischen und sicherheitsorientierten Positionen.

Zugegeben, mit den meisten dieser anfänglichen „Sessel“ -Lesungen darüber, wie etwas schief gelaufen ist, wer schuld ist, wie sie das endgültige Ergebnis hätten vermeiden können, wie wir es als Beruf besser machen könnten, um dies zu verhindern, dann die nächsten Runden der Schadenfreude, wenn Die Dinge werden immer schlimmer und schließlich die Haufen verletzter Gefühle, wenn alles erschüttert ist - wir sprechen einige der Kernprobleme selten direkt an. Wenn sie angesprochen oder sogar erwähnt werden, werden sie von allen anderen Handdrücken und Fingerzeigern übertönt und nicht methodischer gehandhabt, als dies bei der Behandlung und Reaktion von Vorfällen der Fall wäre. In dieser Diskussion möchte ich mich auf die Rolle von Fähigkeiten konzentrieren, wie sie erworben, aufgebaut und schließlich angewendet werden, um Fortschritte in einer Karriere im Bereich Information / Cybersicherheit zu erzielen.

Wie komme ich zum Kommentieren?

Um meine Aussagen zu begründen, die in diesem Mini-Essay auftauchen werden, würde es mir helfen, einen kleinen nicht öffentlichen Hintergrund (es sei denn, Sie sind mäßig gut im Googeln) über mich selbst zu liefern. Zuerst werde ich mein Privileg überprüfen - von dem ich ein mäßig gut ausgebildeter, bürgerlicher, weißer amerikanischer Staatsbürger mittleren Alters bin, der zufällig beschäftigt ist. Ich bin jedoch auch Mitglied der LGBTQ-Community, verheiratet mit einer gleichgeschlechtlichen Partnerin, weiblich, bei der einige geringfügige Behinderungen diagnostiziert wurden, geschiedenen Eltern (einer auf Lebensmittelmarken, der andere mit chronischer Unterbeschäftigung als Akademiker) und einem Deal mit schwerer Depression. Ich habe nach dem College zwanzig Jahre progressive Erfahrung in Technologie, obwohl ich keinen Abschluss in Technologie gemacht habe (ich bin von Elektro- und Computertechnik zu Entscheidungswissenschaft übergegangen - und zu mehreren Minderjährigen). Ich habe in Start-ups für mehrere Fortune 125-Unternehmen in verschiedenen Branchen gearbeitet und im akademischen Bereich und im öffentlichen Sektor gearbeitet, wo ich derzeit als stellvertretender Chief Information Officer meinen Lebensunterhalt verdiene.

Als ich meinen Abschluss machte, hatte ich einen langfristigen Plan - innerhalb einiger Jahre wusste ich, dass ich kein Techniker sein würde, aber von Natur aus der Branche wahrscheinlich ein technischer Manager werden würde. Ich war mir nicht sicher, ob meine Klassenkameraden ähnliche Pläne oder Ziele hatten, aber Facebook und andere soziale Medien haben es mir ermöglicht, einen Blick darauf zu werfen, wie sie gelandet sind, und es weicht auch von meinen Erwartungen ab. So mäanderförmig meine derzeitige Karriere auch war, ich habe es nur sehr wenig bereut und das Gefühl, dass jede neue Gelegenheit auf Erfahrungen und Kenntnissen aus der Vergangenheit beruht - im Wesentlichen auf Erfahrungslernen.

Warum schreibst du das?

Man würde sich fragen: "Warum sollte man sich an dieser Stelle mit einer Hintergrundgeschichte beschäftigen?" Mit der jüngsten Ankündigung von Equifax-Datenschutzverletzungen, den nachfolgenden Fehlern in der Reaktion und der Öffentlichkeitsarbeit und dem potenziellen Expositionsumfang, der möglicherweise die Hälfte der Bevölkerung der Vereinigten Staaten ausmacht, scheint es ein besserer Zeitpunkt als je zuvor, sich einige der offenkundigeren Probleme anzuschauen kann in Bezug auf diese Ereignisse und Mängel angemessen diskutiert werden. Seit ich mit meinem Entwurf begonnen habe, hatte Viacom einen Verstoß gegen das, was jetzt regelmäßig vorkommt, einen exponierten Amazon S3-Bucket, und die Securities and Exchange Commission gab zu, dass ein Verstoß gegen ihre Systeme dazu geführt haben könnte, dass Daten für den illegalen Handel verwendet wurden .

Unmittelbar nach der Ankündigung des Equifax-Verstoßes wandte sich die Sicherheitsgemeinschaft an Google und andere Mittel, um herauszufinden, wer angeblich "verantwortlich" für das war, was umgangssprachlich als "Shit Show Dumpster Fire" bezeichnet werden könnte. So schlimm Datenverletzungen in den letzten Jahren auch sein mögen, darunter alle Gesundheitsdienstleister, Banken, Verbraucherdienste und sogar das Amt für Personalmanagement der Regierung - dies wird in den kommenden Jahren in Bezug auf Größe und Menge personenbezogener Daten schwer zu übertreffen sein. Fast sofort wurde der CISO für Equifax auf LinkedIn identifiziert, und Social-Media-Beiträge verspotteten ihre offensichtliche Verschleierung ihrer Erfahrungen und Referenzen, die sich unfair und besonders hart auf ihre College-Major-Musik konzentrierten. Auf den ersten Blick schrie das für viele unqualifiziert, um eine solche C-Level-Position aufgrund von „mangelnder Relevanz“ zu halten, und wirkte angesichts des Mangels an Details in ihrem Online-Lebenslauf und der geringen professionellen Details, die online verfügbar waren, noch fauler. Meine eigenen roten Fahnen gingen hoch, aber nicht bei diesen anfänglichen Details, sondern bei den ungeschriebenen.

Die Bedeutung von "The Network"

Für diejenigen, die mich kennen, bin ich weit entfernt von einem sozialen Schmetterling und könnte normalerweise als introvertiert gefingert werden, aber ich kenne die Macht eines sozialen Netzwerks und versuche im Allgemeinen, mein professionelles Netzwerk sehr sorgfältig zu pflegen. Das gleiche System, das die Waren bei der Suche nach Equifax 'CISO aufgegeben hat, ist das gleiche, das ich für den Hintergrund von Personen und Organisationen verwende, mit denen ich kommuniziere. Zu diesem Zweck hatte Equifax CISO, das einen so hochkarätigen datenschutzbezogenen Job hatte, keine gemeinsamen Verbindungen und führte OSINT (Open Source Intelligence) durch, hatte nur sehr wenig öffentliches Profil oder Kontakt zu Sicherheits- und Datenverwaltungsgemeinschaften, abgesehen von einem Interview auf Youtube. Es scheint ein wenig lückenhaft zu sein, insbesondere bei der Bewertung ihrer Kollegen bei TransUnion und Experian, die nicht nur über professionelle soziale Medien, sondern auch über Interaktionen bei Konferenzen und Briefings umfassendere Verbindungen haben. Selbst als sie unmittelbar nach Bekanntgabe des Verstoßes an Diskussionen zum Thema Erfahrung und Bildung teilnahmen, bürgten viele andere offen für ihre Kollegen, aber niemand wusste persönlich oder sozial von Equifax CISO.

Die Community für Information / Daten / Netzwerk / Cybersicherheit neigt dazu, sich als Familie zu verstehen. Wir haben Familientreffen in Form von „Nachteilen“ oder Konventionen. Wenn Freunde in die Stadt reisen, in der wir leben, sind sie oft bereit, etwas zu trinken oder zu essen, und gelegentlich haben wir wie eine Familie Meinungsverschiedenheiten und Streitigkeiten. Diese Diskussion über die Netzwerkfähigkeit eines hochkarätigen Sicherheitsführers und seine offensichtliche Zurückhaltung bei der öffentlichen Detaillierung seiner Erfahrungen und Referenzen öffnete die Tore der Debatte unter Familienmitgliedern. Diese Diskussion war der Grund für das ursprüngliche Ziel dieses Stücks, da der oben hervorgehobene Hashtag in gewisser Hinsicht nach hinten losging und auch einige der hässlichen Seiten dieser Familiendebatten zur Sprache brachte.

Fehler treten in allen Formen und Größen auf

Der Grund, warum ich meine Karriere liebe, ist das Tempo des Wandels und die Fähigkeit, immer etwas Neues, Neues oder Interessantes zu lernen, das ich am Tag zuvor nicht kannte. Als Vorfallbeantworter genoss ich die Jagd und die Suche nach Antworten; Als Forensiker habe ich es genossen, den Hinweis zu finden, der schwer zu finden war. Beim Betrachten von Malware fand ich es toll zu sehen, wie die Dinge liefen und wie klug der Autor war, Schwachstellen in einem System oder einer Anwendung auszunutzen. und als Netzwerkverteidiger bestand der Spaß darin, all diese Daten zu verstehen und sicherzustellen, dass wir die richtigen Dinge im Auge hatten und die richtigen Leute einbeziehen konnten, wenn etwas schief gehen würde. Unweigerlich wird immer etwas schief gehen, und Ihr Job auf jeder Ebene der Sicherheitskarriere, um das Auftreten dieses „schlechten“ Ereignisses zu minimieren. Zu wissen, dass dies passieren wird und wie Sie die Entscheidung treffen, alle oben genannten Fähigkeiten in Bezug auf Ihre Operationen und Ihre Mission anzuwenden, ist „Risikomanagement“.

Was anscheinend schief gelaufen ist, ist, dass die Grundsätze des Risikomanagements nicht angemessen angewendet wurden und ein Verstoß aufgetreten ist. Dies ist ein Fehler im Organigramm, vom Sicherheitsingenieur, der Schwachstellen bewertet, über den Entwickler, der sicheren (oder nicht) Code schreibt, über Sicherheitsmitarbeiter bis hin zu Sicherheitsarchitekten, die nicht sichergestellt haben, dass die Richtlinien eingehalten und die Frameworks verwendet wurden, und schließlich an den CISO (und den CIO), der nicht nur eine Sicherheitskultur eingeführt hat, sondern auch nicht mit gutem Beispiel vorangeht. Während der CISO nicht die gesamte technische Arbeit zur Sicherung der ihm zu schützenden Umwelt leisten muss, muss er über die Kompetenz verfügen, die Werkzeuge zur Hand zu haben, die Personen, deren Aufgabe es ist, die direkte Arbeit zu gewährleisten und Anwendung von Sicherheitsprozessen und -techniken werden angewendet. Dies ist der Fehler.

Rückblick ist 20/20, es sei denn, Sie sind wirklich blind

Als der Bereich Information / Daten / Netzwerk / Cybersicherheit geboren wurde, gab es keine Studiengänge, die Ihnen den „Expertenstatus“ eines Praktikers in diesem Bereich verliehen haben. Viele der hochrangigen Sicherheitsleute auf dem Gebiet, die immer noch „Hacker“ als Zeichen hart verdienter Ehre tragen, lernten ihr Handwerk, indem sie Dinge bauten und brachen, und nicht einmal in dieser Reihenfolge. Die Art von Menschen, die sich allgemein für diesen Karriereweg interessieren, sind die wahnsinnig Neugierigen und diejenigen, die sich an der Problemlösung erfreuen - diejenigen, die buchstäblich auf eine Uhr schauen und sich fragen, was sie zum Ticken bringt, und eine suchen, die sie auseinander nehmen können, um es tatsächlich herauszufinden .

Jetzt wurde dieses Feld mit Studiengängen, verschiedenen Zertifizierungen, Fachgebieten, Berufsbezeichnungen und Rollen formalisiert, und damit eine Pause zwischen denen, die auf dem Weg gelernt haben, und denen, die Papier gesucht haben, weil es jetzt erwartet wird. Als jemand, der in seiner Karriere mehrmals auf beiden Seiten des Einstellungstisches gestanden hat, ist es immer noch eine schwierige Aufgabe, den richtigen Kandidaten für eine Position auszusortieren, unabhängig von den selbst eingeschriebenen Plattitüden in einem Lebenslauf, in denen eine Flut von Akronymen auf Sie geworfen wird Konversation oder eine Reihe von Buchstaben nach einem Namen auf einer Visitenkarte oder einem Lebenslauf. Wie bereits erwähnt, hängt ein Teil davon sogar davon ab, wen Sie kennen, und sie werden für Ihre Fähigkeiten und Erfahrungen bürgen. In einigen Rollen sind die Fähigkeiten, die Sie verwenden, Dinge, die Ihnen niemand beibringen kann - da sie aus dem Üben und Experimentieren stammen. Andere Rollen erfordern die strikte Einhaltung eines Frameworks und von Richtlinien und können getestet werden, da entweder das Vorhandensein oder Fehlen einer Kontrolle oder Richtlinie überprüft werden muss. Wir befinden uns in einer Übergangsphase im Karrierebereich, aber ich glaube nicht, dass jeder das Memo erhalten hat.

Ist es ein Fettbrand oder ein Müllcontainerfeuer?

Un ironischerweise hat sich mein Job von der Jagd nach bösen Jungs / Mädels zu dem Versuch entwickelt, all jene Leute zu verwalten, die nicht nur meine Stellvertreter sind, um die bösen Jungs / Mädels zu finden, sondern auch die Systeme und Infrastrukturen zu entwickeln und aufzubauen, die meine Organisation erhalten Laufen. Es ist kein Job für schwache Nerven, und ich glaube, ich bin einer der wenigen in dieser Rolle im öffentlichen Sektor, der lediglich einen Bachelor-Abschluss und keine beruflichen Zertifizierungen besitzt. Ich trage dies jedoch als Ehrenabzeichen. Ich glaube, wenn Sie in diesem Berufsfeld engagiert sind, mit anderen in der Community kommunizieren, bereit sind, neue Informationen aufzunehmen und neue Dinge auszuprobieren, können Sie Erfolg haben. Sie müssen jedoch nicht nur Ihre Grenzen kennen, sondern auch die Grenzen Ihres Unternehmens. Die Risikotoleranz für die Organisation hängt von einer Reihe von Faktoren ab, die sich je nach Mission täglich, stündlich oder sogar minutenweise ändern. Das Verständnis der Bedrohungen, des Ausmaßes des Verlusts durch Ausnutzung Ihrer Schwachstellen und der Kosten für die Wiederherstellung ist Ihre Risikostellung. Ihr leitender Sicherheitsbeamter, sei es ein CISO, CSO, CRO, CIO oder sogar CEO, muss dies verstehen und es verstehen und sich mit den Überlegungen befassen, wie es geschützt und Verluste gemindert werden.

Die Entscheidung, in dieser Rolle zu sein, bedeutet im Wesentlichen, in den Job einzusteigen und freiwillig ein Ziel auf den Rücken zu legen. Je besser Sie in Ihrem Job sind, desto kleiner wird das Ziel, aber es wird niemals verschwinden. Ihre Hoffnung ist, dass Sie, wenn Sie eine Peer-Organisation auf demselben Gebiet oder in derselben Branche haben, in Ihrem Job nur ein bisschen besser sind als sie. Kein Stapeln zertifizierter Profis hilft, da Angreifer schmutzig spielen und Sie manchmal das gleiche Maß an fleischlichem Wissen benötigen, das sie haben. Ein Penetrationstest nützt nichts, wenn Sie nicht aus den Ergebnissen lernen und Ihre Probleme beheben. Ein Bug Bounty ist nutzlos, es sei denn, Sie lernen, die schlechten Gewohnheiten zu korrigieren, die bei der Entstehung der Bugs an erster Stelle standen. Wie bereits erwähnt, sollten Sie Ihre Mitarbeiter mit den Neugierigen und Problemlösern sowie mit den akribischen Typen versorgen, und Sie haben Ihre Abwehrkräfte gemischt und auch versucht, Probleme aus verschiedenen Blickwinkeln zu lösen.

Was du trägst, definiert nicht, wie gut du bist

Normalerweise können Sie die obige Überschrift lesen und damit den Hoodie und das schwarze T-Shirt mit der Menge gegen die geeigneten Beratertypen messen, aber das ist nur die halbe Diskussion. Einige dieser Hoodies, die Stereotypen tragen, sind die gleichen, die während der Woche die Anzüge tragen, weil sie ihre Rechnungen mit Kunden bezahlen, die „diesen Look“ erwarten. Das gleiche gilt für die Frage, ob Sie in einem Rock auftauchen wie in einer Hose.

Wie wir Anfang dieses Jahres mit einem Kommentar eines Google-Ingenieurs, James Damore, herausgefunden haben, wird Ihr Geschlecht auch Ihren Erfolg (oder Ihren Mangel) in technischen Bereichen bestimmen. Dies ist ein Trope, der häufig in einer Reihe von Beiträgen und Social-Media-Einträgen gespielt wird, die keine tatsächliche wissenschaftliche Grundlage haben. Leider wird die gleiche Art des Denkens auch oft in Vorurteile und Diskriminierung aufgrund von Rasse, Hautfarbe, Religion, sozioökonomischem Status, Behinderungen und einer Vielzahl anderer nicht fachlicher Merkmale übersetzt. Oft wurde gezeigt, dass diese Gruppen oft so gut oder besser sind als diejenigen, die Gedanken und Geschichten herumschubsen.

Irgendwann trage ich einen Rock oder ein Kleid, andere trage ich Hosen oder Leggings - aber es ändert nichts daran, wer ich bin oder wie ich meinen Job angemessen ausführen kann. Ich habe in meiner Karriere fast alle Ihre typischen IT-Funktionen inne oder ausgeübt (wieder beabsichtigt), und ich wurde nie wegen der Qualität oder mangelnden Fähigkeiten bei der Erfüllung der Aufgaben, für die ich eingestellt wurde, gerügt, schlecht bewertet oder entlassen. Ich kenne jedoch viele Menschen, die aufgrund weniger einflussreicher Rollen aus ihren Jobs verdrängt wurden, deren Beiträge abgelehnt wurden und im schlimmsten Fall für Jobs für einen weniger qualifizierten heterosexuellen weißen Mann mit cis-Geschlecht übergangen wurden. Niemand profitiert von diesen Situationen, und sie verewigen einige der schlimmsten internen und externen Wahrnehmungen der Tech- und Sicherheitsgemeinschaft.

Seltsamerweise verbringe ich in den letzten zehn Jahren viel Zeit damit, mich für die Vielfalt der Einstellungen im öffentlichen Sektor einzusetzen, der auf Bundesebene seine eigenen Macken hat, die oft sogar die am besten qualifizierten halten könnten Kandidaten von der Erlangung einer Position. Es gibt eine Reihe anderer Artikel, die sich mit diesem speziellen Thema befassen und sich mit Beschäftigung für Technologie und Cybersicherheit befassen und eine Fortsetzung dieses Aufsatzes darstellen, aber es ist ein weiteres drohendes Thema.

Zu diesem Zweck weisen Fachleute und andere häufig auf eine Frau oder eine andere Minderheit hin, die für eine herausragende Rolle eingestellt oder ernannt wurde oder nur ein hohes Maß an technischen Fähigkeiten erfordert, um lediglich eine Quote oder eine Diversity-Einstellung zu erfüllen. In einigen Fällen war dies möglicherweise das Ziel des Arbeitgebers, und wenn sie nicht offen über ihre Motivationen waren, ist dies für alle Beteiligten ziemlich unaufrichtig. Dies bedeutet nicht, dass eine auf Diversität ausgerichtete Einstellung schlecht ist, insbesondere da die verzerrten Statistiken von Frauen und Minderheiten auf allen Ebenen der Technik und Sicherheit stark unterrepräsentiert sind, aber nicht klar ist, dass es ein Programm dafür gibt, das fast keine regulären Einstellungspraktiken darstellt genauso schlimm.

Ich habe das Glück, einfach auf der Bühne zu stehen

Vor ein paar Jahren gab es einen Punkt in meiner Karriere, an dem es eine gute Chance gab, dass ich nie weiter kommen würde, als ich war. Ich war in einer schwierigen Situation, ohne eine wirkliche Richtung, aber ich erledigte pflichtbewusst die Arbeit, für die ich eingestellt wurde. Ich habe mich an die Community gewandt, viele Dinge gelesen, mir Zeit für Konferenzen genommen und mich über Dinge informiert, die mich interessierten. Dies ist zwar nicht jedermanns Weg, aber es hat mir geholfen, mich zu konzentrieren, aber auch viele persönliche Dinge zu bewältigen, die zu dieser Zeit vor sich gingen. Es ist jedoch nur so - Menschen haben Leben, Dinge, die in ihnen vorkommen, die vorhersehbar und nicht vorhersehbar sind, und es ist eine Frage, wie wir damit umgehen und vorankommen, um das endgültige Ergebnis zu bestimmen. Ich bin der Meinung, dass mein „Incident Responder Mantra“, das mit „Weinen Sie nicht über verschüttete Milch“ vergleichbar ist, wenn Sie feststellen, dass zu dem Zeitpunkt, an dem Sie feststellen, dass etwas Schlimmes passiert ist (oder wie ich sage, „Mittagessen wurde gegessen“), nicht viel vorhanden ist andere Dinge zu tun, als zu untersuchen, wie die Dinge schlecht gelaufen sind, zu lernen, wie man sie repariert und nicht wiederholt, und aufzuräumen und weiterzumachen. Sehr viel der Kreislauf des Lebens.

Die Verstöße, die derzeit an dieser Stelle regelmäßig auftreten, müssen dies ebenfalls berücksichtigen. Aber egal wie sehr die beteiligten Leute versuchen, weiterzumachen, sie bleiben oft in der Brunft stecken, auf die Situation zu starren, um herauszufinden, wo sie anfangen sollen, anstatt zu erkennen, dass es ein Endziel gibt und Sie versuchen können, zu arbeiten von dort rückwärts. Stellen Sie fest, dass Sie von einer schlechten Richtlinie zur Behebung von Schwachstellen oder anderen Prozessen oder Praktiken betroffen sind. Arbeiten Sie dann daran, diese Elemente in Zukunft einzubeziehen, zu verbessern oder zu überarbeiten, und tragen Sie die Verantwortung dafür, dass die Arbeit erledigt wurde und wurde. Nachdem wir vor und nach zwei bemerkenswerten Ereignissen bei einem großen Energieunternehmen gearbeitet hatten, hatten oder testeten wir nie einen Plan für Ausfallsicherheit oder Notfallwiederherstellung, bis diese Ereignisse bewiesen hatten, dass sie nicht nur vorhanden sein mussten, sondern regelmäßig getestet wurden, um sicherzustellen, dass wir alle Betriebsabläufe aufrechterhalten konnten durch ähnliche Vorfälle. Mit Equifax und vielen anderen Verstößen und Misserfolgen in den letzten Jahren habe ich mich weniger für die öffentliche Seite ihrer Reaktion interessiert, bin aber äußerst neugierig, wie sich die Abläufe im Inneren verändert haben. Sofern sich dieses Verhalten nicht ändert und eine Kultur innerhalb der Organisation, die gepflegt wurde, um zu verhindern, dass ähnliche Ereignisse in derselben Größenordnung erneut auftreten, behoben wurde, haben Sie Ihre Organisationen und Ihre Kunden gescheitert.

Endlich eine Pause

Die Diskussionen in den letzten Wochen haben eher zu einer offenen und ehrlichen Kommunikation zwischen verschiedenen Mitgliedern der Sicherheitsgemeinschaft geführt. Gefühle könnten verletzt worden sein, sagten Dinge, und ich bin sicher, dass Worte ausgetauscht wurden, die nicht umarmt oder gelöst werden können, indem man jemandem eine Mahlzeit oder ein Getränk kauft - geschweige denn eine einfache Entschuldigung. Aber was passiert ist, ist, dass wir versuchen, uns den wirklichen Problemen zu stellen, die wir innerhalb der Sicherheit haben, und als größerer Bereich der Technologie im Allgemeinen, indem wir nicht länger versuchen, die Dose zu treten oder das Geld weiterzugeben, in der Hoffnung, dass wir es schaffen. Was passieren könnte, ist, dass all die Schärfe, die aufgewühlt wurde, den Tribalismus innerhalb der Gemeinschaft zu noch weiteren Spaltungen aufbaut, oder jetzt, wo wir unsere Probleme geäußert haben, haben wir unser sprichwörtliches Stück gesagt und wir arbeiten zusammen, um einige davon zu lösen Probleme und Probleme, die wir wiederholt bei diesen Verstoß- und Hackversuchen sehen. Dies ist kein Problem, das eine einzelne Person lösen kann, noch ein bestimmter Bereich - weder durch Gesetze oder Vorschriften noch durch ein einzelnes Genie, das einen Code repariert, oder durch eine Organisation, die Dienste oder Fähigkeiten einschränkt oder reduziert - als Reaktion auf den Versuch, alle Probleme anzugehen Komponente.

Zum einen hat mich diese Reihe von Ereignissen zum Handeln gebracht; Die jahrelange Erfahrung und den langsamen Aufstieg auf der Karriereleiter zu nutzen, um das zu verfassen, was ich hoffe, ist ein reflektierendes Stück, das ein Ausgangspunkt für weitere Diskussionen sein kann. Ich werde weiterhin Einladungen annehmen, um über solche Themen zu sprechen, aber auch an Bereichen teilnehmen, in denen ich Veränderungen beeinflussen kann, auch wenn es nur eng ist, was sich darauf auswirkt, es ist immer noch etwas und ich werde nicht aufgeben, sondern vorwärts drängen . Als jemand, der jetzt häufiger eine Einstellungsrolle spielt, Teams leitet und politische Entscheidungen trifft, werde ich daran arbeiten, Warnmeldungen als „Lessons Learned“ zu verbreiten und sicherzustellen, dass sie in keiner Organisation, die ich leite oder auf die ich Einfluss habe, vorherrschen. Man würde hoffen, dass, selbst wenn sie nicht das Ziel großer Verstöße, Hacks oder anderer schwerwiegender Sicherheitsmängel in ihrer Organisation sind, ähnliche Maßnahmen ergriffen werden. Eine Gemeinschaft überlebt nur, wenn sie gute Ideen teilt und in die Praxis umsetzt, eine Art Herdenimmunität, wenn man so will. Wir haben nur Zeit zu sagen, ob das für uns auf Lager ist.

Hey, und danke fürs Lesen. Wenn Sie so lange durchgehalten haben, sind Sie viel weiter gekommen als ich denke, dass die Grader es für meine AP-Aufsatzprüfungen getan haben - gießen Sie sich dazu ein Getränk Ihrer Wahl ein und genießen Sie den Rest des Tages.