David Fairman: Wenn Sie an Cybersicherheit denken, sind wir nur ein Teilbereich eines umfassenderen Betriebsrisikos. Das operationelle Risiko hat tatsächlich einen viel besseren Ansatz oder ist etwas ausgereifter in der Lage, das operationelle Risiko in der Organisation zu quantifizieren. CISOs müssen in der Lage sein, auf Augenhöhe zu stehen und eine paritätische Diskussion über den Risikorückkauf für diese Teilmenge des operationellen Risikos zu führen. Und genau da sind wir. Ich denke, als Branche, als Praxis, als Beruf müssen wir viel klüger werden und herausfinden, wie wir diese Konversation viel quantitativer gestalten können.
Sprecher 2: Hallo und willkommen bei Security Visionaries. Sie haben gerade von einem der heutigen Gäste gehört, David Fairman, Chief Information and Chief Security Officer, Asia-Pacific bei Netskope. Während wir unsere Websites auf das neue Jahr vorbereiten, rechnen Technologieführer mit einer wachsenden Liste von Sicherheitslücken, Risiken und Trends. Zum Auftakt des Jahres 2023 haben wir einige der klügsten Führungskräfte der Branche zusammengebracht, um ihre Prognosen und Vorsätze zu teilen. Bevor wir in das Interview eintauchen, hier ein kurzes Wort unseres Sponsors.
Sprecher 3: Der Podcast „Security Visionaries“ wird vom Team von Netskope unterstützt. Bei Netskope definieren wir Cloud-, Daten- und Netzwerksicherheit neu mit einer Plattform, die optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten überall dort bietet, wo sie sich befinden. Um mehr darüber zu erfahren, wie Netskope seinen Kunden hilft, auf ihrer frechen Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE.com.
Sprecher 2: Genießen Sie ohne weitere Umschweife Folge 17 von Security Visionaries mit David Fairman, Ilona Simpson und Ihrem Moderator Mike Anderson. Mike Anderson: Willkommen zu unserer nächsten Folge des Security Visionaries-Podcasts. Ich bin Ihr Gastgeber, Mike Anderson. Ich bin unser Chief Digital and Information Officer hier bei Netskope. Ich habe heute einige ganz besondere Gäste hier. Letztes Jahr haben wir in unserer ersten Staffel von „Sicherheitsvisionäre“ eine Episode mit Vorhersagen gemacht, in der wir über Vorhersagen für 2022 gesprochen haben. Heute werden wir über Prognosen für 2023 sprechen. Das Interessante daran ist, dass dieses Jahr viele CIOs auf unserem Programm standen, heute haben wir Dave Fairman. Dave hat eine einzigartige Perspektive, denn er ist sowohl unser CIO als auch unser Chief Security Officer für den asiatisch-pazifischen Raum und war dort ein Branchenveteran im Sicherheitsbereich und ein Vordenker. Und dann kommt Ilona, unsere CIO für Europa und Lateinamerika. Und Ilona verfügt über umfassende Erfahrung in der Fertigung, sowohl im industriellen als auch im Konsumgüterbereich.
Ich freue mich auf dieses Gespräch, die Vorhersagen zu hören. Da das Jahr 2023 nun vor der Tür steht, freue ich mich, dass Sie beide einige Ihrer Vorhersagen mit uns teilen können. Ich möchte also zunächst mit Ilona beginnen. Sie hatten eine weitreichende Prognose zum industriellen Metaversum und zitierten in dem Artikel, den Sie sagten: „Wir werden eine breitere Anerkennung des industriellen Metaversums und seiner Schlüsselkomponenten erleben.“ Der digitale Zwilling in der Werkstatt in Kombination mit der Automatisierung und Optimierung der Lieferkette durch AIML-Modelle ist real und relevant. Bieten Sie die Möglichkeit, als Initiative für Unternehmensketten einen tiefgreifenden technologischen Wandel voranzutreiben.“ Also Ilona, hilf mir, diese Vorhersage zu entschlüsseln und sag mir deine Gedanken.
Ilona Simpson: Nun, danke Mike. Schön, hier zu sein. Wenn es im Jahr 2022 einen Wettbewerb um den am meisten gehypten, obskuren und polarisierendsten Technologiebegriff gäbe, würden einige sicher für Metaverse stimmen. Aber wenn wir mit den Definitionen beginnen: Ich bin ein Technologe, daher wird meine Sichtweise eine andere sein als die eines Vermarkters oder die Perspektive eines E-Commerce-Betreibers. Für mich ist Metaverse also in erster Linie ein hypothetisches Konstrukt. Es stellt die Verschmelzung von Physischem und Digitalem dar und besteht aus drei Komponenten. Es geht um Identitäten, Eigenschaften und Räume. Und ich würde basierend auf der Anwendung des Metaversums drei Hauptbereiche unterscheiden: das Verbraucher-Metaversum, die Unternehmensversion und das Industrie-Metaversum.
Und wir zoomen erneut auf das industrielle Metaversum, die Verschmelzung von Physischem und Digitalem und seinen Identitäten, Eigenschaften und Räumen. Die einfachste und nicht einfache grundlegende Umsetzung in die Technologie ist ein digitaler Zwilling in der Werkstatt. Wir nutzen digitale Zwillinge und Automotive seit über einem Jahrzehnt. Es wurde mit AIML angereichert und kann um die Lieferkette erweitert werden. Und der ultimative Zweck der Übung ist die Optimierung durch Simulation und basierend auf datengesteuerten Entscheidungen. Und meine Fragen und Antworten aus der guten alten IT-Schulzeit zur Wertschöpfungskette von Planen, Bauen und Ausführen. Und im industriellen Kontext planen, bauen und betreiben wir Fabriken und Produktionsanlagen. Planen und bauen Sie also sicherlich wichtige Anwendungsfälle. Aber wenn man sich das industrielle Metaversum ansieht, ist Run dasjenige, das eine echte Skalierung, aber auch die höchste Komplexität aufweist, denn für eine bestehende Fabrik und ein industrielles Metaversum als digitalen Zwilling dieser Fabrik in der Cloud verfügen wir über Sensordaten der gesammelten Geräte und in die Cloud transportiert, wo Sie Anomalien erkennen, Daten korrelieren, Algorithmen anwenden und Szenarien bewerten können.
Aber wenn wir durch die heutigen Produktionsanlagen, Montagehallen oder Lagereinrichtungen gehen, werden wir auf Geräte stoßen, darunter Roboter verschiedener Anbieter mit nach unterschiedlichen Spezifikationen gebauten Sensoren, die das zusammenstellen, was wir intelligente oder vernetzte Geräte nennen. Es lässt Optimierungspotenzial für den gesamten Shopfloor offen. Meiner Ansicht nach geht das industrielle Metaversum also noch einen Schritt weiter und betrachtet das Ökosystem, die Anlage, die Fertigungshalle in ihrer Gesamtheit und geht noch einen Schritt weiter und geht auf die Lieferkette von Drittanbietern ein. Die potenziellen Auswirkungen der Optimierung nehmen exponentiell zu. Und in jüngster Zeit gab es auch Anwendungsfälle rund um Nachhaltigkeit, rund um Emissionen und rund um Themen, die heutzutage für uns alle sehr aktuell und sehr relevant sind.
Mike Anderson: Ja, also möchte ich eine Frage dazu stellen, bevor wir uns an David wenden. Wenn ich über das industrielle Metaversum nachdenke und gerade verarbeite, was Sie gerade gesagt haben, und wenn ich über digitale Zwillinge nachdenke, schaue ich oft auf einen Computerbildschirm, um zu simulieren, welche Auswirkungen Änderungen an meinem Fertigungsprozess auf die Ausgabe haben würden, die ich in meiner Fertigungslinie erzeugen kann. Wenn ich also an die heutige hybride Welt denke, in der ich Supply-Chain-Führungskräfte auf der ganzen Welt habe. Im Grunde mache ich daraus ein immersives Erlebnis, um zu sehen, wie dieser digitale Zwilling aussehen würde. So schaffe ich eine immersivere Zusammenarbeit. Habe ich das richtig verstanden?
Ilona Simpson: Auf jeden Fall. Es ist eine immersivere Zusammenarbeit. Es liegt auch an den Daten, die Granularität der Daten ist die Rechenleistung, die uns zur Verfügung steht. Es ist die Qualität des Ausdrucks, bei der datengesteuerte Entscheidungen eine ganz andere Dimension annehmen.
Mike Anderson: Vielleicht kann ich in diesem Metaversum in dieser immersiven Erfahrung besser in das Metaversum passen, wenn ich mit meinen Kollegen interagiere. Deshalb freue ich mich darauf. Also, David, ich weiß, dass du eine gewisse Leidenschaft für dieses Thema hegst. Teilen Sie uns Ihre Gedanken zum Metaversum bis 2023 und darüber hinaus mit.
David Fairman: Ja, ich denke, insbesondere in diesem Jahr haben wir viele Impulse und ein starkes Wachstum im Metaversum gesehen. Ich denke, das wird nur so weitergehen. Wenn wir also an Marken wie Nike, Gucci, Samsung und Louis Vuitton denken, haben sie alle eine Präsenz auf verschiedenen Metaverse-Plattformen aufgebaut. Schauen Sie sich den Bankensektor an, JP Morgan und HSBC haben Niederlassungen für das Metaversum gegründet, um in diesem Bereich teilnehmen und vermarkten zu können. Daher denke ich, dass immer mehr große Marken neue Geschäftsmodelle aufbauen oder entwerfen oder schaffen werden, die es ihnen ermöglichen, Wachstumschancen in dieser digitalen Welt, in diesem Metaversum, zu schaffen.
Ich denke, wir haben viele große Wellen oder ein großes Wachstum in den Bereichen Gesundheitswesen, Gaming, Mode und Bildung erlebt. Und ich denke, dass sich das im Jahr 2023 erst allmählich beschleunigen wird. Und ich denke, in Anlehnung an etwas, das Ilona über die digitalen Zwillinge gesagt hat, was ich gerade über Bildung und Ausbildung erwähnt habe, denke ich, dass das Metaversum eine wirklich Schlüsselrolle dabei spielen wird, wie wir die Arbeitskräfte der Zukunft ausbilden. Und ich denke, was wir bald sehen werden, ist, dass wir nach COVID bereits vor dieser Herausforderung stehen, und diese Arbeit von zu Hause aus, diese hybride Welt von Organisationen, die ihre Mitarbeiter zurück ins Büro bringen. Der Grund, warum sie ihre Mitarbeiter wieder im Büro haben wollen, ist, dass sie die informellen Interaktionen erhalten, die wir früher hatten, als wir im Büro waren. Diese Flurgespräche und dieses Coaching und dieses Mentoring, das man bekommt, wenn man sich in einer geschlossenen Umgebung befindet.
Ich denke, was wir sehen werden, ist, dass diese digitale Belegschaft der digitalen Werkstatt sehr ähnlich sein wird. Es wird ein digitales Büro sein, in dem wir damit beginnen können, unseren Mitarbeitern ein ganz ähnliches Erlebnis zu bieten, wie sie es hatten, als sie physisch im Büro waren. Also bekommen wir dieses Coaching, wir bekommen diese Ausbildung, wir bekommen diese informellen Interaktionen. Und ich denke, das wird eine Möglichkeit für uns sein, vielleicht einige der Vorteile auszugleichen, die uns durch die Corona-Krise und die Arbeit in einem physischen Büro entgangen sind. Ich denke also, dass wir hier eine definitive Entwicklung sehen werden.
Mike Anderson: Nein, das ist gut. Ich meine, ich habe es auf jeden Fall bei B2C-Unternehmen gesehen, wie Sie die Banken erwähnt haben. Wenn wir an unsere nächste Generation von Arbeitnehmern denken, ist das Metaversum sehr reizvoll. Als [unhörbar 00:09:30], was ich als junge Erwachsene oder Teenager bezeichnen würde, leben sie definitiv vor ihrem Telefon. Daher denke ich, dass die Möglichkeit, digital mit Menschen in Kontakt zu treten, für diese neue Belegschaft einfach wichtiger ist. Es ist also interessant, auch ich habe eine interessante Statistik gesehen, dass Facebook jetzt Meta im nächsten Jahr 20 Milliarden Dollar in Metaverse investiert und plant, in den nächsten fünf Jahren über hundert Milliarden Dollar zu investieren. Es bedarf einer enormen Investition, um dafür einen Markt zu schaffen. Es wird also auf jeden Fall interessant sein, es auszuprobieren. Welchen Vorsatz würden Sie den Technologieführern und Sicherheitsführern vor diesem Hintergrund für das Jahr 2023 in Bezug auf Metaverse vorschlagen?
Ilona Simpson: Meine Meinung dazu ist, dass Sie sich nicht von der Begeisterung und dem Hype ablenken lassen, sondern auf das Wesentliche schauen, wie der nächste Schritt aussieht, der der Organisation einen Mehrwert bringt. Welche Daten generiert, transportiert und verarbeitet werden, wenden Sie die Erkenntnisse aus der IT an, prüfen Sie, wie Sie dieses neue Geschäftsmodell absichern und Synergien mit Bereichen der Unternehmenstechnologie integrieren können, die wir über viele Jahrzehnte ausgereift haben.
Mike Anderson: Das ist großartig. David, hättest du einen Rat?
David Fairman: Ja, ich denke, hier gibt es offensichtlich viel Wert, den es zu realisieren gilt, und Organisationen werden diesen Weg erkunden. Als Risikomanager möchte ich über die neuen Risiken nachdenken, die durch diese neue digitale Welt entstehen werden. Die Arbeit im Bereich Datenschutz und Sicherheit sowie die diesbezüglichen Anforderungen werden sich schnell weiterentwickeln. Wie denken Sie also darüber, Ihre Technologiemitarbeiter darauf vorzubereiten, über diese Szenarien nachzudenken und sie darauf vorzubereiten, wenn das Unternehmen beginnt, neue Geschäftsmodelle zu entwickeln und neue Fähigkeiten zu schaffen? Wie können Sie dieses digitale Risiko für Ihr Unternehmen bewältigen? Und als Technologen und Führungskräfte bei der Entwicklung der Technologiestrategie und -ausrichtung müssen wir bereit und darauf vorbereitet sein, mit einigen dieser Risiken umzugehen und sie artikulieren zu können. Denken Sie also jetzt darüber nach.
Ilona Simpson: Und vielleicht um das zu ergänzen, was Dave gerade gesagt hat: Security by Design ist etwas, das wir gelernt haben. Dabei geht es nicht nur um die Technologie des Lernens, sondern auch um Kultur, Prozesse, Rahmenbedingungen usw. Die Verschiebung nach links, für die wir uns eingesetzt haben, kommt in dieser besonderen Situation wirklich gut zum Tragen.
Mike Anderson: Die Vorhersage gefällt mir auf jeden Fall. Ich möchte immer sagen: Wann immer es einen neuen Technologietrend gibt, sollte man sich besser darüber informieren, denn er wird kommen. Ihr CEO oder Ihre Führungskräfte werden sagen: Was denken Sie darüber? Denn natürlich kommt jede Technologieangelegenheit zum CIO oder CTO.
Ilona Simpson: Mike, ich war mit einer Situation konfrontiert, in der mein Vorstand mir von WhatsApp erzählte, weil IBM-Führungskräfte schneller den Weg in die Vorstandsetage fanden als die Technologiefunktion.
Mike Anderson: Früher habe ich jedes Mal, wenn im Fernsehen ein neues Telefon herauskam, eines gekauft, nur weil ich wusste, dass einer unserer Führungskräfte es morgen haben würde und unsere Teams in der Lage sein mussten, dabei zu helfen . Nehmen Sie also einfach diese Fernsehwerbespots auf. In Ordnung. Ich werde mich unserer nächsten Vorhersage zuwenden. Also, David, Sie haben eine sehr interessante Vorhersage zum Thema Confidential Computing gemacht und das Zitat, das Sie verwendet haben, lautet: „Ich denke, dass Confidential Computing deutlich an Dynamik gewinnen wird, wenn Unternehmen ihre Technologie und ihren Sicherheits-Stack neu bewerten.“ Und wird im Jahr 2023 oder 2024 zu einem zentralen Investitionsschwerpunkt in den meisten Sicherheits- oder Technologiebudgets werden.“ Warum also haben Sie diese Prognose für 2023 im Kopf und welche Vorteile haben Benutzer durch Confidential Computing?
David Fairman: Ja, schauen Sie, ich denke ... Nun, sprechen wir zunächst über Confidential Computing und was es ist. Confidential Computing ist eigentlich der Schutz von Daten mithilfe einer hardwarebasierten, vertrauenswürdigen Ausführungsumgebung. Es handelt sich also praktisch um die sichere Enklave innerhalb der Hardware, in der unsere Daten verarbeitet, ausgeführt und manipuliert werden. Es handelt sich um eine Umgebung, die Sicherheit in Bezug auf Datenintegrität, Datenvertraulichkeit und Codeintegrität bietet. Und was es ermöglicht: Es ermöglicht Unternehmen, Daten sicher zu verarbeiten, unabhängig von zugrunde liegenden Code-Kompromissen. Die Daten laufen also vollständig innerhalb dieser sicheren Enklave ab und werden geschützt.
Wenn Sie an eine der Herausforderungen denken, die wir beim Cloud Computing gesehen haben, machen sich die Menschen Sorgen, dass die Daten in der Cloud landen könnten. Und ich denke, wir haben sehr, sehr gute Arbeit geleistet, was das Verständnis von Daten während der Übertragung, Daten in Bewegung und Daten im Ruhezustand angeht. Aber Daten im Gebrauch, Daten im Speicher sind das Gespräch, das immer wiederkehrt. Ich glaube also, dass das Thema Confidential Computing auf dem Vormarsch ist und in diesem Bereich in den letzten Jahren einige wirklich große Fortschritte erzielt wurden. Mittlerweile ist es wirklich so weit, dass einige der großen Hyperscaler und großen Cloud-Anbieter beginnen, diesen Weg einzuschlagen und dies in ihre Hardware zu implementieren. Ich denke, wir werden sehen, dass Confidential Computing zum Eckpfeiler einer Sicherheitsfunktion wird, die Unternehmen dabei hilft, ihren Wechsel in die Cloud zu beschleunigen.
Und ich denke, das ist eine großartige Sache für Organisationen und ich denke, es hilft uns wirklich dabei, dieses eine Risiko abzudecken, über das wir schon seit vielen, vielen Jahren sprechen. Und wenn Sie an das vergangene Jahr denken, können Sie wohl sagen, dass es einen deutlichen Anstieg von Firmware-Schwachstellen und Exploits gegeben hat. Wenn man also diese beiden Dinge kombiniert, handelt es sich um eine wirklich gute Toolfunktion, mit der wir sicherstellen können, dass wir diese Datenintegrität und Datenvertraulichkeit gewährleisten, wenn Daten außerhalb unserer Umgebung übertragen werden.
Ilona Simpson: Und vielleicht um das zu ergänzen, was Dave gesagt hat: Ich glaube, dass Confidential Computing das Potenzial hat, die Produktivität im Multi-Partner-Computing dramatisch zu steigern. Und ich schaue mir nur den Automobilsektor an, in dem INCA-Software entwickelt wird, nicht nur ein, zwei oder eine Handvoll Partner, sondern wo es sich um eine Schicht von Tier-1- und Tier-2-Zulieferern handelt, wobei etwa 30 % dieses Werts von den OEMs selbst geschaffen werden. Dadurch kann die End-to-End-Lösung auf vertrauliche Weise entwickelt werden, was wirklich bahnbrechend sein könnte. Es bietet Governance, verbesserten Schutz, wie Dave sagte, und steigert die Produktivität.
Mike Anderson: Ja, es ist interessant. Das bringt mich zum Nachdenken: Ich hatte ein Gespräch mit einigen großen Bundesbehörden und sie sprachen über die Fähigkeit und das Spezifische. Dabei ging es um Gesundheitsdaten, und sie sprachen über eine private öffentliche Partnerschaft, bei der es um die Betrachtung und Verarbeitung von Daten zum Wohle der Allgemeinheit geht Gut. Und das ist spezifisch für die Vereinigten Staaten, aber es ist interessant, denn ich denke, das spielt eine Rolle bei der Art und Weise, wie Sie das zulassen. Es klingt wie der vertrauliche Austausch und die Zusammenarbeit an unseren Informationen, Ilona, wie Sie sagten, der Fertigungsindustrie von Parteien, die nicht für dasselbe Unternehmen arbeiten. Wie mache ich das auf vertrauenswürdige Weise, wobei die Daten vertraulich bleiben? Ich denke also, dass das für die Zukunft definitiv viel Potenzial hat. Um den Leuten den Einstieg zu erleichtern: Welchen Vorsatz sollten Technologieführer in Bezug auf Confidential Computing im Jahr 2023 treffen? Also David, ich fange mit dir an. Dann Ilona, warum gibst du uns nicht auch deines?
David Fairman: Ich denke, die Lösung, die ich empfehlen würde, besteht darin, mit der Untersuchung zu beginnen, wie Ihr Unternehmen anfangen kann, Confidential Computing zu nutzen und seine Cloud-Migration zu beschleunigen und gleichzeitig das Risiko zu reduzieren. Seien Sie die treibende Stimme in der Technologieorganisation und gelten Sie als Innovator und Wegbereiter für Ihr Unternehmen. Nutzen Sie diese Möglichkeiten.
Ilona Simpson: Interessanterweise denke ich, dass dieses Projekt von BDPs aus dem Ingenieurwesen und Software-Engineering und nicht von CISOs vorangetrieben wird. Und da wäre mein Vorsatz, herauszufinden, welches für einen Piloten am wenigsten hängen bleibt, und zu überlegen, wie man es einführt und umsetzt. Ich denke, das ist immer noch so: Während die Hyperscaler, Dave, wie Sie sagen, auf dem Weg sind, wir auch ein grenzüberschreitendes Konsortium haben und viele Ressourcen verfügbar sind, die noch in den Kinderschuhen stecken, würde ich in Betracht ziehen, dass traditionelle Unternehmen dort nachsehen, wo Sie sind können einen Proof of Concept testen und sich die Roadmap für eine realistische Umsetzung ansehen.
Mike Anderson: Das ist großartig. Ich denke, wenn wir über das Risiko nachdenken [unhörbar 00:17:42], hoffen wir, dass wir diesen Vizepräsidenten für Technik haben, denn Sicherheit ist ein Mannschaftssport. Hoffentlich haben wir diese Risikomentalität bei unseren technischen Führungskräften verankert, damit wir nicht gleich zu Beginn in Schwierigkeiten geraten. Sicherheit durch Design, wie Sie bereits sagten, Ilona. Ich möchte uns zu unserer nächsten Vorhersage führen. Darüber haben wir etwas ausführlicher gesprochen, und zwar über die Notwendigkeit quantifizierter Risikominderungspläne.
David ist also unser ansässiger Experte für Risikominderung. Das Zitat, das ich hier von Ihnen erhalten habe: „Unternehmen, insbesondere Vorstände, werden mehr datengesteuerte, quantifizierte Pläne zur Risikominderung wünschen.“ Die Herausforderung für CISOs wird darin bestehen, nachzuweisen, dass sie für jeden ausgegebenen Dollar den größten Risikoausgleich erhalten. Infolgedessen wird der Schwerpunkt stärker auf datengestützten empirischen Beweisen liegen.“ David, können Sie diese Vorhersage näher erläutern und erläutern, warum qualitative Bewertungen nicht ausreichen?
David Fairman: Ja, sicher. Denken wir über die Etappen nach, die wir aus Sicht der Cyber-Investitionen erreicht haben. Ich bin schon lange in diesem Spiel. Ich denke, wir haben damit angefangen, dass Unternehmen einfach nicht in die Informationssicherheit investiert haben, wie sie zum jetzigen Zeitpunkt bewertet wurde, oder in die Cybersicherheit. Und dann gingen wir in diesen Modus über, in dem sich herausstellte, dass die Vorstände der Organisation begannen, es zu verstehen, und dann begannen sie, Fragen zu stellen: „Geben wir genug aus?“ Dann kam es zu einem Punkt: Geben wir es für die richtigen Dinge aus? Und ich denke, angesichts der Finanzmärkte, in denen wir uns befinden, in der Lage der Märkte und wo wir uns befinden, beginnen sich die Vorstände nun die Frage zu stellen: Erhalten wir für jeden Dollar, den wir für unser Cybersicherheitsprogramm ausgeben, einen maximalen Risikorückkauf? oder unser Technologierisikoprogramm?
Die qualitative Konversation, dass wir von einem hohen auf ein mittleres Risiko übergehen werden, reicht einfach nicht aus. Das kann man nicht mit einer kommerziellen Diskussion und einem Forum in Verbindung bringen. Und wenn Sie an Cybersicherheit denken, sind wir nur ein Teilbereich eines umfassenderen Betriebsrisikos. Das operationelle Risiko hat tatsächlich einen viel besseren Ansatz oder ist etwas ausgereifter, wenn es darum geht, das operationelle Risiko in der Organisation zu quantifizieren. CISOs müssen in der Lage sein, auf Augenhöhe zu stehen und eine parodistische Diskussion über den Risikorückkauf für diesen Teilbereich des operationellen Risikos zu führen, und genau da sind wir. Ich denke, als Branche, als Praxis, als Beruf müssen wir viel klüger werden und herausfinden, wie wir diese Konversation viel quantitativer gestalten können.
Und die größte Herausforderung dabei ist, dass man über die richtigen Daten verfügen muss, und ich denke, das ist es, was uns als Sicherheits- oder Cyber-Beruf wirklich davon abhält, dies wirklich zu quantifizieren, nämlich sicherzustellen, dass wir über die richtigen Quelldaten verfügen in der Lage, das richtige Ergebnis zu erzielen und dafür die richtigen Modelle zu haben. Wir haben in diesem Bereich in den letzten fünf, sechs Jahren große Fortschritte gesehen. Wir haben mit einer fairen und sachlichen Analyse des Informationsrisikos begonnen und jetzt haben wir gesehen, wie sich Modelle wie Cyber-VaR zu entwickeln beginnen, wo wir Wir sind nun in der Lage, unser Risiko einzuordnen oder es parodistisch mit anderen operationellen Risiken gleichzusetzen. Jetzt können wir mit dieser geschäftlichen Diskussion beginnen und darüber nachdenken, was die Rolle des Vorstands ist. Die Rolle des Vorstands und die Rolle der Geschäftsleitung besteht darin, sicherzustellen, dass sie die Risiken der Organisation gleichermaßen verwalten, um die Wachstumsziele der Organisation zu erreichen.
Und ein Teil dieser Wachstumsziele besteht darin, sicherzustellen, dass wir jeden Dollar in der Organisation richtig ausgeben und das Risiko für dieses Wachstum ausgleichen. Offensichtlich ist das der natürliche Auslöser für diese Risikodiskussion.
Mike Anderson: Also Ilona, was halten Sie von quantifizierten Plänen zur Risikominderung? Möchten Sie dem, was David gesagt hat, noch etwas hinzufügen?
Ilona Simpson: Ich stimme voll und ganz mit allem überein, was Dave gesagt hat. Ich persönlich mag Zahlen und wir als Organisationen, Vorstände und Funktionen haben gelernt, unser Verständnis des Geschäfts durch Zahlen auszudrücken. Und wenn wir es betrachten, sei es eine Gewinn- und Verlustrechnung, sei es ein Cashflow, sei es der Netto-Promoter-Score für die Kundenzufriedenheit, und die gesamte Organisation kann sprechen, kann sozusagen den Zustand der Nation in Zahlen ausdrücken. Daher kann ich mich Daves Aussage nur anschließen. Es ist an der Zeit, am Tisch Platz zu nehmen und es in dieser universellen Sprache auszudrücken, wie es die anderen Mitglieder des Vorstands oder der Geschäftsleitung tun, das ist von unschätzbarem Wert.
Mike Anderson: Ich stimme voll und ganz zu, wenn ich über eine Lieferkettenstrategie nachdenke und wenn ich über Rohstoffe nachdenke, kann ich eine Risikoentscheidung treffen, um niedrigere Kosten für Rohstoffe von einem Lieferanten zu erhalten, der nicht die gewünschte Sicherheitslage bietet, und das ist eine Risikoentscheidung das ich machen kann. Oder ich kann mich für einen höheren Rohstoffpreis entscheiden, aber von Lieferanten, die eine bessere Sicherheitslage haben, weil die Gefahr einer Störung geringer ist, oder ich könnte eine Mischung aus beidem wählen. Die Verflechtung dieses Gesprächs wäre also nur ein Beispiel, das mir im Zusammenhang mit diesem Ganzen einfällt: Wie quantifiziere ich das Risiko in meinem Entscheidungsprozess? Meine Frage zu dieser Frage an Sie und David. Da Sie uns mit dieser Vorhersage auf den Plan gerufen haben, möchte ich mit Ihnen beginnen: Welche Vorsätze sollten Technologieführer treffen, um den Wert der Sicherheit im Hinblick auf diese Risikominderung besser zu kommunizieren? Vorstand?
David Fairman: Ich denke, es gibt zwei Dinge, die ich sagen möchte. Das Schöne an der Risikoquantifizierung ist zum einen, dass wir Kompromissentscheidungen treffen können. Wenn wir den Betrag X hier investieren, können wir unseren Risikowert um Y reduzieren. Wenn wir in verschiedene Bereiche investieren, können wir unseren Value at Risk um Z reduzieren. Wir können also beginnen, konkrete Kompromissgespräche zu führen, um dies zu demonstrieren. Um das zu tun, komme ich auf einen Thread zurück, den ich in der vorherigen Sitzung begonnen habe, um sicherzustellen, dass wir die richtigen Daten haben.
Für mich besteht die Lösung darin, sicherzustellen, dass Sie, sobald Sie anfangen, über diesen Weg nachzudenken, nicht direkt mit der Risikoquantifizierung beginnen, sondern verstehen, welche wahre Datenquelle Sie benötigen, um diese Daten umsetzen und erhalten zu können Quellen richtig, Müll rein ist gleich Müll raus. Holen Sie sich die Datenquellen, schaffen Sie die richtigen Grundlagen und dann werden Sie in der Lage sein, ein wirklich gutes Ergebnis und ein wirklich produktives Gespräch zu erzielen, denn die Leute werden die Daten nicht in Frage stellen, die Leute werden in den Daten belassen und Dann werden Sie in der Lage sein, wirklich gute datengestützte Gespräche zu diesem Thema zu führen.
Ilona Simpson: Ja, machen Sie doch keine Pseudowissenschaft daraus, oder?
David Fairman: Genau.
Ilona Simpson: Aber vielleicht kommt noch hinzu, dass die quantifizierten Risikominderungspläne ein Mannschaftssport sind. Und ich sehe es bei dieser Gelegenheit, es ist ein Finanz- und Risikofaktor, Kollegen, die da sind, um tatsächlich ihr Fachwissen zur Verfügung zu stellen und ihre CM-Anleitung einzubringen, um es zu einem gemeinsamen Ansatz zu machen. Auch wenn wir es nicht verstehen können, ist dies nichts, was eine Funktion isoliert erledigt, daher ist die Zustimmung aus dem gesamten Unternehmen und die Zusammenarbeit mit einer breiteren Stakeholder-Basis von entscheidender Bedeutung.
Mike Anderson: Ja, und ich denke, Sie haben Recht. Wenn ich über Risikominderung nachdenke, liegt die tatsächliche Investition möglicherweise nicht einmal im Budget des CIO oder des CISOs, sondern eher im Budget des operativen Teams die richtigen Kontrollen zu implementieren, um dieses Risiko zu reduzieren. Und ich denke, das erfordert eine mannschaftssportliche Denkweise: Wie stellen Sie sicher, dass Sie die Investitionen in den richtigen Bereichen tätigen, um sicherzustellen, dass Sie die Risikominderungspläne, auf die Sie sich aus Vorstandssicht geeinigt haben, tatsächlich umsetzen können?
Ilona Simpson: Wenn man mit der Quantifizierung beginnt, denke ich, dass die Quantifizierung eine große Eintrittsbarriere darstellt und man beginnt einfach mit der Risikobewertungsmatrix. Das ist die Grundlage dafür.
Mike Anderson: Ja. Wenn es um geschäftliche Entscheidungen geht, sagen Zahlen mit Sicherheit mehr als Gefühle. Deshalb möchte ich hier zu unserer nächsten Vorhersage kommen. Es handelt sich also um eine Vorhersage, von der wir schon viel gehört haben: Die Konvergenz der Prioritäten für die Sicherheitsnetzwerk- und Technologieteams als Folge der Transformation. Also, Ilona, wie sehen Sie das aus Ihrer Sicht als CIO auf der Technologieseite?
Ilona Simpson: Nun, ich sehe, dass Sicherheit und Netzwerkkonvergenz damit beginnen. Aus der Sicht eines CIO bedeutet dies, dass die Funktionen zwar vorhanden sind und bleiben, die Prioritäten jedoch zunehmend geteilt werden und auch die End-to- Prozess beenden. Und wir betrachten von strategischen Entscheidungen über architektonische Entscheidungen bis hin zur Ausführung, die eine starke Abstimmung erfordert. Und wenn dies nicht der Fall ist, wird sich Ihre Eins plus Eins schnell auf 0,5 verschlechtern, während das Potenzial besteht, daraus eine Drei zu machen. Das bedeutet, dass Strategie- und Architekturthemen auf der Ebene der IT-Führungsteams und CIOs an die Oberfläche dringen. Und ich glaube auch, dass CIOs vielleicht von einem anderen Verhalten profitieren würden, wir sind es gewohnt, funktionale Entscheidungen an die jeweiligen Leiter zu delegieren. Nun ist das Konvergenzparadigma eine Einladung oder zwingt uns dazu, tatsächlich selbst in den Maschinenraum der IT zu blicken, denn die Perspektiven sind von Natur aus unterschiedlich und die Rolle eines CIO ist die eines Schiedsrichters, wenn es um funktionsübergreifende Zusammenarbeit geht Dabei wird untersucht, wie man Prioritäten setzt und die Perspektiven wieder zusammenführt.
Mike Anderson: Ja, Sie werden definitiv zum Brückenbauer, wenn es um diese Organisationen geht. Normalerweise würden Sie es Ihren Funktionsleitern sagen, in einen Raum gehen, es herausfinden und dann mit einem Plan zu mir zurückkommen. Und manchmal muss man sich in dieser Hinsicht vielleicht stärker engagieren, weil da eine ganze Menge Veränderungen im Spiel sind. Und wenn man über Sicherheits- und Netzwerkteams spricht, stammt das Budget für Sicherheit natürlich zu einem großen Teil aus dem Netzwerk- und Infrastrukturbudget. Es besteht also immer der Druck, möglicherweise die vermeintliche Komplexität auf der Sicherheitsseite zu erhöhen, wenn die Teams für Infrastrukturnetzwerke nach Einfachheit suchen, weil ihr Budget nicht mehr so groß ist wie im Jahr zuvor.
Der CIO ist also die einzige Person, die in beiden Bereichen sitzt. Das ist auf jeden Fall eine gute Vorhersage. David, wie sehen Sie angesichts Ihres Hintergrunds im Sicherheitsbereich und der Tatsache, dass Sie hier sowohl die Verantwortung des CIO als auch des Chief Security Officer für die APAC-Region tragen, diese Konvergenz? Wie manifestieren sich Ihrer Meinung nach diese Prioritäten? Ich meine, ich weiß, dass wir eine Reihe von CISOs haben, die zu CIOs im asiatisch-pazifischen Raum geworden sind. Ich meine, Sie haben sie selbst gesehen oder haben beide Hüte getragen. Wie sehen Sie also, dass diese zusammenkommen?
David Fairman: Sehen Sie, ich denke, dass man als CIO aufgrund einer früheren Erfahrung oder Spezialisierung im Bereich Sicherheit anders über die Dinge denken kann, und ich denke, in einer Cloud-First-Welt, und das ist es, worauf ich immer zurückkomme, in einer Cloud-First-Welt, das interne Netzwerk existiert fast nicht mehr. Das Internet ist jetzt das Netzwerk. Und wenn wir darüber reden, wenn Sie an die alte Netzwerkwelt denken, sagten wir immer: Nun, die Netzwerk-Leute bauen einfach die Straßen und die Sicherheitsleute stellen die Ampeln und die Leitplanken auf. Nun, das funktioniert nicht, weil sie nicht mehr unbedingt die Straßen bauen. Aber wie gesagt, der Weg ist jetzt das Internet. Es geht also eigentlich darum, diese Erleichterung oder diesen Weg zu schaffen, diesen Mechanismus, um Daten von einer Verarbeitungsumgebung in eine andere Verarbeitungsumgebung übertragen zu können.
Nun kann man nicht darüber reden, dies zu ermöglichen, ohne über die Sicherheit dieser Daten nachzudenken. Daher glaube ich, dass die Netzwerkteams und die Sicherheitsteams eng zusammengeführt werden müssen. Was die Netzwerkteams und die Infrastrukturteams jetzt tun, ist, diese Mechanismen aufzubauen, um diese Daten zwischen verschiedenen Umgebungen übertragen zu können und so einen Mehrwert für die Organisation zu schaffen. Daher müssen sie über die Sicherheit dieser Daten nachdenken. Was wir also zu sehen beginnen, ist, dass diese Gespräche jetzt ... Und tatsächlich fangen die Funktionen selbst an, viel umfassender zu denken und über diese Dinge nachzudenken, so dass die Zusammenarbeit von Tag zu Tag enger wird.
Und ich verwende gerne den Vergleich: Zum Klatschen braucht es zwei Hände. Man kann es also nicht einfach aufbauen und loslassen. Sie müssen es bauen und sicherstellen, dass es sicher und stabil ist. Und das ist es wirklich, was wir jetzt zu sehen beginnen.
Mike Anderson: Wenn Sie also über Vorsätze für Technologieführer nachdenken, wenn es um diese Konvergenz der Prioritäten geht, welchen Rat würden Sie ihnen für die Vorsätze für 2023 geben?
Ilona Simpson: Bringen Sie es auf die Tagesordnung strategischer IT-Führungstreffen, egal in welcher Form.
David Fairman: Ja, ich denke, für mich ist es dem sehr ähnlich. Es geht darum, die datenschutzzentrierte Diskussion in Ihrer gesamten Technologieorganisation voranzutreiben und dabei zu erkennen, dass der entscheidende Vermögenswert, der uns jetzt am Herzen liegt, die Daten sind. Wie auch immer wir diese Daten manipulieren, abwickeln oder übertragen wollen, in welcher Form auch immer, wie wir sicherstellen, dass die richtigen Stakeholder und das Sicherheitsteam einen großen Anteil daran haben, die Risikoteams einen großen Anteil daran haben. An diesen Diskussionen sind die richtigen Stakeholder beteiligt, und wir arbeiten zusammen und beziehen diese Stakeholder in alle Gespräche oder Initiativen ein, die wir führen.
Mike Anderson: Auf jeden Fall ein toller Rat.
Ilona Simpson: Fantastischer Rat. Jetzt haben Mike, Dave und ich viel geredet. Hätten Sie auch eine Vorhersage, die Sie uns mitteilen möchten?
Mike Anderson: Dies mag offensichtlich sein, denn offensichtlich ist die Anbieterkonsolidierung in einem drohenden Rezessionsmarkt und dem perfekten Sturm oder den Herausforderungen bei der Belegschaft, jeder schaut sich seinen Technologie-Stack noch einmal an, um zu sehen, wo er eine Konsolidierung durchführen und wo er die Ausgaben reduzieren kann. Ich meine, ich habe heute Morgen gerade zwei Gespräche mit Technologieführern geführt, die sich mit diesem Thema befassen. Wir haben es bereits in den Nachrichten gesehen. Was meiner Meinung nach anders sein wird, ist, dass es einen großen Unterschied zwischen der Anbieterkonsolidierung zu einer Reihe von Produkten unter einer einzigen Marke gibt, bei der für die Wartung und den Betrieb jedes Produkts unterschiedliche Fähigkeiten erforderlich sind, und einer Anbieterkonsolidierungsstrategie auf einer Plattform, auf der ich die Möglichkeit habe Bringen Sie jemandem bei, eine Technologie zu verwenden, die dieselben Ziele erreichen kann wie die Suite. Aber wo ich eine kompetente Person haben kann, damit ich skalierbar bin.
Daher denke ich, dass Plattformen bei diesem Aspekt der Anbieterkonsolidierung die Gewinner sein werden. Und traditionell kommt es oft nur durch den wirtschaftlichen Gegenwind, aber die Tatsache, dass wir nicht die Leute haben, selbst wenn wir die Budgets haben, schafft eine weitere Herausforderung: Wie kann ich das vereinfachen? Mein Lieblingszitat ist da Vinci: „Einfachheit ist höchste Raffinesse.“ Komplexität ist der Feind der Sicherheit.“ Und wie treiben wir eine Plattformstrategie voran? Und so habe ich heute mit einem CIO eines Integration Platform as a Service-Unternehmens gesprochen, und er untersucht, wie sie Tools in ihren eigenen Umgebungen konsolidieren können, und er spricht mit anderen CIOs über dieselben Prioritäten.
Daher glaube ich, dass die Plattformen bei dieser Anbieterkonsolidierung aufgrund der Herausforderungen bei der Belegschaft, mit denen wir gleichzeitig konfrontiert sind, aufgrund der Tatsache, dass wir keine Talente finden, obsiegen werden. Das wäre mein Vorsatz. Und was ich den Leuten sagen würde, ist, dass Sie über die Marke hinausschauen und unter die Decke schauen und sehen, ob Sie eine Produktreihe oder eine Plattform kaufen? Denn Sie möchten in Plattformen investieren, die nicht nur Ihre finanziellen Herausforderungen, sondern auch Ihre Talentprobleme lösen können.
Ilona Simpson: Das ist ein brillanter Abschluss der Vorhersagen. Danke, Mike.
Mike Anderson: Nein, absolut. Nun, ich möchte Ihnen beiden für Ihre Zeit danken. Wir hatten so schnell einige großartige Lösungen für diese Vorhersagen im industriellen Metaversum. Ich denke, es ist wirklich eine Bestandsaufnahme, um herauszufinden, wie sich dies mit anderen Dingen überschneidet, die Sie bereits tun, wie z. B. digitale Zwillinge, und wie sich dies dann unter Sicherheits- und Risikogesichtspunkten auswirkt , David, wie stelle ich aus Ihrer Sicht sicher, dass ich über Risiken und die damit verbundenen Datenschutzelemente nachdenke, wenn ich in einem B2C-Geschäft wie dem Finanz- oder Verbrauchergeschäft tätig bin? Was Confidential Computing betrifft, habe ich von Ihnen beiden gehört, wie ich über branchen- und unternehmensübergreifende Zusammenarbeit denke, bei der es nicht nur um ruhende Daten, Daten und Bewegung geht, Dave, wie Sie es angesprochen haben , aber es geht um Daten und Nutzung. Wie schütze und nutze ich Daten so, dass Parteien zusammenarbeiten können?
Wenn ich mich den quantifizierten Risikominderungsplänen zuwende, ist es wirklich das Erste, wie du gesagt hast, David: Ich liebe Müll rein, Müll raus. Sie müssen die Daten abrufen, um herauszufinden, welche Daten Sie benötigen, um das Risiko messen zu können, damit Sie es tatsächlich quantifizieren können. Und Ilona, Sie sagen, dass Menschen Zahlen mögen, wir alle reden über Zahlen wie den NPS und andere Dinge. Deshalb ist es für uns wichtig, die gleiche Denkweise zu verfolgen, wenn wir mit unseren Vorständen und unseren Unternehmen darüber sprechen, wie wir Risiken quantifizieren. Und schließlich geht es um diese Konvergenz und Prioritäten rund um Sicherheit und Netzwerk. Und es erfordert wirklich, dass wir tiefer in unsere Teams eindringen, um wirklich sicherzustellen, dass wir diese Lücken schließen. Und wie du schon sagtest, David, ohne zwei Hände kann man nicht klatschen. Deshalb müssen wir diejenigen sein, die das Klatschen auf die richtige Art und Weise ermöglichen.
Und ich denke, das sind einige großartige Vorsätze und einige großartige Dinge und Ratschläge für jeden, der unseren Podcast hört. Und ich danke Ihnen beiden wirklich dafür, dass Sie Ihr Fachwissen und Ihre Weisheit bezüglich Ihrer Prognosen für 2023 mit uns geteilt haben. Wir werden in einem Jahr zurückblicken und sehen, wie gut sich diese auswirken, während wir über unsere Prognosen für 2024 nachdenken. Das ist also die ganze Zeit, die wir heute haben. Vielen Dank, dass Sie sich die heutige Folge des Security Visionaries-Podcasts angehört haben. Ich bin Ihr Gastgeber, Mike Anderson. Ich bin CIO und Chief Digital Officer bei Netskope. Heute kamen Ilona, unsere CIO für Europa und Lateinamerika, und David Fairman, unser CIO und Chief Security Officer für den asiatisch-pazifischen Raum, zu mir. Vielen Dank und viel Spaß beim Zuhören.
Sprecher 3: Der Security Visionaries-Podcast wird vom Team von Netskope bereitgestellt und ist schnell und einfach zu bedienen. Die Netskope-Plattform bietet optimierten Zugriff und Zero-Trust-Sicherheit für Personen, Geräte und Daten, wo auch immer sie sich befinden. Wir helfen Kunden, Risiken zu reduzieren, die Leistung zu steigern und unübertroffene Einblicke in alle Cloud-, Web- oder privaten Anwendungsaktivitäten zu erhalten. Um mehr darüber zu erfahren, wie Netskope seinen Kunden hilft, auf ihrer frechen Reise auf alles vorbereitet zu sein, besuchen Sie NETSKOPE.com.
Sprecher 2: Vielen Dank, dass Sie den Sicherheitsvisionären zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem sie gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen veröffentlicht werden, und wir sehen uns in der nächsten.