セキュリティニルヴァーナの達成 ゲイリー・ハービソン

ゲイリー・ハービソン:何よりも、人々は物事を止めるために存在するセキュリティを見ていると思います。 もちろん、攻撃などの発生を阻止したいと考えていますが、車にブレーキをかけることでより速く進むことができるのとほぼ同じように、リスクを評価およびバランスを取り、責任ある方法で適切なリスクを負うことができるソリューションを提示する優れたセキュリティチームがあります。 実際に会社がより速く動き、ビジネス目標を達成するのに役立ちます。 ですから、私たちがノーと言うか、物事を止めるためにここにいるので、私たちは実際に責任ある方法でイエスと言う方法を見つけるのを助けるためにここにいます、そしてそれは実際にビジネスをより速く動かすのを助けることができます。

プロデューサー:こんにちは、NetskopeのCSOであるJason Clarkが主催するセキュリティビジョナリーへようこそ。 本日のゲスト、バイエルのバイエル副社長兼グローバル最高情報セキュリティ責任者であるゲイリー・ハービソンからお話を伺いました。 セキュリティの涅槃を達成することは簡単な努力ではありません。 セキュリティの状況は絶えず変化しており、特にクラウドにより、ほぼどこからでもデータにアクセスできるようになりました。 いつでも、あなたとあなたのチームは静けさの危機に瀕し、次の完全な混乱に陥る可能性があります。 しかし、車にブレーキをかけることでより速く進むことができるのと同じように、セキュリティチームは企業の成長を支援することができます。 ニルヴァーナは、セキュリティチームがリスクを評価し、バランスを取り、企業が責任ある方法で適切なリスクを取ることを可能にするソリューションを提示できるときに満たされます。 そうすることで、企業はよりスムーズかつ迅速に行動し、望ましいビジネス目標を達成することができ、Garyが雄弁に述べているように、どこにいてもセキュリティをデータに追従させることができます。 ゲイリーのインタビューに飛び込む前に、スポンサーからの簡単な言葉があります。

スポンサー: セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 Netskopeは SASE リーダーであり、今日のビジネスのスピードで高速でデータ中心のクラウドスマートユーザーエクスペリエンスを提供するために必要なすべてを提供します。 詳しくは N-E-T-S-K-O-P-E.com をご覧ください。

プロデューサー:早速、バイエルのバイエル副社長兼グローバル最高情報セキュリティ責任者であるゲイリー・ハービソンとホストのジェイソン・クラークによるセキュリティビジョナリーのエピソード5をお楽しみください。

Jason Clark: Security Visionaries へようこそ。 私はあなたのホスト、ジェイソン・クラークです。 Netskopeの最高戦略およびセキュリティ責任者。 今日は、とても特別なゲストであり友人でもあるゲイリー・ハービソンが加わりました。 ゲイリー、お元気ですか?

ゲイリー・ハービソン:うまくやっている、ジェイソン。 お元気ですか。

ジェイソン・クラーク:素晴らしいことをしています。 超素晴らしい。 今日はここセントルイスで私たち二人が持っている素晴らしい秋の天気を楽しんでいます。 実際、私たちはこれを直接行うことさえできたかもしれません。 それは良い考えでした。

ゲイリー・ハービソン: 確かに、これは今秋にセントルイスにいるのに良い時期です。

ジェイソン・クラーク:ええ。 そして、これについて考えると、もう一つ感じるのは、ハッピーアワーとしてそれを行うべきだったのかもしれないし、同時にビールやバーボンも一緒に飲んでいたということです。 しかし、まあ、私たちはそれをします。 次回はここでそれを行います。

ゲイリー・ハービソン:次回はそうです。

ジェイソン・クラーク:ゲイリー、私たちは長い間お互いを知っていて、私はたくさんのクールなことをしました、それはここで一緒に話しますが、最初から始めましょう。 セキュリティに取り組んだきっかけは? あなたの最初の仕事は何でしたか?

ゲイリー・ハービソン:良い質問です。 それで、私が短期大学に通っていたとき、私は19歳だったと思います、そして私はセントルイスから川を渡ったところにある近くの空軍基地で仕事を得ました。 当時、私はネットワークおよび電気通信エンジニアの役割を果たしていましたが、本社から新しいファイアウォールをインストールする必要があると連絡があり、彼らはネットワークチームに来て、Unixとネットワークを知っている2人を見つけました。 これが私の最初のセキュリティ入門であり、ファイアウォールのインストールと管理でしたが、その後、サーバーのオペレーティングシステムやその他のものに目を向けることに広がり、そこから拡大し続けています。 ですから、私が実際に計画したことはありませんが、うまくいきました。

ジェイソン・クラーク:わかりました。 これはおそらく20年以上も行ってきた私たちの誰にとっても、ファイアウォールがおそらく最初の質問であり、セキュリティチームに入った最初の方法だったと思います。 偶然にも、当時のファイアウォールのブランドは何でしたか?

ゲイリー・ハービソン:それはサイドワインダーのファイアウォールでした。

ジェイソン・クラーク:ええ。 私は非常に長い間それらの1つを見ていません。

ゲイリー・ハービソン:はい、久しぶりです。 彼らは買収されました。 そして、最終的には廃止されたと思います。

ジェイソン・クラーク:それでは、バイエルのCISOとしてのあなたの役割について少し教えてください。

ゲイリー・ハービソン:現在、私はバイエルのグローバル最高情報セキュリティ責任者です。 そのため、世界中のすべての部門と機能にわたるすべてのサイバーセキュリティ活動を担当しています。 バイエルには複数の事業領域がある。 当社には、農業と進歩の推進に焦点を当てた作物科学部門があり、食糧供給を改善し、世界を養うことを続けています。 医薬品部門では、次世代の治療法や医薬品など、皆様の健康増進に貢献しています。 そして、ヘルスケア側でも市販ブランドの製品をより多く販売するコンシューマーヘルス部門があります。

ジェイソン・クラーク:だから私はあなたにここでたくさんの質問をします、そして私たちはただ行ったり来たりします。 繰り返しますが、いつでも私にそれをオンにしてください。 しかし、あなたにとっての最初の質問は、人々がセキュリティの側面であるものを手に入れると思いますか?

ジェイソン・クラーク:そうです。 ITのビジネスまたはその他の部分で。 彼らはセキュリティについて何を間違えていますか?

ゲイリー・ハービソン:何よりも、人々は物事を止めるために存在するセキュリティを見ていると思います。 はい、攻撃などの発生を阻止したいと考えていますが、車にブレーキをかけることでより速く進むことができるのとほぼ同じ方法で、リスクを評価およびバランスを取り、責任ある方法で適切なリスクを取ることができるソリューションを提示できる優れたセキュリティチームがあります。 実際に会社がより速く動き、ビジネス目標を達成するのに役立ちます。 ですから、私たちがノーと言うか、物事を止めるためにここにいるので、私たちは実際に責任ある方法でイエスと言う方法を見つけるのを助けるためにここにいます、そしてそれは実際にビジネスをより速く動かすのを助けることができます。

ジェイソン・クラーク:私は「Anthem」のCISOであるダスティン・ウィルコックスとこれをやっていましたが、彼の言い方が好きです、彼は私たちのパネルの誰かが「私たちは常に可能な限り摩擦を取り除こうとすべきであり、それは摩擦がなく不安であるべきです」と言いました。 そして彼は言った、「いいえ。 実際には、適切な量の摩擦が必要です。 摩擦は特定の時代に重要です。」 右。 はいと言うことができますが、その理由を教えてください。 このデータをここにアップロードする必要がある理由を一文入力し、彼らが言うところに従事するだけです。 私は実際にそうする必要はありません、またははい、私には正当な理由があります。」 右。

ゲイリー・ハービソン:もちろんです。 もちろん、コントロールなどはエンドユーザーにとってできるだけ摩擦のないものにしたいと思いますが、私がよく使った言葉は緊張でした。 あなたはチェックとバランスを備えたシステムに健全な緊張を望んでいますが、私は従業員とユーザーが毎日仕事を成し遂げる能力に影響を与える摩擦を取り除くことに可能な限り同意します。

ジェイソン・クラーク:では、ほとんどの人が気づいていないサイバーセキュリティで最も急速に増大しているリスクは何だと思いますか? したがって、それらに急速に忍び寄っているリスク。

ゲイリー・ハービソン:ええ。 全体として強調したいのは、データセキュリティとガバナンスの分野全体が急速に進化している分野だと思います。 そのため、データの保護だけでなく、データの移植性も非常に高くなっています。 私たちはポケットにテラバイトのデータを運ぶことができ、私たちの両方がセキュリティに入ったとき、それはおそらくデータセンターをいっぱいにしたでしょう。 そのため、ストレージ、データの移植性、データの移動と移動が非常に迅速に行われ、パートナーやサードパーティと共有され、クラウド環境でホストされます。 そして、データを保護する方法と転送先を理解します。

しかし、変化と進化を続けている他の部分は、データをどのように保護する必要があるか、データをどこに保存する必要があるか、どこからアクセスできるかについての世界的な法律と規制です。 そのため、特に多くの国、地域、管轄区域でグローバルに事業を展開している企業の場合、データを保護する方法、データを保存する場所、データに提供するアクセスを理解することは複雑になります。 ですから、企業はそれに焦点を合わせ、それに取り組み続けていると思いますが、規制や法律、脅威は急速に変化しており、それは絶えず進化する空間です。

ジェイソン・クラーク:ええ。 基本的には、ガバナンスとその周りのリスクから始めたので、要約しますか?そのデータをリスクと呼ぶだけですか? 全体として、最も急速に増大しているリスクはデータリスクですか?

ゲイリー・ハービソン:そうですね。

ジェイソン・クラーク:ええ。

ゲイリー・ハービソン:それは良い言い方だと思います。

ジェイソン・クラーク:彼らが可視性を失った理由は、ただ繰り返すだけですよね? 1つは、どこにでもあり、非常にポータブルです。 それはクラウドにあり、モバイル上にあります。 (歌う)

ですから、その点にジャンプすると、サイバーセキュリティの観点からおそらくイノベーションが必要な一番の場所だと思いますか?

ゲイリー・ハービソン:同意します、はい。 攻撃を検出し、環境を監視し、環境の周りに適切なセキュリティを構築するためのテクノロジーを検討します。 これまで、私たちはそれらの多くをインフラストラクチャ、サーバー、デバイスなどに重点を置いてきました。 未来が向かうところでは、すべてがクラウドに移行し、従業員とユーザーはどこからでも、場合によってはさまざまな種類のデバイスから作業できるようになります。 そのため、サーバー、デバイス、またはそれらが置かれているクラウド環境を保護することに依存して、データを保護し、制御をデータに近づける方法について革新を続ける必要があると思いますが、データがどこに保存されても、データの移動とどのデータがどこに移動されているかを適切に検出して可視化することで、データをどのように保護するか。 また、データの保存方法、保護場所、保護方法に関する要件を理解し、オーバーレイすることができます。

そして、そこには存在する機能がありますが、今日では断片化されていることがよくあります。 それを自動化すればするほど、リアルタイムでそれを行い、データの保存場所、保護方法、アクセス者、および自動化されたリアルタイムの方法で準拠しているかどうかを適切に可視化できます。 それは私たちが到達する必要がある場所であり、そこに到達するために必要なイノベーションはまだたくさんあると思います。

Jason Clark: リアルタイムの言葉は非常に重要であるとおっしゃいましたが、ほとんどの人は依然としてリスクを1回限りと見なしているからです。 ビッグフォーに来てもらい、リスク評価をしてもらいます。 私はちょうど非常に大規模な金融機関と話していました、そしてそこで副CISOは彼らが年に一度のリスク評価を計画していると言っていました Office 365 。 「しかし、明日は、どのような新しい脆弱性や新しいデータが存在するかによって変わります。 「なんで年に一度もやるんだろうな」みたいな。 クラウドまたはインフラストラクチャのよりリアルタイムのリスク評価をどのように推進しましたか

ゲイリー・ハービソン:ええ。 みんなと同じように、私たちはまだそのいくつかを理解していると思います。 おっしゃるように、伝統的に、私たちはリスク評価をある時点と見なしていると思います。 年次評価を行う場合もあれば、第三者を評価する場合は、リスクに基づいて定期的に再評価する場合もあります。 しかし、よりリアルタイムのリスク評価を得ることは、誰もが到達しようと努力している場所だと思います。 より多くの自動化と、デバイスからストリーミングできるデータが増え、リアルタイムの可視性が得られます。 しかし、重要なのは、クラウド環境やそれらが置かれているワークロード、またはデータが存在するプラットフォームのセキュリティを可視化して理解し、自動化された可視性をビジネスコンテキストとオーバーレイして、その資産の重大度の重要性を理解できるようにすることだと思います。 これが、リスクをよりリアルタイムで評価し、環境内でそれをどのように管理しているかを理解するのに役立つと思います。

ジェイソン・クラーク:ええ、そうです。 一致する。 あなたは私のお気に入りのトピックの1つである SASEを説明したと思いますよね? セキュアアクセスサービスエッジ、およびその全体的な目的は、セキュリティ境界を移動し、これらすべての古いテクノロジーを採用して、シームレスに適切な1つの検査ポイントに統合することです。 あなたはかつて言った、実際、あなたはそれを私のボードに描いた、そして私はその文を決して忘れないだろう。 そして、あなたは言った、私にとってニルヴァーナは、セキュリティ制御がどこに行っても私のデータを追跡するときです。 そして、SASEはその要素だと思います。 セキュアサービスエッジについてどのようにお考えですか、そしてこのMQを作成する際にGartnerが行っていることとその影響について、それが企業内で同業者にどのくらい早く採用されると思いますか? その一環として、セキュリティチームとネットワークチームはどのようにして収束し、それを実行するために協力し始めますか?

ゲイリー・ハービソン:もちろんです。 ですから、基本的に私たちが概念を議論したのと同じように、城と堀の哲学、城の周りの壁のようにネットワークの外側に1つの境界があり、内部にあるものは良いという SASE タイプのモデルに到達する動きだと思います。 外にあるものは脅威であり、私たちは壁を守らなければなりません。 それは本当に私たちを通り過ぎて動いていて、実際にはしばらく前に私たちを通り過ぎました。 つまり、多くの環境、複数の SaaS プラットフォーム、複数のサービスとしてのインフラストラクチャ環境でデータをホストし、従業員がどこからでも作業し、コラボレーションしてイノベーションを推進するためにデータにアクセスする必要があるサードパーティがいることを理解するという概念は、クラウドに向かうことになります。

オンプレミスを維持するという未来は、おそらく特定のユニークなシナリオや、製造現場のようにローカルで運用を行う可能性がある場合に発生する可能性があります。 しかし、そうでなければ、これの多くはクラウドに行き、それを行い、それをうまく行うには、どこからでも保護し、どこからでもアクセスできる必要があります。 次に、以前は境界であったものをクラウドに配置するという概念が必要です。 次に、どこにいても保護しているものの前に仮想的に座ることができ、従業員やユーザーからのアクセスの前に座って保護し、アクセスしようとしている資産へのアクセスをスクリーニングする必要があります。

ですから、それが将来のモデルになるだろうと本当に感じていますし、ほとんどの企業は少なくともそれを検討または検討していると思います。 そのアーキテクチャを全体的に採用または採用するタイミングのタイムラインは、おそらく、ビジネスの種類、要件、事業拠点、業界、規制要件によって異なります。 ですから、誰もが異なる速度でそれを実装するかもしれませんが、少なくともそれを見て、それを中心に戦略を構築していない多くの企業と話をしたことはありません。

Jason Clark: それは、結局のところ、クラウドへの移行の速さ、SaaSの採用の速さの要因ではありませんか? その時点で、あなたはとても伸びているからです。 転換点があり、クラウド内のアプリとデータの量の割合、またはある時点で選択の余地がないネットワーク上にないモバイルユーザーがいます。

ゲイリー・ハービソン:もちろんです。 スピードはビジネスによって推進されます。 そして、多くのことと同様に、私は常に、セキュリティ戦略やロードマップを見るとき、セキュリティチームがテクノロジーがよりクールだと思ったからといって、何かをしたいという理由だけでそこにあるのではないことを関連付けようとしています。 プロジェクトは、3 種類のドライバーを中心に構築します。 ビジネスを迅速に進めて目標を達成できるようにするために何かを実装する必要があるビジネスドライバーがあります。 社内にある一連のリスクに対処するために何かを実装するか、脅威と脅威の状況の進化によって駆動される何かを実装する必要があります。 そのため、タイムラインでは、そのタイムラインと3種類のドライバーのバランスを常にとって、どれだけ速く移動するかを考えています。 ですから、ジェイソン、その多くはビジネスがクラウドに移行する速さによって推進されていると絶対に考えており、ビジネスを前進させる準備ができているようにそれらの機能を調整する必要があります。

組織変更に関する質問の2番目の部分では、ネットワークチームとセキュリティチームは常に緊密に連携しており、時間の経過とともに、インフラストラクチャ制御の一部がどこにあるか、ネットワークに座っているか、セキュリティチームに座っているかについてさまざまなモデルがありましたが、それがどのように機能したかに関係なく、常にそのパートナーシップがありました。 そして、将来私が見ているのは、ネットワークチームにとってネットワークは変化するということですが、ネットワークを介したアクセスとネットワーク上を流れるパケットの概念がなくなることはないと思います。 ネットワークの才能は常に必要ですが、そのネットワークの才能は進化しなければなりません。

誰かが自分自身をルーターの人またはスイッチの人と見なし、それらのネットワークを構築している場合、ソフトウェア定義のネットワークが見え始め、本質的に企業がAmazon、Google、またはAWSに行くにつれて、それは大きく変わるでしょう...申し訳ありませんが、マイクロソフト、そして彼らはクラウドでデータセンターをスピンアップしています。 したがって、ネットワークチームは、将来的には、ネットワークはデバイスを物理的に接続するよりもコードによって構築されることを理解する必要があります。 したがって、ネットワークの才能と専門知識の必要性は常に存在しますが、将来的にはより現代的な方法でサービスと接続性を確実に提供する方法を理解するために、スキルを再習得して進化させる必要があります。 そして、セキュリティとネットワークの間には常に緊密な協力関係があると思います。

ジェイソン・クラーク:だから、大丈夫。 再生するだけです。 つまり、LANに過度に集中している人々がいるので、常にオンプレミスのものを手に入れることになります。 右。 したがって、それらはおそらくある時点でデスクトップエンジニアリングの機能であると思いますが、ユーザーをアプリに誘導しようとしているルーティングチームがあります。 それはすべてアクセスについてです。 彼らの仕事はユーザーをそのデータに導くことですが、そのデータとして、そのユーザーはインターネットを使用してネットワークからますます離れており、そのデータはますますデータセンターではなく、クラウドにあり、SaaSアプリにあり、365にあります。 その振り子がシフトすると、データの70%が移動しますよね? つまり、現在、70%の確率で、ネットワーキングが行われているインターネットを使用していますが、本質的には、そのネットワークを実行している人にネットワークをアウトソーシングしており、心配する必要のある制御がまだあります。

そのため、ネットワーキングの考え方は、セキュリティのためにその検査ポイントを持っている必要があるため、その検査ポイントを所有するセキュリティチームに入ることになりませんか、アウトソーシングしているクラウドインフラストラクチャ組織に行くか、アプリチームに行きます。 だから私が言っているのは、ネットワーキングが振り子シフトポイントではないかということだと思います...私は過去にエマソンにいたとき、2,000の拠点を持つかなり大規模なネットワーキングチームを持っていました。 しかし、もしあなたが今日ネットワーク担当者だったら、息子がネットワークエンジニアだったら、どこで彼に考えて学び始めるようにアドバイスし、どの組織が他の組織に参入し始めたら参加を考え始めるべきかをアドバイスしますか。

Gary Harbison: さて、良い質問ですが、過去に知っていたネットワークエンジニアは、私が言ったように大きく変わると思いますが、会社のタイプにもよりますが、完全にクラウドベースの企業であり、オンプレミスサイトがほとんどオフィスビルである場合、ナレッジワーカーがそこで働いています。 はい、ネットワーキングの必要性はほとんどありません。 建物にローカル接続を設定し、クラウドに接続してクラウドベースのセキュリティを確保できます。 多数のグローバルサイトと製造拠点、ラボ、その他のタイプの拠点を持つ企業の場合、おそらくこれらの一部を接続するためのグローバルWANが必要になるでしょう。 したがって、ネットワークの専門知識がなくなることはなく、そのローカル環境をクラウド環境につなぎ合わせることができなければならないため、SD-WANが登場し始めます。

したがって、ネットワークの専門知識が必要です。 あなたのポイントに、どこへ行くのか、それの多くはおそらく会社の種類、ITの構造に依存します。 ほとんどがテクノロジー企業である企業では、それはDevOpsチームに組み込まれているだけかもしれませんよね? より伝統的な製造タイプの活動を行っている企業では、その作業の一部を行う必要があるが、過去よりもはるかに緊密に他のチームと協力しなければならないネットワーキングチームを目にするかもしれません。 ですから、それに対する答えが1つあるかどうかはわかりません。 あなたのポイントでは、それは他の多くのチームで終わる可能性があると思います。

ジェイソン・クラーク:何を学ぶべきかについてのアドバイスを息子に何と言いますか?

Gary Harbison: ITに携わるすべての人に、基本的なIT要素の基本的な理解を可能な限り広げることを常にお勧めします。 そして、それは私たちが過去10年から15年の間に業界で失ったことの1つであり、私たちは人々を非常に専門化するように促してきました。 非常に複雑な問題のトラブルシューティングに取り掛かると、すべてがどのように組み合わされ、連携するかを理解している人は多くありません。 ですから、できるだけ多くの異なる分野を学び、どのチームに入りたいかを理解することをお勧めします。

ジェイソン・クラーク:わかりました。 それで、あなたと私はイノベーションから業界を助けるために一緒に多くの時間を費やしました。 あなたと私は一緒にたくさんのスタートアップのものやVCに取り組んでいます。 しかし、私はまた、セキュリティにおけるスキルのギャップと多様性のギャップを支援することに焦点を当てたセキュリティアドバイザーアライアンスを作成しました。 その理由、それがあなたにとって重要な理由、そしてあなたがその組織の一員である理由について少し話してください。

ゲイリー・ハービソン:もちろんです。 セキュリティ組織を構築している人なら誰でもわかるように、セキュリティ組織の管理には大きな人材ギャップがあります。 全体的に数字には才能のギャップがあります。 専門知識の深さには人材のギャップがあります。 あなたが言及した多様性全体の周りには才能のギャップがあります。 そして、その一部は、多くの人々が早い段階でセキュリティにどのように取り組んだかについてあなたが私に尋ねた最初の質問に戻ります。 あなたが仕事でそれを学んだどこかで役割を得たので、あなたはそれに入りました。 政府、軍隊、おそらく金融サービスから多くの人々が出て、初期のセキュリティトピックのいくつかで少し先を行っていましたが、セキュリティを学ぶための大学プログラムはあまりありませんでした。 そして、あなたは本当にそれを学ぶために仕事を得なければなりませんでした、そしてそれは爆発と需要が年々増加し続けたとき、それはちょうど拡大しませんでした。

そして今、私たちはそこに到達しようとしています、それを進化させ続けているプログラムを推進している多くの大学があります、しかし業界として、私たちはそのギャップを埋めるのを助けるために次世代のセキュリティ実務家を生み出すのをどのように助けるかを本当に見なければならないと思います、そしてそれが初期の頃から、常にセキュリティアドバイザーアライアンスにとても情熱を注いでいた理由です。 そのギャップにどのように対処しますか? 中学生を高校生に上げ、可能なキャリアパスとしてサイバーセキュリティに興奮させ、また彼らを保護し、インターネットが年少の子供たちにとって危険な場所であるため、彼らが自分自身を保護する方法を理解するのを助けるにはどうすればよいですか。 ですから、私たちは彼らの意識を高めて、彼らが自分自身を守ることを可能にするだけでなく、彼らが最終的に進むことができる分野に興味を持ってもらうこともできます。

既存の開業医を支援することは、リーダーとして成長し続けると思います。 次世代のリーダーには、革新的な新しいアイデアを取り入れ、私たちが直面している問題に取り組むための新しい方法を提示する必要があります。 そして、3番目の部分であり、おそらく最大のものの1つは、多様性のギャップです。 人材を見つけるのに苦労している業界にとって、私たちは、新しい考え方で新しいアイデアをもたらし、物事を前進させるのに本当に役立つ可能性のある人口の大部分を活用していません。 ですから、サイバーセキュリティにおける全体的な包括性と多様性にどのように取り組むかを考える必要があると思います。 そして、それができれば、数字だけでなく、業界全体の考え方や創造性の多様性も全体的に改善されるでしょう。 ですから、セキュリティの実践者やリーダーとして私たち全員が考えるべきことは、業界全体をどのように支援するかということだと思います。

ジェイソン・クラーク:ええ。 そして、あなたが業界のためにしてくれたすべてに感謝します。 あなたは明らかに私たちが今話したことに多くのエネルギーを注いでいますが、また、あなたはこのセキュリティプログラム、WashUのラモントとの修士プログラムを作成しましたよね? それで、おそらくその機会はどのように現れましたか、そしてそれがどこに行く必要があるか、そして高校が何をすべきかについてあなたが言いたい他の何か?

ゲイリー・ハービソン:もちろんです。 それで、WashUでの機会が来たと思います、彼らはサイバーセキュリティマスタープログラムを作成していました。 そして、私は彼らのアプローチが本当に好きでした、それは彼らが彼らの学生が本当に現実の世界、現実の生活のタイプを教え、例とコンテンツを本当に得ることができるように、本当に補助インストラクターになる業界開業医を探していましたこの次世代のセキュリティ実務家を構築するために毎日それに組み込まれている実務家から来ています。 だから私はそれが素晴らしかったと思います。 最初は彼らとラモントと私と話をし、エリック・クルーゼとも仕事をしました。 彼は実際に私たちのクラスの1つの学生であり、その後、クラウドセキュリティクラスで私たちと共同補佐官になりました。 私は、大学生がこれについてもっと学ぶのを手伝うことを本当に楽しんでいます。

ですから、他の人が学び、成長し、発展させるのを助けることは非常にやりがいがありますが、同時に、業界内で再現可能なものを構築するのに役立つことを願っています。 そして、これらの他のプログラムは強制的に増殖し始め、人材のギャップに対処するのに役立ちます。 ですから、それは非常にやりがいのあることだと思いますし、次はそのパイプラインの両端を見ることだと思います。 それで、A、高校の個人がそれらのプログラムに入る方法を理解するのをどのように助けますか? これらの生徒の何人かが高校を卒業しているので、私は地元の人々から多くの質問を受けます、彼らは本当に方法やどこから始めればよいのかわかりません。 では、彼らがパイプラインに接続されるのをどのように支援するのでしょうか。 次に、これらのプログラムから出てくる個人をどのように橋渡しし、これらの企業内での役割に足を踏み入れてキャリアを開始する準備をするかをどのように見ていきますか。 ですから、教育空間全体がプログラムを作成する上でより良い仕事をしていると思いますが、全体的な問題に真に取り組み始めるには、パイプラインの両端に対処する必要があります。

ジェイソン・クラーク:大好きです。 完璧です。 だから面白い、ゲイリー。 私たちはここに座っていて、あなたの電子メールがOutlookに届くのを聞いていますが、明らかにそれはあなたに届く情報の絶え間ない流れであり、あなたの仕事は非常にストレスが多いです。 CISOの仕事は、おそらく多くの要因で存在する最も難しいCレベルの仕事の1つだと思いますが、どのように追いついていますか? スケーリングの秘訣は何ですか? ニュース、インテリジェンスレポート、テクノロジーの変化、新しいイノベーション、リスクとは何か、ビジネスが同時に何をしているのかを理解すること、これらすべてにどのように追いつくか。 あなたはあなたがそれをすべて浮かんでいる方法の秘密を持っていますか?

ゲイリー・ハービソン:良い質問であり、それが課題です。 そこには非常に多くの情報があり、それを意味のある方法で消費することは常に困難です。 私は特定のニュースソースと集約を特定して見出しの要約を提供してから、スピードを上げたいトピックに集中したり、最もスピードを上げたりしようとします。 したがって、これらのニュース記事やデータの一部を集約し、外部で更新できるものは常に役立ちます。 2番目の部分はあなたのネットワークを使うことだと思います。 ですから、外部と内部の両方で同僚と話し、彼らから聞くことで、彼らにとって重要なことは何か、そして彼らがそこで見ているものを実際に聞くことができます。 それは常に何が起こっているのかを把握するための第二の方法だと思います。 そして3番目の部分は、あなたの周りに良いチームを持ち、あなたのチームが接続され、彼らはあなたが最新の状態に保つためにあなたが知る必要があることを知っています。 つまり、ネットワーク、チーム、そして情報を集約して、スピードを上げたい意味のある優先度の高いトピックにする方法を考え出すだけです。

ジェイソン・クラーク:あなたの秘密の1つ、ゲイリー、そして優れたCISOがこれをしていると思いますよね? あなたは他のCISOを雇っていますか、そしてあなたは他の場所でCISOであった人々、または人々がどこでもCISOになることができる多くの複数の人々を雇いましたか、そして彼らはあなたの仕事を知っているのであなたに利点を与えます。 そのため、彼らはサイロだけに集中しているわけではありません。

ゲイリー・ハービソン:全く同感です。 良いチームを持つことは常に一番であり、成功の要素であり、非常に知識が豊富で、非常に優れており、高度な説明責任を持ち、時にはあなたがそうではないことに長けている人々に囲まれています。 あなたのギャップを理解し、あなたの周りに他のことが得意な人やあなたの考えに挑戦できる人がいることは常に良いことです。

ジェイソン・クラーク:ええ。 ですから、CISOになったばかりの頃の自分に戻ることができるとしたら、新しいCISOのゲイリーに何を伝えますか。

ゲイリー・ハービソン:最初は、最初の役割を引き受け、チームを本当に再構築し、多くのリーダーシップチームの役割を開き、組織内で他の多くの主要なリーダーの役割を開いたことを覚えています。 私たちのビジネスは多くの変化を経験していたので、すでに多くの感情がありました。 安定性はほとんどなく、すべてが変化していました。 同時に複数の役割をこなそうとする仕事がたくさんあり、ストレスの多い始まりでした。 ですから、時間が経つにつれて、優先順位を付ける方法を学ぶと思います。 そして、例えば、私は最終的に、自分の役割に加えて3つ、4つ、または5つの他のオープンな役割を埋め続けることは持続可能ではなかったため、一歩下がっていくつかの役割を埋めることに集中する必要があると考えました。 ですから、私は何が起こっているのかのいくつかを、私が外出している間、それを実行し続けるか、火事を少し世話することができる人々に委任しようとしなければなりませんでした、そして私は人々を雇ってそれらの責任を引き受けました。

したがって、適切な活動を優先し、混乱と変化の真っ只中にそれを実行できるようにします。 ですから、それは私が時間をかけて学んだことだと思います。 そして、2番目の部分は絶え間ない変化を期待することであり、常に現状があるとは限りません。 世界は急速に変化し、テクノロジーは急速に進化しています。 企業はデジタルトランスフォーメーションを経験しています。 全体的な才能、才能に対する戦争、そして人々の変化が起こっています。 したがって、実際には静的なままのものはありません。 ですから、毎日、新しい課題に備え、適応して前進し続けることができなければなりません。 そして、それが正常であり、実際には正常ではなく、正常が変化であることを理解することは、すべてを視野に入れるのに役立つと思います。

ジェイソン・クラーク:その変更で、2030年に早送りしましょう。 (歌う)

今から9年後、将来、セキュリティが直面する最大の問題は何だと思いますか? クラウドは明らかに今起こっています。 私たちが知っていることはすべて今起こっていますが、将来問題になるであろう、今誰も話していないことは何ですか。

Gary Harbison: 私は思います、そしてそれはすべてすでにいくらか起こっています、しかし将来、セキュリティ実務家としての私たちが完全に頭を悩ませ始めたばかりであることの1つは、消費者、私たちの個人的な生活の中で消費者として私たちの頭をもっと回すと思います、私たちが考えたことのない分野です、 物理的な世界でサイバーセキュリティの影響を受けることは、将来ますます増えていくでしょう。 インターネット上に接続され、IPアドレスを持つアプライアンスがすでにあり、それらは元に戻りつつあり、一元的に管理できます。 私たちの家、私たちの車、そして私たちの車のセキュリティと車の運転の安全性、ますます多くの大量輸送機関と重要なインフラストラクチャ。

デジタルが私たちの物理的な生活のますます多くの側面に入り、それらのものがサイバーセキュリティの影響を受ける可能性があるため、それは誰もがまだ完全には理解していないことだと思います。 会社の大規模な侵害や、個人データやその他のものへの影響を見ると、非常に大きな影響があります。 しかし、サイバーセキュリティ攻撃に関する人命の損失シナリオに陥り始めると、リスクの見方やサイバーセキュリティへのアプローチ方法が確実に変わり続けると思います。 ジェイソン・クラーク:ええ。 では、その問題について考えるとき、すべてのセキュリティプログラムまたはCISOが、それを先取りするために潜在的にさえ考えるべき、または少なくとも投資すべきことはありますか?

ゲイリー・ハービソン: 投資すべきことの1つは、将来を見据えた戦略を持ち、その戦略が以前の会話に戻るものではなく、一度構築して棚に置き、来年のプロジェクトを探して準備しているときに毎年レビューし、3年間のロードマップを作成し、現実のために固執すると信じることだと思いますあなたはおそらくそうしないでしょう、そしてあなたは四半期ごとに優先順位を再評価するつもりです。 あなたは常に何が来るのかの地平線に目を光らせ、それから準備をし、それがあなたの玄関口に来るまで待たずに、今あなたは反応しなければなりません。 特定のテクノロジーや準備するものがあるかどうかはわかりませんが、戦略をどのように運用および維持するか、周囲の変化に基づいて評価および調整を続ける方法です。

ジェイソン・クラーク:それは完璧だと思います。 基本的に、あなたは長期的な計画において戦略的であると同時に、それが変化すること、風が変わることを知っていると言っています。 地平線を見据えているとき、戦術を調整して変更する必要がありますが、将来発生する問題を知っているときは、その目的地が何であれ、真の北極星にとどまります。 それは理にかなっています。 したがって、最後のいくつかの質問は1つの簡単な答えですよね? (歌う)

だから最初のものはあなたの履歴書にない1つの才能やスキルであるかどうかです。 それは個人的なものでも何でもかまいません。

ゲイリー・ハービソン:私のキャリアを通して私を助けてくれたと思うことの1つは、常にフィードバックやエンドオブビューのレビュー、または同僚や他の人から受け取ってきたことです前進し始める方法や解決策を提供する方法。 ですから、私はより技術的なスキルに依存していたのと同じように、それらのよりソフトスキルタイプのものに依存していたと思います。

ジェイソン・クラーク:とても重要なことですよね? 多くの事件が起こっているときに起こっているすべてのことに落ち着くことができるようにするために、集中できるようにし、本当に明確に考え、求め、反応しないようにします。 ですから、それは特別なスキルです。 だから2番目の質問、あなたの好きなドメインは何ですか

ゲイリー・ハービソン:良い質問です。 私のより技術的なバックグラウンドを振り返ると、それでも興奮とアドレナリンを起こさせることができる最もエキサイティングなスペースは、脅威スペースと攻撃、そしてそれらに対処し、それらに対応する方法を見ることだと思います。 それはストレスが多いですが、それはエキサイティングであり、それはチェスのその継続的なゲームです。 ですから、自分が雑草に引き戻されていると感じ始めたとき、それはいつも面白かったので、そこでやる傾向があると言わざるを得ません。

ジェイソン・クラーク:そうです。 そして、それが私たちの目的ですよね? それは、私たちよりもさらに速く革新しているこの成長する敵から身を守ることです。 そして最後の質問ですが、セキュリティが確保されていなかったら、何をしますか?

ゲイリー・ハービソン:それは私が本当に正確に確信していない素晴らしい質問です。 大学を卒業した私は、自分が何をしたいのかよくわかりませんでした。 それは会計士からおそらく整備士や電気技師、ITシステムまですべてでした。 そして、私のキャリアを通して、私は幸運にも機会が訪れ、新しい機会から何を学ぶことができるか、そして物事をより良くし続ける機会に何をもたらすことができるかについて常にそれを評価してきました。 ですから、自分が何をするのか正確にはわかりませんが、常に新しい挑戦とかなりの変化があるものになると思います。 そして、私がセキュリティで常に惹かれてきたのは、2日が同じ日はなかったという事実だと思います。 常に新しい挑戦があり、毎日常に新鮮な視点が必要です。

ジェイソン・クラーク:まあ、素晴らしい。 まあ、それが私たちが時間を持っているすべてです。 だからゲイリー、これは素晴らしかったです。 私たちはこれを丸一日行うことができ、特にビールを飲んでいれば、行ったり来たりするのが楽しかったことを私は知っています。 そして、それは私たちが次回やることですが、ありがとう。 最後に、リスナーに残しておきたいことはありましたか?

ゲイリー・ハービソン:いいえ。 立ち寄ってこのポッドキャストを聞いてくださったすべての人に感謝します。 そして、ジェイソンとチーム、今日は私をゲストとして迎えてくれてありがとう。 私はそれを通して話すのを楽しんだし、次回ビールを飲みながらそれをするのを楽しみにしていました。

ジェイソン・クラーク:素晴らしい。 まあ、素晴らしい。 さて、素晴らしい週末を過ごして、天気を楽しんでください。

ゲイリー・ハービソン:ありがとう、あなたもジェイソン。 じゃ、気をつけて。

スポンサー: セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 デジタルトランスフォーメーションの旅を可能にする適切なクラウドセキュリティプラットフォームをお探しですか? この Netskope Security Cloud は、ユーザーを任意のデバイスから任意のアプリケーションに直接安全かつ迅速に接続するのに役立ちます。 詳しくは N-E-T-S-K-O-P-E.com をご覧ください。

プロデューサー:セキュリティビジョナリーを聞いていただきありがとうございます。 少し時間を取って番組を評価してレビューし、隔週でリリースされるエピソードを楽しみにしているかもしれないあなたが知っている誰かと共有してください、そして私たちは次のエピソードであなたに会います。