Humanisierung der Cybersicherheit: Die missionsorientierte Denkweise

Dr. Kelley Misata 00:02

Eines der gemeinsamen Themen, die ich durch diese Arbeit absolut liebe und das mir wirklich das Herz aufgewärmt hat, ist, dass diese Organisationen ihre Mission immer an die erste Stelle setzen.

Raghu Nandakumara 00:16

Also, willkommen zurück zu einer weiteren Folge von The Segment. I'm your guest geber, Raghu Nandakumara, and set our inoffizielles Theme of the third staffel, their guests to bring their important, but probably not often had enough perspectives to the theme cybersecurity. Es ist uns eine große Freude, heute zum Podcast begrüßen zu dürfen. Dr. Kelley Misata, PhD. Sie ist Gründer und CEO von Sightline Security, einer gemeinnützigen Organisation, die anderen gemeinnützigen Organisationen hilft, Cybersicherheit in ihren täglichen Betrieb zu integrieren, und sie verfügt über eine Fülle von Wissen und Erfahrung. Ebenfalls, Kelley, willkommen im Segment. It's wunderbar, you have here to have.

Dr. Kelley Misata 01:01

Es ist schön, hier zu sein. Vielen Dank, dass du mich eingeladen hast.

Raghu Nandakumara 01:06

Unbedingt! Also, zu diesem allgemeinen Thema mit dem Hintergrund. Ich bin der Meinung, dass besonders lang anhaltend karrieren im Cyberbereich erforderlich sind, dass der Einzelne sehr missionsorientiert ist. Wie würden Sie Ihre Mission beschreiben und was motiviert Sie in Ihrer Karriere im Cyberbereich?

Dr. Kelley Misata 01:24

Ich liebe diese Frage wirklich! Das ist das erste Mal, dass es in diesem Frame gefragt wurde. It take me to this gespräch, that I have managed with a love Friend of me, the already, much longer in security area is as I. Und sie sagten zu mir, sie sagten: „Kelley, du bist einfach die ganze Zeit so aufgeregt über alles“, und ich sagte: „Das tue ich.“ Ich habe wirklich das Gefühl, dass wir die Möglichkeit haben, etwas in der Welt zu bewegen, wenn es darum geht, Organisationen, Einzelpersonen und Gruppen von Menschen dabei zu helfen, Cybersicherheit mit viel mehr Selbstvertrauen anzunehmen und all diese Mysterien und fliegenden Einser und Feenstaub zu beseitigen. Und ich denke, das ist es, was mich jeden Tag antreibt, ist, dass ich diese Möglichkeit in all den verschiedenen Ecken meiner Arbeit sehe. Und normalerweise stehe ich morgens auf und denke: „Wow, was für eine aufregende Sache werde ich heute in den Weg kommen.“ Ob ich etwas Neues lerne, jemandem helfe, anders zu denken, engagiere mich in einer Arbeitsgruppe, von der du weißt, dass sie versucht, die Welt zu einem besseren Ort zu machen. Es ist wirklich jeden Morgen eine Reise.

Raghu Nandakumara 02:28

Unglaublich. Denn, und ich habe gehört, dass Sie das in anderen Interviews und Podcasts erwähnt haben, stellen Sie die Art und Weise, wie die Sicherheit innerhalb von Organisationen dargestellt oder dargestellt wird, wirklich in Frage, und ich denke, Ihre Kritik ist daran, dass sie oft als isolierte Funktion angesehen werden, während Sie wirklich wollen, dass sie das gesamte Unternehmen tatsächlich durchdringt. Can you something more speak about and how would be organized in their ideal condition the security?

Dr. Kelley Misata 02:59

Ja, weißt du, wir interagieren jeden Tag mit dieser Technologie und noch mehr, oder? Wenn ich zurückdenke, erinnere ich mich an die Zeit der Büropost. Erinnerst du dich an die Tage mit den Umschlägen, oder? Und du wirst über PII sprechen. Es ist wie, du streichst den Namen von jemandem ab, es ist wie, oh, das ging einfach zu den Präsidenten, dann ging es zur Personalabteilung, wer wird gefeuert, oder? Aber ich denke oft daran, wie wir Technologie eingeführt haben, obwohl wir so viel aufgegeben haben; wie schützen wir uns? Und mein Traumzustand ist, dass wir immer darüber nachdenken, ob ich das tun sollte? Welche Auswirkungen hat mein Verhalten? Welchen Einfluss habe ich, wenn ich mich mit einer neuen Software beschäftige? Wie wirkt sich das auf mein Unternehmen aus, wenn ich mich dafür entscheide, diese Richtung in einem Produktentwicklungsmodell einzuschlagen? Mein Traum ist, dass wir einen Schritt zurücktreten und sagen: „Hm, vielleicht sollten wir noch einmal darüber nachdenken.“ Also, es macht fast eine Pause, anstatt zu sagen, oh Gott, wir müssen mit dem Sicherheitsteam sprechen. Und wir wollen wirklich nicht mit dem Sicherheitsteam sprechen, weil es den Fortschritt in unserer Organisation behindert, oder? Oder sie werden uns noch mehr Angst machen. It only have as muscle memory for organizations and individual people, is for me the dream condition. Und ich denke, wir bewegen uns fast unbewusst dorthin, aber es dauert lange, und ich denke, die Leute im Sicherheitsbereich sind ungeduldig, wenn es darum geht, und ich hoffe, dass ich vielleicht ein bisschen Geduld in das Gespräch bringe, um zu sagen: „Es ist okay, wir haben Fortschritte gemacht. Lass uns einfach weitermachen. “

Raghu Nandakumara 04:44

Ich finde es absolut toll, wie Sie die Sicherheitspraktiker als ungeduldig bezeichnet haben, und was wir wirklich brauchen, ist mehr Geduld, aber wir kommen gleich dazu. Aber ich möchte noch einen Schritt zurückgehen zu dem, was Sie darüber gesagt haben, dass jeder einzelne ermutigt wird, jede Entscheidung zu treffen: „Wie trägt das zur Sicherheit meiner Daten, meiner Organisation? „Dann werden wir eine weitaus bessere Sicherheitskultur haben als heute, in der Sicherheit quasi die Torwächter oder die oder die Hindernisse für den Fortschritt. Think also, es besteht die Möglichkeit, die Art und Weise, wie wir Schulungen zum Sicherheitsbewusstsein durchführen, zu ändern, um mehr von dieser persönlichen Verantwortung einzubeziehen?

Dr. Kelley Misata 05:30

Oh, absolut. Ich denke, es muss bis auf die kulturelle Ebene gehen. Und das ist schwer, oder? Denn eines der schwierigsten Dinge in der Sicherheit sind die Menschen. Wir sind das chaotischste und komplizierteste Element. Wenn wir also von Schulungen zum Sicherheitsbewusstsein sprechen, meinen wir nicht die Sensibilisierung der Systeme, sondern die Menschen. Sie sprechen also automatisch von der kompliziertesten Art von Nackenschmerzen, mit denen Sie sich im Sicherheitsbereich auseinandersetzen müssen. Also, du musst vielleicht aus dieser speziellen Box herausnehmen oder lass uns ein Training machen und es ist gut, lass uns einfach darüber reden, wie wir diese Systeme und diese Geräte verwenden. Lass uns über die WAS-WARE-WENN-Fragen und die Auswirkungen auf unsere Organisation sprechen. Ich meine, ein wirklich interessanter Fall, über den ich nachdenke, und ich weiß, meine Perspektive ist ein bisschen einzigartig, ich denke darüber nach, selbst wenn ich etwas in meinen persönlichen sozialen Medien poste, ich denke über die Auswirkungen auf die Leute nach, die es vielleicht erhalten, oder wenn ich ein Foto mache, ich weiß, ich schütze die Bilder der Leute sehr, sehr, weil ich nicht weiß, was in ihnen vor sich geht. Ich will also nicht einfach sagen: „Hey, hier bin ich und ein paar Fremde hinter mir.“ Es geht also also, tiefer darüber nachzudenken, aber es geht auch um die Interpretation, dass ich diese Technologie verwende. Ich habe Leute um mich herum. I have systems around me. What is the risk not only for me, but for all the tentakel, that are connected with me? Und es klingt überwältigend, aber wenn es einfach Teil des Muskelgedächtnisses wird, weil wir es bereits in einigen Fällen tun. Ich meine, du erinnerst dich wahrscheinlich daran, dass ich dein erstes Passwort gemacht habe. Lächerlich! Ich will nicht einmal sagen, was es war, aber jeder kann es erraten. Aber jetzt, wenn du das sogar zu meiner 82-jährigen Mutter sagen würdest, und sie lieben das, sage ich ihr Alter im Podcast, weil ich sage, du bist 82. Aber selbst sie machen das nicht mehr. Und sie haben keine Schulungen zum Thema Cybersicherheit durchgeführt. Sie waren einfach gefangen in der Kultur ihres Lebens und der Systeme, die sie benutzt haben, um sie zu einem anderen Verhalten zu zwingen. For me is the Sweet Spot. Aber auch hier braucht es Geduld. Es erfordert zukünftiges Denken. Es braucht Geduld. It requires, a step back and to say: „Ah, das habe ich nicht richtig verstanden. Lass uns zu dieser Vorgehensweise übergehen. “

Raghu Nandakumara 08:04

Und ich denke, das Beispiel, das du von deiner Mutter gegeben hast, und ich danke ihr, richtig, dass du dazu in der Lage bist, und es geht darum, die Handlung, die du unternimmst, mit etwas zu verbinden, mit denen du dich im wirklichen Leben identifizieren kannst, oder? Das macht den Verein, macht den Grund wieder dafür, wie die Motivation, dass die Mission dahinter so viel mächtiger ist, und da stimme ich zu, oder? I think, it is probably a large chance, the art and wise, how we carry training to security consciousness, with this approach new to create. Im Mittelpunkt steht die Frage, wie man es so leicht wie möglich zuordenbar macht, im Gegensatz zu einer Art Abstraktion. But we come to comment of the patient, because you have in here to not have a once. Also, du und ich, wir arbeiten in, wir arbeiten mit Sicherheitspraktikern zusammen. We are in the industry. Warum sind wir ungeduldig?

Dr. Kelley Misata 08:53

Oh, das liegt daran, dass wir ständig darüber nachdenken, wo die Bösewichte sind. Wo ist die Bedrohung? Was ist das nächste schreckliche Ding, das jemanden treffen wird? I think the whole time about, and I have people to start my travel through the security space. Ich habe damals beobachtet, wie müde die Leute waren, und ich habe immer wieder darüber nachgedacht, warum. Und erst, als ich etwas länger dabei war, also wie auf meiner eigenen Reise in die Sicherheit, war mir klar, dass je mehr man darüber nachdenkt, was als Nächstes passieren wird, desto erschöpfter wird man sich mental und physisch fühlen. Und ich denke, da kommt die Ungeduld her. Und ich denke auch, dass Sicherheitsleute die Welt durch eine andere Linse sehen. Sie wissen, wir sind darauf trainiert und trainiert, diese Geräte und Systeme durch eine andere Linse zu betrachten, und für uns ist das natürlich. Ich erinnere mich an das Beispiel an die Zeit, als ich beim Tor-Projekt war, und ich beobachtete, wie Entwickler mit Journalisten in gefährdeten Teilen der Welt interagierten, und sie fingen wirklich an, den Verstand zu verlieren. Sie sagen: „Warum verstehen sie es nicht einfach? „Und ich sagte immer wieder zu ihnen: „Sie können es nicht sehen.“ Ja, es ist alles ein Mysterium, also wenn wir ihnen helfen können, es zu verstehen. Also, ich habe ein Training gebaut mit, du erinnerst dich an diese schwarzen Lichter, diese Stifte, die du als Kind hattest und die du deinem besten Freund gibst, oder? Also, ich habe ein paar davon gekauft und diese Umschläge in diesem Training mitgebracht, und ich hatte Leute aus dem Publikum, die freiwillig die Knoten waren, und ich habe die Nachricht aufgenommen und sie ins Schwarzlicht geschrieben, richtig? Weil das ein bisschen wie PGP ist. Es ist wie, okay, ich werde das verschlüsseln, es steckt in den drei Umschlägen, es wird herumgeworfen und sie erleben buchstäblich, auf physische Weise, wie Tor funktioniert. Und am Ende war das erste Mal, dass eine Gruppe von Leuten, naja, die ich sah, zurücktrat und sagte: „Ah, jetzt weiß ich, warum Tor langsam ist.“ Ich sage, ja, ja, weil das alles herumhüpft. Aber es war wirklich für sie, oh, jetzt sehe ich, wo die Bösewichte sind. I see now, who the systems are. Ich verstehe jetzt, wie das funktioniert. Sie können das nicht mit allem in der Sicherheit machen, aber wir können es besser machen. We can stop, alles irgendwie als magisch darstellen.

Raghu Nandakumara 11:19

Ja, ja, absolut. Und ich bin so froh, dass Sie das Tor-Beispiel mit den Umschlägen besprochen haben, weil ich eine Abschrift gelesen habe, glaube ich, auf IBM Security Intelligence. Du hast vor einer Weile eine Aufnahme mit ihnen gemacht, und ich habe das gelesen und ich dachte, aus irgendeinem Grund könnte ich nicht wirklich auf das Audio zugreifen. Ich bin mir nicht sicher, wie sie dieses Envelope-Example irgendwie manifestiert haben. Aber jetzt, jetzt verstehe ich es absolut. Ebenfalls, danke. Danke dafür. Ja. Und ich denke ja, das tun wir wieder, oder? Nochmals, es hängt irgendwie mit dem vorherigen Artikel zusammen, über das wir in Bezug auf Bewusstsein gesprochen haben, weswegen wir als Sicherheitspraktiker meiner Meinung danach suchen müssen, dass es weniger magisch klingt, oder? It is, as if man it really in the context of and today is speak about security principles in connection with business result, and I think, there is much to turn. Aber ich denke auch, dass Cybersicherheit im Allgemeinen entmystifiziert ist, weil es so viel drum herum gibt, als ob es so viele brillante Ingenieure gibt, brillante Leute, die in der IT und im Risiko arbeiten usw., aber ich verstehe Cyber nicht. Also, da ist eine, da ist eine riesige, riesige Chance. Ich stimme zu, ich verbinde das jetzt mit einem Teil der Arbeit, die Sie heute machen, oder? Und ich würde mich freuen, wenn du das schnell glaubst, denn ich bin mir sicher, dass das Publikum wahrscheinlich nicht allzu vertraut mit ihnen ist, was Sightline macht und was deine Rolle dort ist. Bevor wir uns also mit diesem faszinierenden Gebiet befassen, geben Sie uns einen kurzen Überblick über die Sichtlinie.

Dr. Kelley Misata 12:51

Ja, also Sightline Security ist eine gemeinnützige Organisation mit Sitz hier in den Vereinigten Staaten, die ich auf der Grundlage meiner Dissertationsforschung aufgebaut habe. Ich brauche Becky Base, die in dieser Zeit war eine meiner Mentorinnen, Anerkennung zollen. Es wurde gebaut, weil ich ein Doktorandenprogramm begann, nachdem ich viele Jahre lang verfolgt wurde, beschlossen, zu promovieren, um zu verstehen, wie mein Antragsteller das tun konnte, was er tat und als ich zu einer Dissertation kam, von dem ich übrigens dachte, sie würden mich jedes Semester rausschmeißen. Ich dachte, Oh, das hat Spaß gemacht. Ich warte ab, wann sie sagen werden: „Vielen Dank, wir sehen uns später.“ Also, als ich zur Dissertation kam, dachte ich: „Was mache ich? „Es war so eine entmutigende Sache. Und ich kehrte in den Bereich zurück, oh, ich habe damals TQM gemacht, ich war ein zeitlanger Gutachter bei den Baldridge Awards, also wusste ich, wie man Assessments durchführt, und so schrieb ich meine Dissertation über eine Lückenanalyse der Cybersicherheitsvorsorge von Organisationen, die mit Opfern von Gewalt arbeiten. Ich wollte den gesamten gemeinnützigen Bereich und mein Doktoratsausschuss sagte, ja, zuerst promovieren und dann die Welt retten. Aber kurz gesagt, die Sache, die diese Erfahrung für mich erhellte, war, dass gemeinnützige Organisationen all diese kostenlosen Dinge von verschiedenen Orten erhielten, aber niemand ihnen halb, einen Schritt zurücktreten und zu sagen: „Was brauche ich und warum brauche ich es und was ist der Wert für mein Unternehmen? „Und so wurde Sightline ins Leben gerufen. Denn unglaublich, ich saß da und bereitete mich auf meine Verteidigung vor, auf meine Dissertation. Becky kam ins Zimmer, überraschte mich, fuhr von Mobile, Alabama, nach West Lafayette, um mich zu überraschen, und am Ende meiner Verteidigung sagte sie: „Du musst etwas mit diesen Denkweisen beginnen, die du auf dieser Forschung aufgebaut hast“, und daraus wurde Sightline. Unser Ziel ist es also, gemeinnützige Organisationen dabei zu helfen, herauszufinden, wo sie sich befinden. For us this, the existing controls, CSF and GUS controls in the security area, and they change in a gemeinnützige language. Aber die einzige Möglichkeit, dies zu tun, besteht darin, viel Zeit damit zu verbringen, diese Organisationen zuzuhören. It is also really in the zaun between the security area and the area for gemeinnützige organizations, as we can help this gemeinnützigen organisations, where they are located.

Raghu Nandakumara 15:24

Faszinierend. Und sie haben über den Hintergrund gesprochen, also wie die persönliche Erfahrung Sie im Wesentlichen dazu motiviert haben, diesen Bereich in Ihrer Promotion zu erkunden. Würde es Ihnen etwas ausmachen, wenig über diese Erfahrung sprechen? Wenn es dir nichts ausmacht zu teilen.

Dr. Kelley Misata 15:41

Ja, das, weißt du, ich glaube, für mich ist es auch heute noch ein Rahmen, wo ich Sicherheit sehe und irgendwie, wie ich diesen ganzen Raum sehe. Sie wissen, ich habe meine Karriere als die meisten Menschen begonnen, nur den ersten Job angenommen, aber ich bin zu einem großen Teil in der Geschäftsentwicklung tätig. Ich habe einen MBA in Marketing, was auch wirklich seltsam ist, weil ich einen Doktortitel in Cybersicherheit und einen MBA in Marketing habe.

Raghu Nandakumara 16:07

Es ist der richtige Weg. Das ist der richtige Weg.

Dr. Kelley Misata 16:11

Genau, aber ich habe für ein großes Unternehmen gearbeitet, und einer meiner Arbeitskollegen hat sich auf eine Art und Weise zu mir gemacht, die nicht freundlich und nicht gut war, und das dauerte fast sieben Jahre. Und ich bin wirklich zur Sicherheitskontrolle gekommen, weil ich immer wieder um Hilfe gebeten habe, weil ich immer wieder dachte, wie kann es sein, dass diese Person, die 3.000 Meilen entfernt ist, nicht nur mein Leben stören könnte, sondern auch immer wieder Leute kontaktiert hat, die mit mir in Verbindung stehen. Und so wurde ich wie Bienenstiche, weil ich all diese E-Mails von Leuten in meinem Leben erhalte. Du weißt, viele Beziehungen, die durch diese Situation völlig zerstört wurden, und viele Ängste. Ich erlebte auch dieses erhöhte Maß an Angst, aber auch Familienmitglieder von mir und anderen. Und ich erinnere mich daran, dass ich zum Tor-Projekt gegangen bin, weil er Tor benutzt hat, und ich erinnere mich daran, dass ich Andrew Lumen aufgerufen habe und habe, du musst mir helfen, weil das FBI und andere Strafverfolgungsbehörden gesagt haben: „We can not help, er benutzt Tor.“ Und es hat mich verblüfft, wie eine Technologie die Bösen schützen und die Beweislast bei den Guten belassen kann, oder? Also, zu all diesen verschiedenen Zeitpunkten dachte ich mir, wie kommt es, dass das gewinnt? Und es war ein bisschen, dass er gewonnen hat, aber es war eher die Technologie, die gewonnen hat. Und ich dachte immer wieder, also kann die Sicherheit nicht funktionieren. Es kann einfach nicht sein. Also, zum Glück habe ich Dr. Eugene Baffert getroffen und, Sie wissen schon, eine Art Hommage daran, mich in die Richtung meines Lebens gerettet zu haben. Und er sagte zu mir: „Hey, warum bewerben Sie sich nicht für dieses Doktoratsprogramm bei Purdue.“ Ich sage: „Ja, richtig. Sie möchten, dass eine alleinerziehende Mutter, die in den Vierzigern in Boston lebt und einen MBA in Marketing hat, an einem Doktorandenprogramm in Cybersicherheit teilnimmt. Du musst verrückt sein. „Also, ja, ich habe es geschafft. Ich habe die Bewerbung über Amelia Earhart geschrieben. I going into and thought, I would easy to collect to many information as possible, to understand, how it can can, was he that and how other, you know already, me could not help there. Das ist auch völlig klar, wie ich mit Sicherheit umgehe, denn dieser Anfängergeist, in dem ich all die Jahre gelebt habe. Ich meine, ich erinnere mich, dass ich damals einen Freund von mir gerufen hatte, Marcus Raynham. Und ich rief Marcus an, wir hatten uns von einigen anderen gemeinsamen Freunden vorgestellt, und ich sagte: „Hilf mir zu verstehen, wie eine Firewall funktioniert. Sie mögen buchstäblich einen der Pioniere dieser Technologie. „Und er sagte: „Also habe ich keine Zeit.“ In typischer Marcus-Manier, oder? Quasi, das ist seine Persönlichkeit, gutherziger Typ, aber das war seine Persönlichkeit, und das war Teil meines Eintritts in den Sicherheitsbereich von, wow, da sind all diese klugen Leute, die ich nicht unfreiwillig sagen will, aber nicht die Geduld hatte, greifen und sagen, lass es mich für dich aufschlüsseln, damit du verstehst, wie das mit ihnen zusammenhängt, was du erlebst. Also, das trage ich überall hin mit mir.

Raghu Nandakumara 19:32

Vielen Dank, dass Sie geteilt haben, und ich denke, wenn Sie auf das zurückführen, worüber ich gleich zu Beginn gesprochen habe, ist es sehr einfach, Ihre Mission zu verstehen und wie diese Erfahrung jetzt mit ihnen zusammenhängt, was Sie gemacht haben und was Sie heute tun. Ebenfalls, vielen Dank, dass du das geteilt hast. Lass uns also über Sightline und über gemeinnützige Organisationen sprechen. Und während Sie darüber berichten, quasi nur das Intro zu Sightline, haben Sie darüber gesprochen, dass es gemeinnützige Organisationen hilft, zu verstehen, was sie im Cyberbereich tun müssen. Und sie haben darüber gesprochen, Dinge wie CSF usw. und andere Frameworks abzubilden und die Anforderungen umzusetzen, die sie repräsentieren. Also hilf uns, das ein bisschen besser zu verstehen. Denn wenn ich mir CSF ansehe, sehe ich Anforderungen, die für alle relevant sind. Wenn ich lese, sehe ich keinen Vergleich zwischen privatem Sektor und öffentlichem Sektor und gemeinnützigen Organisationen, oder? Aber es gibt eindeutig einen Unterschied. Also, das würde ich gerne verstehen.

Dr. Kelley Misata 20:31

Ja, es war eine so interessante Reise, und sie gehen tatsächlich weiter, was wirklich Spaß macht, während wir unsere Arbeit bei Sightline fortsetzen. Es gibt, es gibt nie diesen Moment, in dem ich sage: „Oh, das ist es“, und wir haben es geschafft. Ein wirklich interessantes Beispiel dafür ist, dass die Wortwahl im NIST-CSF so logisch ist, wie es die meisten Menschen erscheinen. Wenn Sie das nehmen und es in einer missionsorientierten Organisation stecken, werden sie sofort mit den Denkweisen umgehen: „Oh, das ist Cybersicherheit. Es ist kompliziert „, also musst du diese ganze Barriere durchbrechen. The other fact is the language. Als ich zum ersten Mal eine gemeinnützige Organisation für eine Bestandsaufnahme Ihrer Hard- und Software bat, kamen sie zurück und sagten: „Was meinst du mit Inventar? „Für jeden denkst du: „Nun, hast du eine Liste? „Ja, ich weiß. Hast du eine Liste? Aber hier war auch der Moment, in dem es so war, okay, sie denken, es ist so etwas wie ein System oder eine Anwendung, die sie haben müssen, um Dinge greifen zu können. Und dann, als ich anfing, über Vermögenswerte zu sprechen, war das ganze Paar Fische, quasi in der Ecke. The going not once to in the defined this control families, they speak about detection, response, you know, firewalls, attacks detection, as all logs. Eine gemeinnützige Organisation wird nicht verstehen, was ein Baumstamm ist, okay. Es ging also darum, den Sicherheitsraum zu verlassen und in ihrer Welt einzutreten und zu sagen: „Was kann ich tun, um ihnen zu zeigen, wo Sicherheit mit ihrer Mission zusammenhängt? „Und das Erste, womit ich anfing, als ich eine Sightline einrichtete, war, diese Onboarding-Calls mit unseren Mitgliedern zu führen, und ich sagte zu ihnen: „Cybersicherheit ist ein Marketingbegriff. Lass uns nicht darüber reden. „Und sie sagen: „Okay, auf Ihrer gesamten Website steht überall Cybersicherheit“, sagte ich, „aber lassen Sie mich Ihnen helfen, sie aufzuschlüsseln.“ Informationssicherheit ist die Sicherung von Informationen, wie eine Telefonnummer, ein Foto, ein Name, was auch immer, oder? Das kannst du in die Hände nehmen. Und sie sagen: „Ja, die Cybersicherheit eines Raums, das können wir nicht kontrollieren, das ist die Domain.“ Aber wenn man sich darauf konzentriert, was dann eingegriffen hat, sagen sie: „Oh, nun, wir haben, du weißt schon, die Spenderdatenbank, die hier drüben steht.“ Ja, wir sollten wahrscheinlich darüber nachdenken, weißt du, das zu sichern. Das ist der Moment, in dem diese Organisationen eingreifen und sagen, Ah, okay, die zweite Schicht hat all das gruselige Zeug weggenommen, weil sie sowieso Angst haben. Sie lesen die neuen technologischen Fortschritte wie KI und maschinelles Lernen und sagen: „Oh Gott, die Roboter werden die Weltherrschaft übernehmen? „In dem Moment, in dem ich einen Schritt zurücktreten und sagen konnte: „Hey, wusstest du, dass dein Spender, wenn du ein paar einfache Dinge tust und Geschichten darüber erzählst, vielleicht sehen kannst, dass dir die Informationen wichtig sind, die sie mit dir teilen, um deine Mission zu unterstützen? „Wäre das nicht eine schöne Geschichte, die man ihnen erzählen könnte, und sie sagen sofort: „Oh ja, lass uns ein paar Geschichten darüber erzählen.“ Dann ist es eine andere Denkweise darüber, wie das Unternehmen präsentiert werden soll. Und bei all dem zusammen ging es wirklich darum, dass wir reingehen und sagen, ich verstehe nicht, was Sie betrifft. I know me may from cybersecurity, and I know the control families in and outside. I know your business not. Mein Traum bei Sightline ist es also, nicht nur Cybersicherheit für gemeinnützige Organisationen zu haben. I want know security under mission. Ich möchte verstehen, was der Unterschied zwischen einer Menschenhandelsorganisation und einer Lebensmittelbank ist, ja, gegenüber dem Roten Kreuz und meinem örtlichen Tierheim, hier in meiner Stadt, als gäbe es all diese Schichten. Also, bei Sightline ist es meine Mission, nicht mehr zu sagen, hey, zwei Punkte, egal, welche Millionen gemeinnütziger Organisationen allein in den USA, ihr seid alle gleich, also wir werden euch alle die gleiche Hilfe geben und wir gehen davon, dass ihr alle die gleichen Probleme habt. Ich möchte alles aufschlüsseln und sagen, wir könnten es besser machen.

Raghu Nandakumara 24:53

Ich liebe das, weil ich denke, dass das Geschichtenerzählen jetzt so wichtig ist. How can be really progress in the cyberlaw. Und ich denke, das gilt für Unternehmen jeder Größe und Komplexität. The ability, significant stories also to telling why cybersecurity for fast each individual part of a organization important, is unerlässlich, to receive consent. Und ich denke, das gilt umso mehr, wenn ich etwas zurückgehe, das Sie gleich zu Beginn gesagt haben, wo es möglicherweise eine sehr große Entfernung zwischen den Personen gibt, die gewissermaßen die Mission der Organisation ausführen, und ihre IT- oder Cybersicherheitsfunktion. Also, ich denke, das ist wirklich wichtig. I think, that is also the reason, why they come to the best stelle, marketing-MBA, doctortitel in the area cybersecurity, or? Irgendwie kommen sie wirklich zusammen in diesem perfekten Sturm. Aber ja, ich habe irgendwie komplett geschrieben. I think, you have in the past more more something about the non-profit sector, but a far verbreitetes missverständnis is that we mean non-profit organizations, was: „Oh, richtig, sie sind nur darauf angewiesen, mich reichen“, oder? Und sie haben keine Ressourcen, sie haben kein Fachwissen, sie haben kein Geld. Aber was sie zum Ausdruck gebracht haben, ist, nein, dass das Problem oft darin besteht, dass, besonders wenn sie einige der größeren gemeinnützigen Organisationen ansehen, dass sie ziemlich gut ausgestattet sind, dass sie ziemlich gut finanziert sind und Zugang zu allem haben. Aber sie wissen nicht unbedingt, wie man alles zusammennäht, und sie brauchen Hilfe.

Dr. Kelley Misata 26:33

Korrekt. Und da ist dieser Kontext von, warum ist das wichtig? Sie wissen, wenn Sie jemanden fragen, kann ich RSA kaum erwarten, weil ich normalerweise außerhalb der Vorträge auf der Ausstellungsfläche herumlaufe und mich mit Freunden oder Kollegen treffe. Ich sage dann: „Also, hey, was denkst du gerade über den gemeinnützigen Bereich? „Und ich verstehe die üblichen Dinge: Sie sind warm, sie kennen sich nicht mit Cybersicherheit aus, Sie wissen schon, die Wäscheliste. Ich denke, ja, nein, ja. Lass mich dir sagen, sie haben Geld! Sie müssen, sie müssen erklären, wie sie das Geld anders verwenden, denn wenn man die Geschäftsstruktur anschaut, richtig, sie sind anders als Unternehmen. Also nochmal, es bringt uns als Sicherheitsexperten weg von „Oh, ich muss nur herausfinden, wie ich dazu bringen kann, die Kontrollen innerhalb des CSF durchzuführen“ und mehr von „Meine Güte, ich frage mich, wie sie Entscheidungen über Geld treffen.“ Sobald sie das verstanden haben, können Sie die Frage der Sicherheitsinvestition anders angehen. Es geht also darum, nicht reinzugehen und zu sagen: „Oh ja, weißt du, ihr seid alle irgendwie eingespritzt und ihr seid alle gleich“, weil sie es nicht sind. Und ehrlich gesagt, eines der gemeinsamen Themen, die ich absolut liebe, die ich durch diese Arbeit gewonnen habe, die mir wirklich das Herz erwärmen, ist, dass diese Organisationen die Mission immer an die erste Stelle setzen, immer. Ob es eine Unterkunft für häusliche Gewalt ist, mit der ich gesprochen habe, ich erinnere mich an den Beginn meiner Doktorarbeit, als dieser liebe Freund von mir auf meiner Veranda saß und ich sagte: „Hey, ich sagte, ich werde dieses Ding machen, und was denkst du? Und ich habe eine Umfrage, und sie ist großartig. „Und sie sagt: „Kelley, ich habe täglich 100.000 Zugriffe auf meine Website aus allen Teilen der Welt. Daran kann ich nicht denken, weil ich eine Familie habe, die heute Abend einen Schlafplatz braucht. „Sie sagt, das ist alles, was mir wichtig ist. Also, nochmal, zurück zu der Art und Weise, wie Sicherheitsexperten wirklich helfen wollen, wollen diese Dringlichkeit in das Unternehmen bringen. Umso mehr können wir einfach einen Schritt zurücktreten und sagen: „Oh, so habe ich mir das nicht vorgestellt. Was kann ich tun, um zu helfen? „Sag einfach so, du weißt schon, meinen Finger in den Damm stecken, um sicherzugehen, dass du solche Zusammenbrüche nicht magst?

Raghu Nandakumara 29:02

Ich denke, das ist ein so starkes Bild, das man im Kopf haben sollte. Weil, nochmal, um es irgendwie zurückzudrehen, was in unserem heutigen Gespräch ein gewisses Thema zu sein scheint, darum geht es um das Missionsorientierte, richtig. Und es geht also darum, es an der Mission auszurichten und wahrscheinlich eine große Parallele zu ziehen, sagen wir, gewinnorientierten Sektor zum privaten Sektor, wo, wie ich oft sage, jeder kümmert sich um die Sicherheit, bis sie einen Ausfall der wichtigsten umsatzgenerierenden Anwendung verursachen. An this point is nobody more about security. Und es geht nur darum, wann wird dieses Ding wieder online sein? Weil jede Sekunde, in der es offline ist, verliere ich X Tausend Dollar oder was auch immer es sein mag. Und im gemeinnützigen Sektor sind die Auswirkungen oft ein menschlicher Einfluss, oder? Und wie sie es gerade beschrieben haben, und wir müssen uns der Sache bewusst sein, wie können wir das besser sichern, ohne die Mission irgendwie zu gefährden?

Dr. Kelley Misata 29:57

Absolut, ich meine, ich habe Beispiele von Mitgliedern unserer Community gesehen, die von einem Ransomware-Angriff getroffen wurden. Ich werde den Angriff nicht benennen. Es war ziemlich berühmt. Das hinderte sie etwa wochenlang daran, Mittagessen für Kinder anzubieten, nicht nur ein paar Tage. Aber sie sprechen von Familien und Kindern, die auf diese Unterstützung angewiesen sind, um ihre Wochen zu überstehen. Und das ist es nicht, es geht nicht immer nur um diese, ich will nicht traurige Geschichten sagen, aber die Sache mit gemeinnützigen Organisationen ist, dass sie da sind, wenn alles schief geht. Ob's brands in LA are or a blood spend, because someone need a transfusion before place, or someone has a really, really hard time and he calls a self-mord-hotline. This gemeinnützige organisations are there, when we need. Und doch schieben wir sie irgendwie zur Seite und sagen: „Nun, sie sind nicht das Geld, sie sind nicht unsere Wahl auf dem Markt“, oder sie sind, ja, sie haben kein Geld, oder sie werden es nicht bekommen, oder ich werde viel Zeit brauchen, bis es, glaube ich, für viele Sicherheitsexperten schwierig ist, einzugreifen. Und ich denke, wo sie umdrehen, und das habe ich auch gesehen, und es macht mich irgendwie ein bisschen verrückt. Sie sagen: „Hey, Cybersicherheit liegt mir im Blut. Ich werde mich freiwillig melden und ihnen quasi helfen. „Und meine unmittelbare Reaktion, also says er: „Bitte, nicht, bitte, bitte geh nicht“, also rein wie ein Superheld und sage, ich werde im Vorstand sitzen. Ich würde dir quasi bei allem helfen. Ich möchte nur, dass sie einen Schritt zurücktreten und sagen: „Wow, wie operierst du? „Also, was ist das? If you going to example with much demut, you can make much more progress, because I think also this organizations considered our field as this space of superhelden. Und wenn einer von ihnen an die Tür klopft, würden sie natürlich sagen: „Komm rein. Repariere uns. Weil wir Angst haben. We are busy, we have angst. Ihr seid Superhelden, also werdet ihr wiederkommen und uns reparieren. „Das ist eine extrem gefährliche Kombination.

Raghu Nandakumara 32:10

Absolut und immer wieder, ich versuche nur, einige Parallelen zu ihnen zu ziehen, was ich gesehen habe, ist, glaube ich, dass wir oft, egal ob es sich um Sicherheitsexperten oder als Anbieter handelt, sehr, sehr schnell sagen: „Hier sind all die großartigen Dinge, die wir tun“ oder „Hier sind alle die hier, hier sind meine Superfähigkeiten“, oder? Und wir denken nie zuerst, wir denken nie, eigentlich sollte die erste Frage, die ich stellen sollte, lauten: „Was machst du? Was interessiert dich? Sag mir, was sind deine Probleme? „And the talk fast on this way, would be to a strong engagement, you find the?

Dr. Kelley Misata 32:45

Genau, wenn ich mit diesen Organisationen zusammenarbeite und eigentlich die meisten Dinge im Sicherheitsbereich zusammenarbeite, fühle ich mich immer noch wie der Doktor im ersten Semester, weißt du, bei Purdue, und es geht gut, also, was ist Kryptografie? Wie? Was sind elliptische Kurven? Apropos, you have bring me to wine. Und ich erinnere mich, dass ich einen Key gehalten habe, ich habe eine Keynote gehalten, und Martin Hellman von der Diffie-Hellman-Börse hielt die Keynote am Morgen. Wir trafen uns im grünen Zimmer und ich ging zu ihm. Ich sagte: „Hallo, ich bin Kelley Misata.“ Und er kennt das Personal, und ich habe das einfach ein bisschen an seinem Arm gemacht. Er sagt: „Wozu ist das? „Ich sage: „Deine Sachen bringen mich zum Weinen.“ Ich will es dir nur sagen, aber es ist wirklich so, als würden wir diese Dinge so, so kompliziert machen. Wenn man also auf etwas eingehen kann, ob es nun sein Fachgebiet ist oder nicht, wenn man es mit einem Anfängerverstand angeht, und das muss man nicht, hasse ich die Art von Begriff, die Dinge zu verdummen. Es macht die Dinge nicht zu verdummen. Es ist neugierig. Ja, es heißt, hey, das habe ich noch nie gemacht. I have no ahnung, was es braucht, um ein Tierheim zu leiten. Nicht einmal ein bisschen. Erzähl mir, wie du das machst. Das ist riesig. Und wenn man diese Gespräche dann mit ihren Worten führt und ihr Geschäft kennt, ist das enorm aussagekräftig. Ich habe eine Geschichte, willst du hören? Ja, bitte. Okay, das ist auch eine dieser demütigenden Geschichten. I have worked with a our members. Sie haben gerade ihren Kickstart abgeschlossen, was unsere Art ist, ihnen den Einstieg in ihre Sicherheitsreise zu ermöglichen. Und ich recherchiere viel draußen. Ich schaue mir all ihre Websites und ihre sozialen Medien an. Und so hilft diese Organisation Selbstmordüberlebenden. Und sie haben ein Forum, und das Forum ist sehr beliebt, und ich erinnere mich daran, dass ich immer wieder sagte, oh, als ob die Sicherheitsperson in mir einfach geschrieben und gesagt hat, oh mein Gott, oh mein Gott. Ich erinnere mich, ich erinnere mich, dass ich ging und ging, oh meine Güte, Louise, was werden wir mögen? Ich erinnere mich wirklich daran, dass ich diesen Weg eingeschlagen habe. Und sagen: „Okay, verdammt, ich muss mit diesen Leuten sprechen“, richtig? Und ich widerstehe dem Ruf, sie rufen sofort an und wartete auf die Präsentation ihrer Ergebnisse. Ich sitze da und sage: „Oh“, ich komme zu der Präsentation rund um diese spezielle Plattform und ich sagte, ich habe einige Bedenken, ich sagte, einfach so. Und die Frau, die die Organisation gegründet hat, hat mich davon abgehalten und gesagt: „Kelley, ich glaube, ich weiß, was du sagen wirst, aber lass mich mit dir reden. Lass mich dir mitteilen, warum unsere Plattform geöffnet ist. „Sie sagten: „Menschen, bei denen in ihrem Leben jemand Selbstmord begangen hat, sind in einer Kopffreiheit, die von Fragen und Trauer und Stress und Unsicherheit und Vertrauensproblemen betroffen ist, und all diese Dinge passieren.“ Sie sagten: „Diese Leute brauchen einen Raum, in dem sie einfach sitzen und zuschauen können und ein Gefühl dafür, was sich erwartet, und ein Gefühl für die Gespräche und all das bekommen. Und sie sagen, und manchmal hängen sie eine Weile da rum, und wenn sie sich wohl fühlen, kommen sie rein. Aber erst, wenn sie sich wohl fühlen. „Und sie sagten: „Das ist es, was unsere Gemeinschaft braucht.“ Und es war so, als hätte ich wissen müssen, als hätte ich darüber nachdenken sollen, aber weil ich nicht tagin, tagaus in dieser Welt lebe, wie die Menschen, denen sie dienen, irgendwie durch diesen Raum navigieren, um Hilfe zu bitten? Also sagte ich: „Oh mein Gott, lass uns über einige kreative Möglichkeiten nachdenken, mit denen wir vielleicht ein bisschen mehr tun können, ohne die Essenz und die Notwendigkeit zu verändern, dass diese Plattform auf diese Weise verändert wird.“ Und sie verstanden das, sie sagten: „Ja, wenn du Vorschläge hast, wir verstehen es, aber wir stellen die Mission an erste Stelle.“ Aber es war sehr demütigend. Und dafür liebe ich sie. I find it toll, dass sie sich wohl dabei gefühlt haben, mir das zu sagen.

Raghu Nandakumara 36:57

Ja, absolut. Ich denke, das ist so, dass man aus ihnen, was Sie gerade beschrieben haben, so viel mitnehmen kann. Dann kommt es wieder, es ist, es ist, wie du sagtest, richtig? Es ist so demütigend, wenn man, wenn man diese Zeit damit verbringt, zu verstehen, warum jemand oder eine Organisation auf eine bestimmte Weise arbeitet, und dann irgendwie, es den Kontext darstellt, der Mann nicht hatte. Wo es anders ist, ist es so, dass dein Fachwissen versucht, dir den Weg zu weisen, also, Oh, ich weiß, wie man das repariert, oder? Versus, es gibt wahrscheinlich einen guten Grund, warum du das gemacht hast, also erzähl mir davon. Bevor wir zur nächsten Sache übergehen, denke ich, nur das Letzte, nicht nur über die Organisationen, die Sie unterstützen, sondern auch darüber, wem sie dienen. Sie haben verschiedene Szenarien beschrieben, in denen es um Organisationen geht, die sich in einer Krise befinden. Sie sind die erste Anlaufstelle. Aber ich denke auch, dass ein Teil Ihrer Arbeit wahrscheinlich nicht so oft ignoriert wird. This opfers are also those who want to take this time in the visier, because they know that they are lost. Sie müssen also irgendwie selbst sein, und die Organisationen, mit denen Sie zusammenarbeiten, müssen wahrscheinlich mit all diesen Herausforderungen jonglieren.

Dr. Kelley Misata 38:11

Ja, und das ist interessant, es kommt wirklich ins Spiel, die Mission der Organisation zu verstehen, denn es hilft einem, sich wieder darauf einzulassen und ihnen nicht zu sagen, was sie tun sollten, sondern auf verschiedene Dinge hören. As I worked an my thesis, I worked with organizations together, the offer of human trade supported. Das ist eine ganz andere Sicherheitsmentalität, denn nicht nur diese Opfer sind das Ziel, sondern auch die Organisation, die sie unterstützt. Und einer von ihnen hat das gemacht, wie ein Hackathon. I will you not give you the details, because it is no todo, but they have an hackathon, and then I told to them, I say: „Also, was macht ihr, um eure Systeme abzusichern? „Und sie sagen: „Was? „Wie die großen Augen, die sagen, ich sage: „Nun, du bewirbst diesen Hackathon.“ Und sie sagen: „Ja, überall auf Facebook und Twitter und so.“ Ich sage: „Oh, die Bösewichte lesen das auch.“ Und sie sagten sofort: „Was? Oh, schieß. „Aber das ist es. Es geht darum, einzugreifen und wirklich zu verstehen, also, wer würde hinter ihnen her sein wollen? Ich habe zum Beispiel mit gemeinnützigen Organisationen zusammengearbeitet, die, Sie wissen schon, von politischer Seite sind. Wisst ihr, ihre Mission ist sehr umstritten. Ich habe mit Organisationen zusammengearbeitet, die, weil sie zahlreiche Tools von Drittanbietern verwenden, von denen einige so veraltet sind, dass sie irgendwie lächerlich sind, dass sie immer noch existieren, dass du denkst, oh Gott, was machst du? We must you abhärten. Und sie sagen: „Ja, aber wer wird uns abholen? „Und das ist der Teil der Denkweise, von dem wir auch versuchen, sie abzuziehen. Ich hatte eine Geschäftsführerin auf der Telefonkonferenz und sie sagte: „Komm schon.“ Sie sagt: „Bösewichte. Ich weiß, dass du zuhörst. Wie auch immer, du kannst kommen, komm und hol uns ab. „Und ich sage: „Du das nicht! „Nicht, dass das passieren würde, aber nur sie, ihre Denkweise, wir haben nichts, du wirst nichts aus uns herausholen. Ich dachte, nun ja, okay, großartig. Aber es ist, nochmal, ich denke, das ist eine der Herausforderungen, mit denen Sightline seit meiner Gründung immer konfrontiert war, wissen Sie, das sind wir, jemand hat mir gesagt, wir sind sehr weiße Handschuhe und wir sind sehr nuanciert, und doch sind die Informationen, die ich in diesen Jahren gesammelt habe, einfach unglaublich, und es hat mir geholfen, Sicherheit auf einer ganz anderen Art zu sehen, weil es nicht... Es gibt einige Dinge, die wir tun können, wird eine Menge Leute eindecken. I am my. MFA, hallo. Ich danke dir vielmals. Toll. Aber es gibt so viele Dinge im Sicherheitsbereich, die nicht für alle auf derselben Ebene geeignet sind, also sollten wir darüber nachdenken, wo diese Möglichkeiten existieren.

Raghu Nandakumara 40:57

Ich denke, die Analogie mit dem weißen Handschuh ist absolut richtig. Und ich denke, es ist Cyber, genauso wie wir es verallgemeinern wollen. Wir müssen uns daran erinnern, dass wir letztlich nur erfolgreich sein werden, wenn wir versuchen, jedes Problem zu lösen, diesen weißen Handschuh zu verfolgen. Also, in diesem letzten Teil haben Sie quasi über ihre Verwendung von Drittanbietersoftware usw. gesprochen, oder? Sie geben also Ihre andere Leidenschaft oder Ihr Fachgebiet aus, und Ihre Leidenschaft ist Open Source. Und ich denke, Open Source rückt aus Cybersicht immer mehr in den Fokus, vor allem, weil Risiken durch Dritte, Lieferketten, Angriffe usw. derzeit so sehr zum Tagesthema sind. Lass uns also mit der Open-Source-Sicherheit beginnen, das Gesamtbild. What are the challenges? What want we start? Was sind die Prioritäten?

Dr. Kelley Misata 41:55

Ja, das ist eine gute Frage. Und es ist wahrscheinlich ein ganz anderes Segment.

Raghu Nandakumara 41:59

Ich weiß! Ich denke irgendwie darüber nach, wie wir so viel wie möglich hineinquetschen können, in etwas, das eine ganze Staffel von sich bewältigen könnte, könnte? Ebenfalls, ja!

Dr. Kelley Misata 42:09

Nun, ich denke, Sie wissen, um meinen RSA-Vortrag nicht zu unterbrechen, ich würde bei RSA darüber sprechen. Ich denke, weißt du, es gibt immer noch so etwas wie gemeinnützige Organisationen. Es steckt immer noch eine Menge Mysterien dahinter, oder? If it goes a gemeinnützige organisation, every of things from the open-source area, it is same thinking. Die Leute denken, es ist ein typischer Haufen typischer Typen in ihren schwarzen Hoodies, die irgendwo auf GitHub im Keller sitzen und Dinge tun, oder? Sie denken nicht über den großen Parameter nach, was der Open-Source-Bereich war, und ich hatte das Glück, 12 Jahre lang Präsident der Open Information Security Foundation zu sein. Und Suricata ist, wie Sie wissen, ein großer Teil des Netzwerksicherheitsbereichs. Und wir haben Suricatas an Orten auf der Welt, die sie nicht einmal vorstellen können. Aber der Grund, warum OIS Seven Suricata, quasi dieses Modell von Open-Source-Werken, ist, dass wir es aus einer multidimensionalen Perspektive betrachten. Also, weißt du, es sind nicht nur ein paar Leute, die es mögen, wenn sie zusammen sind. Es ist eigentlich ein Geschäftsmodell. Und wenn Sie Open Source als Drittanbieter betrachten, wie Sie es mit einem Unternehmensanbieter tun würden, dann ändern sich plötzlich die Akzeptanz und der Einsatz von Open Source in diesen größeren Organisationen. Denn dann musst du darüber nachdenken, oh, was passiert, wenn das Projekt implodiert? Oder was passiert, wenn die Roadmap aufhört, innovativ sein? Was ist mit der Regierungsführung? Who get her money? Bezahlen Sie irgendjemanden, der die Beitragszahler ist? Als ob es anfängt, all diese Komplexitäten zu öffnen. Und das liebe ich am Open-Source-Bereich. Now and in future will it not be simple. It will complex, but we have the great gelegenheit, a step back and to say: „How can we can our think about, what open source is, new formulieren? „Hat es immer noch all diese Gemeinschaftsaspekte? Absolut meine Lieblingssache, und was ich am meisten hasse, ist unsere Konferenz, Surrey Con. Wir veranstalten jedes Jahr die Surrey Con. Ich hasse Baukonferenzen. Entschuldigung, alle, die zuhören. Das ist nicht meine Spur. Aber in der Sekunde, in der ich auf die Bühne gehe und die Gesichter dieser Community-Mitglieder sehe, die ich seit 10 Jahren sehe, immer noch auftauchen und immer noch ihren Beitrag weiterleiten... das ist es, was mich und mein Team antreibt, weil wir wissen, dass es einen Platz in der Welt hat. Nicht alle Projekte haben das. If you also meet this important decisions from the view of the supply chain, you must open the eyes by the use of open source. Man muss es aus all diesen verschiedenen Dimensionen betrachten. Sie müssen darüber nachdenken, was das Lieferkettenrisiko betrifft. Also, wie du es mit allem anderen machen würdest. Und hör zu, also darüber nachzudenken, oh, wir werden uns am Lagerfeuer treffen und Lieder auf unseren Laptops singen. Und glaub mir, in meinen frühen Tagen auf Tour werde ich nie vergessen, dass die Reiseentwickler zu einem Meeting in Boston waren und ich alle zum Lasagne-Dinner eingeladen habe, denn das mache ich. Und ich erinnere mich an eine ganze Reihe von ihnen, die einfach im Wohnzimmer hocken. Und meine Töchter, die zu der Zeit in der Mittelschule waren, sagten: „Mama, ich glaube nicht, dass sie gehen. Sie machen es sich alle hier im Wohnzimmer richtig gemütlich. „Und ich sagte: „Das ist okay. Ich sage ihnen einfach, dass sie gehen sollten, wenn es soweit ist. “

Raghu Nandakumara 45:42

Das ist echt lustig. Nun, ich hoffe, wann immer ich die Gelegenheit habe, Boston zu besuchen, wirst du mich mit einer vegetarischen Lasagne verwöhnen. She said, to treat the open-source project as third provider, or? Aber, und ich vereinfache auch hier viel, weil ich zugebe, dass mein Verständnis der Räume begrenzt ist, aber okay, Sie sagen, ich habe sie als Drittanbieter behandelt. Aber wenn ich eine Compliance-Checkliste mache, richtig, und wenn es ein Drittanbieter ist, mit dem ich einen Vertrag habe, kann ich ihm seinen Teil der Checkliste schicken, und ich sage, ich fülle ihn aus und schicke ihn zurück, und ich werde ihn bewerten. Wie kann man zum Beispiel mit einem Open-Source-Projekt antworten, wer beantwortet den Fragebogen? Ich denke, das ist nicht die Herausforderung, die die Organisation stellt? Ich weiß nicht wirklich, wie man mit diesem Risiko umgeht, wie man mit diesem Risiko umgeht.

Dr. Kelley Misata 46:32

Nun, da kommt es. The first decision also, who meets the decision in your company, to use this software, or? Es ist diese Pause, über die wir zu Beginn des Programms gesprochen haben. Sie wissen, und ich habe viele Benutzer gesehen, die Suricata als Beispiel verwenden und sagen: „Oh, oh, vielleicht müssen wir anfangen, über Lizenzen zu denken, und vielleicht müssen wir beginnen, über diese Dinge nachzudenken, und vielleicht müssen wir beginnen, über die Einhaltung der Vorschriften.“ Und erst nach diesen Momenten klopfen sie an unsere Tür. But for many projects they have this infrastructure not. Sie haben die Kanäle nicht, um diese Fragen stellen zu können. Ob es handelt um eine Open-Source-Software, die an ein kommerzielles Unternehmen gebunden ist, oder ob es sich um ein Open-Source-Projekt handelt, das vielleicht etwas aufgelöst hat oder die wichtigen Mitwirkenden nicht mehr. Aber das ist es und es ist schwierig, weil ich glaube, das Schöne für einige der eingefleischten Open-Source-Leute ist, einfach reinzugehen und mit etwas zu spielen und es auszuprobieren und zu sehen, ob es richtig funktioniert. Toll. Hör nicht darauf. But when you are in your environment, the like you like, use you going and take you take in a product roadmap, what also always they is. Dann solltest du wirklich einen Schritt zurücktreten und eine harte Pause einlegen und sagen: „Hmm, jetzt müssen wir über diese Sache ein bisschen anders nachdenken.“ Und das sind die Gespräche, die ich bei OISF ständig mit Mitgliedern des Konsortiums führe. Ich denke, das ist der Grund, warum wir so erfolgreich waren, weil wir kein Hindernis für ihren Fortschritt sind. Aber wir wollen sicherstellen, dass Suricata da bleibt, um sie länger zu servieren. Und wenn Sie dieses Gespräch mit einem Projekt nicht führen können, weil es nicht existiert oder Sie es nicht finden können, dann erkennen Sie einfach das Risiko, dass Sie eingehen?

Raghu Nandakumara 48:21

Ja, absolut. Und ich denke, die andere, vielleicht wahrgenommene Herausforderung besteht darin, dass, wie weit man in das Kaninchenloch geht, wenn es darum geht, okay, es gibt ihren eigenen direkten Konsum von Open-Source-Software für etwas, das Sie entwickeln. Aber wenn Sie dann etwas von einem Drittanbieter lizenzieren, verwenden Sie diese Open Source und wenn er etwas anderes lizenziert. Also, wie weit geht man auf diesen Weg, um zu den, ich glaube, zu dieser Art von unteilbaren Quanten zu kommen, auf denen alles irgendwie zusammensitzt.

Dr. Kelley Misata 48:55

This is the challenge, and therefore, now yes, my family will this idea etwas vereiteln. Aber ich dachte mir, oh, ich möchte Jura studieren, weil ich die rechtlichen Komponenten von all dem verstehen will, weil es super faszinierend wäre, diese Frage zu beantworten, beantworten zu können. Ich denke, wir sind heute so, dass wir nicht viel von ihnen wissen, was wir noch nicht wissen. Und für Projekte, die wiederum eine gewisse Struktur und Organisation haben. We think about, but itself with OISF, our consortium members with some this complex questions about the license to us, we kratzen us on head and say: „How will that works? Ist das ein US-Problem oder ist das dein Problem? „Es ist auch, es ist wirklich, wirklich herausfordernd, aber es macht es auch irgendwie aufregend.

Raghu Nandakumara 49:45

Ja, ich finde es wirklich interessant, wenn wir uns jetzt gerade ansehen. Wie Sie sicher wissen, beginnen verschiedene Aufsichtsbehörden weltweit, immer mehr Vorschriften zur betrieblichen Widerstandsfähigkeit zu erlassen, und in diesem Zusammenhang sprechen sie darüber. How the management of third provider risks and the art of third providers, the often are based on hyperscaliers and critical it providers. Sie können jedoch ein Szenario vorstellen, in dem Sie als Organisation eine Anwendung erstellt haben, die stark von einem Open-Source-Projekt abhängig ist. Und wenn dieses Open-Source-Projekt, was passiert auch immer damit, oder? Es beeinträchtigt die Belastbarkeit dieser Anwendung, dann ist das quasi, wie sich das dann darin äußert, wie Sie sich entspannen, und ich denke, letztendlich geht es darum, wann Sie mit dem Finger zeigen?

Dr. Kelley Misata 50:41

Nun gut, und das ist, wenn du dich entspannen kannst. But here must also play a role better practice in this development cycle. Und ich denke, das ist eine der Herausforderungen. We see it suricata, as we want, that the people use. We want, that the people is testing and in different scenarios, but we are know that you, when they are part an large company organization, questions must be questions that they not easy to take in the corner and there can to be around it. I think, many users are really to fight it, but this is the point, and I think to be a think that some open-source projects have really angst, that we lost the essence of community, innovation and freedom, the in this projects and this software. Ich möchte glauben, dass wir kreativ sein können und dass wir das nicht verlieren werden, dass wir auf irgendeine Weise ein Gleichgewicht zwischen beiden finden können, aber ich glaube nicht, dass es einfach sein wird. Und wir müssen wieder zusammenarbeiten, um darüber nachzudenken. As the National Cyber Defense Office des Weißen Hauses for information for protection of open-source software, I left my Comfort zone and reagierte darauf, weil ich sah, worüber sie nachdachten. Ich denke, ich denke, euch fehlen all diese anderen Teile, Leute. How like us, if we look all the components of open source, but the software only completely to secure to 200%, I vote it. Das ist nicht die einzige Sache. Wir müssen also Fachwissen aus all diesen verschiedenen Ebenen einbringen. Was mich zu einer kurzen Bemerkung bringt, wissen Sie, ich denke, wir haben im Sicherheitsbereich immer diese Kluft zwischen technisch und nicht technisch, und wenn wir diese Kluft aufbrechen können, bringen wir mehr Leute an einen Tisch, um bessere Gespräche über diese Probleme zu führen, wenn die Leute sagen: „Oh ja, sie sind nicht technisch, weil sie nicht jeden Tag an der Entwicklung arbeiten, sind sie nicht so wichtig“ oder „Sie wissen nicht genauso“, wir tun uns selbst einen schlechten Service, insbesondere in Bezug auf Open Source.

Raghu Nandakumara 53:00

Absolut und ich freue mich, dass du das angesprochen hast, denn ich werde ihm etwas hinzufügen. Sie haben davon gesprochen, dass zur Lösung dieses Problems ein wirklich breites Spektrum an Meinungen und Kreativität erforderlich ist, außerdem, dass sowohl technische als auch nichttechnische Mitarbeiter hinzugezogen werden müssen. Und ich denke, ich bin nicht nur Cyber, sondern das, worüber wir hier sprechen, muss wirklich überdacht werden, wie es angegangen wird, um es zu einem vielfachen und inklusiven Beruf zu machen, oder? Es gibt so viele tolle Leute, aber wir konzentrieren uns immer noch sehr, sehr auf ein ganz bestimmtes Profil, das im Cyberbereich funktioniert. Also, ich stimme zu, oder? Ich denke, es gibt enorme Chancen, eine enorme Menge an Fähigkeiten und Fachwissen, die wir mitbringen müssen, und nur wenn wir uns weiter für Vielfalt, Gerechtigkeit und Inklusion einsetzen, werden wir uns so manifestieren.

Dr. Kelley Misata 53:53

Yes, I remember me, that the people to start my time in the security area definitions for data protection have wanted, similar as between technical and non-technical, and I had me respektvoll gewehrt, and I would say that I data protection completely different as you. Ich habe einen anderen Hintergrund, ich habe verschiedene Erfahrungen und ich glaube nicht, dass ich jemals in der Situation sein würde, Technologie auf die gleiche Weise zu nutzen, wie vor diesem Ereignis in meinem Leben. My definition of data protection will also anders sein. Das ist dasselbe, was wir versuchen zu definieren, was technisch ist. Ich frage die Leute, und noch einmal, es soll nicht unausstehlich sein. Das liegt daran, dass ich neugierig bin. Ja, wenn jemand zu mir sagt: „Nun, du bist kein Techniker“ oder „Diese Person ist technisch versiert“, frage ich immer: „Was heißt das? Kannst du mir beschreiben? „Also für mich bin ich neugierig, wie wir das Gespräch verändern können? Aber zuerst sage ich, ich verstehe es nicht, weil ich die elliptische Kurve berechnen kann, das würde ich nie wieder tun. Frag auch nicht einmal. Aber ich kann. Werde ich das tun? Nein, ich kann programmieren. Werde ich das tun? Nee. I my, my team by OISF brennt darauf, dass ich einen Pull-Request auf Suricata habe. Ich denke, ja, wartet einfach, Leute. Aber meine Leidenschaft und meine Liebe sind all diese anderen Dinge. Jetzt setze ich mich hin, wo es mir Spaß macht. Ja, das heißt nicht, dass ich keinen Wert in der Konversation habe, und ich hole den Dr. Misata heraus.

Raghu Nandakumara 55:26

Absolut, ich denke, damit haben Sie das gesamte Gespräch, das wir heute geführt haben, quasi abgeschlossen, bei dem es geht, dass wir nur unsere Kunden, unsere Kunden, unsere Partner bedienen können, am besten, wenn wir, wenn ich sage, ich meine, ob es nun individuell ist oder das Team, das wir mit uns zusammenarbeiten, in der Lage sind, zu verstehen, wofür wir eine Lösung finden und warum. Und das kann nur geschehen, wenn wir zuhören, aber auch, wenn wir alle in unserem Team haben, die in der Situation sind, sich mit diesen Erfahrungen identifizieren. Deshalb ist es für uns so wichtig, ein gewisses Spektrum an unterschiedlichen Hintergründen zu haben, sodass wir im Cyberbereich Fortschritte erzielen können.

Dr. Kelley Misata 56:20

I vote to. I vote to. Und, weißt du, irgendwie schließt sich der Kreis meiner Welt zurück. Weißt du, die Leute haben immer zu mir gesagt, warum gehst du nicht hinter dieser Person her? Also, geh und mach das. Warum hast du promoviert? Und ich sagte immer wieder, ich weiß nicht, ob ich das jemals ändern kann. Du kannst die Leute nicht ändern. Ich kann das nicht ändern, aber ich kann die Kunst und Weise, wie ich denke und verstehe, wie die Dinge funktionieren, wie ich mit diesen Technologien umgehen kann und wie ich mich aufgrund dieses Wissens schützen kann, beeinflussen. Here find control, change and effect statt, not by versuch, an difficult situation to change here. Für mich geht es also darum, wie wir die Dinge verbessern können, indem wir diese umfassenden Gespräche führen und sie wieder mit etwas Demut beginnen.

Raghu Nandakumara 57:19

Absolut. Dr. Misata, Kelley, ich könnte mir keinen besseren Weg vorstellen, dieses Gespräch beenden. Leider muss ich hinzufügen, würde ich gerne weiter reden und reden, aber ich bin mir Ihrer Zeit bewusst. In this connection thank you many for your weisheit, for your demut, for your experience and the perspective, that you to the two very, very important problems, that you have also made to task.

Dr. Kelley Misata 57:50

Ich danke dir. Danke, dass du mich eingeladen hast. Es hat viel Spaß gemacht.

Raghu Nandakumara 57:53

Ebenso. Vielen Dank, dass Sie die wöchentliche Folge der Segmente für noch mehr Informationen und Zero-Trust Resources angesehen haben. Visit our website under illumio.com. You can also contact us on LinkedIn and Twitter under Illumio. If you like the today entertainment, find our other follow, who always you call your podcasts. I'm your guest host, Raghu Nandakumara, and we are soon back. Du.

‍