Risiko in Resilienz umwandeln

00:16 Raghu Nandakumara

Hallo zusammen. Willkommen zurück zu einer weiteren Folge von The Segment: A Zero Trust Leadership Podcast. Heute ist es eine große Freude, von Indy Dhami, Cyberpartner für Finanzdienstleistungen bei KPMG UK, begleitet zu werden, der über langjährige Erfahrung darin verfügt, einigen der größten Finanzdienstleistungsunternehmen bei der Entwicklung ihrer Cyberstrategie und -praxis zu helfen. Ich freue mich sehr, heute mit ihm zu sprechen und aus seinen Erfahrungen zu lernen. Indy, willkommen bei The Segment.

00:48 Indy Dhami

Danke. Danke, dass du mich eingeladen hast. Es ist mir eine wahre Freude und Ehre. Ich verfolge Illumios Geschichte seit vielen, vielen Jahren. Also ja, ich bin sehr daran interessiert, mich zu engagieren und einige meiner Erkenntnisse einzubringen.

1:01 Raghu Nandakumara

Nun, wir sind heute definitiv hier, um deine Geschichte zu hören, Indy. Also, warum erzählst du uns nicht einfach deinen Hintergrund im Cyberbereich und die Erfahrungen, die dazu geführt haben, wo du heute in deiner Karriere stehst?

1:13 Indy Dhami

Ja, sicher. Also, ich arbeite jetzt seit bis zu 21 Jahren in der Sicherheitsbranche in verschiedenen Rollen. Also begann ich meine Karriere mit der Leitung einer IT-Abteilung für ein Architekturbüro. Und das beinhaltete alles, von der Netzwerkverwaltung bis hin zur Ausführung von Backups, bis hin zum Versuch, all diese lästigen Viren und Malware zu entfernen, die sich im gesamten Netzwerk verbreitet haben. Und jetzt sind wir Anfang der 2000er Jahre. Sie können sich also vorstellen, dass Sicherheit nicht ganz oben auf der Tagesordnung stand. Aber was mich wirklich angesprochen hat, war die Fähigkeit, mit diesen Dingen umzugehen. Aber dann auch die Tatsache, dass viele Unternehmen nicht auf das Schlimmste vorbereitet waren, das passieren würde, wenn sie ihr Netzwerk, ihr gesamtes Netzwerk, verlieren würden; sie hatten keine Notfallpläne. Das hat mein Interesse an Sicherheit wirklich geweckt. Ich habe ein bisschen an der Universität studiert, einige der wichtigsten Prinzipien von InfoSec, das war zu der Zeit, und nachdem ich diese Rolle hinter mir gelassen hatte, wechselte ich zu Mercedes Benz in Milton Keynes, was wahrscheinlich ein entscheidender Punkt in meiner Karriere war, weil ich am Ende mit einem Typen zusammenarbeitete, der einfach sehr gut über alles Bescheid wusste, was man sich vorstellen kann, wie Sicherheit, Geschäftskontinuität, Unternehmen, Risikomanagement, physische Sicherheit, alles. Und hier hat meine Karriere in der Welt der Sicherheit wirklich begonnen.

Wir haben ein Informationssicherheitsmanagementsystem aufgebaut. Es war das erste Unternehmen von Mercedes-Benz weltweit, das nach ISO 27001 zertifiziert wurde, und wir hatten ein Qualitätsmanagementsystem, das nach ISO 9000 zertifiziert war. Und es war brillant, wir haben wirklich interessante Arbeiten gemacht. Und ungefähr 2004, 2005, sah die Muttergesellschaft Daimler, was wir geschaffen haben, und sie baten mein Team, rauszugehen und nachzubauen, was wir in Deutschland gebaut haben. Also verbrachte ich zweieinhalb Jahre damit, in Stuttgart ein- und auszureisen und dort einige Zeit zu verbringen. Also, im Grunde genommen großartige Erfahrung mit einem Programm zur Transformation des globalen Betriebsmodells, und das war ein gewisses Maß an Sicherheit. Aber das ist eine groß angelegte Prozesstransformation. Alles auf der Grundlage der großartigen Arbeit, die wir in Großbritannien und meinen deutschen Freunden geleistet haben, erinnere ich sie immer daran, dass die Deutschen die Briten, wissen Sie, zu dieser Zeit bitten, rauszugehen und ihnen die Prozesse beizubringen. Sie hassen es, wenn ich das sage.

03:34 Indy Dhami

Also ja, ich habe Mercedes verlassen und bin zu Accenture gewechselt. Und verbrachte ein Jahr in Den Haag. Das war ein wirklich interessantes Projekt, groß angelegter Angriff auf Nationalstaaten gegen eine prominente Organisation mit Sitz dort drüben. Ich werde nicht sagen, wer es ist, weil viele Leute es wahrscheinlich erraten können. Und unsere Aufgabe bestand darin, zu helfen und herauszufinden, was dieser Nationalstaat im Netzwerk tut. Und seltsamerweise fing es damit an, sich Excel-CSV-Dateien anzusehen, um herauszufinden, dass Sie sich die Protokolle ansehen, um zu sehen, was tatsächlich vor sich ging. Schlussendlich der Übergang zu einer SIEM-Lösung. Dadurch konnten wir dann mit dem Onboarding weiterer Log-Quellen beginnen und die Plattform ein paar Mal kaputt machen, weil Sie einfach nicht auf die schiere Größe und den Umfang der Logs vorbereitet waren. Aber tolle Erfahrung. Von dort wechselte ich zu PwC und verbrachte zwei Jahre in Kopenhagen, wo ich für einen großen Schiffskonzern arbeitete, ein großes Programm zur Sicherheitstransformation, das alles abdeckte, was man sich vorstellen kann, von der Entwicklung von Richtlinien bis hin zu echten Krisensimulationen, einem umfassenden Programm zur Sicherheitstransformation, danach wechselte ich zur Leitung meines eigenen Unternehmens. Ich habe mein eigenes Unternehmen gegründet und im Grunde genommen eine Matrixorganisation geführt, egal ob es um Beratung oder Pen-Tests geht. Eine wirklich großartige Erfahrung in der Zusammenarbeit mit einigen Finanzdienstleistungsunternehmen sowohl in Großbritannien als auch in Paris.

Nach diesem Wechsel zu IBM leitete ich dort vier Jahre lang das FS-Transformationsteam, das sich hauptsächlich mit groß angelegten, verwalteten Sicherheitsservices und Engagements befasste, Dinge wie den Betrieb eines durchgängigen SOC, aber dann auch mit Sicherheitsbewertungen und Beratungsarbeiten. Danach verbrachte ich ein Jahr bei einem Unternehmen namens Historic Global, das von der Regierung Singapurs finanziert wurde, um in andere Cyberunternehmen zu investieren. Also, eine großartige Erfahrung dort. Und dann kam ich im Januar letzten Jahres zu KPMG mit dem Auftrag, FS-Kunden abzuholen, hauptsächlich im Bankwesen, aber dann ist mein Aufgabenbereich etwas weiter gewachsen, um unsere Cyber-Resilienz-Kapazitäten zu betreiben, die sich dann über eine Reihe verschiedener Sektoren erstrecken.

05:49 Raghu Nandakumara

Ich meine, ich denke, wir... du verdienst eine Podcast-Folge für jede dieser Erfahrungen, oder?

5:55 Indy Dhami

Jeder hat seine eigene interessante Geschichte, ich könnte wahrscheinlich ein Buch über einige der Dinge schreiben, die ich gesehen habe und die die Leute dazu bringen werden, mit den Augen zu rollen und zu sagen, ja, ich habe etwas Ähnliches erlebt.

6:06 Raghu Nandakumara

Nun, ich denke, die dritte Staffel des Segments, Indy, wird aus 12 Folgen bestehen, in denen du deine Geschichte erzählst. Das ist großartig. Und ich versuche zu entscheiden, wo wir anfangen sollten, um Dinge aufzuheben, weil ich das Gefühl habe, dass all das irgendwie nicht nur auf die Rolle ausgerichtet ist, die Sie heute spielen. Aber wirklich, dieser Fokus, von dem Sie gleich zu Beginn gesagt haben, dass der Schwerpunkt auf InfoSec lag. Richtig. Und so war es zufrieden. Und jetzt hat sich das wirklich in Richtung Cybersicherheit verlagert. Und jetzt der Begriff Cyber-Resilienz. Und ich versuche, ich verbinde, was du gleich am Anfang gesagt hast, nämlich, was war, was war, als wärst du da gewesen, richtig? Sie haben eine Art IT-Support in all seinen verschiedenen Varianten geleistet und versucht, sagen wir, ein Virus, der durch das Netzwerk läuft, abzuwehren; es gibt keinen Notfall. Und jetzt geht es bei Resilienz, nicht nur bei Cyber-Resilienz, sondern auch bei betrieblicher Resilienz, darum, wie ich auch dann weiterarbeiten kann, wenn all diese unerwarteten Dinge passieren. An welchem Punkt glauben Sie, ist dieser Wandel passiert, um zu sagen, dass wir uns wirklich auf Resilienz konzentrieren müssen; es geht nicht nur darum, das Problem irgendwie lösen zu können; es geht darum, funktionsfähig zu sein, während wir das Problem lösen?

7:26 Indy Dhami

Ja, ich meine, es gibt eine wirklich interessante Frage, denn zurück zu dieser ersten Erfahrung, die ich gemacht habe, und ich habe vor Kurzem gerade einen Teil meiner Unterlagen durchgesehen und es wurde tatsächlich der Begriff verwendet, der Organisation zu helfen, widerstandsfähiger zu werden. Und das war wahrscheinlich lange bevor irgendjemand über betriebliche Resilienz oder Cyber-Resilienz nachgedacht hat. Und dann zum Beispiel Mercedes. Wissen Sie, wir haben über all diese Dinge gesprochen, wenn es um Identitäts- und Zugriffsmanagement geht, wenn es um die Widerstandsfähigkeit von Unternehmen geht, darum, all diese Dinge zusammenzuführen. Ob es um Sicherheit geht, ob es um physische Sicherheit und Umweltsicherheit geht, ob es sich um Betrug handelt. Und leider kam es nicht zu diesem Zeitpunkt, es ist wahrscheinlich erst in den letzten, sagen wir, fünf bis sechs Jahren erschienen. Und das könnte an einer Reihe von Dingen liegen. Es könnte eine erhöhte Anzahl von Cyberangriffen oder Ausfällen sein. Wissen Sie, wenn Sie an einige der großen Vorfälle in Großbritannien denken, die wir gesehen haben, kommt Ihnen Buncefield in den Sinn. Weißt du, es gab eine große Explosion, oder der Ausbruch des Vulkans in Island war es.

Solche Dinge wurden also oft nie in Betracht gezogen, und ich erinnere mich, dass ich an Bord eine Krisensimulationsübung durchgeführt habe. Und sie sagten zu mir: „Indy, das würde uns niemals passieren.“ Und in dem Szenario, das ich gebaut habe, ging es um die Vogelgrippe, die Vogelgrippe, die Vogelgrippe, oder? Jetzt haben wir, wir haben die Leute, die sich mehr bewusst sind, dass diese operativen Vorfälle häufiger vorkommen, und dann nehmen die Cyberangriffe zu. Sie wissen also, dieses Bewusstsein hat dramatisch zugenommen, denn wenn Sie nur an die Nachrichten denken, sehen Sie, vielleicht sehen Sie jetzt Cyberangriffe ein-, zweimal, dreimal in den Nachrichten, und das ist häufiger geworden, und die Leute stellen den Sicherheitsverantwortlichen immer schwierigere Fragen dazu.

9:14 Raghu Nandakumara

Also nur am Rande, richtig, Sie haben erwähnt, dass Cyberangriffe zunehmend in den Nachrichten zu sehen sind. Richtig? Und hatten Sie das Gefühl, dass, als über diese Nachricht berichtet wird, es im Großen und Ganzen mehr vom Alten ist? Also als jemand, der nicht so informiert ist wie Sie, dass die Leute, die gerne die Nachrichten schauen, sagen: „Oh, nur ein weiterer Cyberangriff.“ Wenn man allerdings über Resilienz nachdenkt und der Grund, warum wir uns auf Resilienz konzentrieren, werden wir zu Dingen wie DORA kommen, ist, dass der Dominoeffekt, sagen wir, die Auswirkungen der Auswirkungen, sagen wir, einer großen Bank erheblich sind, oder? Über diese Dinge wird nicht genug berichtet, sodass nur die normale, sondern nur die breite Öffentlichkeit immer noch nicht den Aha-Moment darüber hat, warum Cybersicherheit so wichtig ist.

10:09 Indy Dhami

Ja, das ist ein wirklich gutes Argument. Und, weißt du, ich habe versucht, die Schichten dieser herausfordernden Fragen zurückzuziehen und warum das so ist. Und bis es viele Menschen persönlich betrifft, wissen Sie, dann wissen sie im Allgemeinen nicht, was Cybersicherheit ist und warum sie wichtig ist. Ich erinnere mich, dass ich dieses Gespräch damit auf einer Familienfeier, einer Familienfeier geführt habe und mit einem Arzt gesprochen habe. Und weißt du, er hatte quasi das Gespräch hier: „Also was ist es, was machst du?“ Und ich habe ein bisschen erklärt, welche Art von Arbeit ich mache. Und Sie können diesen Moment der Panik sehen, der ihm wirklich durch den Kopf geht und denkt, nun, wir haben eine Menge sensibler Daten, wir sind ziemlich exponiert, ich habe eigentlich keine Ahnung, wie meine Praxis mit all diesen sensiblen Informationen umgeht, die wir haben. Und ich habe keine Ahnung, ob wir uns erholen könnten. Und lustigerweise sahen wir ungefähr ein Jahr später den WannaCry-Vorfall, NotPetya, der alle Auswirkungen auf den NHS hatte. Und ich glaube, das war, es war eine Zeit lang, es war ziemlich verbreitet, die Leute waren wirklich besorgt darüber. Aber dann geht es weg. Alles wird wieder normal. Und wieder haben die Leute vielleicht keine so hohen Zinsen, wie ich schon sagte, bis sich etwas auswirkt und sie, Sie wissen schon, ihr Bankkonto kompromittiert haben und Geld überwiesen wird. Es scheint also immer noch einer dieser Bereiche zu sein, der vielleicht als draußen gilt, weißt du, es sind Leute, die mit Kapuzenpullis in abgedunkelten Räumen sitzen und sich an Dingen herumhacken. Aber tatsächlich gibt es da draußen ein breites Spektrum an Bedrohungsakteuren, sei es aus. Ja, Sie können dieses stereotype, sehr kluge Kind, das zu Hause sitzt und sich in hoch organisierte, hochorganisierte, hochprofitable Unternehmen einhackt. Bis zu dem Punkt, wissen Sie, wir sehen, dass einige dieser Organisationen ziemlich frustriert sind, wissen Sie, weil sie ihren Ruf schädigen, weil Sie wissen, sie haben den Ruf, dafür bekannt zu sein, wenn sie ein Unternehmen mit ihrer Ransomware angegriffen haben. Es ist bekannt, dass sie die Entschlüsselungsschlüssel zurückgeben, wenn sie zahlen. Wobei andere Organisationen vielleicht nicht so ethisch sind, oder? Es ist verrückt, darüber nachzudenken. Aber das ist diese schattenhafte Unterwelt, die wir sehen und von der viele Menschen nicht wirklich wissen, dass sie bei Tageslicht funktioniert.

12:23 Raghu Nandakumara

Ja, absolut. Und ich denke, ich denke über die Ethik von Ransomware oder böswilligen Akteuren nach, und einige böswillige Akteure sind irgendwie sehr stolz auf die Ethik, die sie an den Tag legen. Während Sie bei anderen das Konzept einfach nicht kennen, nun ja, wenn Sie das Lösegeld zahlen, geben wir Ihre Daten frei. Ich habe mir Sorgen gemacht, wenn sie deine Daten haben, ja, Gott weiß, was sie damit machen werden, ob du das Lösegeld zahlst oder nicht. Kommen wir also zu Ihrer heutigen Rolle. Richtig. Und wenn Sie von Ihren Kunden angesprochen werden, richtig. Und das ist eine sehr allgemeine Frage. Was ist normalerweise die erste Frage, die sie Ihnen stellen?

13:09 Indy Dhami

Normalerweise ist die erste Frage, die sie mir gestellt haben, abhängig von einer Reihe verschiedener Szenarien, aber wissen Sie, ich kann mir eine vorstellen, die mir gerade in den Sinn kommt, wissen Sie, wir glauben, wir haben keine Risikobereitschaft mehr, wenn es um Cybersicherheit geht, oder? Können Sie uns helfen, wieder in den Bereich der Toleranz zu kommen? Die erste Frage, die ich stelle, lautet nun oft: Wie definieren Sie Ihre Risikobereitschaft? Und zweitens, anhand welcher Datenpunkte können Sie dann beurteilen, ob Sie innerhalb oder außerhalb dieses Toleranzniveaus liegen? Und eine etwas kontroverse Aussage, die ich allerdings in vielen Organisationen, nicht nur in FS, sehe, ist, dass schlechte Daten zu grundlegend fehlerhaften Reaktionen auf diesen Punkt führen, ob wir innerhalb oder außerhalb unseres Appetits sind. Und dafür gibt es eine Reihe von Gründen. Zumindest aus Cybersicht geht es in der Regel um die Berichterstattung über Kontrollen und Protokollquellen. Sie könnten ein SOC oder ein SIEM einsetzen, das Ihren Betrieb betreibt und überwacht. Aber was Sie lesen und was viele der älteren Mitarbeiter nicht wissen, ist, dass Sie tatsächlich nur einen geringen Prozentsatz an Versicherungsschutz haben, weil Sie keinen Zugriff auf bestimmte Technologien haben. Einige Ihrer kritischen Anwendungen wurden vor so langer Zeit entwickelt, dass sie möglicherweise nicht die Protokolle erstellen, die Sie benötigen, um einen klaren Überblick darüber zu erhalten, ob jemand in Ihr Netzwerk eindringen und sich dann von dort aus bewegen kann. Das gilt also für das Risikomanagement und das Gleiche gilt aus Sicht der betrieblichen Belastbarkeit. Wenn Sie jedoch Ihre Situation nicht verstehen, verfügen Sie nicht über die richtigen Daten, um sich ein klareres Bild von allem zu machen, was Sie in Ihrem Unternehmen und auch in Bezug auf Dritte und Dritte haben. Wie können Sie dann die entsprechenden Risikomanagemententscheidungen treffen? Es ist grundlegend fehlerhaft.

14:53 Raghu Nandakumara

Ja, absolut. Und wenn ich dich gerade sagen höre, dass der letzte Teil davon, richtig, mich irgendwie mit Vorschriften wie DORA verbindet, die gerade erst in Kraft treten und bis nächstes Jahr bis Anfang nächsten Jahres wirklich in Kraft treten werden, wo ich meine, du bist so ziemlich Wort für Wort, was du gerade gesagt hast, oder? Sie müssen mit einem wirklich guten Verständnis dafür beginnen, wie die Dinge in Ihrer Umgebung interagieren, aber auch, wie Sie alle Ihre Lieferanten haben, all Ihre vor- und nachgelagerten Abhängigkeiten auch auf Systemebene mit Ihnen interagieren, oder? Dabei geht es nicht nur um die Ebene der Geschäftsprozesse, sondern auch um die Systemebene, sodass Sie sich ein Bild von Ihrem Risiko machen und dann die richtigen Kontrollen einrichten können.

15:37 Indy Dhami

Ja. Ja, und außerdem hast du DORA erwähnt. Es gibt viele, oder? Und die eine Sache, die ich sehe, ist, dass die Menschen fast übermüdet sind durch die schiere Menge an Vorschriften, sei es Cyber- oder betriebliche Resilienz, es gibt viele Überschneidungen. Und wissen Sie, es ist wahrscheinlich an einem Wendepunkt, an dem, wissen Sie, einige Organisationen sagen, lustigerweise haben wir es heute erst in den Nachrichten gesehen. Eine britische Großbank hat tatsächlich erklärt, dass sie einen Großteil ihrer Risikofunktion aufgibt, weil das ihre Innovationsfähigkeit behindert, richtig, was für mich eine sehr merkwürdige, seltsame Position ist. Wenn man bedenkt, was ich hier gerade gesagt habe, nimmt die schiere Anzahl der Bedrohungen, die Sicherheitslücke, täglich zu, exponentiell, oder? Was dann diesen Dominoeffekt auf Ihre systemischen Risiken und Ihre Ansteckungsrisiken hat. Es ist also eine wirklich interessante Position, in der wir uns gerade befinden. Denn obwohl wir immer mehr Angriffe sehen, immer mehr Unternehmen Ausfälle haben, und wir haben es vor ein paar Wochen gesehen, wenn Sie sich erinnern, gab es einen Einzelhändler und eine Handvoll Einzelhändler im Einzelhandel, die Probleme mit einem Teil ihrer Zahlungsabwicklung hatten. Es wurde zwar nicht bestätigt, ob es sich um einen Cyberangriff handelt, aber es zeigt dennoch, dass hier ein systemisches Risiko besteht, das Ansteckungsrisiko, dass, wenn ein Anbieter kritischer Infrastrukturen, der möglicherweise Dienstleistungen für eine Reihe von Organisationen anbietet, einen Ausfall hat, die Auswirkungen davon letztlich für einige Organisationen nicht haben, für einige Organisationen keinen Notfallplan haben.

17:08 Raghu Nandakumara

Ja, ich konnte mein veganes Wurstbrötchen vor ein paar Wochen nicht bei Greg's kaufen. Es war ein harter Tag, dieser Tag.

17:20 Indy Dhami

Du musst dich für den Vollfetten entscheiden.

17:23 Raghu Nandakumara

Also lass uns darüber reden, lass uns über Regulierung sprechen. Und ich denke, dass Sie absolut Recht haben, und ich war irgendwie schon früher in der Finanzdienstleistungsbranche, vor meiner aktuellen Position, und dass diese ständige Herausforderung, der regulatorische Druck, die Notwendigkeit, die Vorschriften einzuhalten, besonders wenn Sie für eine globale Organisation arbeiten, die all Ihre globalen Aufsichtsbehörden einhalten muss, eine enorme Herausforderung ist. Sehen Sie also, dass die Transformation oder Weiterentwicklung der Vorschriften versucht, einheitlicher zu werden, sodass sie vielleicht etwas andere Wörter verwenden, aber was sie fragen, ist so ziemlich dasselbe?

18:00 Uhr Indy Dhami

Ja, ich stimme vollkommen zu. Und ich hatte vor ein paar Wochen dieses Gespräch mit einem Freund über den Zweck von Dingen wie DORA, und ich denke, die Prämisse ist richtig, oder? Es verlagert den Fokus von der bloßen Sicherstellung, Sie wissen schon, dass Sie über finanzielle Solidität verfügen, dass Sie einen betriebsbereiten, belastbaren Betriebsdienst aufrechterhalten haben. Trotz dieser Störungen, die durch ein ICT-Problem oder einen Cyberangriff verursacht wurden, was auch immer es ist, war es in der Lage, dem Ausfall oder einem Cyberangriff standzuhalten und sich davon zu erholen, wenn nicht sogar den Betrieb fortzusetzen, während Sie unter erheblichem Stress stehen. Und, wissen Sie, so wie ich es mit einigen dieser Vorschriften sehe, verlagert sich der Schwerpunkt sehr isolierter Ansätze zur Erfüllung regulatorischer Anforderungen, sodass daraus, wie ich wiederum, Compliance zu einem Mannschaftssport macht. Sie müssen Ihren Chief Information Security Officer für DORA am Tisch haben. Sie benötigen jedoch auch die Person, die für die gesamte Personalabteilung verantwortlich ist, oder die Person, die für Ihren Geschäftsbetrieb verantwortlich ist, oder Sie für Ihre wichtigen Unternehmensdienstleistungen. Und die reiferen Organisationen, in denen ich arbeite, mit denen ich zusammenarbeite, gehen das auf diese Weise an. Ich habe all diese wichtigen Interessengruppen am Tisch. Sie haben verstanden, dass für jede dieser Funktionen bestimmte Rollen zu spielen sind, und sie arbeiten zusammen. Also ich meine, das ist der größte Erfolg der Szene. Ich meine, viele Organisationen betrachten DORA und andere Vorschriften nur als ein Augenrollen oder eine andere rotierende Aktivität, an die wir uns halten müssen. Ich denke, aus kultureller Sicht hat es eine viel positivere Wirkung. Nun, im Januar nächsten Jahres werden wir sehen, wie richtig das ist. Aber zumindest bei der Arbeit, die wir gerade mit Lückenanalysen und Behebungsprogrammen machen, wissen Sie, sind einige dieser wichtigen Stakeholder endlich am Tisch und verstehen und lernen mehr darüber, was ihre Kollegen in Ihrer Sicherheitsfunktion oder sogar aus der Cyber-Perspektive tun. Einige der CISOs lernen mehr und arbeiten mehr mit den letztlich ihren Kunden, ihren Geschäftsinteressenten, für die sie den Service anbieten.

20:16 Raghu Nandakumara

Ich liebe den Begriff, den Sie gerade verwendet haben, um zu sagen, dass DORA, sagen wir, betriebliche Resilienz, Cyber-Resilienz wirklich dazu zwingt, zu einem Teamsport zu werden, denn als Sicherheitspraktiker, richtig, ich erinnere mich an die Zeit, als ich meinen CISP bekam, richtig, wie die Theorie schon sagte, Security InfoSec, zu dieser Zeit muss es ein Teamsport sein, jeder muss engagiert sein. Aber in Unternehmen gab es zu lange die Sicherheitsfunktion und dann, sagen wir, die Anwendung, die Geschäftsentwicklungsfunktion. Und ich glaube, Sie haben das Beispiel einer Großbank zitiert, die sagt, dass wir unser Risikoteam sozusagen reduzieren, weil es der Transformation im Weg steht. Richtig. Also. Also ich finde es großartig, Cybersicherheit wird jetzt als Mannschaftssport angesehen und die Tatsache, dass die Regulierung das ermöglicht, ist wahrscheinlich das Erste, was irgendjemand zu Vorschriften zu sagen hat, oder? In Bezug auf das, was sie ermöglicht. Also ich denke, das ist ein Geschenk des Himmels.

21:24 Indy Dhami

Aber du musst, du musst diese Dinge als positiv sehen. Richtig. Vielen Organisationen, mit denen ich zusammenarbeite, wird langsam klar, es gibt Dinge in dem, was man damit macht, wenn man sich einige dieser Vorschriften ansieht, merkt man, dass wir viele dieser Dinge bereits tun. Richtig? Es ist nur anders strukturiert. Und es gibt einige Überschneidungen mit einigen anderen Vorschriften. Solange Sie klug vorgehen, müssen Sie nichts Neues wiederholen und neu erstellen, um in einigen dieser Schlüsselbereiche Ergebnisse zu erzielen. Und tatsächlich werden dort, wo die festgestellten Lücken festgestellt werden, Bereiche hervorgehoben, in denen möglicherweise mehr Investitionen erforderlich sind. Mit DORA haben Sie zum Beispiel diesen ganzen Teil über den Informationsaustausch, und das ist derzeit ein sehr aktuelles Thema, denn es wird sein, wie, wie und wann Sie Informationen austauschen, wenn Sie in verschiedenen Ländern unterschiedliche Vorschriften haben, wenn Sie in verschiedenen Ländern unterschiedliche Vorschriften haben. Wissen Sie, wenn Sie in den USA einen Bericht erstatten müssen, hat die SEC andere Anforderungen als hier beim ICO. Und Sie verwalten diese Informationen sicher und in der Gewissheit, dass Sie die sachlichen Informationen tatsächlich bereitstellen können, ist eine der großen Herausforderungen, die sich aus DORA ergeben. Ich meine, wenn wir über einige der anderen Bereiche nachdenken, über das Element digitaler betrieblicher Resilienztests, richtig, was eine sehr, sehr weit gefasste Aussage ist, wissen Sie, die Pen-Tests beinhalten könnte, es könnte darin bestehen, Ihre Software und Ihren Code zu untersuchen und sicherzustellen, dass sie ein- und ausgecheckt sind und Entwickler keinen falschen Zugriff haben. Und dann geht es weiter zu einer Reihe verschiedener Bereiche wie Identitäts- und Zugriffsmanagement, es geht um Netzwerksicherheit, es ist sehr, sehr detailliert. Aber wenn Sie schon lange genug in der Industrie tätig sind, dann ist da nichts Bahnbrechendes, es ist nur eine Harmonisierung und Fokussierung, die durch einen Teil der granularen Ebene des Textes von Regulierungstexten, Normen, die in der Verordnung enthalten sind, ans Licht gebracht wurden.

23:16 Raghu Nandakumara

Ja, ich stimme zu. Ja, absolut. Richtig. Und wie Sie habe ich ein paar Stunden damit verbracht, mich mit den Einzelheiten der Vorschriften zu beschäftigen. Und ich stimme zu, dass nichts von dem, was die Vorschriften von Unternehmen verlangen, und wir haben ausführlich über DORA gesprochen, aber um ehrlich zu sein, könnten wir DORA durch eine Reihe der anderen Vorschriften ersetzen, die in den letzten Jahren weltweit veröffentlicht wurden, dass sie, sie sind immer in der Tatsache verwurzelt, dass davon ausgegangen wird, dass das Unerwartete passieren wird, oder? Ob das wie ein Umweltereignis ist, wie ein Vulkanausbruch, oder ob das ein Cyberangriff ist oder in Ihrer Umgebung? Und was würden Sie tun, um sicherzustellen, dass Sie Ihre Umgebung bestmöglich verstehen, richtig, um gegen dieses Recht gewappnet zu sein, die Auswirkungen zu begrenzen oder einzudämmen, sodass Sie weiterhin produktiv arbeiten können, während Sie diesen kleinen Teil davon wiederherstellen, oder? Und was ich mit diesen Vorschriften jetzt für besser halte, ist, dass das übergeordnete Ziel viel klarer ist. Richtig? Es besteht weitaus mehr Klarheit darüber, warum Organisationen dies tun sollten. Würden Sie zustimmen?

24:27 Indy Dhami

Jep. Ja, stimme voll und ganz zu. Ja, weißt du, wir haben viel Zeit mit Dora verbracht. Aber wenn Sie diese beiden zum Beispiel nehmen, wissen Sie, es gibt enorme Überschneidungen, die sich auf Risikomanagement, Unternehmensverantwortung, Berichtspflichten, Geschäftskontinuität und dann auf eine Reihe von Mindestmaßnahmen konzentrieren, die Dinge, die sie ergreifen müssen. Und ich habe mir DORA und NIST2 angeschaut und dann bin ich zurück zu 2004 2005 gegangen, als ich bei Mercedes war und wir ISO 2700 1 eingeführt haben. Und um ehrlich zu sein, gibt es nichts, was grundlegend anders ist, und es war ein Teil der Norm, der von der Verantwortung des Managements spricht, was wiederum genau mit dem übereinstimmt, was Nizza über die Rechenschaftspflicht von Unternehmen sagt. Es geht darum, von oben den Ton anzugeben, die entsprechenden Führungs- und Verwaltungsmechanismen einzurichten und die Mitarbeiter zu schulen, damit sie wissen, Sie wissen schon, was zu tun ist, wenn das Schlimmste passiert. Also, ich meine, es ist eines dieser Dinge, bei denen wir lange genug in der Branche tätig sind, es sind nur unterschiedliche Durchdringungen von Standards und Kontrollen, die jetzt in den Vordergrund gerückt sind, was für einige Unternehmen ziemlich beängstigend ist, mit dem neuen potenziellen Risiko von Bußgeldern, wenn sie sich nicht an eine Reihe von Vorschriften halten, die speziell für ihre Branche gelten. Und ich glaube, viele, viele, das ist seit vielen Jahren unter den Teppich gekehrt. Wissen Sie, wie gesagt, es gibt Organisationen, mit denen ich zusammengearbeitet habe und die gesagt haben, Indy, das ist uns noch nie passiert, wissen Sie, niemand wird an den Daten interessiert sein, die wir haben, bis ich anfange, weitere Fragen zu stellen wie: „Okay, erinnern Sie mich daran, was Ihr Unternehmen tut, erinnern Sie mich daran, wer Ihre Kunden sind, und überlegen Sie, wer potenziell davon profitieren könnte, auf diese Informationen zuzugreifen und sie dann für andere Zwecke zu verwenden.“ Also, weißt du, ich meine, wenn man bedenkt, dass es noch nicht so lange her ist und wahrscheinlich in den letzten zehn Jahren. Das hat sich jedoch geändert. Und ich muss sagen, dass viele Vorstandsmitglieder und nicht geschäftsführende Direktoren inzwischen besser wissen, was nötig ist — schwierige Fragen, die CISOs stellen müssen. Also, wissen Sie, es erfordert einen etwas schmerzhaften Prozess, um dorthin zu gelangen. Aber ich glaube, wir sind jetzt da. Aber es zeigt, dass viele Unternehmen über viele, viele Jahre einfach zu wenig in Sicherheit investiert haben und das Problem nicht durch ein „Okay, lassen Sie uns ein Abhilfeprogramm durchführen und meine Risikobereitschaft innerhalb von sechs bis neun Monaten wieder in meine Risikobereitschaft bringen“ behoben werden kann. Wenn man bedenkt, dass es Jahre über Jahre an technologischer Infrastruktur gibt, von der einige in vielen Unternehmen nicht mehr unterstützt werden. Daher wird Microsoft einige der Server, über die diese Organisationen verfügen, nicht patchen. Der Versuch, für einige CISOs Abhilfemaßnahmen zu finden, ist also eine fast unmögliche Herausforderung.

27:09 Raghu Nandakumara

Ja, ich stimme zu. Ja. Ja. Ja, aber es ist, ich finde es großartig. Ich denke, was Sie angesprochen haben, sind ähnliche Führungskräfte, die viel mehr oder viel besser informiert sind und anfangen, die richtigen Fragen zu stellen, richtig. Und ich denke, das ist diese Veränderung. Wenn ich das verstehe, hat es sich in vielerlei Hinsicht von einer Compliance-Ausrichtung zu einer Art Belastbarkeit und Produktivitätsorientierung entwickelt, oder? Und dem CISO zu sagen, das, was Sie uns liefern, ermöglicht es uns, produktiver zu sein, oder? Ist es nicht. Das ist, ich meine, Compliance ist wichtig, aber sie muss wirklich sicherstellen, dass wir keine Kompromisse bei der Produktivität eingehen. Also wurde mir klar, dass dies ein Zero-Trust-Podcast ist und wir Zero Trust nicht erwähnt haben. Also, lass uns darüber sprechen. Richtig? Im Grunde dreht sich alles, worüber wir sprechen, darum, diesen Fokus auf Zero Trust zu legen, und das kommt auch in den Vorschriften vor. Also ja, lass uns diesen Weg gehen.

28:02 Raghu Nandakumara

Lass uns okay, lass uns gehen. Lass uns anfangen, richtig? Also, wir hatten viele, viele andere in diesem Podcast und jeder teilt irgendwie seine Interpretation von Zero Trust oder einer Analogie, die er verwendet. Also, Indy, die Bühne gehört dir. Also, was ist Ihre Zero-Trust-Analogie?

28:22 Indy Dhami

Wir haben vor ein paar Wochen darüber gesprochen, und es war das Ergebnis von Gesprächen, die ich mit Freunden und Kollegen führe, die an dem Neonprojekt in Saudi-Arabien arbeiten. Und mir fiel auf, dass, weißt du, wenn du eine neue Stadt bauen würdest, wenn du die Möglichkeit hättest, die Stadt von Grund auf neu zu bauen, aber wie würdest du vorgehen, um Vertrauen und Privatsphäre aufzubauen und fast diese Zero-Trust-Analogie beim Bau der Stadt anzuwenden? Und es hat mich wirklich zum Nachdenken gebracht, wenn Sie an Großbritannien denken, es ist ein sehr traditionelles Land, das über viele, viele Jahre traditionell gebaut wurde. Aber wenn Sie diese Gelegenheit hätten, was würden Sie tun? Und wenn Sie sich konzentrieren würden, wahrscheinlich mehr auf das US-Modell, und ich habe Zeit bei Mercedes in Milton Keynes verbracht. Also, die leichten, verwenden Sie das Modell dort mit dem Rastersystem, aber Sie nehmen Stadtblöcke quasi als Arbeitslastsegmente. Und in unserer fantasievollen Stadt würde jeder Block ein anderes Workload-Segment repräsentieren. Nun, das könnten, Sie wissen schon, diese Blöcke werden Gehäusespezifikationen sein. Es können Dienstleistungen sein, es kann Arbeitsbelastungen sein, aber so wie die Stadtblöcke über diese Wohn- und Gewerbegebiete verfügen, würden unsere Stadtblöcke anderen Zwecken dienen. Es könnten Webserver sein, Datenbanken sein, es könnten Ihre Zahlungsgateways sein. Und dafür, dann hättest du auch Straßen, auf denen du auch Regeln hast, oder? Also, die Straßen verbinden diese Blöcke, wie ein Netzwerkpfad. Dann haben Sie Ihren Traffic, das sind Ihre Datenpakete. Du bist, sie fließen auch zwischen den Blöcken. Sie denken also darüber nach, dass wir eigentlich eine Mikrosegmentierung von Zero Trust bräuchten, um spezifische Regeln für jede Straße aufzustellen. In einigen Straßen sind möglicherweise nur bestimmte Fahrzeugtypen und Daten erlaubt, während andere komplett gesperrt sind. Und dann haben Sie wahrscheinlich Sicherheitskontrollen, am Eingang zu jedem dieser Blöcke, wissen Sie, da gibt es eine Sicherheitskontrolle, stellen Sie sich das als Torwächter vor, bevor Sie jemanden oder dieses Datenpaket durchlassen, jetzt, die überprüft werden müssen, die Notwendigkeit, diese Identität zu überprüfen und den Zweck, warum sie diese, diese bestimmte Zone passieren, und dann ist nur autorisierter Verkehr erlaubt. Dann dachte ich darüber nach, dass du diese Zero-Trust-Fahrspuren haben könntest. Also innerhalb der Stadt gibt es spezielle Fahrspuren, die, weißt du, sie sind supersicher. Jede Ampel, für deren Überquerung sie eine ausdrückliche Genehmigung benötigen würden. Aber dann bräuchten Sie auch etwas wie Isolierung und Eindämmung, wenn in einem bestimmten Block Feuer ausbricht, das könnte ein Cyberangriff sein, wissen Sie, haben Sie eine Möglichkeit der Segmentierung, die sicherstellt, dass es sich nicht auf Ihren anderen Block ausbreitet. Und dann sind das die Blöcke, die unberührt bleiben. Und du schaffst das, diesen Brand, diese Sicherheitslücke innerhalb dieser bestimmten Domain?

Und dann müssten Sie für Ihre Stadt auch die Beschilderung anpassen, und schon hätte jeder Block seine eigenen Sicherheitsrichtlinien. Diese könnten dann quasi diktieren, wer reinkommt, wer geht und wie sie kommunizieren. Sie wissen zum Beispiel, Sie haben Ihre Datenbank gesperrt und auf dem Schild steht vielleicht, dass nur autorisierte Datenbankabfragen erlaubt sind, oder? Also, so wie ich das sehe, musst du auch dynamisch sein. So dynamisch, wie sich eine Stadt weiterentwickelt, passen die Planer ihre Straßen, ihre Checkpoints an, und dann würde Ihre Mikrosegmentierung es ermöglichen, diese Änderungen in den Arbeitslasten und den Anwendungen anzupassen, Sie haben eine neue Cloud, neue Cloud-Kontrollen kommen hinzu. Zusammengefasst: Wenn man eine Stadt baut und diese Zero-Trust-Analogie anwendet, denke ich, dass ich das so angehen würde. Also, ich bin kein Stadtplaner, das kann ich auch nicht behaupten. Aber weißt du, vielleicht ist das eine interessante Analogie. Es ist mir gerade in den Sinn gekommen. Vor nicht allzu langer Zeit.

32:11 Raghu Nandakumara

Ich stelle mir SimCity vor, die Zero Trust Edition, richtig, basierend auf dem, was du gerade gesagt hast, und ich denke, wir sollten einfach jeden, der sich mit Cyberresistenz, Cybersicherheit und InfoSec befasst, dazu bringen, es zu spielen, und wir sollten eine Bestenliste haben und schauen, wer die beste Zero-Trust-geschützte Stadt entwerfen kann. Was denkst du?

32:31 Indy Dhami

Ja, es ist ein großartiges, großartiges Spiel. Das habe ich früher gespielt. Und auch Themenpark, falls du dich an den Themenpark erinnerst, und das bringt dich einfach dazu, anders zu denken. Und ich glaube, das ist ein Sicherheitsexperte. Ich glaube, das haben wir alle, weißt du. Ich habe oft gesehen, dass Führungskräfte vor den Vorstand treten und anfangen, in Fachsprache zu sprechen. Und es klammert sich fast an einen Teil der C-Suite. Und wie machen wir es verständlicher? Wie sorgen wir dafür, dass es bei ihnen ankommt und wenden es auf das an, worüber sie besorgt sind? Eines der wichtigsten Dinge, die ich immer tue, wenn ich mit den Führungskräften spreche, ist, mir zu sagen, was Sie antreibt? Was ist es, das dich motiviert? Was beschäftigt dich? Und was Sie dazu bringt, sich auf Ihre Rolle zu konzentrieren, weil das Sicherheitsteam dafür verantwortlich ist, Sie in die Lage zu versetzen, sicherzustellen, dass wir nicht die Polizeifunktion übernehmen. Wir sagen nicht einfach „Nein, tut mir leid, das können Sie nicht tun.“ Wir betrachten das so, als wären wir die klugen Leute, die sich technisch mit Sicherheit auskennen. Richtig? Also, wie helfen wir dabei, das Geschäft zu ermöglichen? Und wie kommunizieren wir mit ihnen in einer Sprache, die bei ihnen Anklang findet? Und ich denke, das ist immer noch eine der großen Herausforderungen, die ich sehe, ist, dass den Foren immer noch Berichte über Schwachstellen-Scans vorgelegt werden, oder nein, hier ist ein Überblick über die technischen Kontrollen. Und viele von ihnen kümmern sich einfach darum, aber sie müssen sich nicht darum kümmern. Sie müssen wissen, was das Geschäftsergebnis ist. Wissen Sie, wie unterstützt uns das beim Bau eines neuen Rechenzentrums an einem anderen Standort? Oder wie können wir auf diese Weise eine neue Anwendung für mobile Geräte entwickeln, mit der wir unseren Kunden neue Dienste anbieten können?

34:04 Raghu Nandakumara

Ja, ich stimme vollkommen zu. Ja? Ja? Ich denke, als Sicherheitsexperten ist es so wichtig, und jetzt, wo ich bei einem Anbieter arbeite, als Sicherheitsanbieter, bin ich in der Lage, mich wirklich so zu vernetzen, wie wir es tun, oder? Und warum es wichtig ist, letztendlich das Ziel zu mögen, das wir anstreben. Und in einer Organisation ist das okay, was ist das Geschäftsziel? Und wie funktioniert was, wie funktioniert das, was unser Programm tut? Wie hängt das mit dem Geschäftsziel zusammen? Und glauben Sie, dass sie, wie die Zero-Trust-Strategie und Organisationen, die eine Zero-Trust-Strategie verfolgen, in der Lage sind, eine bessere Geschichte darüber zu erzählen, wie diese Strategie auf die Geschäftsziele abgestimmt ist, oder ist das immer noch da?

34:52 Indy Dhami

Ich denke, es gibt zwei, wahrscheinlich zwei Arten von Personen, diejenigen, die die Geschichte gut erzählen und sie in einer Sprache artikulieren können, die der Vorstand versteht und die Führung versteht, das Unternehmen bekommt. Und diejenigen, die sich immer noch auf Technologiekontrollen konzentrieren. Jetzt sehe ich mehr. Zum Glück bin ich eher auf der linken Seite und artikuliere, was Zero Trust ist. Und es geht vor allem darum, diese Szene zu schaffen, wenn man sie richtig einrahmt und dafür sorgt, dass sie bei diesen Führungskräften ankommt, kann man meiner Meinung nach sehr erfolgreich sein, diesen Zero-Trust-Ansatz umzusetzen.

35:26 Raghu Nandakumara

Was sagen Sie also, von, von der Verabschiedung in Bezug auf die Einführung einer Zero-Trust-Strategie? Richtig? Ist das so, stellen Sie fest, dass immer mehr Unternehmen das wirklich als eine Initiative auf oberster Ebene haben, die, sagen wir, auf CISO-Ebene verfolgt wird? Oder ist es etwas, das einfach in jeden Teil des CISO-Programms eindringt und nicht unbedingt ausdrücklich erwähnt wird?

35:49 Indy Dhami

Es ist wahrscheinlich eine Kombination aus beidem. In einigen Unternehmen ist es nicht nur ein wesentlicher Bestandteil ihrer Cyberstrategie, sondern sie ist auch in die betriebliche Widerstandsfähigkeit eingedrungen, oder? Weil es auf so überzeugende Weise positioniert wurde. Es ist ein Kinderspiel. Und dann ist da noch das andere, die andere Seite davon durch Osmose oder einfach durch Zufall, es passiert in einer Reihe dieser Transformationsprogramme, es wird in einer frühen Phase des Designs angesprochen. Und Organisationen verwalten das auf diese Weise. Es ist also wahrscheinlich nicht in dem Stadium, in dem es jeder versteht. Es wurde aus den richtigen Gründen implementiert.

36:26 Raghu Nandakumara

Und was gehört eigentlich dazu, wenn Sie Ihre, Ihre Kunden ansprechen und ihnen dabei helfen, eine Zero-Trust-Strategie zu entwickeln, oder? Welchen Weg nimmt man typischerweise ein?

36:43 Indy Dhami

Normalerweise ist es so, wie ich es angehe, immer damit zu beginnen, was Sie als Unternehmen zu tun versuchen? Richtig. Und vor vielen, vielen Jahren wurde mir das beigebracht, und ich sehe immer noch nicht viele Experten, die es tun, als Ihre Geschäftsstrategie aufzugreifen, den Jahresbericht in die Hand zu nehmen, zu verstehen, was das Unternehmen zu tun versucht, und dann seine hier ist, wie Sicherheit und so kann Zero Trust uns bei diesen vier strategischen Säulen unterstützen. Und wenn Sie das auf eine Art beschreiben können, ist das einfach genug, es ist immer der beste Ausgangspunkt, denn dann können Sie anfangen, darauf einzugehen, okay, das sind die Technologiekontrollen, die wir für jeden dieser Punkte benötigen. Und es geht darum, sie auf verbrauchbare Weise aufzuschlüsseln.

37:29 Raghu Nandakumara

Und glauben Sie, ich meine, was wir hören, richtig, ist, dass diese Art von Zero Trust immer noch darin besteht, dass es übervermarktet wurde? Und ich stimme zu, oder? Ich denke, dass es bis zu einem gewissen Grad übervermarktet ist. Aber gibt es eine echte Anerkennung? Nun, ich gehöre im Allgemeinen zur Gemeinschaft der Praktiker. Als Strategie ist sie absolut robust, und Sie müssen nachdenken, um in den Zug zu steigen, richtig, und darüber nachdenken, wie Sie sie umsetzen werden.

38:03 Indy Dhami

Leider ist es wie viele andere Schlagworte, wahrscheinlich übertrieben vermarktet und für viele Unternehmen, die behaupten, Zero-Trust-Funktionen anzubieten. Das tun sie nicht. Das tun sie vielleicht in bestimmten Formen. Aber weißt du, es ist, leider, zu einem dieser Schlagworte geworden. Also nochmal, wenn Sie jemanden haben, der das artikulieren kann, Sie wissen schon, es geht wirklich darum, Sie verifizieren explizit, oder authentifizieren und autorisieren sich dann immer auf der Grundlage der verfügbaren Informationen, konzentrieren Sie sich auf den Zugriff mit den geringsten Rechten. Aber dann gibt es noch einen anderen, einen anderen Begriff, der wahrscheinlich nicht so oft verwendet wird, ebenfalls ein Prinzip der geringsten Funktionalität. Also ja, du hast die geringsten Privilegien. Aber dann auch, wenn Sie, Sie wissen schon, Personen mit bestimmten Zugriffsrechten haben und Sie den Umfang der Funktionen einschränken möchten, die sie möglicherweise mit ihren speziellen Anmeldeinformationen nutzen können. Und ich denke auch, dass dieser vermeintliche Zustand des Kompromisses bei vielen Organisationen angekommen ist, wissen Sie, weil sie langsam zu erkennen beginnen, und je mehr wir versuchen, unseren Nachlass zu identifizieren, desto mehr wird Ihnen das Problem bewusst, das Sie vor sich haben, nämlich sein zweischneidiges Schwert.

39:24 Raghu Nandakumara

Das ist ein großartiges Zitat, oder? Je mehr Sie Ihr Anwesen entdecken, desto mehr erkennen Sie das Problem, das Sie haben, das Sie nicht hatten. Und ich finde, das ist auch ziemlich beängstigend, weil es nur zeigt, wie wenig wir tatsächlich über unseren Nachlass wissen. Richtig. Und ich denke, das ist die Erkenntnis, zu der viele Organisationen kommen, wenn sie damit anfangen, dass ich eigentlich nicht weiß, was vor sich geht, oder? Und wie kommst du über diesen Buckel hinweg?

04:00 Indy Dhami

Ich meine, das ist, es ist wahrscheinlich manchmal ein herausfordernder Moment, viele Leute versuchen zu vermeiden, wissen Sie, ich hatte, ich hatte, einige CISOs haben mir gesagt, ich würde die Pflasterplatte lieber nicht hochheben, wegen all der gruseligen Krabbeltiere, die rausrennen werden. Und dann landet es auf meinem Schreibtisch, um zu versuchen, es zu korrigieren. Und ich schloss mich diesem Kunden an, der sagte, ich bin vor zwei Jahren zu dem Unternehmen gekommen, aber ich kann nicht für die letzten 20 Jahre verantwortlich sein, in denen ich zu wenig investiert und das Technologiedesign schlecht entwickelt habe. Also, es ist, wie gesagt, ein zweischneidiges Schwert, aber indem wir es auf die richtige Art angehen, indem wir uns darauf konzentrieren, okay, lasst uns verstehen, was wir haben, gehen wir raus und beginnen, unser Unternehmen als Staat zu entdecken. Und es ist eine weitläufige Schüssel mit Spaghetti. Nun, seien wir ehrlich, es ist keine leichte Aufgabe, all Ihre Technologiekomponenten zu identifizieren, wissen Sie, und in den alten ITIL-Tagen, vielleicht immer noch idealen ITIL-Tagen, war Ihr CI Ihre Konfigurationselemente. Sie verstehen, und Sie haben eine dokumentierte Übersicht und ein Inventar jedes einzelnen Konfigurationselements, das Sie in Ihrem Bundesstaat haben, und die meisten Organisationen werden wahrscheinlich nein sagen.

Aber wie viel davon müsstest du dann wirklich wissen, oder? Um sicherzustellen, dass Sie widerstandsfähig sind? Vielleicht 80-90%, du könntest damit durchkommen, weißt du, eine Varianz. Aber leider haben viele Unternehmen wahrscheinlich noch nicht einmal 80% ihres gesamten Unternehmensbestands im Blick, vor allem, wenn Sie es bei Unternehmen, die in erster Linie in der Cloud geboren wurden, vielleicht sogar noch einfacher für sie ist. Aber das ist noch keine beschlossene Sache, denn dann haben sie ihre Drittanbieter und dann die vierten Parteien. Und einige der Vorschriften sind so detailliert, dass die Erwartungen, die Sie an Sie stellen, einen Überblick darüber haben, welche Verbindungen Sie mit Ihren Partnern und Dienstanbietern in Bezug auf Ihre Infrastruktur haben, auch das ist etwas, das für viele Unternehmen noch ein bisschen neu ist, um dann die Möglichkeit zu haben, rauszugehen und dieses Gespräch mit wichtigen Versorgungsunternehmen zu führen.

41:57 Raghu Nandakumara

Ich würde sagen, die Cloud bietet Ihnen die Tools, um es einfacher zu machen. Aber wenn Sie sich nicht an die Best Practice halten, schaffen Sie möglicherweise ein noch größeres Problem, einfach aufgrund der Fähigkeit, alle Arten von Ressourcen so schnell hochzufahren, richtig, was zumindest als Gat-Funktion in Ihrem Rechenzentrum gilt, nämlich: „Ah, Sie wollen, Sie wollen einen neuen Server im Rechenzentrum, das dauert sechs Wochen.“

42:23 Indy Dhami

Aber interessanterweise gab es, wenn man an einige der großen Sicherheitslücken denkt, die wir in den letzten Jahren erlebt haben, eine Handvoll von ihnen in der Cloud, weil sie keinen Zugriff hatten, Zugriffsrechte für einen privilegierten Benutzer, der verwaist war. Und dann greift ein Bedrohungsakteur auf diese zu und verwendet sie, um sich im gesamten Unternehmen zu bewegen. Interessanterweise bin ich mir nicht sicher, ob Sie das gesehen haben, es gibt Gespräche, die einige Organisationen führen, ob es für mich billiger ist, nicht mehr in der Cloud zu sein, weil die Kosten in die Höhe schnellen. Und insbesondere einige der neuen Vorschriften, die sich auf die Kosten auswirken, die die Cloud-Anbieter haben, weil die Cloud-Anbieter jetzt auch im Rampenlicht stehen, was die Regulierung angeht. Und die Frage ist, wer wird dafür verantwortlich sein? Und wer trägt die Kosten, wer trägt diese Kosten? Und es ist mehr als wahrscheinlich, dass es nicht die Cloud-Anbieter sein werden, die sich negativ auf ihre Kunden auswirken werden. Und ist es dann billiger, in der Cloud zu bleiben oder wieder eigene Rechenzentren zu bauen, was eine wirklich seltsame Situation ist, weil wir wieder zu dem zurückkehren, was wir vor vielen Jahren waren. Und vielleicht hängt es von der Größe und dem Umfang der Organisation ab. Aber für ein kleines bis mittleres Unternehmen ist es möglicherweise nicht so kosteneffizient, wie er uns vor vielen, vielen Jahren gesagt hat.

43:45 Raghu Nandakumara

Ja, ich bin auf jeden Fall auf viele dieser Studien gestoßen, und alles läuft darauf hinaus, dass man, um die Vorteile der Cloud-Ökonomie zu nutzen, die vermarktet werden, sehr spezifisch sein muss, was die Art der Anwendungen angeht, die man dort ausführt, wie man sie gestaltet, damit man von all dieser Art von, quasi dem On-Demand-Charakter, profitiert, um wirklich zu optimieren.

Ich möchte auf etwas zurückkommen, das Sie gesagt haben, richtig, Sie sprechen über die Menge an Daten, die Menge an Informationen, die Sie benötigen, um Fortschritte zu erzielen. Richtig. Und Organisationen haben Probleme. Und oft wissen sie in der Regel nicht einmal zu 80%, was sie in ihrem Nachlass haben. Also, wie, wie viele Informationen reichen aus, um Fortschritte zu machen, richtig, denn ich denke, das ist das Hindernis für die Einführung von Zero Trust. Eines der Hindernisse ist, dass ich nicht glaube, dass ich über die richtigen Datenpunkte verfüge. Also werde ich warten, also was ist Ihre Antwort?

45:00 Indy Dhami

Ja, ich meine, das ist ein großartiger, großartiger Punkt, den Sie angesprochen haben, denn in vielen Fällen ist es jetzt der Punkt, an dem es okay ist, nicht alle Daten zu haben, oder? Wir können einige fundierte Entscheidungen treffen, oder? Wir können die Datenpunkte verwenden, die wir haben, und, Sie wissen schon, eine aus der Vergangenheit erstellen oder ein Dashboard erstellen, damit ein Führungsteam sagt, wir beantworten diese vier Fragen, die Sie uns gestellt haben, wissen Sie, wie sicher sind wir, wissen Sie, worauf achten wir? Was sind unsere wichtigsten Schwerpunktbereiche? Und wann und das Dashboard basiert im Wesentlichen darauf, wie viel Vertrauen wir in die Datenpunkte haben, dass wir einen roten, gelben, grünen Status haben. Wir können diese eine Frage, die Sie haben, beantworten, weil ich alle Datenpunkte und alle Protokolle habe, die es mir ermöglichen, die Frage, wie sicher wir sind, sicher zu beantworten. Bei einigen der anderen Punkte, die Sie möglicherweise haben, haben Sie jedoch möglicherweise alle Sehenswürdigkeiten. Wir beantworten die Frage nur zu 50%, da es sich um einen Bernstein-Status handelt. Wir haben nur einen Teil der Informationen, um darauf antworten zu können. Und hier kommen Dinge wie die Quantifizierung von Cyberrisiken tatsächlich ins Spiel. Gerade jetzt. Wir sehen viele unserer Kunden kommen und das fragen. Wie wenden wir also die Quantifizierung von Cyberrisiken an, wenn wir nicht über alle Datenpunkte verfügen? denn das ist sicherlich eine Übung, bei der wir alles brauchen, um sie wirklich quantifizieren zu können. Und das ist nicht der richtige Ansatz. Es geht darum, das zu nehmen, was wir haben, unser vorhandenes Wissen zu nutzen, auch ein subjektives Urteil abzugeben, bis zu einem bestimmten Punkt. Aber wissen Sie, die Umstellung auf das Risikoquantifizierungsmodell, das im Wesentlichen auf dem aufbaut, was die Finanzbranche seit Jahren verwendet, richtig, wenn es darum geht, wie sie einige der Prognosen darüber treffen, wie sich der Markt entwickeln wird, wissen Sie, und diese Logik anzuwenden, die es Ihnen dann ermöglicht, die Geschäftssprache in der Finanzwelt zu sprechen, und die Anwendung auf Cyberkriminalität hat im Moment wirklich große Auswirkungen gehabt.

46:47 Raghu Nandakumara

Ja, und ich denke, absolut richtig, denn du musst eine Möglichkeit haben, mit so vielen Unbekannten, richtig, diesen und oft Unbekannten, die du hast, Fortschritte zu machen, über die du keine Kontrolle hast. Richtig, und nicht anders, normalerweise stagniert es einfach und Perfektion ist quasi der Feind des Fortschritts.

Also, ich freue mich einfach darauf, oder? Bevor wir in die Zukunft schauen, möchte ich noch einmal auf die Nachricht zurückkommen, die Sie erwähnt haben. Darin geht es um eine Organisation in einer Finanzdienstleistungsorganisation, die ihr Cyberrisiko für einige erheblich reduziert. Entschuldigung, wenn ich sie falsch zitiert habe, es ist nur ihre Risikofunktion, oder? Der Fokus, zum Beispiel die Reduzierung ihrer Risikofunktion, um dies zu tun, weil sie ihre Transformationsfähigkeit beeinträchtigte. Richtig, und innovativ. Und der Ansatz, den Unternehmen verfolgen sollten, besteht sicherlich darin, diese Funktionen enger zusammenzuführen. Damit Innovation auf sichere Weise geschehen kann, richtig, von Natur aus sicher und all das. Damit Sie quasi die Dinge sind, die Sie bauen, wird die Sicherheit frühzeitig einbezogen, sodass Sie wissen, dass sie sicher sind, wenn sie gebaut werden. Es ist nicht. Du wirst später nicht nach einer Genehmigung fragen. Ich meine, was sind deine Gedanken dazu? Ist das genommen worden, weil das sicherlich gegen das verstößt, was wir quasi als beste Methode predigen.

48:26 Indy Dhami

Ist es. Und ich denke, es gibt eine Gelegenheit zur Harmonisierung. Und darüber predige ich seit vielen Jahren. Und in einem der Whitepapers, die ich vor Jahren geschrieben habe, war es tatsächlich an der Zeit, Risiko, Sicherheit und Betrug zusammenzuführen, und zwar aus der Sicht der Finanzdienstleister. Und leider sehe ich immer noch, dass diese Funktionen, Risiko und Sicherheit, öfter zusammenkommen. Aber Betrug ist immer noch eine isolierte Fähigkeit. Was, wissen Sie, nicht viel Sinn macht, weil sich die Dinge, die Sie überwachen würden, mit den Dingen überschneiden würden, die Cybersicherheitsteams überwachen. Aber sie haben in umfangreiche Tools investiert. Und das ist wahrscheinlich ein Teil des Problems, da ein isolierter Ansatz zu erheblichen Ausgaben für eine Reihe von Tools geführt hat. Wissen Sie, manche über Nacht, sagte ein Kunde zu mir, wenn Sie an all die Tools auf dem Cybersicherheitsmarkt denken, habe ich wahrscheinlich von jedem eines bekommen. Richtig? Ja, Budget, ist das so groß? Aber ziehen sie wirklich den größten Nutzen daraus, optimieren sie nicht. Es gibt einige Organisationen, mit denen ich zusammengearbeitet habe, hatten fast 20 verschiedene SIEM-Tools auf der ganzen Welt, weil ein Unternehmen in Deutschland von den beschafften Tools abgewichen war, seinen eigenen Betrieb aufgebaut hatte und jemand in den USA das Gleiche getan hatte. Und das ist wahrscheinlich immer noch der Zustand, in dem wir uns befinden. Und was dann, Sie wissen schon, das Geschäft nicht sein wird, da die Unternehmensleiter auf die Kosten achten, weil es im Grunde ziemlich teuer ist. Die Antwort lautete also, lassen Sie uns einen Teil dieses Risikoteams streichen. Wissen Sie, es wird einen Teil der Kosten senken und es wird uns ermöglichen, innovativ zu sein, aber dann werden sie mit einer Reihe anderer Bereiche konfrontiert, die sie wahrscheinlich noch nicht in Betracht gezogen haben oder vielleicht haben, weil einige Unternehmen darauf vorbereitet sind, Notfallmaßnahmen für einen Verstoß oder eine DSGVO-Geldbuße vorzusehen. Und manchmal ist es eine Geschäftsentscheidung, die akzeptiert, dass uns das Schlimmste widerfahren wird. Und wir müssen uns damit auseinandersetzen, wann und wann es passiert, falls es jemals passiert. Weil mir das schon einmal gesagt wurde, aber weißt du: „Das ganze Cyber-Kram ist, es ist wirklich ein bisschen wie eine Versicherungspolice, nicht wahr? Weil es uns vielleicht nicht passieren wird. Wir holen unser Geld nicht aus unserer Investition heraus.“

50:31 Raghu Nandakumara

Aber es hilft Ihnen, Geld zu verdienen, in dem Wissen, dass Sie nach besten Kräften geschützt sind.

50:40 Indy Dhami

Manchmal reicht das nicht.

50:45 Raghu Nandakumara

Manchmal reicht das nicht aus. Also okay, schauen wir in die Zukunft. Der Kassierer schaut in seine Kristallkugel. Richtig? Was sind Ihrer Meinung nach die Herausforderungen, mit denen die Finanzdienstleistungsbranche in den nächsten Jahren konfrontiert sein wird, aus Cybersicht?

15:00 Indy Dhami

Für mich gibt es also, Sie werden wahrscheinlich nicht überrascht sein, würde ich sagen, den Einsatz von KI, sowohl aus der Sicht der Detektive als auch aus der Sicht der Kontrolle, aber auch die Bedrohungsakteure, die eine Reihe verschiedener KI-Tools verwenden, maschinelles Lernen, um einige ihrer Angriffe grundlegend zu automatisieren, was die Eintrittskosten für sie senkt. Denn bei einigen dieser, wie ich bereits erwähnt habe, einigen dieser hoch organisierten Bedrohungsakteure gibt es Mitarbeiter, die manuell arbeiten. Das reduziert ihre Kosten, erhöht aber auch die Angriffsfläche, sodass sie kontinuierlich angreifen können, während sie schlafen. Also, da die KI eine ist, und das Aufkommen des Quantencomputers, das sich auf alles auswirken wird, weil es das kann, es kann dann alle Verschlüsselungsmaßnahmen und Dinge, die Sie eingerichtet haben, umgehen. Also, für mich gilt das wahrscheinlich nicht nur für FS. Das ist die Branche für jeden Sektor.

52:01 Raghu Nandakumara

Ja, und für diejenigen, die sich das Video ansehen, werden sich fragen, was ich gemacht habe, es ist, dass meine Tochter mein Ladegerät ausgesteckt hat, also musste ich es anschließen, bevor ich unterbrochen wurde. Also ja, und ich glaube, wir hören das, ich meine, sowohl die Auswirkungen der KI als auch das Potenzial, das Quantencomputer bietet, insbesondere darüber, wie es aktuelle Kryptoalgorithmen potenziell potenziell im Wesentlichen nicht nutzlos, aber sehr anfällig macht, das Recht, in messbarer Zeit eingebrochen zu werden. Aber was die KI angeht, natürlich hochaktuell, keine Überraschung, dass Sie dort hingegangen sind, was den tatsächlichen Einsatz von Angriffen durch KI-Angreifer angeht, richtig, wir hören offensichtlich, sagen wir, okay, sie könnten Deep Fakes erstellen, sie könnten brillante Phishing-E-Mails erstellen, für die Sie und ich anfällig wären, richtig, vergessen Sie irgendwie, dass mein Vater auf alles klickt, was er erhält, aber was ist mit der Drohung von sagen wir, Ransomware in Ihrem Unternehmen, die Zugriff auf eine Art KI der Generation hat? Um sich in Echtzeit anzupassen? Siehst du das? Wir haben Beispiele dafür in der Forschung gesehen, aber wie real glauben Sie, dass das sein wird? Es?

53:22 Indy Dhami

Ich denke, es wird real sein, weißt du, ich denke schon seit mehreren Jahren über KI nach und habe einen Blogbeitrag darüber geschrieben, weißt du, ist es, eher den Job einer Pandora zu öffnen als eine Kiste? Weil es technisch gesehen ein Job war. Und ich glaube, wir sind in einer Phase, weißt du, einer meiner guten Freunde und Kollegen, er sagte, du weißt schon, den Einsatz von KI? Er war der Ansicht, dass es so ist, als würde man einen Vampir zu sich nach Hause einladen. Und da drin ist es zu spät. Es ist also möglicherweise eine für Ihre Bedrohungsakteure. Es ist Ihre eigene interne Verwendung von KI. Wie kannst du ihr vertrauen? Erbringt es die Ergebnisse, die Sie von ihm erwarten? Kann es manipuliert werden? Richtig? Erzeugt das Modell dann etwas völlig Unerwartetes, das sich dann auf eine Reihe Ihrer anderen Geschäftskomponenten auswirkt? Die Erosion des Vertrauens ist also für viele Unternehmen ein großes Problem, und Sie haben das Deepfake und Element angesprochen, und wir sehen einige sehr, sehr raffinierte Deepfakes, von denen sich, wie Sie sagten, die Sicherheitsexperten leicht täuschen lassen.

Es ist also eine sehr besorgniserregende Zeit, in der wir gerade leben. Es ist nämlich, weißt du, wie vertraust du wirklich und wie kannst du dann überprüfen, ob die Person, mit der du sprichst, zum Beispiel am anderen Ende dieses Podcasts, die Person ist, die du erwartest?

54:54 Raghu Nandakumara

Genau, ich meine, ich bin vielleicht gar nicht Raghu, oder? Nur eine Deepfake-Version. Ich spreche mit einer Deepfake-Version von Indy. Also, wenn wir zum Abschluss kommen. Sie, Sie konzentrieren sich offensichtlich sehr auf die stark regulierte Branche, richtig, Finanzdienstleistungen, die zu den am stärksten regulierten, wenn nicht sogar zu den am stärksten regulierten weltweit gehören. Was reizt Sie, aber was macht Ihnen dann auch Angst vor der nahen Zukunft?

55:21 Indy Dhami

Was mich also begeistert, sind eigentlich die Menschen. Die Leute, mit denen ich zusammenarbeite, und die Kunden, mit denen ich zusammenarbeite, und Sie machen einige wirklich interessante Dinge, da passiert eine Menge Innovation. Als hätte sich die Welt sehr verändert. Wenn Sie darauf zurückkommen, wie wir uns tagtäglich mit allem befassen, ist die Technologie überall um uns herum, für wirklich intelligente Zwecke, wirklich interessante Anwendungsfälle, auch für einige gesundheitliche Vorteile. Also, wissen Sie, der Einfallsreichtum und die Innovation des Menschen, wissen Sie, es ist großartig. Ich liebe es, über neue Technologien zu lesen, und ich lese auch gerne über einige der Technologien, die es uns ermöglichen, immer weiter in den Weltraum zu blicken. Es ist umwerfend, wenn sie einige dieser Planeten entdecken, deren schiere Größe man sich nicht vorstellen kann. Aber was mir Angst macht, ist, dass ich manchmal immer wieder Organisationen sehe, die dasselbe tun und ein anderes Ergebnis erwarten. Und das ist für mich die Definition von Wahnsinn.

56:18 Raghu Nandakumara

Ja, absolut. Ja, ich stimme vollkommen zu. Und hier denke ich, wenn wir darüber nachdenken, wie wir unsere Zukunft schützen, geht es nicht darum, dass wir unbedingt neue Dinge tun müssen. Es geht wirklich darum, standhaft zu zeigen, wie wir so viele der Grundlagen umsetzen, die, sagen wir, Cybersicherheit so lange untermauert haben, oder? Und ich denke, das ist für mich als Praktiker der Teil, über den ich mir immer Sorgen mache, wann immer ich die nächste neue Technologie sehe, finde ich das großartig. Aber es gibt so viele Dinge, die wir immer noch reparieren müssen.

56:57 Indy Dhami

Die Grundlagen, die Tatsache, die Grundelemente, weißt du, und ich werde zu dem Punkt zurückkehren, den ich ungefähr zu einer Zeit bei Mercedes gemacht habe. Wir haben dieses Qualitätsmanagementsystem aufgebaut, das alle Prozesse umfasste, die Sicherheit war integriert, ich habe immer noch einige meiner Kollegen, die nicht mehr dort arbeiten, wir haben sie mit Indy genommen: „Was wir dort zu der Zeit gemacht haben, war so weit voraus, wissen Sie, das sehen wir jetzt immer noch nicht.“ Manchmal gehen Sie in Organisationen, um mir Ihre dokumentierten Prozesse zu zeigen. Und Sie haben, wissen Sie, eine ganze Reihe verschiedener Systeme, die wahrscheinlich veraltet sind, die Richtlinie wurde seit vielen, vielen Jahren nicht aktualisiert. Nun, und ich denke, es geht darum, Ihre Grundlagen richtig zu legen, bevor Sie versuchen, die neue Wunderwaffe zu kaufen, glänzende, verrückte Technologie. Richtig. Wenn Sie jedoch nicht die richtigen Grundlagen schaffen, denken Sie darüber nach, wie Sie Ihr Risiko mindern und Ihre Risikomanagementkontrollen einrichten können. Und das geht im Wesentlichen darauf zurück, worum es bei Cyber-Resilienz geht und worum es bei operativer Resilienz geht. Haben Sie die grundlegenden Elemente eingerichtet, die es Ihnen ermöglichen, weiterzuarbeiten, wenn Sie angegriffen werden, wenn Sie Ihre Büroräume aus irgendeinem Grund verloren haben, können Sie trotzdem als Unternehmen agieren, weil es darauf ankommt, was Ihr Kernziel eines Unternehmens ist? Richtig. Und wenn wir sie auf unserem Weg als Sicherheitsleiter unterstützen können, ist das fantastisch, und das ist es, was mich motiviert.

58:15 Raghu Nandakumara

Ja, absolut richtig. Richten Sie Ihre Grundlagen ein, damit Sie weiter arbeiten und innovativ sein können.

58:25 Indy Dhami

Genau.

58:29 Raghu Nandakumara

Oh, Indy, es war mir eine wahre Freude, mit dir zu sprechen. Oh, ich denke, wir haben alles geklärt, sodass wir wahrscheinlich noch ein paar Stunden weitermachen können, ganz einfach ein paar Stunden. Wie ich schon sagte, richtig? Ich denke, wir könnten dir eine Staffel drei oder 12 Folgen nur für dich geben. Richtig und wähle Mercedes aus, wähle deine Zeit bei KPMG, Accenture usw. aus. Aber vielen Dank.

Für unsere Zuhörer: In den Hinweisen zur Sendung finden Sie einen Link zu den DORA-Compliance-Ressourcen von Illumio, in denen Sie alles finden, was Sie über diese wichtige Verordnung wissen müssen. Zero-Trust-Sicherheit trägt zur Einhaltung der DORA-Vorschriften bei, was sich auf alle Bank-, Finanzdienstleistungs- und Versicherungsunternehmen auswirkt, die innerhalb der EU tätig sind. Seien Sie gespannt auf eine kommende Folge, die sich ausführlich mit der DORA-Verordnung der EU befasst.

‍