Katika Black Hat Europe mwaka jana, niliketi na mmoja wa wachambuzi wetu wakuu wa usalama, Paul Stringfellow. Katika sehemu hii ya mazungumzo yetu (unaweza kupata sehemu ya kwanza hapa), tunajadili kusawazisha gharama na ufanisi, na kupanga utamaduni wa usalama katika shirika zima. Jon: Kwa hiyo, Paul, katika mazingira yenye matatizo kila mahali, na unapaswa kurekebisha kila kitu, tunahitaji kusonga mbele zaidi ya hayo. Katika usanifu mpya tulionao sasa, tunahitaji kuwa na mawazo nadhifu kuhusu hatari yetu kwa ujumla. Hii inahusiana na usimamizi wa gharama na usimamizi wa huduma—kuwa na uwezo wa kupanga usanifu wetu kulingana na hatari halisi na udhihirisho kutoka kwa mtazamo wa biashara. Kwa hivyo, ninajisemea mwenyewe kuhitaji kununua zana ya hii kwa sababu nadhani ili kukata zana 50, kwanza ninahitaji mtazamo wazi wa mkao wetu wa usalama. Kisha, tunaweza kuamua ni zana zipi tulizo nazo kujibu mkao huo kwa sababu tutakuwa na picha wazi ya jinsi tulivyo wazi. Paul: Kununua chombo kunarudi kwenye matumaini na ndoto za wachuuzi—kwamba chombo kimoja kitarekebisha kila kitu. Lakini nadhani ukweli ni kwamba ni mchanganyiko wa kuelewa ni nini metriki ni muhimu. Kuelewa maelezo ambayo tumekusanya, ni nini muhimu, na kusawazisha hilo na hatari ya teknolojia na athari za biashara. Ulitoa hoja nzuri hapo awali: ikiwa kuna kitu hatarini lakini athari ni ndogo, tuna bajeti chache za kufanya kazi nazo. Kwa hivyo tunatumia wapi? Unataka “bong kwa pesa yako.” Kwa hivyo, ni kuelewa hatari kwa biashara. Tumetambua hatari hiyo kwa mtazamo wa teknolojia, lakini ni muhimu kiasi gani kwa biashara? Na ni kipaumbele? Mara tu tumetanguliza hatari, tunaweza kujua jinsi ya kuzishughulikia. Kuna mengi ya kufunguka katika kile unachouliza. Kwangu mimi, ni kuhusu kufanya kazi hiyo ya awali ili kuelewa vidhibiti vyetu vya usalama viko wapi na hatari zetu ziko wapi. Je, ni nini hasa muhimu kwetu kama shirika? Rudi kwenye vipimo muhimu—kuondoa kelele na kutambua vipimo vinavyotusaidia kufanya maamuzi. Kisha, angalia ikiwa tunapima vipimo hivyo. Kuanzia hapo, tunatathmini hatari na kuweka udhibiti sahihi ili kuzipunguza. Tunafanya kazi hiyo ya usimamizi wa mkao. Je, zana tulizo nazo zinajibu mkao huo? Huu ni upande wa ndani wa mambo, lakini pia kuna hatari ya nje, ambayo ni mazungumzo mengine kabisa, lakini ni mchakato sawa. Kwa hivyo, tukiangalia zana tulizo nazo, zina ufanisi gani katika kupunguza hatari ambazo tumetambua? Kuna mifumo mingi ya udhibiti wa hatari, kwa hivyo unaweza kupata inayofaa, kama NIST au kitu kingine. Tafuta mfumo unaokufaa, na uutumie kutathmini jinsi zana zako zinavyodhibiti hatari. Ikiwa kuna pengo, tafuta zana inayojaza pengo hilo. Jon: Na nilikuwa nikifikiria kuhusu mpango huo kwa sababu unasema kuna maeneo sita ya kushughulikia, na labda ya saba inaweza kuwa muhimu kwa shirika lako. Lakini angalau kuwa na maeneo sita kama kisanduku cha kuteua: Je, ninashughulika na majibu ya hatari? Je, ninashughulikia mambo yanayofaa? Inakupa kwamba, si mwonekano wa Pareto, lakini inahusu kupunguza mapato—shughulikia mambo rahisi kwanza. Usijaribu kurekebisha kila kitu hadi urekebishe masuala ya kawaida. Hivi ndivyo watu wanajaribu kufanya hivi sasa. Paul: Ndio, nadhani-wacha ninukuu podikasti nyingine ninayofanya, ambapo tunafanya “kuchukua zawadi za kiufundi.” Ndio, nani alijua? Nilidhani ningeichomeka. Lakini ikiwa unafikiria juu ya kuchukua kutoka kwa mazungumzo haya, nadhani, unajua, kurudi kwenye swali lako-ninapaswa kuzingatia nini kama shirika? Nadhani pa kuanzia pengine ni kuchukua hatua nyuma. Kama mfanyabiashara, kama kiongozi wa TEHAMA ndani ya biashara hiyo, je, ninachukua hatua nyuma ili kuelewa kabisa hatari inaonekanaje? Je, hatari inaonekanaje kwa biashara, na ni nini kinachohitaji kupewa kipaumbele? Kisha, tunahitaji kutathmini kama tunaweza kupima ufanisi wetu dhidi ya hatari hiyo. Tunapata vipimo vingi na zana nyingi. Je, zana hizo zinafaa katika kutusaidia kuepuka hatari tunazoona kuwa muhimu kwa biashara? Mara tu tumejibu maswali hayo mawili, tunaweza kutazama mkao wetu. Je, zana zilizopo zinatupa aina ya udhibiti tunaohitaji ili kukabiliana na vitisho vinavyotukabili? Muktadha ni mkubwa. Jon: Kwa kuzingatia hilo, ninakumbushwa jinsi mashirika kama Facebook, kwa mfano, yalivyokuwa na uvumilivu wa hali ya juu kwa hatari za biashara, haswa kuhusu data ya wateja. Ukuaji ulikuwa kila kitu—ukuaji tu kwa gharama yoyote. Kwa hivyo, walikuwa tayari kudhibiti hatari ili kufikia hilo. Hatimaye inajikita katika kutathmini na kuchukua hatari hizo. Wakati huo, sio mazungumzo ya kiufundi tena. Paulo: Kweli. Labda kamwe sio mazungumzo ya kiufundi tu. Ili kutoa miradi inayoshughulikia hatari na usalama, haipaswi kamwe kuongozwa na kiufundi. Inaathiri jinsi kampuni inavyofanya kazi na mtiririko wa kazi wa kila siku. Ikiwa kila mtu hataelewa kwa nini unafanya hivyo, hakuna mradi wowote wa usalama utakaofaulu. Utapata msukumo mwingi kutoka kwa watu wakuu wakisema, “Unaingia tu njiani. Achana nayo.” Huwezi kuwa idara ambayo inaingilia tu. Lakini unahitaji utamaduni huo kote kwenye kampuni kwamba usalama ni muhimu. Ikiwa hatutapa usalama kipaumbele, kazi ngumu yote inayofanywa na kila mtu inaweza kutenduliwa kwa sababu hatujafanya mambo ya msingi ili kuhakikisha kuwa hakuna udhaifu unaosubiri kunyonywa. Jon: Ninafikiria tu idadi ya mazungumzo ambayo nimekuwa nayo na wachuuzi kuhusu jinsi ya kuuza bidhaa za usalama. Umeiuza, lakini hakuna kinachotumwa kwa sababu kila mtu anajaribu kuizuia – hawakuipenda. Ukweli ni kwamba kampuni inahitaji kufanya kazi kuelekea kitu na kuhakikisha kila kitu kinalingana ili kukiwasilisha. Paul: Jambo moja ambalo nimeona zaidi ya miaka 30 katika kazi hii ni jinsi wachuuzi mara nyingi wanavyotatizika kueleza kwa nini wanaweza kuwa wa thamani kwa biashara. COO wetu, Howard Holton, ni mtetezi mkuu wa hoja hii—kwamba wachuuzi ni wabaya kuwaambia watu kile wanachofanya hasa na faida zipo kwa biashara. Lakini jambo moja aliloniambia jana ni kuhusu mbinu yao. Mwakilishi mmoja ninayemjua anafanya kazi kwa muuzaji anayetoa zana ya okestration na otomatiki, lakini anapoanzisha mkutano, jambo la kwanza analofanya ni kuuliza kwa nini otomatiki haijafanya kazi kwa mteja. Kabla ya kutoa suluhisho lake, anachukua wakati kuelewa shida zao za kiotomatiki ziko wapi. Ikiwa wengi wetu walifanya hivyo—wachuuzi na wengine sawa—tungeuliza kwanza, “Ni nini hakifai kwako?” labda tungepata bora katika kutafuta vitu ambavyo vitafanya kazi. Jon: Kwa hivyo tuna njia mbili za kuchukua kwa watumiaji wa mwisho – kuzingatia udhibiti wa hatari, na kurahisisha na kuboresha metriki za usalama. Na kwa wachuuzi, kuchukua ni kuelewa changamoto za mteja kabla ya kusuluhisha. Kwa kusikiliza matatizo na mahitaji ya mteja, wachuuzi wanaweza kutoa masuluhisho yanayofaa na madhubuti, badala ya kuuza tu matarajio yao. Asante, Paul!