Kvinnor i cybersäkerhet, riskhantering och vikten av kommunikation: En intervju med Jane Frankland

Hur cybersäkerhetshot påverkar företag

Under hela 2017 kändes det som om det inträffade en ny cybersäkerhetskatastrof nästan varje dag. Men vilken händelse orsakade den största störningen förra året och har vi lärt oss något som ett resultat?

"Det är en svår fråga. Även om den amerikanska konsumentkreditupplysningsbyrån Equifax drabbades av en av de värsta attackerna på senare år med nästan 143 miljoner amerikanska medborgare som drabbats, var de största katastroferna för mig WannaCry och NotPetya.

"WannaCry skilde sig från de flesta andra ransomware-attacker. Med hjälp av EternalBlue fick den fjärråtkomst och ransomware kunde blixtsnabbt spridas över nätverk. WannaCry infekterade mer än 300,000 4 datorer globalt och använde två olika sätt att utnyttja svagheter – båda från NSA-läckaget från Shadow Brokers. Dess ekonomiska inverkan var också enorm, med en ungefärlig kostnad på XNUMX miljarder dollar i förluster.

"NotPetya visade större sofistikering när det gäller komplexiteten i dess attack och upplösning. Det var också en form av skadlig programvara. Det imiterade utseendet av ett ransomware, men dess sanna avsikt var förstörelse.”

Och jag antar att det som har visat oss är att vilken organisation av vilken storlek som helst kan vara ett mål för cyberbrottslighet. Tror du att det finns tillräckligt med utbildning tillgänglig för organisationer att hjälpa till att skydda sig själva och hantera sin information och cybersäkerhet?
"Jag gör. Det finns massor av information tillgänglig. Problem uppstår pga lösningar att minska riskerna varierar från företag till företag. Många organisationer vet att teknik kommer att hjälpa dem, men att det inte är en kula. Det är de medveten att de står inför nästa nivå, mångfacetterade hot som är både välbekanta och okända.

"De vet att när tekniken blir smartare kommer molnet och Internet of Things (IoT) att bli mer sammankopplade. De vet att de spelar ikapp också, för deras framtid är beroende av det förflutnas teknik – operativsystem, datorspråk, mjukvarumiljöer, som är sårbara och ofta inte stöds.

"Det är därför de vill omvärdera och omdefiniera sin förståelse för hot, risker och lösningar i ett ständigt föränderligt landskap. Det är därför de frågar: Vilka hot ska de förbereda sig på? Vilka risker är inblandade? Vilka processer och procedurer ska de implementera? Vilka typer av människor behöver de för att hjälpa dem att göra detta?

"Det är också därför som cybersäkerhetsproffs måste kunna svara på alla dessa frågor och veta hur man upptäcker attacker, svarar på dem och återhämtar sig från dem snabbt och med minimal påverkan på verksamheten.

"Det är därför de måste kunna utbilda nyckelintressenterna inom sina organisationer och hjälpa dem att förstå hur säkerhet påverkar varje persons roller, och sedan implementera lösningarna – oavsett om det är människor, processer och teknologier. De måste kunna inte bara skydda organisationen utan även möjliggöra den och tjäna den fullt ut.”

Datasekretessutmaningar för organisationer

Så i din roll som CISO-rådgivare, vilka är de största utmaningarna du hör organisationen prata om i relation till att hantera sin informationssäkerhet och att följa regler som GDPR?
"De största utmaningarna jag hör just nu är mer att göra med resurser, särskilt att anställa rätt personer för att säkra miljöerna eller ta itu med nya regleringar som GDPR.

"Säkerhet är ett folkföretag och med brist på tillgängliga talanger måste organisationer antingen gå in i lönebudskrig för att locka bort folk, eller acceptera att de måste utveckla talang internt, vilket kommer att ta tid och potentiellt utsätta dem för risk, om än på kort sikt.”
Varför tror du att det finns så mycket förvirring kring GDPR?
"GDPR är den största omvälvningen av dataskyddslagar på över 20 år.

"Även om GDPR borde inte utgöra någon större utmaning för brittiska organisationer, eftersom de alla borde följa DPA och noggrant överväga och skydda sina data, vi vet att det är det. Vi vet också att många organisationer kommer att ta dataskydd seriöst för första gången någonsin. Eftersom det gäller alla organisationer, oavsett omsättning eller personalstorlek, kommer den största utmaningen för dem att vara att ta reda på vad deras organisation behöver göra för att uppfylla kraven.

"Återigen kommer detta att bero på deras riskaptit. Medan böter för brott mot GDPR driver en hel del åtgärder, finns det en allvarlig risk att nyckelprinciperna för transparens och ansvarsskyldighet kommer att gå förlorade i bullret.”

Kommunicera och hantera risker

Så vi har pratat om risk och kommunikation. NCSC har publicerat vägledning för riskhantering för cybersäkerhet. Tycker du att detta går tillräckligt långt för att hjälpa mikro- och småorganisationer, med tanke på den oro du hör?

"Nej. Även om det är en bra början, har de gjort ett grundläggande kommunikationsfel. De har inte satt sig i den här organisationens skor och sett saker genom deras lins.

"Deras sajt har för mycket information att gå igenom och länkar att klicka på. Den är rik på jargong och har bara getts i ett format, text.

"Eftersom många människor lär sig annorlunda hade det varit bättre om de hade producerat e-böcker, ljud och videor för små och medelstora företag och mikroorganisationer."

I din bok, IN Security, poängterar du att kvinnor har en naturlig förmåga att hantera risker, särskilt när det gäller cyber. Berätta lite mer om din teori bakom det.

"Kvinnor är fundamentalt annorlunda än män. De är olika versioner av samma art. Medan tidigare forskning har visat att mäns och kvinnors hjärnor är kopplade på olika sätt, visar ny forskning att nästan alla har ett unikt utbud av manliga och kvinnliga strukturer. [2]

"Men när det kommer till hormoner skiljer sig kvinnor och män åt, eftersom båda könen producerar samma hormoner men i olika nivåer. Den huvudsakliga könshormonella drivkraften för kvinnor är östrogen, och detta uppmuntrar bindning, samarbete, samarbete och relationer. Det stöder också den del av hjärnan som involverar sociala färdigheter och observationer, plus att det hjälper kvinnor att avgöra hur de uppfattar risk och undvika konflikter.

"Serotonin är hormonet som är ansvarigt för att stabilisera humör och reglera ångest. Enligt forskare producerar kvinnor 52 % mindre serotonin än män, vilket kan indikera varför de har mer benägenhet att oroa sig än män. Sedan finns det testosteron, det huvudsakliga könshormonet för män, som är förknippat med aggression, impulsivitet, målmedvetenhet, självständighet, brist på samarbete, makt, vinst och risktagande.

”Det senare är självklart av stor betydelse för oss inom cybersäkerhet. Otaliga studier har visat att kvinnor och män bedömer risker olika. Kvinnor är mycket bättre på att bedöma odds än män, och det visar sig ofta som ett ökat riskundandragande. Eftersom kvinnor vanligtvis är mer riskvilliga, gör deras naturliga detaljerade utforskning dem mer anpassade till förändrade mönsterbeteenden – en färdighet som behövs för att korrekt identifiera hotaktörer och skydda miljöer.

”När det norska företaget CLTRe och Gregor Petric, PhD, docent i socialinformatik och ordförande för Center for Methodology and Informatics vid Fakulteten för samhällsvetenskap, studerade universitetet i Ljubljana (Slovenien) mer än 10,000 XNUMX anställda i fem vertikaler i två länder inom Norden fann de att kvinnor följer reglerna och anammar organisatoriska kontroller och teknik mer än män. Dessutom, medan män betygsatt sin kunskap och medvetenhet om IT-säkerhet, kontroller och beteenden som är mycket högre än kvinnor, rapporterade män högre nivåer av riskbeteenden, både från sin egen sida och hos sina kollegor. [4]

"Dessa resultat korrelerar med andra rapporter som beskriver könsskillnader när det gäller efterlevnad och förtroende online. När HMA, en leverantör av virtuella privata nätverkstjänster, beställde en studie av internetanvändare i USA, fann de att fler kvinnor övervägde vad de delade online mer än män; var mer osannolikt att ge bort Personlig information till exempel deras födelsedatum, verkliga adress eller personnummer på en profil på sociala medier än män; och var mer osannolikt att erbjuda denna information när de chattade online med en vän än män.

"De upptäckte också att män rapporterade att deras konton blivit intrångade eller hackade, eller att de av misstag installerade spionprogram, skadlig programvara eller ett virus oftare än kvinnor. Ändå fann de att efter att kvinnor upplevt ett säkerhetsproblem, var kvinnor mer benägna än män att göra varaktiga förändringar i sitt onlinebeteende för att skydda sig mot framtida problem. Män, å andra sidan, tenderade att falla tillbaka på tekniska skyddsmedel.[5]

"Förutom dessa egenskaper är kvinnor också erkända för att vara mycket intuitiva. Män, å andra sidan, tenderar att vara mer pragmatiska med sitt tänkande. Om du tror att det beror på att kvinnor undanhållits information under århundradena och var tvungna att utveckla intuitiva färdigheter är oväsentligt. Det viktiga är deras förmåga att tänka annorlunda, för när två uppsättningar människor attackerar ett problem kan de lösa det unikt och mycket snabbare. Eftersom alla risker inte är desamma är dialogen om hur man ska närma sig den också rikare.

"Kvinnor får höga poäng när det kommer till emotionell och social intelligens, vilket medför många fördelar, inklusive förmågan att förbli lugna under tider av turbulens – en egenskap som krävs när intrång och större incidenter inträffar.[6]

"Dessutom, i en värld som värdesätter snabbhet och smidighet, blir förmågan att använda intuitivt tänkande och fatta bra beslut snabbt utan att ha all information mer av en nödvändighet."[7]

Kvinnor inom cybersäkerhet

I din bok erbjöd du också massor av praktiska råd till kvinnor som vill komma in i cybersäkerhetsbranschen. Om det bara fanns ett råd du kunde ge, vad skulle det vara?
”Det skulle vara att bygga sitt nätverk inom cybersäkerhet. Det ger så många fördelar av att få jobb och stöd för att lära sig nya sätt att tänka. Det är välkänt att kvinnor har svagare band än män till kollegor och årskullar både på jobbet och utanför. I själva verket, enligt en studie av Lean.in org och McKinsey & Co., erkänner 10 % av ledande kvinnliga chefer att de har fyra eller fler chefer som stödjer dem för att avancera sin karriär jämfört med 17 % av männen. Dessutom sa över 50 % av dessa äldre kvinnor att de trodde att sponsring på högre nivå var avgörande för karriärutveckling.

"Svaga band som uppstår från nätverkande är vanligtvis förknippade med att hitta jobb. Fram tills sociologen Mark Granovetter publicerade sin forskning trodde de flesta att jobb hittas genom starka band – personliga kontakter med vänner, familj eller kamrater på jobbet. Vad Granovetter upptäckte var att den primära källan till jobbförslag kom från svaga band – avlägsna bekanta eller vänner till en vän.

"Det visar sig att människor sällan hänvisar sina nära kontakter till jobb eftersom de antingen är oroliga för att det kommer att reflektera dåligt på dem om det inte fungerar, eller för att de är mer benägna att känna till sina nära förbindelsers fel och svagheter, som de tror kan störa att vara en bra medarbetare.

"Men detta var inte allt som Mark upptäckte. När det kom till information, har ett löst och mångsidigt nätverk av bekantskaper gjort det möjligt för människor att utnyttja mycket bredare informationskällor och utöka sitt tänkande. Genom att ha ett nätverk av likasinnade kontakter som verkar i samma kretsar som du, lär du dig sällan något nytt. Men när du har tillgång till en bredare gemenskap kan du få tillgång till olika typer av tänkande och reda ut utmaningar med tillförsikt. "
Vad kan vi alla göra för att få en mer mångsidig cyber- och infosec-arbetsstyrka?
"Det här är en stor fråga och som de flesta saker finns det ingen silverkula. Miljöer är olika och komplexa. Lösningarna skiljer sig därför åt. Det som är rätt för en organisation kommer inte att vara rätt för en annan. Kultur spelar stort roll och organisationer måste titta på vad de gör för att attrahera, anställa och behålla en mer varierad infosec-arbetsstyrka. De måste mäta effektiviteten av de åtgärder de vidtar och acceptera att de inte kommer att få det rätt hela tiden. Att närma sig detta med ett entreprenöriellt tänk kommer att vara viktigt.

”När jag pratar om det här på konferenser brukar jag dela upp det i fem områden. Den första är utbildning. Enligt Raytheon och National Cybersecurity Alliance när de undersökte karriärintressena och utbildningsberedskapen Millennials i 12 länder fann de att 62 % av männen och 75 % av kvinnorna sa att inga datorklasser på gymnasiet eller gymnasiet erbjöd färdigheter för att hjälpa dem att göra karriär inom cybersäkerhet. Vi måste ändra detta och förbättra sättet vi utbildar barn och unga vuxna om cybersäkerhet.

”På alla utom ett fåtal universitet runt om i världen lär man inte ut studenter att inom cybersäkerhet måste man förstå människor, affärer, principer och koncept, såväl som teknik, eller givna metoder för att göra det. Dessutom förbereds de inte för teamarbete. De kommer dock att behöva kontakta och samarbeta med experter inom många områden, som fysisk säkerhet, affärer, regelverk, marknadsföring, ekonomi och så vidare. Och många är, förvånansvärt nog, omedvetna om att de måste hålla sig uppdaterade om framsteg på både den offensiva och defensiva sidan, eftersom de förväntas ge råd om vilken cybersäkerhetsteknik som kommer att uppfylla ett visst affärskrav, samt förstå hur de passar in i en organisations övergripande cybersäkerhetsställning.

"Cybersäkerhetsutexaminerade kommer ut från universitetet boksmarta men inte arbetsredo, och många rekryteringschefer förmedlar sitt missnöje med det nuvarande utbildningssystemet och konsekvenserna i form av ökad mottaglighet för cyberattacker. Eftersom cybersäkerhet är ett dynamiskt område, med nya hot och försvar som dyker upp dagligen, gör de rätt att klaga, för det finns ett verkligt behov av en behörig arbetsstyrka med en gedigen kunskap om hur man genomför, tillsammans med erfarenhet och praktiska färdigheter.

"När det kommer till karriärpivoter och vägar till cybersäkerhet från andra karriärer, måste vi ta itu med detta för det finns ett verkligt behov. Det finns dock knappast någon information om exakt hur man gör detta.

”Det andra området är marknadsföring. Idag finns det fortfarande en missuppfattning att cybersäkerhet är en rent teknisk domän. Men sanningen i saken är att cybersäkerhet aldrig har varit en fristående disciplin. Det föddes från IT, är en specialitet inom IT, och att behandla det på annat sätt kan visa sig vara ett kostsamt misstag för cybersäkerhet.

"Detta tar mig in på det tredje området, professionalism, eftersom många inom branschen vill professionalisera den, som redovisning, juridik, medicin och teknik, med stadgar, tillsynsorgan och formella utbildningsprogram. Andra vill att det ska förbli yrkesmässigt. De som föredrar en mer yrkesinriktad väg påpekar ett par saker. Den första är att de från försvarsmakten och polisen, som utgör en stor andel av vår personalstyrka, inte har en IT-bakgrund. Men de har tagit de grundläggande principerna för fysiska säkerhet eller intelligens och tillämpade dem på cyber med framgång. Den andra är att cybersäkerhet ska ses som en karriär för dem inom IT att sträva efter, och inte ett yrke med ingångspositioner. De hävdar att alla positioner inom cybersäkerhet bör tjänas med betydande erfarenhet av IT och att en examen som är specifik för cybersäkerhet inte krävs. Snarare måste anställningschefer bli fantastiska talangspotters, och först leta inom sina organisationer efter skickliga yrkesmän som, trots att de inte har någon uttalad erfarenhet av cybersäkerhet, snabbt kan anpassa sig till cybersäkerhetsroller. Proffs kan därför vara inom IT eller utanför den, såsom HR, juridik, kundservice, personliga assistenter eller till och med försäljning, PR eller marknadsföring.

”Det fjärde området är anställning och rekrytering. Detta kan förbättras enormt genom formaliserade processer och teknik. Tack vare framsteg inom det senare kan data också hjälpa till att informera och minska bias. Verktyg, som Textio, kan analysera språket som används i arbetsbeskrivningar och säkerställa att det är neutralt. Visst, när det kommer till kvinnor är språket ofta oavsiktligt, könskodat och spelar in i en rad stereotyper, ideologier och trossystem som i smyg försöker rättfärdiga status quo. När arbetsbeskrivningar inte kontrolleras för könsfördomar kan de avskräcka många kvinnliga talanger från att söka.

”Slutligen, det femte området är miljö. Från de dialoger jag har haft med kvinnor på fältet vet jag att skälen de nämner för att flytta jobb är felaktig anpassning till deras organisations kultur, utbrändhet, orättvis behandling, känsla förbigången för befordran eller på grund av familj. Företagskulturer kan vara fientliga miljöer för kvinnor inom cybersäkerhet eftersom vissa fortfarande är uppbyggda kring manlig bindning och underlättas av sexuell objektifiering av kvinnor.

"Förbättringar i kulturen kan göra en enorm skillnad för hur varje cybersäkerhetspersonal arbetar på arbetsplatsen, inte bara kvinnor. En att ta itu med proaktivt är den arbetshårda, spelhårda kulturen – den hänsynslösa, macho konkurrensen att komma tidigt, stanna sent, arbeta hårdare och festa, som fortfarande är utbredd bland många cybersäkerhetsorganisationer och konsultföretag, men som ändå har visat sig öka omsättningshastigheten och frånvaro och kväver prestationer och vinster.

"Den outtalade gammaldags regeln för chefer, eller någon som strävar efter att bli det, är att om du slutar före en viss tid, är du inte engagerad i ditt jobb, och befordran kommer att vara osannolik. Trycket är särskilt märkbart för kvinnor, särskilt om de är mammor eller vårdare. I miljöer som dessa accepterar många kvinnor verkligheten att om de inte följer förväntade standarder kommer deras karriärer att kvävas, eller alltför kompenseras genom att arbeta hårdare, stanna senare och anta en mer manlig persona. De kommer att försöka passa in, annars kommer de att gömma sina familjearrangemang.

"Om någon har en aptit att lära sig mer, skulle jag uppmuntra dem att läsa min bok, IN Security. Den är tillgänglig på Amazon i pocket- och Kindle-format. De kan också kontakta mig för samtal, utbildning, coaching och rådgivning.”
För att ta reda på om Jane och det arbete hon gör med entreprenörer, besök hennes webbplats. Jane arbetar också med ledare och utövare och du kan ta reda på mer om det på Cybersäkerhetskapital.

Informationen i denna blogg är till allmän vägledning och utgör inte juridisk rådgivning.

Janes referenser:

[1]. https://www.livescience.com/41619-male-female-brains-wired-differently.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effective-leadership/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]