Ira Winkler, CISSP, je ředitelem CISO společnosti CYE Security a ředitelem Konsorcia pro bezpečnostní inženýrství. Je autorem knih „You Can Stop Stupid“ a „Security Awareness for Dummies“ a je považován za jednoho z nejvlivnějších světových bezpečnostních odborníků. Ira byl časopisem CSO Magazine jmenován „The Awareness Crusader“ (Křižák povědomí) a získal ocenění CSO COMPASS Award. Naposledy byl časopisem Security Magazine jmenován 2021 Top Cybersecurity Leader. Navrhoval, implementoval a podporoval programy zvyšování povědomí o bezpečnosti v organizacích ve všech odvětvích po celém světě. Ira zahájil svou kariéru v Národní bezpečnostní agentuře, kde působil jako analytik zpravodajských a počítačových systémů. Od té doby působil na dalších pozicích podporujících programy kybernetické bezpečnosti v organizacích všech velikostí.
Jaké jsou hlavní problémy kybernetické bezpečnosti, na které upozorňujete?
Bez patřičného rozpočtu a informací, které lidem umožní činit dobrá rozhodnutí, skutečně dojde k selhání programu kybernetické bezpečnosti. Protože pokud nemáte dobrý rozpočet, nemůžete mít správný program kybernetické bezpečnosti. A o tom budeme hovořit v rámci kvantifikace kybernetických rizik, jak použít trochu strojového učení a další matematické principy, protože problémem je, že odborníci na kybernetickou bezpečnost obecně neví, jak aplikovat obchodní principy na program kybernetické bezpečnosti.
Jak mohou programy kybernetické bezpečnosti využívat strategie z jiných oborů k ospravedlnění svých rozpočtů?
Jiné obchodní obory mají tendenci mít matematická finanční odůvodnění pro vše, co požadují. Dělají nákladově-výnosové analýzy pro vše, co požadují v rámci rozpočtu. Bohužel se většina programů kybernetické bezpečnosti řídí intuicí osoby, která ten program ovládá. Řídí se pocitem, že mít tento nástroj je správné, protože ho mají ostatní firmy a protože je to lepší než být bez něho.
Na rozdíl od toho, aby řekli, že tento nástroj sníží riziko o „X“, vytvoří obchodní případ, kdy zaplatíte částku „Y“, část této investice se vám vrátí. Podle toho se rozhodnete, protože CISO nemá konečnou kontrolu nad svým rozpočtem stejně jako žádný jiný obchodní obor, ale alespoň lze vytvořit obchodní případ. Jinými slovy, pokud mi dáte X, vrátím Y, na rozdíl od pouhého tvrzení, že vícefaktorová autentizace je správná věc.
Jaké faktory by měl CISO zvážit při nastavování rozpočtů na kybernetickou bezpečnost?
Musí se podívat na hrozby, na zranitelnosti, které mají, a pak musí zjistit, které zranitelnosti jsou teoreticky nejpravděpodobněji ohroženy, podle toho nasadit protiopatření, protože program kybernetické bezpečnosti je v podstatě implementací protiopatření ke zmírnění zranitelností. To je velmi obecný popis, ale aby to udělali správně, musejí pak říci, jaká bude návratnost investice do těchto protiopatření ke zmírnění zranitelnosti. Jinak máte zranitelnosti, které je třeba zmírnit, ale není rovnováha v návratnosti investice při zmírňování dané zranitelnosti. Takže CISO musí zajistit, že mají správnou návratnost investice, že implementují správná protiopatření ke zmírnění příslušných zranitelností. V ideálním světě byste zmírnili všechny zranitelnosti, ale to není praktické, takže musíte udělat vědomé rozhodnutí, které zranitelnosti jsou nejlepší ke zmírnění.
Jak můžeme pomoci organizacím zvýšit povědomí o bezpečnosti?
Povědomí o bezpečnosti je podle mě důležité. Napsal jsem knihu Security Awareness for Dummies. Napsal jsem knihu You Can’t Stop Stupid a povědomí o bezpečnosti je kritickou součástí jakéhokoli úsilí o snížení rizik, protože na konci dne uživatelé činí rozhodnutí nebo jednají způsobem, který může způsobit škodu.
Nejlepším způsobem je implementovat dobré bezpečnostní praktiky do výkonu dané práce. Pokud chci, aby někdo implementoval praktiky povědomí o bezpečnosti, podíval bych se na pracovní funkci, abych zjistil, jak do ní můžu implementovat bezpečnost, která se pak stane součástí této práce. Není to jako, že se musím zastavit, přemýšlet a jednat, což je starý přístup, ale tak jsou většinou prováděny programy povědomí o bezpečnosti.
Je to stejné jako při řízení auta – nasednu a automaticky si zapnu bezpečnostní pás. Automaticky kontroluji zrcátka, jestli nepřijíždějí auta z různých směrů. Programy povědomí o bezpečnosti by měly podobně zahrnovat bezpečnost ne jako obavu z hackerů, ale jako implementaci dobré bezpečnostní praxe do každodenního provozu. To je ten nejlepší způsob. Jsou samozřejmě i jiné způsoby, takže pokud chcete více detailů o pasivních a aktivních způsobech, jak to udělat, doporučil bych vám přečíst si Security Awareness for Dummies, a tím to prozatím ukončím.
Jaká nejvýznamnější ocenění jste získal?
Řekl bych, že zásadně to není přímo spojené s kybernetickou bezpečností, ale získal jsem tři ceny Emmy za vytvoření dětského televizního seriálu, kde děti navštěvují různé zoo, muzea, akvária a další rodinné destinace. Upřímně řečeno jsou tyto tři ceny Emmy pravděpodobně tím, na co jsem nejvíce hrdý.
V oblasti kybernetické bezpečnosti jsou nejdůležitější ocenění pro společnosti, kterým jsem pomohl. Např. cena SC Magazine Award pro nejlepší začínající bezpečnostní společnost, kterou jsem získal pro společnost Securementum. Získal jsem další cenu SC Magazine Award o 15 let dříve za nejlepší bezpečnostní službu, když jsem byl v HP a vytvořili jsme Centrum služeb kybernetické bezpečnosti.
Na osobní úrovni je samozřejmě skvělé získat cenu za celoživotní přínos, jako je CSO Compass Award, kterou mi udělil časopis CSO Magazine za to, že jsem byl „křižákem povědomí o bezpečnosti“, což bylo osvěžující a zábavné.
Děkuji za rozhovor.
Za DSM se ptal Martin Haloda.