Vrouwen in cybersecurity, risicobeheer en het belang van communicatie: een interview met Jane Frankland

Hoe cyberveiligheidsbedreigingen bedrijven beïnvloeden

Gedurende 2017 voelde het alsof er bijna elke dag een nieuwe cyberveiligheidsramp plaatsvond. Maar welke gebeurtenis veroorzaakte de grootste ontwrichting van vorig jaar en hebben we daar iets van geleerd?

“Dat is een moeilijke vraag. Hoewel het Amerikaanse consumentenkredietrapportagebureau Equifax te maken kreeg met een van de ergste aanvallen van de afgelopen jaren, waarbij bijna 143 miljoen Amerikaanse burgers werden getroffen, waren de grootste rampen voor mij: WannaCry en NotPetya.

“WannaCry was anders dan de meeste andere ransomware-aanvallen. Met de hulp van EternalBlue kreeg het toegang op afstand en kon ransomware zich razendsnel over netwerken verspreiden. WannaCry infecteerde wereldwijd meer dan 300,000 computers en gebruikte twee verschillende manieren om zwakke punten te misbruiken – beide afkomstig van het NSA-lek door Shadow Brokers. De financiële impact ervan was ook enorm, met verliezen van ongeveer $ 4 miljard dollar.

“NotPetya toonde meer verfijning in termen van de complexiteit van zijn aanval en oplossing. Het was ook een vorm van wiper-malware. Het imiteerde het uiterlijk van een ransomware, maar de ware bedoeling was vernietiging.”

En ik veronderstel dat dit ons heeft laten zien dat elke organisatie, van welke omvang dan ook, een doelwit kan zijn voor cybercriminaliteit. Denkt u dat er voldoende onderwijs beschikbaar is voor organisaties om zichzelf te helpen beschermen? hun informatie- en cyberbeveiliging beheren?
"Ik doe. Er is heel veel informatie beschikbaar. Er ontstaan ​​problemen omdat solutions om risico’s te beperken variëren van bedrijf tot bedrijf. Veel organisaties weten dat technologie hen zal helpen, maar dat dit geen wondermiddel is. Zij zijn bewust dat ze te maken krijgen met geavanceerde, veelzijdige bedreigingen die zowel bekend als onbekend zijn.

“Ze weten dat naarmate de technologie slimmer wordt, de cloud en het Internet of Things (IoT) meer met elkaar verbonden zullen worden. Ze weten dat ze ook een inhaalslag maken, want hun toekomst is afhankelijk van de technologieën uit het verleden – besturingssystemen, computertalen, softwareomgevingen, die kwetsbaar zijn en vaak niet worden ondersteund.

“Dit is de reden waarom ze hun begrip van bedreigingen, risico’s en oplossingen in een steeds veranderend landschap opnieuw willen evalueren en herdefiniëren. Daarom vragen ze zich af: op welke bedreigingen moeten ze zich voorbereiden? Welke risico's zijn er aan verbonden? Welke processen en procedures moeten ze implementeren? Welk soort mensen hebben ze nodig om hen hierbij te helpen?

“Dat is ook de reden dat cybersecurityprofessionals al deze vragen moeten kunnen beantwoorden en weten hoe ze aanvallen kunnen detecteren, erop kunnen reageren en er snel van kunnen herstellen, met minimale gevolgen voor het bedrijf.

“Daarom moeten ze in staat zijn de belangrijkste belanghebbenden binnen hun organisaties op te leiden en hen te helpen begrijpen hoe beveiliging de rollen van elke persoon beïnvloedt, en vervolgens de oplossingen te implementeren – of het nu mensen, processen en technologieën zijn. Ze moeten de organisatie niet alleen kunnen beschermen, maar ook mogelijk maken en ten volle kunnen dienen.”

Uitdagingen op het gebied van gegevensprivacy voor organisaties

Wat zijn dus in uw rol als CISO-adviseur de grootste uitdagingen waar u organisaties over hoort praten met betrekking tot het beheren van hun informatiebeveiliging en voldoen aan regelgeving zoals AVG?
“De grootste uitdagingen die ik nu hoor hebben meer te maken met middelen, met name het inhuren van de juiste mensen om de omgevingen te beveiligen of nieuwe regelgeving aan te pakken, zoals de GDPR.

“Veiligheid is een mensenzaak, en met een tekort aan beschikbaar talent moeten organisaties óf oorlog voeren over salarisbiedingen om mensen weg te lokken, óf accepteren dat ze talent intern moeten ontwikkelen, wat tijd zal vergen en hen mogelijk blootstelt aan risico, ook al is het van korte duur.”
Waarom denk je dat er zoveel is? verwarring rondom de AVG?
“De AVG is de grootste opschudding op het gebied van gegevensbescherming in meer dan twintig jaar.

"Hoewel de GDPR zou geen grote uitdaging moeten zijn voor Britse organisaties, aangezien ze zich allemaal aan de DPA zouden moeten houden en hun gegevens zorgvuldig zouden moeten overwegen en beschermen, we weten dat dit het geval is. We weten ook dat veel organisaties dit zullen doen gegevensbescherming voor het eerst serieus. Omdat het voor alle organisaties geldt, ongeacht hun omzet of personeelsbestand, zal de grootste uitdaging voor hen zijn om uit te vinden wat hun organisatie moet doen om aan de regelgeving te voldoen.

“Dit zal wederom neerkomen op hun risicobereidheid. Terwijl de boetes voor het overtreden van de AVG veel actie aanzet, bestaat er een ernstig risico dat de belangrijkste principes van transparantie en verantwoording verloren gaan in het lawaai.”

Risico's communiceren en beheersen

We hebben het dus gehad over risico en communicatie. Het NCSC heeft richtlijnen voor risicomanagement op het gebied van cybersecurity gepubliceerd. Denkt u dat dit ver genoeg gaat om micro- en kleine organisaties te helpen, gezien de zorgen die u hoort?

"Nee. Hoewel het een goed begin is, hebben ze een fundamentele communicatiefout gemaakt. Ze hebben zichzelf niet in de schoenen van deze organisatie geplaatst en de zaken niet door hun lens gezien.

“Hun site bevat te veel informatie om doorheen te bladeren en links om op te klikken. Het is rijk aan jargon en is slechts in één formaat weergegeven: tekst.

“Aangezien veel mensen op een andere manier leren, zou het beter zijn geweest als ze e-boeken, audio en video’s hadden geproduceerd voor het MKB en micro-organisaties.”

In uw boek, IN Security, maakt u duidelijk dat vrouwen daartoe een natuurlijk vermogen hebben risico's beheren, vooral met betrekking tot cyber. Vertel ons iets meer over je theorie daarachter.

“Vrouwen zijn fundamenteel anders dan mannen. Het zijn verschillende versies van dezelfde soort. Terwijl uit eerder onderzoek is gebleken dat de hersenen van mannen en vrouwen anders zijn aangesloten, geeft nieuw onderzoek aan dat bijna iedereen een uniek scala aan mannelijke en vrouwelijke structuren heeft. [2]

“Als het echter om hormonen gaat, verschillen vrouwen en mannen, omdat beide geslachten dezelfde hormonen produceren, maar in verschillende niveaus. De belangrijkste geslachtshormonale drijfveer voor vrouwen is oestrogeen, en dit bevordert binding, samenwerking, samenwerking en relaties. Het ondersteunt ook het deel van de hersenen dat te maken heeft met sociale vaardigheden en observaties, en het helpt vrouwen te bepalen hoe zij risico's waarnemen en conflicten te vermijden.

“Serotonine is het hormoon dat verantwoordelijk is voor het stabiliseren van stemmingen en het reguleren van angst. Volgens onderzoekers produceren vrouwen 52% minder serotonine dan mannen, wat erop kan wijzen dat zij vaker piekeren dan mannen. Dan is er testosteron, het belangrijkste geslachtshormoon voor mannen, dat geassocieerd wordt met agressie, impulsiviteit, vastberadenheid, onafhankelijkheid, een gebrek aan samenwerking, macht, winnen en het nemen van risico's.

“Dat laatste is uiteraard van groot belang voor ons in cybersecurity. Talloze onderzoeken hebben aangetoond dat vrouwen en mannen het risico verschillend inschatten. Vrouwen zijn veel beter in het inschatten van kansen dan mannen, en dit uit zich vaak in een grotere mate van risicomijding. Omdat vrouwen doorgaans meer risicomijdend zijn, zorgt hun natuurlijke, gedetailleerde verkenning ervoor dat ze beter afgestemd zijn op veranderende gedragspatronen – een vaardigheid die nodig is voor het correct identificeren van bedreigingsactoren en het beschermen van omgevingen.

“Toen het Noorse bedrijf CLTRe en Gregor Petric, PhD, universitair hoofddocent sociale informatica en voorzitter van het Centrum voor Methodologie en Informatica aan de Faculteit der Sociale Wetenschappen, de Universiteit van Ljubljana (Slovenië) meer dan 10,000 werknemers in vijf branches in twee landen bestudeerden in de Scandinavische landen constateerden ze dat vrouwen zich meer aan de regels hielden en organisatorische controles en technologie meer omarmden dan mannen. Bovendien, terwijl mannen hun kennis beoordeelden en bewustzijn van IT-beveiliging, controles en gedrag veel hoger dan vrouwen, rapporteerden mannen hogere niveaus van risicovol gedrag, zowel van hun eigen kant als die van hun collega's. [4]

“Deze bevindingen komen overeen met andere rapporten die de genderverschillen beschrijven met betrekking tot compliance en online vertrouwen. Toen HMA, een dienstverlener op het gebied van virtuele particuliere netwerken, opdracht gaf tot een onderzoek onder internetgebruikers in de VS, bleek dat meer vrouwen meer nadachten over wat ze online deelden dan mannen; Het was onwaarschijnlijker dat ze zouden weggeven persoonlijke informatie zoals hun geboortedatum, adres in de echte wereld of burgerservicenummer op een profiel op sociale media dan mannen; en het was onwaarschijnlijker dat ze deze informatie zouden aanbieden tijdens het online chatten met een vriend dan mannen.

“Ze ontdekten ook dat mannen vaker meldden dat hun accounts waren gecompromitteerd of gehackt, of per ongeluk spyware, malware of een virus installeerden dan vrouwen. Toch ontdekten ze dat nadat vrouwen een beveiligingsprobleem hadden ervaren, vrouwen vaker dan mannen blijvende veranderingen in hun onlinegedrag zouden aanbrengen om zichzelf tegen toekomstige problemen te beschermen. Mannen daarentegen hadden de neiging terug te vallen op technische beschermingsmiddelen.[5]

“Naast deze eigenschappen wordt erkend dat vrouwen ook zeer intuïtief zijn. Mannen daarentegen zijn doorgaans pragmatischer in hun denken. Of je wel of niet gelooft dat dit komt doordat vrouwen door de eeuwen heen informatie achterhielden en intuïtieve vaardigheden moesten ontwikkelen, doet er niet toe. Waar het om gaat is hun vermogen om anders te denken, want wanneer twee groepen mensen een probleem aanpakken, zijn ze in staat om het op een unieke en veel snellere manier op te lossen. Omdat niet alle risico’s hetzelfde zijn, is de dialoog over de aanpak ervan ook rijker.

“Vrouwen scoren hoog als het gaat om emotionele en sociale intelligentie, wat veel voordelen met zich meebrengt, waaronder het vermogen om kalm te blijven in tijden van turbulentie – een eigenschap die nodig is bij inbreuken en grote incidenten.[6]

“Bovendien wordt in een wereld die snelheid en behendigheid waardeert, het vermogen om intuïtief te denken en snel goede beslissingen te nemen zonder over alle informatie te beschikken steeds meer een noodzaak.[7]”

Vrouwen in cyberveiligheid

In uw boek heeft u ook veel praktisch advies gegeven aan vrouwen die in de cyberbeveiligingsindustrie willen stappen. Als u maar één advies zou kunnen geven, wat zou dat dan zijn?
“Het zou zijn om hun netwerk op het gebied van cyberbeveiliging op te bouwen. Het biedt zoveel voordelen, zoals het vinden van banen en ondersteuning bij het leren van nieuwe manieren van denken. Het is bekend dat vrouwen zwakkere banden hebben dan mannen met collega's en cohorten, zowel op het werk als daarbuiten. Volgens een onderzoek van Lean.in org en McKinsey & Co. geeft 10% van de vrouwelijke senior executives toe vier of meer executives te hebben die hen ondersteunen om hun carrière vooruit te helpen, vergeleken met 17% van de mannen. Bovendien zei meer dan 50% van deze oudere vrouwen dat ze geloofden dat sponsoring op een hoger niveau essentieel was voor loopbaanontwikkeling.

“Zwakke banden die voortkomen uit netwerken worden doorgaans geassocieerd met het vinden van een baan. Totdat de socioloog Mark Granovetter zijn onderzoek publiceerde, geloofden de meeste mensen dat banen gevonden konden worden via sterke banden: persoonlijke banden met vrienden, familie of collega's op het werk. Wat Granovetter ontdekte was dat de belangrijkste bron van vacatures afkomstig was van zwakke banden: verre kennissen of vrienden van een vriend.

“Het blijkt dat mensen zelden hun nauwe connecties doorverwijzen naar een baan, omdat ze óf bang zijn dat het een slechte uitwerking op hen zal hebben als het niet lukt, óf omdat ze eerder op de hoogte zijn van de fouten en problemen van hun nauwe connecties. zwakke punten, waarvan zij denken dat ze het zijn van een goede werknemer in de weg kunnen staan.

'Maar dit was niet het enige dat Mark ontdekte. Als het om informatie ging, stelde het hebben van een los en divers netwerk van kennissen mensen in staat veel bredere informatiebronnen aan te boren en hun denken te verruimen. Door een netwerk van gelijkgestemde contacten te hebben die in dezelfde kringen opereren als jij, leer je zelden iets nieuws. Wanneer u echter toegang heeft tot een bredere gemeenschap, kunt u toegang krijgen tot verschillende soorten denkwijzen en met vertrouwen uitdagingen aangaan. “
Wat kunnen we allemaal doen om een ​​meer divers cyber- en infosec-personeelsbestand te krijgen?
“Dit is een enorme vraag en zoals bij de meeste dingen bestaat er geen wondermiddel. Omgevingen zijn divers en complex. Oplossingen verschillen dus. Wat goed is voor de ene organisatie, zal niet goed zijn voor de andere. Cultuur speelt een grote rol rol en organisaties moeten kijken naar wat ze doen om een ​​meer divers infosec-personeelsbestand aan te trekken, aan te nemen en te behouden. Ze moeten de effectiviteit van de acties die ze ondernemen meten en accepteren dat ze het niet altijd goed zullen doen. Het is essentieel om dit met een ondernemersmentaliteit te benaderen.

“Elke keer dat ik hierover spreek op conferenties, verdeel ik het meestal in vijf gebieden. De eerste is onderwijs. Volgens Raytheon en de National Cybersecurity Alliance hebben ze bij het onderzoeken van de loopbaaninteresses en de onderwijsvoorbereiding van millennials in twaalf landen vastgesteld dat 12% van de mannen en 62% van de vrouwen zegt dat geen enkele computerles op de middelbare school de vaardigheden biedt die hen kunnen helpen een carrière na te streven. op het gebied van cyberveiligheid. We moeten dit veranderen en de manier verbeteren waarop we kinderen en jonge volwassenen voorlichten over cyberbeveiliging.

“Op een paar universiteiten over de hele wereld na wordt studenten niet geleerd dat je op het gebied van cyberbeveiliging mensen, zaken, principes en concepten moet begrijpen, evenals de technologie, of de gegeven methoden om dat te doen. Bovendien worden ze niet voorbereid op teamwerk. Ze zullen echter op veel gebieden moeten samenwerken en samenwerken met experts fysieke beveiliging, zaken, regelgeving, marketing, financiën, enzovoort. En velen zijn zich er, verbazingwekkend genoeg, niet van bewust dat ze op de hoogte moeten blijven van de vorderingen aan zowel de offensieve als de defensieve kant, omdat van hen wordt verwacht dat ze advies geven over welke cyberbeveiligingstechnologieën aan een bepaalde zakelijke behoefte zullen voldoen, en dat ze ook inzicht krijgen hoe ze passen in de algemene cyberbeveiligingshouding van een organisatie.

“Afgestudeerden op het gebied van cyberbeveiliging komen ‘slim maar niet werkklaar’ uit de universiteit, en veel rekruteringsmanagers geven uiting aan hun ontevredenheid over het huidige onderwijssysteem en de implicaties in termen van verhoogde gevoeligheid voor cyberaanvallen. Omdat cyberbeveiliging een dynamisch vakgebied is, waarin dagelijks nieuwe bedreigingen en verdedigingsmechanismen opduiken, hebben ze gelijk als ze klagen, want er is een reële behoefte aan een competent personeel met een gedegen kennis van de implementatie, gekoppeld aan ervaring en praktische vaardigheden.

“Als het gaat om carrièrekeuzes en manieren om cyberbeveiliging vanuit andere carrières te bereiken, moeten we dit aanpakken, want er is een reële behoefte. Er is echter nauwelijks informatie over hoe u dit precies moet doen.

“Het tweede gebied is marketing. Tegenwoordig bestaat er nog steeds de misvatting dat cyberbeveiliging een puur technisch domein is. De waarheid is echter dat cyberbeveiliging nooit een op zichzelf staande discipline is geweest. Het is voortgekomen uit IT, is een specialisme binnen IT, en het anders behandelen ervan kan een kostbare vergissing blijken te zijn voor cybersecurity.

“Dit brengt mij op het derde gebied: professionaliteit, omdat velen binnen de sector dit willen professionaliseren, zoals boekhouding, recht, geneeskunde en techniek, met charters, regelgevende instanties en formele onderwijsprogramma's. Anderen willen dat het een beroepsopleiding blijft. Degenen die de voorkeur geven aan een meer beroepsgerichte route wijzen op een aantal dingen. De eerste is dat de mensen van het leger en de politie, die een groot percentage van ons personeelsbestand uitmaken, geen IT-achtergrond hebben. Ze hebben echter de basisprincipes van het fysieke overgenomen veiligheid of inlichtingen en paste deze toe op cyber met succes. De tweede is dat cyberbeveiliging moet worden gezien als een carrière waar mensen in de IT naar kunnen streven, en niet als een beroep met startersposities. Ze beweren dat alle posities in cyberbeveiliging moeten worden verdiend met aanzienlijke ervaring in IT en dat een diploma dat specifiek is voor cyberbeveiliging niet vereist is. In plaats daarvan moeten rekruteringsmanagers geweldige talentspotters worden en binnen hun organisaties eerst op zoek gaan naar bekwame professionals die, ondanks dat ze geen uitgesproken ervaring hebben op het gebied van cyberbeveiliging, zich snel kunnen aanpassen aan cyberbeveiligingsrollen. Professionals kunnen zich daarom zowel binnen de IT-afdeling als daarbuiten bevinden, zoals HR, juridische zaken, klantenservice, persoonlijke assistenten of zelfs verkoop, PR of marketing.

“Het vierde gebied is werving en rekrutering. Dit kan enorm worden verbeterd door geformaliseerde processen en technologie. Dankzij de vooruitgang op dit laatste gebied kunnen gegevens ook helpen bij het informeren en verminderen van vooroordelen. Tools zoals Textio kunnen het taalgebruik in functiebeschrijvingen analyseren en ervoor zorgen dat dit neutraal is. Zeker als het om vrouwen gaat, is taal vaak onbedoeld, gendergecodeerd en speelt het in op een reeks stereotypen, ideologieën en geloofssystemen die heimelijk proberen de status quo te rechtvaardigen. Als functiebeschrijvingen niet worden gecontroleerd op gendervooroordelen, kunnen ze veel vrouwelijk talent afschrikken om te solliciteren.

“Ten slotte is het vijfde gebied het milieu. Uit de dialogen die ik met vrouwen in het veld heb gevoerd, weet ik dat de redenen die zij noemen om van baan te veranderen een slechte afstemming op de cultuur van hun organisatie zijn, een burn-out, een oneerlijke behandeling, het gevoel dat ze worden gepasseerd voor promotie of vanwege hun familie. Bedrijfsculturen kunnen een vijandige omgeving zijn voor vrouwen op het gebied van cyberbeveiliging, aangezien sommige nog steeds gebaseerd zijn op mannelijke bindingen en mogelijk worden gemaakt door de seksuele objectivering van vrouwen.

“Verbeteringen in de cultuur kunnen een enorm verschil maken voor de manier waarop elke cybersecurityprofessional op de werkvloer opereert, en niet alleen vrouwen. Eén die proactief moet worden aangepakt is de work-hard, play-hard-cultuur – die meedogenloze, macho-competitie om vroeg te arriveren, laat te blijven, harder te werken en te feesten, die nog steeds heerst onder veel cyberbeveiligingsorganisaties en adviesbureaus, maar waarvan is aangetoond dat het de personeelsverloop verhoogt. en ziekteverzuim, en de prestaties en winsten ondermijnen.

“De onuitgesproken ouderwetse regel voor managers, of voor iedereen die er een wil worden, is dat als je voor een bepaalde tijd vertrekt, je niet toegewijd bent aan je baan en dat promotie onwaarschijnlijk is. De druk is vooral merkbaar voor vrouwen, vooral als het moeders of verzorgers zijn. In omgevingen als deze accepteren veel vrouwen de realiteit dat als ze zich niet aan de verwachte normen houden, hun carrière zal worden onderdrukt, of overdreven gecompenseerd door harder te werken, later te blijven en meer een mannelijke persoonlijkheid aan te nemen. Ze zullen proberen zich aan te passen, anders zullen ze hun gezinsarrangementen verbergen.

“Als iemand zin heeft om meer te leren, moedig ik hem aan mijn boek IN Security te lezen. Het is beschikbaar op Amazon in paperback- en Kindle-formaat. Ook voor gesprekken, trainingen, coaching en consultancy kunnen ze bij mij terecht.”
Om meer te weten te komen over Jane en het werk dat ze doet met ondernemers, bezoek haar website. Jane werkt ook met leiders en beoefenaars en daar kun je meer over lezen op Cyberveiligheidskapitaal.

De informatie in deze blog is bedoeld als algemene richtlijn en vormt geen juridisch advies.

Jane's referenties:

[1]. https://www.livescience.com/41619-male-female-brains-wired-differently.html

[2]. https://www.webmd.com/brain/features/how-male-female-brains-differ#1

[3]. https://www.sciencemag.org/news/2017/04/study-finds-significant-differences-brains-men-and-women

[4]. https://get.clt.re/report/

[5]. https://www.forbes.com/sites/kevinmurnane/2016/04/11/how-men-and-women-differ-in-their-approach-to-online-privacy-and-security/#4f65099c7d88

[6]. https://www.kornferry.com/press/new-research-shows-women-are-better-at-using-soft-skills-crucial-for-effectief-leiderschap/

[7]. https://www.cpni.gov.uk/system/files/documents/63/29/insider-data-collection-study-report-of-main-findings.pdf
[/ Et_pb_text] [/ et_pb_column] [/ et_pb_row] [/ et_pb_section]