Exklusives Brancheninterview mit LzBeth Malig
Zur Feier des letzten Tages des diesjährigen Women's History Month setzte sichLzBeth Malig, Director of Information Security & Compliance bei Concord Technologies, für ein exklusives Interview mit Alynes Head of North America, Tyler Gowen , zusammen, um darüber zu sprechen, wie Concord Technologies Alyne zur Rationalisierung seiner Prozesse im Bereich Informationssicherheit und Compliance eingesetzt hat, und um einige Einblicke in die Branche als weibliche Führungskraft im Sicherheitsbereich zu geben.
Über Concord Technologies
Concord Technologies ist das führende Unternehmen der Branche, das neue Technologien für künstliche Intelligenz entwickelt. Concord wurde nach einem einfachen Prinzip gegründet: sich um die Menschen kümmern und den Informationsaustausch erleichtern. In den letzten 20 Jahren hat sich Concord von einem bescheidenen, in Seattle geführten Unternehmen zu einer internationalen Organisation entwickelt, der mehr als 200.000 Nutzer mit ihren geschäftskritischen Daten vertrauen. Heute ist Concord für den täglichen Versand und Empfang von Millionen von Dokumenten in den Bereichen Gesundheitswesen, Technologie und Finanzmärkte verantwortlich. Mit einer Kundenbindungsrate von 97 % und einer in der Branche beispiellosen Lieferzuverlässigkeit hat sich Concord zum Ziel gesetzt, der Partner zu sein, dem Unternehmen ihre Daten anvertrauen können.
Über LzBeth Malig
Lzbeth Malig ist eine weibliche Führungspersönlichkeit bei Concord Technologies, die Sicherheit nicht als Kostenstelle, sondern als Faktor für die Geschäftsentwicklung betrachtet. Sie ist der festen Überzeugung, dass Sicherheit ein Gleichgewicht zwischen Risiko, Benutzerfreundlichkeit und Kosten sein sollte, wobei Sicherheitspraktiken in jedem Unternehmen die Norm sein sollten. LzBeth Malig ist seit über 20 Jahren im Bereich der Informationstechnologie tätig und hat sich schon immer für die Sicherheitsseite interessiert, da sie diese äußerst faszinierend findet. Laut LzBeth ist es glücklicherweise (oder unglücklicherweise) nicht so aufregend, wie es in der Unterhaltungsindustrie dargestellt wird, und in diesem Sektor tragen die Bösewichte keine Kapuzenpullis. Sie sind viel anspruchsvoller. In ihrer derzeitigen Funktion sitzt sie am Schreibtisch und liest und schreibt viel, denn ein großer Teil der Sicherheit besteht aus Richtlinien, Prozessen und Kontrollen - und sie arbeitet täglich mit der Rechtsabteilung an Verträgen und Vereinbarungen zusammen. Außerdem arbeitet sie unternehmensweit für das Risikomanagementprogramm, die Geschäftskontinuität, die Einbindung von Sicherheitsfragen und ist für die Durchführung der jährlichen Audits verantwortlich.
Wie Concord Alyne nutzt, um seine Prozesse für Informationssicherheit und Compliance zu optimieren
Tyler: Was waren die größten Herausforderungen für Ihr Unternehmen, bevor Sie Alyne einsetzten?
LzBeth: Viele GRC-Tools liefern eine Kontrollerklärung, ohne den richtigen Kontext zu liefern. Daher muss die Abteilung für Informationssicherheit und Compliance Details zu den Kontrollen bereitstellen, jede Kontrolle in eine Frage umwandeln, die benötigten Artefakte bestimmen usw. Dies erfordert Zeit und Mühe.
Eine einzigartige Funktion von Alyne, die diese Herausforderung gelöst hat, ist das Frage- und Antwortformat von Alyne, das die Dokumentation von Kontrollen, die Zuordnung zu Vorschriften und die Durchführung von Bewertungen erleichtert. Mit Alyne gibt es neben der Kontrollerklärung eine spezifische Bewertungsfrage, reifenspezifische Antwortoptionen und die Möglichkeit, automatisch relevante Nachweise zur Untermauerung der Bewertungsantworten vorzuschlagen. Darüber hinaus kann jedes Bewertungsthema oder jede einzelne Frage an verschiedene Personen delegiert werden, so dass es nicht notwendig ist, Personen per E-Mail zu suchen. Das spart Zeit und schafft betriebliche Effizienz.
Tyler: Wie setzt Ihr Unternehmen die Lösung von Alyne ein?
LzBeth: Zurzeit liegt unser Schwerpunkt in Alyne auf der Durchführung von Kontrollprüfungen.
Tyler: Was, würdest du sagen, macht Alyne einzigartig?
LzBeth: Eine Einzigartigkeit, die ich sehr hilfreich finde, ist die nachgelagerte Risikoanalyse. Alyne ist das einzige Tool, das eine automatische nachgelagerte Risikoanalyse von Kontrollbeurteilungen bietet. Sobald die kontrollspezifischen Bewertungsfragen beantwortet sind, gibt es eine Liste potenzieller Risiken, die sich aus den Antworten der Bewertung ergeben. Das liegt daran, dass Alyne jede Kontrolle mit einer umfangreichen Risikobibliothek sowie mit globalen Vorschriften, Gesetzen und Standards verknüpft hat. Dadurch werden potenzielle Risiken identifiziert, die andernfalls undefiniert wären.
Tyler: Welchen Rat würden Sie Entscheidungsträgern geben, wenn sie sich für eine RegTech-Lösung wie die unsere entscheiden?
LzBeth: Es gibt viele Lösungen auf dem Markt, daher sollten Sie vor dem Vergleich von Anbietern die Anforderungen nach Prioritäten ordnen. Einige Lösungen eignen sich am besten für die Risikoanalyse, andere für die Prozessüberprüfung usw.
Tyler: Können Sie uns sagen, wie Ihre Organisation als Nächstes die Fähigkeiten von Alyne nutzen wird?
LzBeth: Wir planen, die "Dokumente"-Funktion von Alyne für die Erstellung und Verwaltung neuer und bestehender Richtlinien direkt in Alyne zu nutzen. Wir werden unsere Richtlinien mit der Kontrollbibliothek von Alyne verknüpfen, so dass Aktualisierungen von Richtlinien und Kontrollen automatisch erfolgen.
Karriere als Sicherheitsbeauftragter in Seattle
Tyler: Sie sagten: "Sicherheitsverantwortliche stehen allzu oft in dem Ruf, standardmäßig "Nein" zu sagen. Wie stellen Sie sicher, dass Sie nicht in den Ruf kommen, "Nein" zu sagen, und was tun Sie, wenn jemand "Nein" zu Ihnen sagt?
LzBeth: Ich denke, ich würde die Frage an die Informationssicherheit anders formulieren. Anstelle von "Kann ich x tun?" würde ich sagen: "Ich muss x tun, wie können Sie mir helfen, das sicher zu erreichen?" In einer offenen Diskussion können wir gemeinsam nach der optimalen Lösung suchen, auch wenn es vielleicht nicht die Lösung ist, die einem vorschwebt. Informationssicherheit sollte kein Hindernis für den Erfolg sein und ist es auch nicht. Unser Ziel ist es nicht, das Leben schwer zu machen - glauben Sie mir, unser Ziel ist es, Risiken und Chancen auszugleichen.
Tyler: Sie befinden sich in Seattle, einem Technologiezentrum. Welche regionalen Unterschiede, wenn überhaupt, sehen Sie im Umgang der Unternehmen mit Risiken?
LzBeth: Ich glaube nicht, dass es einen großen Unterschied gibt, da wir heutzutage alle sehr vernetzt sind. Seattle war eine Keimzelle für Start-ups und ist immer noch unter den Top 10 des Landes, was das Wachstum von Start-ups angeht. Da Neugründungen in der Regel viel Kreativität und Erfindungsreichtum fördern und neue Technologien schneller erforschen, gab es vielleicht auch mehr originelle Ideen? Seattle beherbergt jedoch auch zwei der größten Technologieunternehmen der Welt und verfügt über extrem ausgereifte Ressourcen. Ich denke, es gibt hier ein gutes Gleichgewicht zwischen grundlegenden, konventionellen und innovativen Ansätzen in allen Bereichen der Technologie.
Aktuelle Risikolandschaft
Tyler: Welches ist derzeit das am meisten gehypte Risikothema oder die am meisten gehypte Risikofrage?
LzBeth : Das wird mich jetzt in jede Menge Kontroversen - aka Ärger - bringen. Meiner persönlichen Meinung nach wird sehr viel Wert auf Zertifizierungen gelegt, anstatt auf die tatsächliche Sicherheitsfähigkeit. Die Einhaltung bestimmter Standards ist ein guter Ausgangspunkt, aber ich habe auch viel zu viele "Check the Box"-Bemühungen gesehen, um Zertifizierungen zu erhalten. Das habe ich in meinen Jahren als Auditor erlebt: "Ungeschulte" Mitarbeiter, die auf andere Etagen versetzt wurden, um zu vermeiden, dass sie während der Auditwoche Fragen der Prüfer ausgesetzt waren. Wenn sich das Unternehmen doch nur so viel Mühe geben würde, die eigentliche Arbeit zu erledigen.
Als Sicherheitsexperte sollte der Grund für Zertifizierungen das Erreichen von Sicherheitsstandards sein, nicht die Steigerung des Umsatzes. Als jemand, der eine Führungsposition innehat, weiß ich jedoch auch, dass die Einnahmen der Grund für die Existenz jedes gewinnorientierten Unternehmens sind. Es ist ein seit langem bestehender Zwiespalt, der die Dinge interessant macht.
Tyler: Welchem Risikothema wird nicht die angemessene Aufmerksamkeit zuteil, die es verdient?
LzBeth: Nennen Sie mich paranoid, denn ich glaube, dass es Risiken gibt, die in den Computerprozessoren selbst stecken. Wir hören nicht so oft von ihnen, weil sie nicht sensationell sind und die Auswirkungen schwer zu quantifizieren sind.
Hier sind einige Artikel, die LzBeth Technologiefachleuten zum Lesen empfiehlt:
Ein wichtiger neuer Fehler in einem Intel-Prozessor könnte Verschlüsselung und DRM-Schutz umgehen
Neu aufgedeckter Fehler in Intel-Prozessoren ermöglicht nicht nachweisbare Malware
Die künftige Entwicklung des Risikos
Tyler: Wie wird sich das Risiko in den nächsten fünf Jahren entwickeln?
LzBeth: Ich denke, dass das maschinelle Lernen weiterhin die menschliche Entscheidungsfindung unterstützen wird, um die Effizienz von Sicherheitstools zu verbessern und sozusagen das Rauschen auszusortieren. Das würde es uns Menschen ermöglichen, uns auf das Wesentliche zu konzentrieren, anstatt viel Zeit damit zu verbringen, das Wesentliche zu finden. Der Datenschutz ist nach wie vor eines der größten Risiken für viele Unternehmen. Mit der Zunahme der weltweit eingeführten Datenschutzvorschriften ist es für Unternehmen schwierig, alle möglichen Lücken bei der Einhaltung der Vorschriften in Einklang zu bringen.
Das Arbeiten aus der Ferne ist heutzutage für die meisten von uns die Norm, und ich glaube, dass die Zero-Trust-Architektur zum Schutz von Unternehmenssystemen zum Mainstream werden wird. Es reicht nicht mehr aus, den Perimeter nur mit Benutzername und Passwort zu verteidigen, so dass die Forderung "Never trust, always verify" für jede Anfrage, ob innerhalb oder außerhalb des Netzwerks, entscheidend ist. In NIST SP 800-207 dreht sich alles um Zero Trust, Microsoft hat Blogs, die sich mit Zero Trust befassen, und jeder CISO muss selbst entscheiden, was für sein Unternehmen am besten ist.
Tyler: Welche Risikofähigkeit gibt es heute nicht, die Sie sich wünschen würden?
LzBeth: Das ist interessant. Ich würde wirklich gerne ein Protokoll zur digitalen Signatur/Verschlüsselung von E-Mails sehen, das bei allen E-Mail-Anbietern/Plattformen/Clients funktioniert. Ich denke, die meiste Zeit funktioniert die digitale Signatur nur innerhalb desselben Netzwerks / derselben Plattform / desselben Anbieters, sonst wird die gesendete E-Mail beim Empfänger nicht korrekt angezeigt. In meinem Anwendungsfall verwende ich digitale Signaturen hauptsächlich zum Schutz vor Spoofing und zur Nachrichtenintegrität. Es ist frustrierend, dass sie nicht immer wie erwartet funktionieren.
Wie schafft es LzBeth, in ihrer Rolle weiterzukommen?
Tyler: Welche Quellen nutzen Sie für relevante Branchennachrichten und -updates?
LzBeth: Ich bin auf so vielen E-Mail-Listen, dass es nicht einmal lustig ist! Aber ich mag ICS-CERT, US-CERT, verschiedene Blogs, z. B. Tripwire, Cisco Talos, Heimdal, Guardian, usw. Ich verfolge auch die Blogs von Leuten wie Bruce Schneier, Troy Hunt und Marco Ramilli, da sie eine breite Palette von Themen im technischen Bereich abdecken.
Tyler: Was ist das häufigste Missverständnis, das Geschäftskunden über Sie und Ihre Rolle haben?
LzBeth: Das kommt wirklich auf das Unternehmen an. Ich habe Jobs, bei denen ich hauptsächlich als technisch gesehen werde und technische Entscheidungen treffe, und manchmal helfe ich innerhalb der technischen Teams aus. In anderen Fällen werde ich als nicht-technisch angesehen und befasse mich hauptsächlich mit rechtlichen Fragen und der Einhaltung von Vorschriften. Die meisten Geschäftsbereiche würden denken: "Sie beantwortet Sicherheitsfragen, kümmert sich um die Sicherheit der Kunden, führt Audits durch, erstellt Richtlinien und Sicherheitsanforderungen, erklärt GDPR, PCI usw.".
Ich überprüfe aber auch viele technische Lösungen, führe Kosten-Nutzen-Analysen durch, bringe Systeme online und analysiere die Sicherheitsarchitektur.
Tyler: Welches ist die häufigste Sicherheits- oder Risikopraxis, die die Leute durchführen, aber eigentlich nicht tun?
LzBeth: Ich schreibe das Passwort nie auf. Ich schließe meinen Computer immer ab, wenn ich meinen Schreibtisch verlasse.
