LzBeth Malig 的独家行业访谈
为了庆祝今年 "妇女历史月 "的最后一天, Concord Technologies 信息安全与合规总监LzBeth Malig 接受了 Alyne 北美地区主管Tyler Gowen 的独家采访,分享 Concord Technologies 如何利用 Alyne 来简化其信息安全与合规流程,以及作为女性安全领导者的一些行业见解。
关于协和技术公司
Concord Technologies是开发新型人工智能技术的行业领先企业。Concord 公司的建立基于一个简单的原则:以人为本,让信息交流更轻松。在过去的 20 年中,Concord 已从一家在西雅图经营的小型企业发展成为一家国际组织,为 20 多万用户提供关键任务数据。如今,他们每天负责发送和接收医疗保健、技术和金融市场中的数百万份文件。Concord 拥有 97% 的客户保留率和业内无与伦比的交付可靠性,致力于成为组织在数据方面值得信赖的合作伙伴。
关于 LzBeth Malig
Lzbeth Malig 是 Concord Technologies 公司的一名女性安全领导者,她将安全视为业务促进因素,而不是成本中心。她坚信,安全应该是风险、可用性和成本之间的平衡,安全实践应该成为任何组织的规范。LzBeth Malig 已经在信息技术领域工作了 20 多年,她一直对安全方面的事情很感兴趣,因为她觉得这非常吸引人。LzBeth 认为,幸运的是(或不幸的是),这并不像娱乐业描述的那样令人兴奋。他们要老练得多。她目前的工作是在办公桌前大量阅读和写作,因为安全工作的一个重要部分就是政策、流程和控制,她每天都要与法律部门就合同和协议进行合作。她还负责整个公司的风险管理计划、业务连续性、获得安全 "东西 "的认可,并负责领导年度审计。
Concord 如何利用 Alyne 简化其信息安全和合规流程
泰勒:在使用 Alyne 之前,贵组织面临的最大挑战是什么?
LzBeth: 许多 GRC 工具只提供控制说明,而不提供适当的上下文,因此,信息安全和合规部门必须提供控制的详细信息,将每个控制转换成问题,确定所需的工件等。这需要时间和精力。
Alyne 的一个独特功能解决了这一难题,那就是 Alyne 的问答格式,它使记录控制、映射到法规和运行评估变得简单。有了 Alyne,除了控制声明之外,还有一个特定的评估问题、成熟度特定的答案选项以及自动建议相关证据以支持评估回答的能力。此外,每个评估主题或单个问题都可以委托给不同的人,这样就不需要通过电子邮件追问别人了。这样既节省了时间,又提高了操作效率。
泰勒:贵组织如何利用 Alyne 的解决方案?
LzBeth: 目前,我们在 Alyne 的工作重点是开展控制评估。
泰勒:你认为是什么让阿莱恩与众不同?
LzBeth: 我认为非常有用的一个独特之处是下游风险分析。Alyne 是唯一一款能从控制评估中自动提供下游风险分析的工具。一旦特定控制评估问题得到回答,就会有一份因评估答复而引发的潜在风险清单。这是因为除了全球法规、法律和标准之外,Alyne 还将每项控制与庞大的风险库进行了映射。这样就能识别潜在风险,否则这些风险将无法定义。
泰勒:在选择像我们这样的监管科技解决方案时,您对决策者有什么建议?
LzBeth:现在有很多解决方案,因此在比较供应商之前,一定要确定需求的优先次序。有些解决方案最适合风险分析,有些最适合流程审查等。
泰勒:您能告诉我们贵组织下一步将如何利用 Alyne 的能力吗?
LzBeth: 我们计划利用 Alyne 的 "文档 "功能,直接在 Alyne 中创建和管理新政策和现有政策。我们将把我们的政策链接到 Alyne 的控制库,以便自动更新政策和控制。
在西雅图从事安全领导工作
泰勒:你说过:"安全领导者经常会因为默认答案是 "不 "而声名狼藉。你如何确保自己不会因为说 "不 "而声名狼藉,以及当你遇到有人对你说 "不 "时,你该怎么办?
LzBeth: 我想我会以不同的方式向信息安全部门提出这个问题。与其说 "我能做x 吗?我喜欢把它想成 "我需要做x,你能如何帮助我安全地实现这一目标?通过坦诚的讨论,我们可以共同找到最佳解决方案,尽管这可能不是我们心目中的解决方案。信息安全不应该也不会成为成功的障碍,我们的目标不是让生活变得困难--相信我,真的,我们的目标是平衡风险和机遇。
泰勒:你所在的西雅图是一个技术中心。如果有的话,您认为企业的风险应对方法有哪些地区差异?
LzBeth: 我不认为有什么区别,因为如今我们的联系非常紧密。 西雅图是初创企业的核心,在全美初创企业增长排名中仍然保持在前十位。由于初创企业往往会激发大量的创造力和发明,在探索新技术方面更加灵活,也许会有更多的原创想法? 不过,西雅图也是全球最大的两家科技公司的所在地,拥有极其成熟的资源。我认为,西雅图在所有技术领域的基础、传统和创新方法之间取得了很好的平衡。
当前的风险状况
泰勒:目前最被过度炒作的风险话题或风险问题是什么?
LzBeth: 现在,这会让我陷入各种争议--也就是麻烦。我个人认为,认证比实际安全能力更重要。遵循某些标准是一个很好的起点,但我也看到太多为获得认证而 "打勾 "的做法。我在审计工作中遇到过"未经培训的 "员工被安排到不同的楼层,以避免在审计周期间被审计员提问。如果公司能在实际工作中花费同样多的精力就好了。
作为一名安全专业人员,认证的理由应该是达到安全标准,而不是为了促进销售。不过,作为一个身居领导岗位的人,我也明白收入是任何营利性企业存在的原因。这是一个长期存在的裂痕,它让事情变得有趣。
泰勒:有哪些风险问题没有得到应有的重视?
LzBeth: 说我偏执,是因为我认为计算机处理器本身就存在风险。我们很少听说这些风险,因为它并不耸人听闻,而且其影响也很难量化。
以下是 LzBeth 推荐技术专业人士阅读的一些文章:
英特尔处理器的一个重大新缺陷可能导致加密和 DRM 保护失效
风险的未来发展
泰勒:未来五年,风险将如何演变?
LzBeth: 我认为机器学习将继续增强人类的决策能力,从而提高安全工具的效率,可以说是帮助剔除噪音。这将使我们人类能够专注于重要的事情,而不是花费大量时间去寻找重要的事情。隐私仍然是许多公司面临的高风险之一。随着隐私法规在全球范围内的不断增加,公司很难协调所有可能存在的合规漏洞。
如今,远程工作已成为我们大多数人的常态,我相信保护企业系统的零信任架构将成为主流。仅使用用户名和密码来保护外围系统已不再足够,因此,无论在网络内部还是外部,对每个请求都需要 "绝不信任,始终验证",这一点至关重要。NIST SP 800-207 是关于 "零信任 "的,微软也有专门介绍 "零信任 "的博客。
泰勒:您希望当今不存在的风险能力是什么?
LzBeth: 这很有趣。我非常希望看到一种能在所有电子邮件提供商/平台/客户端上使用的电子邮件数字签名/加密协议。我认为,大多数情况下,电子邮件数字签名只能在同一网络/平台/提供商内使用,否则,发送的电子邮件将无法正确显示给收件人。在我的使用案例中,数字签名主要用于特定的防欺骗和信息完整性。令人沮丧的是,它并不总能发挥预期的作用。
LzBeth 是如何保持领先地位的?
泰勒:您利用哪些资源来获取相关的行业新闻和最新信息?
LzBeth: 我加入了很多电子邮件列表,这一点都不好笑!不过,我喜欢 ICS-CERT、US-CERT 和不同的博客,例如 Tripwire、Cisco Talos、Heimdal、Guardian 等。我还关注布鲁斯-施奈尔(Bruce Schneier)、特洛伊-亨特(Troy Hunt)、马可-拉米利(Marco Ramilli)等人的博客,因为他们涉及技术领域的各种主题。
泰勒:业务部门对您和您的职责最常见的误解是什么?
LzBeth: 这确实取决于公司。我的工作主要是技术性的,要做技术决策,有时还要帮助技术团队。在其他情况下,我被视为非技术人员,主要处理法律和合规事务。大多数业务部门会认为 "她负责回答安全问题、处理客户安全事务、进行审计、制定政策和安全要求、解释 GDPR、PCI 等"。
不过,我也做了很多技术解决方案审查、成本效益分析、系统上线和安全架构分析的工作。
泰勒:人们最常执行但实际上并没有执行的安全或风险做法是什么?
LzBeth: 我从不写下密码。离开办公桌时,我总是把电脑锁起来。
