När CISO inte ska blåsa i visselpipan på sårbarheter

När säkerhet är oftast skickas till en hanterad säkerhet tjänsteleverantör, kan chefer kunna tro att de inte behöver dyka i teknisk djupa änden. Men enligt Foxtel chefs informationssäkerhet officer Kevin Shaw, även om CISOs behöver inte ha fullständig teknisk skicklighet, det finns andra utmaningar som de måste ta itu med.

Säkerhet, Så att inte kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”), säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet;? FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska gov’t tjänstemän

I sitt tal vid AusCERT 2013 Gold Coast, Queensland, Shaw delade hans ånger på att gräva hälarna i IT-driftpersonal när det blev fult under förändringar i processer.

Du kommer att upptäcka några mycket, mycket fula saker. Hemligheten som jag personligen har hittat är när du hittar fula saker, inte gå trumpet det till alla och säga “Hej, jag har hittat alla dessa brister.

Om du börjar blåsa i visselpipan för snabbt, för tidigt – och tro mig, långt tillbaka i början av min karriär, det gjorde jag – jag har inte gjort några vänner, [och jag] inte komma längre med programmet för arbetar jag försökte göra.

Istället Shaw sade att vad han gör nu är att sitta med IT-driftpersonal, räkna problemet ut, och sedan, när det är i ett tillstånd där det är löst eller hanterbara, börja informera ledningsgrupp.

Det är när du placerar dem på linjen: Du gör en riktigt, riktigt bra jobb nu. Du har våra säkerhetsprofiler upp till där vi vill vara, inte släppa bollen.

En av hans andra rekommenderade praxis är att ge chefer med uppdateringar, även om det finns inget att rapportera, bara för att hålla liv i samtalet och relationer går. Ett verktyg han använt är en enkel cirkeldiagram, som består av något annat än en grön cirkel, som representerar noll incidenter.

Den första gången jag använde den lilla verktyg, det faktiskt skapat en hel del mer samtal kring chefer eftersom de började ställa frågor för att se [om] Jag skulle kunna motivera.

Han sade att dessa presentationer, även om de bara varar 70 sekunder eller så, hjälp i dessa tider när det går fel och styrelsen vill ha svar.

Du vill inte att stå framför en risk revisionskommitté eller befattningshavaren i en organisation när det har gått fel och att de inte vet ditt förnamn, och de vet inte den strategi som du försöker gör, och de har inte sett värdet av säkerhetsinvesteringar som har utsatts för.

Hur man inte att kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”)

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän