如果信息安全专家想要得到高级管理层的持续关注,他们可能需要在他们的安全工具包中添加一个新的应用程序:Microsoft Excel.
著名安全研究人员Peiter Zatko建议他们用有电子表格价值的数据来支持他们的预算论点,近几个月来,他一直是主流新闻的头条他称推特存在系统性安全问题.但在成为Twitter的安全主管之前,他已经在科技新闻头条上出现了几十年。
这是在科技新闻网站CyberScoop上的讲话CyberTalks(在新窗口打开)扎特科,也被称为“Mudge”,他采用了他是20世纪80年代L0pht重工黑客组织的创始成员他敦促与会者停止将安全问题视为某种神话或民间传说,不能像任何其他运营费用一样衡量。
扎特科在台上对Cyberscoop主编迈克·法雷尔(Mike Farrell)说,信息安全专业人士鼓励管理层将该领域视为“一些不可量化的、可怕的环境”,需要做出下意识的决定,这对他们自己没有任何好处。
Zatko表示,在高管层中,对安全重要性的认识进展最少,许多IT部门试图通过恐惧来获得资金,他将其描述为“我们无法量化它,我们需要大量的预算”。
扎特科对这个命题的看法是:“那是胡扯。”
他讲述了十年前在联邦政府DARPA(国防高级研究计划局)工作期间,一位主管重新回到预算问题上的经历:“除非你能量化它,否则我无法量化你的预算。走开。”
Zatko表示,医药和金融过去是建立在某种民间传说的基础上,但现在是基于事实和数字的领域。他说,良好的企业安全应该是可衡量的,可以显示有多大比例的交易是由它实现的,以及它防止了多少损失。在实践中,它应该是日常员工看不到的,或者是他们理解和渴望的。
扎特科举了一个不那么模糊的例子,他比较了两家未具名金融机构的处理方式网络钓鱼对员工的培训。
其中之一是,点击作为培训的一部分发送的钓鱼邮件可能是一个限制职业生涯的举动:“你会受到训斥,甚至可能被解雇。”
另一方面,在报告钓鱼邮件时,即使你点了它作为奖励的理由,并鼓励人们分享他们是如何被愚弄的:“你真的让它成为了公司喜欢的东西。”
早些时候,网络对话小组在华尔道夫酒店(Waldorf Astoria,原特朗普国际酒店)提醒观众,人们确实会被网络钓鱼信息所骗:“仍然有相当多的人点击我们的假邮件,”商务部首席信息官安德烈·门德斯(Andre Mendes)在谈到该机构的培训时说。
扎特科还引用了另一家公司的做法,该公司让软件工程师和安全团队员工在彼此的部门进行两到三个月的轮岗,这有助于一个团队向另一个团队学习。
最后,他说,让信息安全成为一个没有数字的领域将使你的公司越来越不受双方的欢迎政府还有保险公司。
但有一个组织是扎特科不打算碰的——他的前雇主推特2020年雇佣他(在新窗口打开)后系统严重受损然后一月份解雇了他(在新窗口打开).法雷尔半带歉意地说太多了律师参与就连印刷节目也间接提到了扎特科人生的这一章:“最近,为了继续履行他改善世界的使命和履行公民义务,穆奇遵循了适当的法律程序,成为了一名合法的举报人。”