Säkerhetspodcasten
Pods Lyssna! Kontakt Panelen Supporters
Säkerhetspodcasten

Contents

Säkerhetspodcasten avs.115 - Agile Security med Rich Smith

   7496 words   36 minutes 

Lyssna

mp3

Innehåll

I dagens avsnitt av Säkerhetspodcasten intervjuar Robin von Post Rich Smith om Agile Security.

Inspelat: 2017-10-24. Längd: 00:29:32.

AI transkribering

AI försöker förstå oss… Ha överseende med galna feltranskriberingar.

1 00:00:00,220 --> 00:00:02,860 Hej och välkommen till Säkerhetspodcasten.

2 00:00:03,300 --> 00:00:08,000 Innan vi börjar dagens avsnitt skulle jag vilja tipsa om våra nya fina Säkerhetspodcasten-stickers

3 00:00:08,000 --> 00:00:11,300 som nu finns tillgängliga för alla våra lyssnare helt gratis.

4 00:00:11,960 --> 00:00:15,340 Det enda ni behöver göra för att få dem är att skicka ett frankerat kuvert till

5 00:00:15,340 --> 00:00:22,780 Assured AB Care of Säkerhetspodcasten på adressen Norra Lergatan 7 413 01 Göteborg

6 00:00:22,780 --> 00:00:26,700 så kommer en handfull nya fräscha-stickers som ett brev på posten inom ett par dagar.

7 00:00:26,700 --> 00:00:30,760 Det är alltså Norra Lergatan 7 413 01 Göteborg.

8 00:00:32,220 --> 00:00:37,620 Till dagens avsnitt då. Under hösten så har vi på Säkerhetspodcasten haft en reporter i fältet

9 00:00:37,620 --> 00:00:43,940 nämligen den eminente Robin von Post som har bandat en hel drös intervjuer på ett par konferenser i Stockholm.

10 00:00:44,900 --> 00:00:48,560 Vi skulle väldigt gärna vilja tacka Sectra som har lånat ut honom till oss

11 00:00:48,560 --> 00:00:52,880 och vill ni följa Robin så gör ni det enklast på at r von post på Twitter.

12 00:00:53,440 --> 00:00:56,320 Stort tack alltså till Sectra och till Robin.

13 00:00:56,700 --> 00:00:57,860 Nu rullar vi intervjun.

14 00:01:17,220 --> 00:01:20,520 Hur kan man göra en lycklig säkerhetsteam?

15 00:01:20,580 --> 00:01:24,940 Kan du berätta lite om ditt bakgrund så vi får en bakgrund om vem du är?

16 00:01:25,260 --> 00:01:25,920 Ja, tack.

17 00:01:26,220 --> 00:01:26,680 Jag heter Jemma.

18 00:01:26,700 --> 00:01:29,480 Mitt bakgrund har verkligen varit i offensiv säkerhet.

19 00:01:29,740 --> 00:01:35,560 Så att hitta ut alla problem och nu använda den vetenskapen om att hitta ut problem för att skydda människor.

20 00:01:35,900 --> 00:01:42,140 Så innan Duo så rann jag säkerhet i ett företag som heter Etsy och var i en CISO-typ roll där.

21 00:01:42,840 --> 00:01:47,320 Förr har jag gjort mycket konsultering, mycket röd team-engagerings, mycket pen-testning

22 00:01:47,320 --> 00:01:52,220 och tydligen en bakgrund i forskning om våldsförhållanden, uppfattning och exploittutveckling.

23 00:01:52,220 --> 00:01:56,220 Okej, så dina grundläggande uppgifter.

24 00:01:56,220 --> 00:02:02,620 Vad är dina grundläggande uppgifter om hur man ska göra en säkerhetssäkerhetssäkerhet, vad säger du att det är?

25 00:02:02,620 --> 00:02:03,820 Det är en bra fråga.

26 00:02:03,820 --> 00:02:10,820 Det var en del av presentationen vi gav, men jag skulle säga i sammanhanget att för att vara en säkerhetssäkerhetssäkerhet

27 00:02:10,820 --> 00:02:13,820 så måste du fokusera på människor så mycket som på teknologi.

28 00:02:13,820 --> 00:02:20,820 Jag tror att till och med nu har industrin gjort ett bra jobb av att försöka fokusera bara på teknologi för att lösa ett problem

29 00:02:20,820 --> 00:02:24,780 som jag tror är helt enkelt intersektionen mellan människor och teknologi.

30 00:02:24,780 --> 00:02:25,500 Så om vi försöker lösa problemet så måste vi göra det.

31 00:02:25,500 --> 00:02:26,200 Så om vi försöker lösa problemet så måste vi göra det.

32 00:02:26,200 --> 00:02:28,200 Så om vi försöker lösa problemet så måste vi göra det.

33 00:02:28,200 --> 00:02:30,200 Vi måste också fokusera på de människorna.

34 00:02:30,200 --> 00:02:32,200 Och det var lite av det vi pratade om idag.

35 00:02:32,200 --> 00:02:38,200 Att försöka inte köpa ditt sätt ut ur säkerheten och bara köpa lösning efter lösning efter lösning

36 00:02:38,200 --> 00:02:45,200 och bara ha en stor del teknologi som blir allt mer komplex och kommer med säkerhetssäkerhetssäkerheter.

37 00:02:45,200 --> 00:02:50,200 Men att stanna och reflektera på vad din säkerhetskultur är i ditt företag.

38 00:02:50,200 --> 00:02:54,200 Hur kan du förbättra folk att köpa in säkerhet?

39 00:02:54,200 --> 00:02:55,480 Förbättra dem att förstå vad säkerhet är.

40 00:02:55,480 --> 00:02:59,480 Förbättra dem att förstå varför säkerhet är viktigt och hur de kan hjälpa.

41 00:02:59,480 --> 00:03:06,480 Och det förstået av att ha en positiv och progressiv säkerhetskultur var några av de saker vi pratade om i dag.

42 00:03:06,480 --> 00:03:17,480 Jag minns verkligen det du sa om att man inte kan tro på de mål som folk kommer att gå igenom för säkerhet.

43 00:03:17,480 --> 00:03:19,480 Om det är för komplicerat att faktiskt göra det.

44 00:03:19,480 --> 00:03:22,480 Så vad skulle du säga?

45 00:03:22,480 --> 00:03:24,480 Hur skulle du bli en enabler för säkerhet?

46 00:03:24,480 --> 00:03:28,480 En enabler för ditt företag istället för bara en blockerare?

47 00:03:28,480 --> 00:03:29,480 Absolut.

48 00:03:29,480 --> 00:03:37,480 Och jag tror att säkerhetsteamet ofta tänker på sig själva som de här herrarna som blockerar de dåliga sakerna från att hända.

49 00:03:37,480 --> 00:03:43,480 De som stoppar företaget från att komma in i en situation som är riskerad.

50 00:03:43,480 --> 00:03:45,480 Och det har ofta varit så.

51 00:03:45,480 --> 00:03:53,480 Jag tror att en mer progressiv och nödvändig sätt att titta på det är att säkerhetsteamet måste förstå att de är en stödfunktion i ett företag.

52 00:03:53,480 --> 00:03:58,480 Att de använder det företaget för att göra vad det behöver för att innovera och flytta snabbt.

53 00:03:58,480 --> 00:04:00,480 Men för att göra det säker.

54 00:04:00,480 --> 00:04:06,480 Många säkerhetsteamet har verkligen medverkat deras success genom vad de har blockerat.

55 00:04:06,480 --> 00:04:12,480 För mig är det att vända det på huvudet och ha ett företag som medverkar på vad det använder och vad det använder för att hända säkerhet.

56 00:04:12,480 --> 00:04:16,480 Det är verkligen en grundläggande förändring i en säkerhetsteam.

57 00:04:16,480 --> 00:04:22,480 Att gå från ett företag som säger nej hela tiden till ett företag som säger ja och kanske vi måste göra det här.

58 00:04:23,480 --> 00:04:27,480 Du kommer alltid ha en möjlighet att spela på ace carden av att säga nej.

59 00:04:27,480 --> 00:04:31,480 Men de nej-säkerheterna ska vara en sista resurs.

60 00:04:31,480 --> 00:04:33,480 De är en fina resurs och du kan inte använda för många av dem.

61 00:04:33,480 --> 00:04:39,480 Och om du använder för många så kommer folk att stoppa att ställa dig frågor.

62 00:04:39,480 --> 00:04:46,480 Och som du säger så kommer folk att använda en oerhörd mängd energi för att omvandla kontrollerna som du har använt.

63 00:04:46,480 --> 00:04:50,480 Om de kontrollerna inte är realistiska och stödjer företaget.

64 00:04:50,480 --> 00:04:52,480 Om de bara tittar på riskförhållanden.

65 00:04:52,480 --> 00:04:55,480 Om du inte vill förändra din riskprofilen.

66 00:04:55,480 --> 00:04:59,480 Då kommer folk att arbeta hårt för att komma runt dem.

67 00:04:59,480 --> 00:05:02,480 Och du har nödvändigtvis skapat din team att vara en oerhörd mängd energi.

68 00:05:02,480 --> 00:05:07,480 Så du hade exempel på candy som du använde.

69 00:05:07,480 --> 00:05:09,480 Kan du förklara hur det gick?

70 00:05:09,480 --> 00:05:11,480 Absolut, säkerhetscandy.

71 00:05:11,480 --> 00:05:15,480 Den billigaste säkerhetsutvecklingen som jag någonsin gjort.

72 00:05:15,480 --> 00:05:20,480 Så i talet pratade vi om skillnaden mellan säkerhetsutveckling och säkerhetsutveckling.

73 00:05:20,480 --> 00:05:23,480 Utveckling är en del som är välkänd.

74 00:05:23,480 --> 00:05:30,480 Som gör att utvecklare förstå de fel som de kan göra när de utvecklar software.

75 00:05:30,480 --> 00:05:36,480 Och förbättrar dem att göra bättre beslut i den här design- och programmeringsfasen.

76 00:05:36,480 --> 00:05:40,480 Utveckling har inget att göra med teknik och inget att göra med utbildning.

77 00:05:40,480 --> 00:05:47,480 Utvecklingen handlar mycket mer om att bygga förhållanden mellan säkerhetssäkerheten och resten av organisationen.

78 00:05:47,480 --> 00:05:48,480 Och…

79 00:05:48,480 --> 00:05:49,480 Inte…

80 00:05:49,480 --> 00:05:51,480 Inte försöka berätta hur man ska göra något.

81 00:05:51,480 --> 00:05:54,480 Men bara fokusera på de interpersonala spelarna.

82 00:05:54,480 --> 00:05:57,480 Och göra så att folk kan tro på säkerhetssäkerheten.

83 00:05:57,480 --> 00:05:59,480 Och empatisera med dem.

84 00:05:59,480 --> 00:06:04,480 Och att säkerhetssäkerheten kan empatisera med alla de andra rollen som händer i företaget.

85 00:06:04,480 --> 00:06:06,480 Och varför de är viktiga.

86 00:06:06,480 --> 00:06:08,480 Vad gör företaget faktiskt?

87 00:06:08,480 --> 00:06:10,480 Och hur kan de stödja det att hända säkerhetssäkerheten?

88 00:06:10,480 --> 00:06:13,480 Så säkerhetscandy var ett sätt att göra det här.

89 00:06:13,480 --> 00:06:19,480 Det handlar om att ha stora kålar av candy i området där säkerhetssäkerhetssäkerheten är.

90 00:06:19,480 --> 00:06:23,480 Och det insensifierar folk att komma och få candy.

91 00:06:23,480 --> 00:06:25,480 Och att inte interagera med säkerhetssäkerheten.

92 00:06:25,480 --> 00:06:27,480 Det låter väldigt tråkigt.

93 00:06:27,480 --> 00:06:33,480 Men det var ett bra sätt för oss att få folk att integrera med säkerhetssäkerheten.

94 00:06:33,480 --> 00:06:35,480 Och fråga frågor ad hoc.

95 00:06:35,480 --> 00:06:39,480 Och att bygga upp en tro på en väldigt låg kostnad.

96 00:06:39,480 --> 00:06:41,480 Men något som var roligt.

97 00:06:41,480 --> 00:06:45,480 Och som plötsligt tog fokuset bort från att försöka utbilda folk.

98 00:06:45,480 --> 00:06:48,480 Och bara samarbeta med folk på ett personligt sätt.

99 00:06:48,480 --> 00:06:52,480 Ja, så att bygga upp en tro är en viktig sak.

100 00:06:52,480 --> 00:06:55,480 Men om vi går tillbaka till enableringen.

101 00:06:55,480 --> 00:06:59,480 Kan du ge tre exempel på säkerhetssäkerhetssäkerheter som du kan använda

102 00:06:59,480 --> 00:07:04,480 istället för att ha nummerinfektioner eller patchnivåer eller något sådant?

103 00:07:04,480 --> 00:07:12,480 Vilka säkerhetssäkerhetssäkerheter ser du som är lyckliga i att engagera en positiv och enablerande spirit av säkerhetssäkerheten?

104 00:07:12,480 --> 00:07:14,480 Det är en bra fråga.

105 00:07:14,480 --> 00:07:17,480 Och säkerhetssäkerheter fungerar annorlunda för olika organisationer.

106 00:07:17,480 --> 00:07:19,480 Det är säkerhetssäkerhetssäkerheten.

107 00:07:19,480 --> 00:07:22,480 Det är säkert en organisation-specifik uppgång.

108 00:07:22,480 --> 00:07:26,480 Personligen, från säkerhetssäkerhetssäkerhetens perspektiv.

109 00:07:26,480 --> 00:07:31,480 Jag är mer en fan av kvalitativa mätningar än bara kvalitativa.

110 00:07:31,480 --> 00:07:35,480 Du nämnde nummer av infektioner eller incidenter.

111 00:07:35,480 --> 00:07:39,480 Jag tror att i många fall, det är falska metoder.

112 00:07:39,480 --> 00:07:45,480 Om nummer av infektioner eller incidenter som har blivit upptäckta har ökat.

113 00:07:45,480 --> 00:07:48,480 För säkerhetssäkerhetssäkerheten har gjort sin jobb bättre eller värre.

114 00:07:48,480 --> 00:07:51,480 Om vi har uppfattat fler saker, så är det säkert bättre.

115 00:07:51,480 --> 00:07:58,480 Om du mäter successen av din team bara på ganska falska kvalitativa metoder.

116 00:07:58,480 --> 00:08:07,480 Jag tror att det kommer att förbättra beteende som kan vara kontra till att bygga en kohesiv och solid säkerhetskultur.

117 00:08:07,480 --> 00:08:13,480 Jag tycker att mer kvalitativa metoder som jag gillar och som mäter säkerhetssäkerhetssäkerhetens success bättre.

118 00:08:13,480 --> 00:08:19,480 Det är saker som, hur många gånger har andra personer från organisationen

119 00:08:19,480 --> 00:08:22,480 proaktivt samarbetat med säkerhetssäkerheten?

120 00:08:22,480 --> 00:08:29,480 Det är en bra metod som visar hur tillgänglig denna team är från perspektivet av andra i organisationen.

121 00:08:29,480 --> 00:08:35,480 En annan, jag vet inte om jag skulle kalla det en metod, men en bra observativ metod

122 00:08:35,480 --> 00:08:40,480 är om du kör en säkerhetssäkerhetssäkerhet och tittar på dina personer, dina säkerhetssäkerhetssäkerhetsledare

123 00:08:40,480 --> 00:08:42,480 gå runt i byggnaderna i organisationen.

124 00:08:43,480 --> 00:08:45,480 Se hur många människor som samarbetar med dem.

125 00:08:45,480 --> 00:08:49,480 Använder folk dem för att de inte vill bli tagna av säkerhetssäkerheten?

126 00:08:49,480 --> 00:08:52,480 Eller ser de det som en möjlighet att fråga en fråga?

127 00:08:52,480 --> 00:08:54,480 Eller kanske bara uppmärksamma deras tillgänglighet?

128 00:08:54,480 --> 00:08:59,480 Det är en tillgänglighet. Är säkerhetssäkerheten bra integrerad i resten av företaget

129 00:08:59,480 --> 00:09:01,480 där folk vill säga hej och interagera?

130 00:09:01,480 --> 00:09:04,480 Eller tar de sina huvudar ner och försöker att förhindra ögonkontakt?

131 00:09:04,480 --> 00:09:07,480 Det är en bra kvalitativa metod där.

132 00:09:07,480 --> 00:09:12,480 En annan metod som jag tror är ofta använt fel i företag

133 00:09:12,480 --> 00:09:15,480 är att gå runt i byggnaderna.

134 00:09:15,480 --> 00:09:21,480 Byggnader och utbildning av byggnader är ofta gjorda på grund av klickfrågor.

135 00:09:21,480 --> 00:09:26,480 Man kan till exempel göra en internal byggnadskampanj

136 00:09:26,480 --> 00:09:29,480 och mäta hur många som klickade igenom och faller för fisken.

137 00:09:29,480 --> 00:09:31,480 Man får också träning.

138 00:09:31,480 --> 00:09:35,480 Ofta är det i form av powerpoint eller webbbaserad träning.

139 00:09:35,480 --> 00:09:38,480 Folk klickar igenom, du känner att du har gjort ditt jobb

140 00:09:38,480 --> 00:09:40,480 och så går du igenom en byggnadsutveckling

141 00:09:40,480 --> 00:09:42,480 och ser hur många som har klickat igenom

142 00:09:42,480 --> 00:09:44,480 och hur många som har klickat igenom.

143 00:09:44,480 --> 00:09:47,480 Traditionellt skulle en lycklig träning

144 00:09:47,480 --> 00:09:50,480 innebära att din klickfrågorörelse har miniserats.

145 00:09:50,480 --> 00:09:52,480 Den har sjunkit från den första fiskeexercisen

146 00:09:52,480 --> 00:09:54,480 till den andra fiskeexercisen.

147 00:09:54,480 --> 00:09:56,480 Hypotetiskt sett kan man säga att

148 00:09:56,480 --> 00:09:59,480 i den första exercisen hade du en klickfrågorörelse på 80%

149 00:09:59,480 --> 00:10:02,480 och i den andra exercisen gick du ner till en klickfrågorörelse på 50%.

150 00:10:02,480 --> 00:10:04,480 Så det är bra.

151 00:10:04,480 --> 00:10:06,480 Du har minskat klickfrågorörelsen på 30%

152 00:10:06,480 --> 00:10:10,480 och du känner att ditt pengar som du har betalt på utbildningen

153 00:10:10,480 --> 00:10:11,480 var bra.

154 00:10:11,480 --> 00:10:14,480 Du har minskat utbildningen på 30%.

155 00:10:14,480 --> 00:10:16,480 Jag känner till det

156 00:10:16,480 --> 00:10:18,480 om vi förändrar analogin till att vara på fjärde.

157 00:10:18,480 --> 00:10:20,480 Om jag var på 80% på fjärde

158 00:10:20,480 --> 00:10:23,480 och då minskade jag mig till att vara på 50% på fjärde

159 00:10:23,480 --> 00:10:25,480 så är jag fortfarande på fjärde.

160 00:10:25,480 --> 00:10:28,480 Det enda jag gillar att vara på fjärde är 0%.

161 00:10:28,480 --> 00:10:31,480 Om vi tittar på metoderna på den här sättet

162 00:10:31,480 --> 00:10:34,480 så är det enda vänligt för fiskeutbildningen

163 00:10:34,480 --> 00:10:37,480 att jag får alla att göra rätt varje gång.

164 00:10:37,480 --> 00:10:39,480 Att jag får min klickfrågorörelse till 0 varje gång.

165 00:10:39,480 --> 00:10:42,480 Jag tror att det är helt orealistiskt

166 00:10:42,480 --> 00:10:44,480 att ha rannat säkerhet för organisationer.

167 00:10:44,480 --> 00:10:46,480 Folk kommer in till jobbet trött,

168 00:10:46,480 --> 00:10:48,480 kanske hänga över.

169 00:10:48,480 --> 00:10:50,480 Det finns nya personer i organisationen

170 00:10:50,480 --> 00:10:53,480 som inte har gått igenom fiskeutbildningsutbildningen

171 00:10:53,480 --> 00:10:55,480 eftersom det hände innan de kom hit.

172 00:10:55,480 --> 00:10:58,480 Så om det enda vänligt för dig

173 00:10:58,480 --> 00:11:00,480 är att få klickfrågorörelsen till 0

174 00:11:00,480 --> 00:11:02,480 så kommer du aldrig att nå det.

175 00:11:02,480 --> 00:11:04,480 Men om du flyttar det runt

176 00:11:04,480 --> 00:11:06,480 och inte mäter klickfrågorörelsen

177 00:11:06,480 --> 00:11:08,480 men mäter att du verkligen mäter success

178 00:11:08,480 --> 00:11:11,480 så hur många människor när du skickar ut

179 00:11:11,480 --> 00:11:13,480 den interna fiskeutbildningen

180 00:11:13,480 --> 00:11:15,480 kontaktar säkerhetsteamet

181 00:11:15,480 --> 00:11:17,480 för att säga att det här verkar oroligt

182 00:11:17,480 --> 00:11:19,480 och att de bara lär dig veta.

183 00:11:19,480 --> 00:11:21,480 Det är en situation som jag tycker

184 00:11:21,480 --> 00:11:23,480 är mer i favorit för säkerhetsteamet.

185 00:11:23,480 --> 00:11:25,480 Det kräver bara en person

186 00:11:25,480 --> 00:11:27,480 att göra rätt, inte alla.

187 00:11:27,480 --> 00:11:29,480 I termer av spelteori

188 00:11:29,480 --> 00:11:31,480 så fungerar statistiken mycket bättre.

189 00:11:31,480 --> 00:11:33,480 Din vänlig kondition är mycket mer uppmärksammad.

190 00:11:33,480 --> 00:11:35,480 Och det är också en metod som ska mäts.

191 00:11:35,480 --> 00:11:37,480 Så om din fiskeutbildning

192 00:11:37,480 --> 00:11:40,480 är fokuserad på

193 00:11:40,480 --> 00:11:42,480 att folk gör rätt

194 00:11:42,480 --> 00:11:44,480 och om de ser något konstigt

195 00:11:44,480 --> 00:11:46,480 så skapar de det till säkerhetsteamet

196 00:11:46,480 --> 00:11:48,480 och de har ingen oro för att de blir skadade

197 00:11:48,480 --> 00:11:50,480 för att de blir skadade

198 00:11:50,480 --> 00:11:52,480 för att de skapar en oro

199 00:11:52,480 --> 00:11:54,480 när det inte var en oro

200 00:11:54,480 --> 00:11:56,480 när det var en e-mail.

201 00:11:56,480 --> 00:11:58,480 Det är en metod som är så effektiv

202 00:11:58,480 --> 00:12:00,480 i hur effektiv säkerhetsteamet är

203 00:12:00,480 --> 00:12:02,480 i den organisationen

204 00:12:02,480 --> 00:12:04,480 att den falska metoden

205 00:12:04,480 --> 00:12:06,480 av klickfrågorörelsen

206 00:12:06,480 --> 00:12:08,480 och jag tror att det är tre metoder

207 00:12:08,480 --> 00:12:10,480 som kanske förändrar den traditionella tänkningen

208 00:12:10,480 --> 00:12:12,480 lite.

209 00:12:12,480 --> 00:12:14,480 Och jag tror att de lyckas skapa effektiviteten

210 00:12:14,480 --> 00:12:16,480 av säkerhetsteamet

211 00:12:16,480 --> 00:12:18,480 i en mån som bara kvantitativa metoder

212 00:12:18,480 --> 00:12:20,480 inte lyckas göra.

213 00:12:20,480 --> 00:12:22,480 Jag gillar den andra du har.

214 00:12:22,480 --> 00:12:24,480 När du säger hur mycket de interagerar

215 00:12:24,480 --> 00:12:26,480 med folk när de går ut

216 00:12:26,480 --> 00:12:28,480 när de går ut på väggen.

217 00:12:28,480 --> 00:12:30,480 Du hör ofta att man ska

218 00:12:30,480 --> 00:12:32,480 managera med att gå runt

219 00:12:32,480 --> 00:12:34,480 att engagera med manageringen.

220 00:12:34,480 --> 00:12:36,480 Och så kan du mäta det.

221 00:12:36,480 --> 00:12:38,480 Ja, och jag tror att

222 00:12:38,480 --> 00:12:40,480 jag har skapat ett ord för detta

223 00:12:40,480 --> 00:12:42,480 en lång tid sedan och det var helt skapat

224 00:12:42,480 --> 00:12:44,480 men säkerhetsteknik.

225 00:12:44,480 --> 00:12:46,480 Att ta idén om ergonomi

226 00:12:46,480 --> 00:12:48,480 och designen av något

227 00:12:48,480 --> 00:12:50,480 för att stödja effektivt arbete

228 00:12:50,480 --> 00:12:52,480 till att vara säkerhetsteknik.

229 00:12:52,480 --> 00:12:54,480 Hur kan vi designa vårt område

230 00:12:54,480 --> 00:12:56,480 så att folk effektivt engagerar sig

231 00:12:56,480 --> 00:12:58,480 med säkerhetsteamet.

232 00:12:58,480 --> 00:13:00,480 I många organisationer ser man säkerhetsteamet

233 00:13:00,480 --> 00:13:02,480 som gillar att skydda sig från

234 00:13:02,480 --> 00:13:04,480 kanske att de har en beeplock på dörren

235 00:13:04,480 --> 00:13:06,480 och de känner att de gör

236 00:13:06,480 --> 00:13:08,480 väldigt sekret arbete som inte kan vara

237 00:13:08,480 --> 00:13:10,480 i publiken. Och verkligen, du bygger upp

238 00:13:10,480 --> 00:13:12,480 fysiska barriärer mellan säkerhetsteamet

239 00:13:12,480 --> 00:13:14,480 och resten av organisationen

240 00:13:14,480 --> 00:13:16,480 för att kunna fråga en fråga eller interagera med dem.

241 00:13:16,480 --> 00:13:18,480 I en säkerhetsteknik

242 00:13:18,480 --> 00:13:20,480 designad område

243 00:13:20,480 --> 00:13:22,480 vill du verkligen sätta dina

244 00:13:22,480 --> 00:13:24,480 säkerhetsteamet fram och i centrum.

245 00:13:24,480 --> 00:13:26,480 Du vill ha dem i kanske den busigaste områden

246 00:13:26,480 --> 00:13:28,480 eller åtminstone nära partnern

247 00:13:28,480 --> 00:13:30,480 som de arbetar med.

248 00:13:30,480 --> 00:13:32,480 Gör dem väldigt tillgängliga.

249 00:13:32,480 --> 00:13:34,480 Det finns stora dashboarder på dörren

250 00:13:34,480 --> 00:13:36,480 så att folk kan se

251 00:13:36,480 --> 00:13:38,480 vad som händer.

252 00:13:38,480 --> 00:13:40,480 Engagerandet med bilen som kommer in

253 00:13:40,480 --> 00:13:42,480 eller om det finns några

254 00:13:42,480 --> 00:13:44,480 möjligheter för

255 00:13:44,480 --> 00:13:46,480 omgående rörelser som sker.

256 00:13:46,480 --> 00:13:48,480 Dessa dashboarder

257 00:13:48,480 --> 00:13:50,480 blir ofta hållbara

258 00:13:50,480 --> 00:13:52,480 men så länge de är gjorda rätt

259 00:13:52,480 --> 00:13:54,480 så leker du inget sekret i dem.

260 00:13:54,480 --> 00:13:56,480 Du kan designa dessa dashboarder

261 00:13:56,480 --> 00:13:58,480 så att folk kan se när teamen är trött.

262 00:13:58,480 --> 00:14:00,480 Kanske fråga frågor

263 00:14:00,480 --> 00:14:02,480 och det är en annan möjlighet för utbildning.

264 00:14:02,480 --> 00:14:04,480 De ser att det händer något

265 00:14:04,480 --> 00:14:06,480 och är intresserade av det

266 00:14:06,480 --> 00:14:08,480 och de har rätt tillgång till teamen

267 00:14:08,480 --> 00:14:10,480 för att fråga frågor.

268 00:14:10,480 --> 00:14:12,480 Det är stora möjligheter för att utbilda

269 00:14:12,480 --> 00:14:14,480 och bygga tro på en ad hoc basis.

270 00:14:14,480 --> 00:14:16,480 Kanske kommer någon fram

271 00:14:16,480 --> 00:14:18,480 och ser något på skärmen.

272 00:14:18,480 --> 00:14:20,480 Att bygga ut dina arbetsområden

273 00:14:20,480 --> 00:14:22,480 för att få folk att

274 00:14:22,480 --> 00:14:24,480 samarbeta med säkerheten

275 00:14:24,480 --> 00:14:26,480 och att bygga ut en säkerhet

276 00:14:26,480 --> 00:14:28,480 som förvånar folk att samarbeta

277 00:14:28,480 --> 00:14:30,480 med resten av organisationen

278 00:14:30,480 --> 00:14:32,480 är viktig om du vill bygga upp

279 00:14:32,480 --> 00:14:34,480 en positiv säkerhetskultur.

280 00:14:34,480 --> 00:14:36,480 Det är en bra fråga

281 00:14:36,480 --> 00:14:38,480 och bra råd för alla

282 00:14:38,480 --> 00:14:40,480 säkerhetsföreningar

283 00:14:40,480 --> 00:14:42,480 att få tillgång till säkerheten

284 00:14:42,480 --> 00:14:44,480 och det kommer att ha en positiv effekt.

285 00:14:44,480 --> 00:14:46,480 Din fråga blev annorlunda.

286 00:14:46,480 --> 00:14:48,480 Du pratade om

287 00:14:48,480 --> 00:14:50,480 Zero Security Network.

288 00:14:50,480 --> 00:14:52,480 Hur skulle du beskriva det

289 00:14:52,480 --> 00:14:54,480 som en elevatörspitch?

290 00:14:54,480 --> 00:14:56,480 Jag tror att exempel som vi pratade om

291 00:14:56,480 --> 00:14:58,480 var Googles Beyond Corp-koncept.

292 00:14:58,480 --> 00:15:00,480 I en nöttspel

293 00:15:00,480 --> 00:15:02,480 var det där de

294 00:15:02,480 --> 00:15:04,480 förvandlade sin nätverk.

295 00:15:04,480 --> 00:15:06,480 I stället för att ha en VPN

296 00:15:06,480 --> 00:15:08,480 och en skyddad utsläpp

297 00:15:08,480 --> 00:15:10,480 så att när du är i mitten

298 00:15:10,480 --> 00:15:12,480 så kan du tillgång till allt.

299 00:15:12,480 --> 00:15:14,480 De förvandlade sin modell

300 00:15:14,480 --> 00:15:16,480 där de har alla sina

301 00:15:16,480 --> 00:15:18,480 interna lösningar till interneten

302 00:15:18,480 --> 00:15:20,480 och så har de väldigt

303 00:15:20,480 --> 00:15:22,480 fingränt tillgång till de lösningarna.

304 00:15:22,480 --> 00:15:24,480 Stor autentikation

305 00:15:24,480 --> 00:15:26,480 med användaren.

306 00:15:26,480 --> 00:15:28,480 Attestation om hälsa

307 00:15:28,480 --> 00:15:30,480 och fingränt tillgång till lösningar

308 00:15:30,480 --> 00:15:32,480 per applikation.

309 00:15:32,480 --> 00:15:34,480 Det var inte så att du var i eller utan VPN.

310 00:15:34,480 --> 00:15:36,480 Alla olika applikationer hade

311 00:15:36,480 --> 00:15:38,480 en specifik threat profile

312 00:15:38,480 --> 00:15:40,480 tillgång till den.

313 00:15:40,480 --> 00:15:42,480 D.ex. ditt kodsystem

314 00:15:42,480 --> 00:15:44,480 hade ett mer stringent sätt

315 00:15:44,480 --> 00:15:46,480 av behov än ditt

316 00:15:46,480 --> 00:15:48,480 kaffetärmeny.

317 00:15:48,480 --> 00:15:50,480 Att uppmärksamma många av

318 00:15:50,480 --> 00:15:52,480 software as a service och

319 00:15:52,480 --> 00:15:54,480 cloud first teknologi

320 00:15:54,480 --> 00:15:56,480 progressioner som har skett

321 00:15:56,480 --> 00:15:58,480 under de senaste åren

322 00:15:58,480 --> 00:16:00,480 och i stället för att

323 00:16:00,480 --> 00:16:02,480 kämpa mot det från en säkerhetsperspektiv

324 00:16:02,480 --> 00:16:04,480 att uppmärksamma det och förändra

325 00:16:04,480 --> 00:16:06,480 deras säkerhetsmodell till en

326 00:16:06,480 --> 00:16:08,480 som folk vill jobba med och

327 00:16:08,480 --> 00:16:10,480 som de gillar att använda.

328 00:16:10,480 --> 00:16:12,480 Folk gillar BYOD-konceptet

329 00:16:12,480 --> 00:16:14,480 att använda deras Ipad för att

330 00:16:14,480 --> 00:16:16,480 tillgång till företagets resurser

331 00:16:16,480 --> 00:16:18,480 även om det inte var ett

332 00:16:18,480 --> 00:16:20,480 förvandlat verktyg.

333 00:16:20,480 --> 00:16:22,480 Googles BeyondCorp-koncept

334 00:16:22,480 --> 00:16:24,480 kan förbättra det så att du

335 00:16:24,480 --> 00:16:26,480 inte försöker kämpa mot

336 00:16:26,480 --> 00:16:28,480 teknisk förändring.

337 00:16:28,480 --> 00:16:30,480 Du utvecklar din säkerhetsmodell

338 00:16:30,480 --> 00:16:32,480 för att ta hand om den nya normaliteten.

339 00:16:32,480 --> 00:16:34,480 Många gånger hittar säkerhetsteamer

340 00:16:34,480 --> 00:16:36,480 sig kring teknisk förändring

341 00:16:36,480 --> 00:16:38,480 och i många fall

342 00:16:38,480 --> 00:16:40,480 ska de stanna och reflektera

343 00:16:40,480 --> 00:16:42,480 på vad den tekniska förändringen är

344 00:16:42,480 --> 00:16:44,480 och se hur det kan användas för deras fördel.

345 00:16:44,480 --> 00:16:46,480 Googles BeyondCorp-koncept

346 00:16:46,480 --> 00:16:48,480 är ett fantastiskt exempel på

347 00:16:48,480 --> 00:16:50,480 det som händer på skala.

348 00:16:50,480 --> 00:16:52,480 Med en väldigt stor organisation

349 00:16:52,480 --> 00:16:54,480 som har satt sitt pengar där sin mun är

350 00:16:54,480 --> 00:16:56,480 en väldigt vanlig uttryck för

351 00:16:56,480 --> 00:16:58,480 Google, men vem annars kan göra det?

352 00:16:58,480 --> 00:17:00,480 Jag hade förstås

353 00:17:00,480 --> 00:17:02,480 fördelat med det.

354 00:17:02,480 --> 00:17:04,480 De har hundratals säkerhetsingenjörer

355 00:17:04,480 --> 00:17:06,480 och de bästa i världen som arbetar

356 00:17:06,480 --> 00:17:08,480 på deras problem.

357 00:17:08,480 --> 00:17:10,480 Det var därför att Duo Labs,

358 00:17:10,480 --> 00:17:12,480 som är en del av vårt företag,

359 00:17:12,480 --> 00:17:14,480 vi trodde i deras koncept

360 00:17:14,480 --> 00:17:16,480 och vi ville

361 00:17:16,480 --> 00:17:18,480 att det var tillgängligt för så många människor

362 00:17:18,480 --> 00:17:20,480 även om man inte hade hundratals

363 00:17:20,480 --> 00:17:22,480 säkerhetsingenjörer. Det var

364 00:17:22,480 --> 00:17:24,480 nublarna på var Duo Beyond

365 00:17:24,480 --> 00:17:26,480 kom ifrån.

366 00:17:26,480 --> 00:17:28,480 Vi började som en labprototyp

367 00:17:28,480 --> 00:17:30,480 och tänkte att vi kan bygga

368 00:17:30,480 --> 00:17:32,480 det här som Google har gjort.

369 00:17:32,480 --> 00:17:34,480 Vi har byggt det för vår egen

370 00:17:34,480 --> 00:17:36,480 internal användning. Vi trodde i det

371 00:17:36,480 --> 00:17:38,480 och ville få Duo som företag

372 00:17:38,480 --> 00:17:40,480 att ta bort vår VPN

373 00:17:40,480 --> 00:17:42,480 och upprätthålla den nya nätverksparadigmen.

374 00:17:42,480 --> 00:17:44,480 Så vi byggde det ut

375 00:17:44,480 --> 00:17:46,480 eftersom vi är labs och vi kan göra det

376 00:17:46,480 --> 00:17:48,480 vilket är fint.

377 00:17:48,480 --> 00:17:50,480 Det blev en del

378 00:17:50,480 --> 00:17:52,480 av ett nytt produkt för Duo.

379 00:17:52,480 --> 00:17:54,480 Nu kan vi låta andra människor

380 00:17:54,480 --> 00:17:56,480 som inte har hundratals säkerhetsingenjörer

381 00:17:56,480 --> 00:17:58,480 använda Beyond Corp.

382 00:17:58,480 --> 00:18:00,480 Det är väldigt progressivt

383 00:18:00,480 --> 00:18:02,480 och vi är på väg till

384 00:18:02,480 --> 00:18:04,480 att uppmärksamma ny teknologi

385 00:18:04,480 --> 00:18:06,480 på ett säkert sätt.

386 00:18:06,480 --> 00:18:08,480 Duo Beyond får oss att göra det

387 00:18:08,480 --> 00:18:10,480 på ett utavsäkrat sätt.

388 00:18:10,480 --> 00:18:12,480 Vi är glada över att ha en labprototyp

389 00:18:12,480 --> 00:18:14,480 som vi kan använda för vår internal användning.

390 00:18:14,480 --> 00:18:16,480 Sen kan vi

391 00:18:16,480 --> 00:18:18,480 göra det tillgängligt för andra människor.

392 00:18:18,480 --> 00:18:20,480 Så ni har faktiskt

393 00:18:20,480 --> 00:18:22,480 utbyggt det för hela företaget

394 00:18:22,480 --> 00:18:24,480 eller är det bara för laboratoriet?

395 00:18:24,480 --> 00:18:26,480 Nej, hela företaget.

396 00:18:26,480 --> 00:18:28,480 Vi kallar det dogfooding.

397 00:18:28,480 --> 00:18:30,480 Vi använder vår egen teknologi

398 00:18:30,480 --> 00:18:32,480 innan vi löser det ut.

399 00:18:32,480 --> 00:18:34,480 Det ger oss möjlighet

400 00:18:34,480 --> 00:18:36,480 att hitta de områden

401 00:18:36,480 --> 00:18:38,480 där vi behöver förbättringar.

402 00:18:38,480 --> 00:18:40,480 Och så mycket som jag vill säga

403 00:18:40,480 --> 00:18:42,480 annorlunda.

404 00:18:42,480 --> 00:18:44,480 Många saker som kommer från laboratorier

405 00:18:44,480 --> 00:18:46,480 är väldigt experimenterande.

406 00:18:46,480 --> 00:18:48,480 Vi kan jobba med andra

407 00:18:48,480 --> 00:18:50,480 ingenjörer i företaget

408 00:18:50,480 --> 00:18:52,480 som kan hjälpa oss.

409 00:18:52,480 --> 00:18:54,480 Vi kan prova att den korta teknologin fungerar

410 00:18:54,480 --> 00:18:56,480 men vi behöver hjälp från andra experter

411 00:18:56,480 --> 00:18:58,480 i företaget,

412 00:18:58,480 --> 00:19:00,480 ingenjörer,

413 00:19:00,480 --> 00:19:02,480 design och user interaction.

414 00:19:02,480 --> 00:19:04,480 Och de kan hjälpa oss att få

415 00:19:04,480 --> 00:19:06,480 en labprototyp till en plats som är

416 00:19:06,480 --> 00:19:08,480 bra att använda för resten av företaget.

417 00:19:08,480 --> 00:19:10,480 Och sen när vi har gått igenom det

418 00:19:10,480 --> 00:19:12,480 kan vi göra en idé om

419 00:19:12,480 --> 00:19:14,480 om det här är något som andra människor

420 00:19:14,480 --> 00:19:16,480 utanför företaget skulle vilja använda

421 00:19:16,480 --> 00:19:18,480 eller om det bara är något som är

422 00:19:18,480 --> 00:19:20,480 tillgängligt för vår internal användning

423 00:19:20,480 --> 00:19:22,480 och vi har löst vår egen problem

424 00:19:22,480 --> 00:19:24,480 men kanske ingen annan har det.

425 00:19:24,480 --> 00:19:26,480 Jag skulle säga att det är rart att vi

426 00:19:26,480 --> 00:19:28,480 är en liten företag

427 00:19:28,480 --> 00:19:30,480 och vi har många andra problem som

428 00:19:30,480 --> 00:19:32,480 liten företag har.

429 00:19:32,480 --> 00:19:34,480 Vi är i en bra position att vi har en

430 00:19:34,480 --> 00:19:36,480 forskningsgrupp så jag kan

431 00:19:36,480 --> 00:19:38,480 tänka på att lösa de här problemen

432 00:19:38,480 --> 00:19:40,480 och jag säger inte att allt vi gör

433 00:19:40,480 --> 00:19:42,480 är en resounderande success

434 00:19:42,480 --> 00:19:44,480 och en ny produkt.

435 00:19:44,480 --> 00:19:46,480 Vi försöker säkert saker som inte fungerar

436 00:19:46,480 --> 00:19:48,480 men det är därför det handlar om forskning.

437 00:19:48,480 --> 00:19:50,480 Jag ser inte det som förlossningar

438 00:19:50,480 --> 00:19:52,480 utan det är en del av vår

439 00:19:52,480 --> 00:19:54,480 läromöjlighet.

440 00:19:54,480 --> 00:19:56,480 Och vissa saker fungerar bra

441 00:19:56,480 --> 00:19:58,480 men det är en del av vår

442 00:19:58,480 --> 00:20:00,480 läromöjlighet som vi nu kan

443 00:20:00,480 --> 00:20:02,480 erbjuda kunderna och

444 00:20:02,480 --> 00:20:04,480 låta dem köpa in i Googles vision

445 00:20:04,480 --> 00:20:06,480 på ett sätt som är högt tillgängligt

446 00:20:06,480 --> 00:20:08,480 där de inte behöver en forskningsteam

447 00:20:08,480 --> 00:20:10,480 eller hundratals ingenjörer.

448 00:20:10,480 --> 00:20:12,480 Vad säger du om du är en företag

449 00:20:12,480 --> 00:20:14,480 som står framför detta problem

450 00:20:14,480 --> 00:20:16,480 och vi behöver förbättra

451 00:20:16,480 --> 00:20:18,480 den här nya vägen att tänka

452 00:20:18,480 --> 00:20:20,480 kanske vi borde försöka

453 00:20:20,480 --> 00:20:22,480 förändra oss.

454 00:20:22,480 --> 00:20:24,480 Vad är nästa steg

455 00:20:24,480 --> 00:20:26,480 för att lösa vägen

456 00:20:26,480 --> 00:20:28,480 för att komma där så att säga?

457 00:20:28,480 --> 00:20:30,480 Var börjar du?

458 00:20:30,480 --> 00:20:32,480 Det är en bra fråga och jag skulle

459 00:20:32,480 --> 00:20:34,480 kanske ta ett steg tillbaka från någon

460 00:20:34,480 --> 00:20:36,480 teknologi utanför korporation eller något annat

461 00:20:36,480 --> 00:20:38,480 och förstå vad

462 00:20:38,480 --> 00:20:40,480 organisationen

463 00:20:40,480 --> 00:20:42,480 vill göra.

464 00:20:42,480 --> 00:20:44,480 Vilka teknologier ser den för att

465 00:20:44,480 --> 00:20:46,480 vara instrumentell för företaget

466 00:20:46,480 --> 00:20:48,480 oavsett om det är

467 00:20:48,480 --> 00:20:50,480 innovation eller agilitet

468 00:20:50,480 --> 00:20:52,480 eller förbättra en ny område

469 00:20:52,480 --> 00:20:54,480 i marknaden. De flesta företag är där

470 00:20:54,480 --> 00:20:56,480 för att göra förbättringar.

471 00:20:56,480 --> 00:20:58,480 Det är det de är där för att göra.

472 00:20:58,480 --> 00:21:00,480 Du vill inte ha säkerhet

473 00:21:00,480 --> 00:21:02,480 att komma i vägen för det.

474 00:21:02,480 --> 00:21:04,480 Du vill ha säkerhet att vara där

475 00:21:04,480 --> 00:21:06,480 för att få dem att göra förbättringar säkert.

476 00:21:06,480 --> 00:21:08,480 Så istället för att

477 00:21:08,480 --> 00:21:10,480 hålla på med någon teknologi

478 00:21:10,480 --> 00:21:12,480 så skulle jag säga

479 00:21:12,480 --> 00:21:14,480 att en bra sak att göra

480 00:21:14,480 --> 00:21:16,480 är att pausa och reflektera.

481 00:21:16,480 --> 00:21:18,480 Vilka teknologier är det

482 00:21:18,480 --> 00:21:20,480 som du använder men som inte är

483 00:21:20,480 --> 00:21:22,480 sanktionerade?

484 00:21:22,480 --> 00:21:24,480 Att de händer organiskt?

485 00:21:24,480 --> 00:21:26,480 Att de har blivit förbättrade?

486 00:21:26,480 --> 00:21:28,480 Varför vill folk använda dem?

487 00:21:28,480 --> 00:21:30,480 Vilka är fördelarna med att använda

488 00:21:30,480 --> 00:21:32,480 de teknologier som folk vill investera i?

489 00:21:32,480 --> 00:21:34,480 Om du får en

490 00:21:34,480 --> 00:21:36,480 ärlig syn på vad företaget

491 00:21:36,480 --> 00:21:38,480 egentligen försöker göra och

492 00:21:38,480 --> 00:21:40,480 varför, så kan du börja

493 00:21:40,480 --> 00:21:42,480 titta på om den

494 00:21:42,480 --> 00:21:44,480 traditionella säkerhetsmodellen

495 00:21:44,480 --> 00:21:46,480 servicerar så bra eller

496 00:21:46,480 --> 00:21:48,480 är den på väg?

497 00:21:48,480 --> 00:21:50,480 När du förstår vad du

498 00:21:50,480 --> 00:21:52,480 försöker göra och varför

499 00:21:52,480 --> 00:21:54,480 kan du förstå

500 00:21:54,480 --> 00:21:56,480 hur du ska

501 00:21:56,480 --> 00:21:58,480 förbättra det?

502 00:21:58,480 --> 00:22:00,480 Hur ska du förbättra det?

503 00:22:00,480 --> 00:22:02,480 Hur ska du göra det säkert?

504 00:22:02,480 --> 00:22:04,480 Jag skulle ställa mig tillbaka och förstå

505 00:22:04,480 --> 00:22:06,480 vad företaget försöker göra

506 00:22:06,480 --> 00:22:08,480 och sen fråga hur vi kan

507 00:22:08,480 --> 00:22:10,480 förbättra det säkert.

508 00:22:10,480 --> 00:22:12,480 När du har en bra idé om det

509 00:22:12,480 --> 00:22:14,480 kan du börja välja teknologier och

510 00:22:14,480 --> 00:22:16,480 uppgifter som är stödande för det.

511 00:22:16,480 --> 00:22:18,480 Om du försöker inverta det

512 00:22:18,480 --> 00:22:20,480 och väljer dina teknologier innan

513 00:22:20,480 --> 00:22:22,480 du förstår problemet du ska lösa

514 00:22:22,480 --> 00:22:24,480 så har du en bra chans att

515 00:22:24,480 --> 00:22:26,480 välja fel teknologier och

516 00:22:26,480 --> 00:22:28,480 förbättra problem som du inte har.

517 00:22:28,480 --> 00:22:30,480 Pausera och reflektera är

518 00:22:30,480 --> 00:22:32,480 ofta en bra plats att börja

519 00:22:32,480 --> 00:22:34,480 om du vill ha någon form av

520 00:22:34,480 --> 00:22:36,480 grundläggande förändring i någon organisation

521 00:22:36,480 --> 00:22:38,480 säkerhetsvis, tekniskvis eller

522 00:22:38,480 --> 00:22:40,480 någon annan.

523 00:22:40,480 --> 00:22:42,480 Hur skulle du tänka på

524 00:22:42,480 --> 00:22:44,480 shadow IT som

525 00:22:44,480 --> 00:22:46,480 grundläggande för vad folk

526 00:22:46,480 --> 00:22:48,480 verkligen vill göra?

527 00:22:48,480 --> 00:22:50,480 Hur skulle du få information om

528 00:22:50,480 --> 00:22:52,480 vad folk verkligen använder?

529 00:22:52,480 --> 00:22:54,480 Om det är en säkerhetsteam

530 00:22:54,480 --> 00:22:56,480 så vill de inte dela det med dig, eller hur?

531 00:22:56,480 --> 00:22:58,480 Exakt, och jag tror att shadow IT

532 00:22:58,480 --> 00:23:00,480 är ett bra exempel på

533 00:23:00,480 --> 00:23:02,480 att en företag ska göra

534 00:23:02,480 --> 00:23:04,480 vad den vill göra och i många fall

535 00:23:04,480 --> 00:23:06,480 vad den behöver göra oavsett

536 00:23:06,480 --> 00:23:08,480 vilken politik som finns.

537 00:23:08,480 --> 00:23:10,480 Så om du är i en situation där

538 00:23:10,480 --> 00:23:12,480 din organisation har ett stort

539 00:23:12,480 --> 00:23:14,480 problem med shadow IT

540 00:23:14,480 --> 00:23:16,480 och det kan vara en kvalitativ förändring

541 00:23:16,480 --> 00:23:18,480 du vet vad problemet är, du vet inte

542 00:23:18,480 --> 00:23:20,480 var alla delar är men du vet att

543 00:23:20,480 --> 00:23:22,480 olika organisationer eller olika delar

544 00:23:22,480 --> 00:23:24,480 gör det på deras egen sätt.

545 00:23:24,480 --> 00:23:26,480 Jag skulle säga att det är mer

546 00:23:26,480 --> 00:23:28,480 en kulturell fråga

547 00:23:28,480 --> 00:23:30,480 från teknisk kultur eller säkerhetskultur

548 00:23:30,480 --> 00:23:32,480 att din organisation

549 00:23:32,480 --> 00:23:34,480 vill göra

550 00:23:34,480 --> 00:23:36,480 den bästa användningen av teknik

551 00:23:36,480 --> 00:23:38,480 som möjligt för att få dem att göra

552 00:23:38,480 --> 00:23:40,480 vad som helst för deras företag.

553 00:23:40,480 --> 00:23:42,480 Om du försöker förhindra det och

554 00:23:42,480 --> 00:23:44,480 för att få dem att göra det på sliden

555 00:23:44,480 --> 00:23:46,480 så kommer folk att förbättra

556 00:23:46,480 --> 00:23:48,480 en stor mängd arbete för att förhålla

557 00:23:48,480 --> 00:23:50,480 något som förhåller dem.

558 00:23:50,480 --> 00:23:52,480 Så om du har ett problem med shadow IT

559 00:23:52,480 --> 00:23:54,480 och inte en shadow IT-problem

560 00:23:54,480 --> 00:23:56,480 så är det mer av en fundamental

561 00:23:56,480 --> 00:23:58,480 organisatorisk fråga.

562 00:23:58,480 --> 00:24:00,480 Det kan vara kulturellt eller processledande

563 00:24:00,480 --> 00:24:02,480 det finns många skäl som kan vara där

564 00:24:02,480 --> 00:24:04,480 men om shadow IT är en sak

565 00:24:04,480 --> 00:24:06,480 så är det ett symtom, inte en problem

566 00:24:06,480 --> 00:24:08,480 i och för sig.

567 00:24:08,480 --> 00:24:10,480 Så förstå den kärlek

568 00:24:10,480 --> 00:24:12,480 och teknisk behov

569 00:24:12,480 --> 00:24:14,480 från din organisation

570 00:24:14,480 --> 00:24:16,480 att de har gått så långt

571 00:24:16,480 --> 00:24:18,480 för att bygga en alternativ infrastruktur

572 00:24:18,480 --> 00:24:20,480 det är inte lätt att göra.

573 00:24:20,480 --> 00:24:22,480 Så om folk gör det

574 00:24:22,480 --> 00:24:24,480 och säger att det finns problem

575 00:24:24,480 --> 00:24:26,480 så försök förstå

576 00:24:26,480 --> 00:24:28,480 vilka driver som skapar dem

577 00:24:28,480 --> 00:24:30,480 att gå bort från radaren

578 00:24:30,480 --> 00:24:32,480 och du kommer att bli mycket mer

579 00:24:32,480 --> 00:24:34,480 tillgänglig med folk

580 00:24:34,480 --> 00:24:36,480 och få deras tydlighet

581 00:24:36,480 --> 00:24:38,480 om de tror att du inte är den som

582 00:24:38,480 --> 00:24:40,480 säger nej till allt.

583 00:24:40,480 --> 00:24:42,480 Din roll i företaget

584 00:24:42,480 --> 00:24:44,480 är att förhålla

585 00:24:44,480 --> 00:24:46,480 vad de vill göra säkert

586 00:24:46,480 --> 00:24:48,480 istället för att

587 00:24:48,480 --> 00:24:50,480 förhålla dem från att göra

588 00:24:50,480 --> 00:24:52,480 vad de behöver göra.

589 00:24:52,480 --> 00:24:54,480 Förhållandet som sekuriteteamet

590 00:24:54,480 --> 00:24:56,480 tar på sig är att

591 00:24:56,480 --> 00:24:58,480 det är teamet som säger nej till allt

592 00:24:58,480 --> 00:25:00,480 och vill att inget ska förändras

593 00:25:00,480 --> 00:25:02,480 eftersom riskprofilen inte förändras

594 00:25:02,480 --> 00:25:04,480 och om riskprofilen inte förändras

595 00:25:04,480 --> 00:25:06,480 så kan de inte vara hållbara

596 00:25:06,480 --> 00:25:08,480 om något sker fel.

597 00:25:08,480 --> 00:25:10,480 Faktum är att det inte är så

598 00:25:10,480 --> 00:25:12,480 hur organisationer fungerar.

599 00:25:12,480 --> 00:25:14,480 De förändrar hela tiden

600 00:25:14,480 --> 00:25:16,480 och på en snabb plats

601 00:25:16,480 --> 00:25:18,480 och det kommer att fortsätta.

602 00:25:18,480 --> 00:25:20,480 Den velociteten förändras.

603 00:25:20,480 --> 00:25:22,480 Det är en non-profit organisation.

604 00:25:22,480 --> 00:25:24,480 Om det inte förändras

605 00:25:24,480 --> 00:25:26,480 så kommer organisationen inte

606 00:25:26,480 --> 00:25:28,480 att vara här längre

607 00:25:28,480 --> 00:25:30,480 för det kommer att finnas människor

608 00:25:30,480 --> 00:25:32,480 som är mer agila och som

609 00:25:32,480 --> 00:25:34,480 kan ta fram de här nya sakerna

610 00:25:34,480 --> 00:25:36,480 på ett sätt som man inte kan

611 00:25:36,480 --> 00:25:38,480 och om din sekuriteteam

612 00:25:38,480 --> 00:25:40,480 håller på att förändra det

613 00:25:40,480 --> 00:25:42,480 så kommer det att hända

614 00:25:42,480 --> 00:25:44,480 och företaget kommer inte

615 00:25:44,480 --> 00:25:46,480 att låta sig förlora.

616 00:25:46,480 --> 00:25:48,480 Särskilt inte för att sekuriteteamet

617 00:25:48,480 --> 00:25:50,480 säger att vi ska ut av företaget.

618 00:25:50,480 --> 00:25:52,480 Vi ska förändra kontrollerna

619 00:25:52,480 --> 00:25:54,480 som försöker stå i plats.

620 00:25:54,480 --> 00:25:56,480 Och sen kommer du till ett ställe

621 00:25:56,480 --> 00:25:58,480 där du har en falsk

622 00:25:58,480 --> 00:26:00,480 känsla av säkerhet

623 00:26:00,480 --> 00:26:02,480 för det som sekuriteteamet tror

624 00:26:02,480 --> 00:26:04,480 att organisationen ser ut

625 00:26:04,480 --> 00:26:06,480 är högt avgörande

626 00:26:06,480 --> 00:26:08,480 från det som organisationen ser ut.

627 00:26:08,480 --> 00:26:10,480 Så i så fall kommer de att

628 00:26:10,480 --> 00:26:12,480 förhandla det helt fel

629 00:26:12,480 --> 00:26:14,480 och låta saker hända

630 00:26:14,480 --> 00:26:16,480 eftersom de inte ens vet om det.

631 00:26:16,480 --> 00:26:18,480 Så om du kan bygga en kultur

632 00:26:18,480 --> 00:26:20,480 där folk vill engagera sig med sekuriteteamet

633 00:26:20,480 --> 00:26:22,480 så kan du förändra dem.

634 00:26:22,480 --> 00:26:24,480 Teknologin som de använder

635 00:26:24,480 --> 00:26:26,480 för att det är hjälpfullt för dem

636 00:26:26,480 --> 00:26:28,480 för att det förbättrar företaget

637 00:26:28,480 --> 00:26:30,480 och de vet att sekuriteteamet

638 00:26:30,480 --> 00:26:32,480 kommer att arbeta med dem

639 00:26:32,480 --> 00:26:34,480 för att använda teknologin säkert

640 00:26:34,480 --> 00:26:36,480 så finns det väldigt få företag

641 00:26:36,480 --> 00:26:38,480 som vill operera säkert.

642 00:26:38,480 --> 00:26:40,480 De opererar säkert

643 00:26:40,480 --> 00:26:42,480 när de inte har andra möjligheter.

644 00:26:42,480 --> 00:26:44,480 Om de har bra partner i sekuriteteamet

645 00:26:44,480 --> 00:26:46,480 som de vet är där för att stödja dem

646 00:26:46,480 --> 00:26:48,480 och hjälpa dem att göra

647 00:26:48,480 --> 00:26:50,480 den bästa och säkraste användningen

648 00:26:50,480 --> 00:26:52,480 så kommer du att få en situation

649 00:26:52,480 --> 00:26:54,480 där du har en sekuriteteam

650 00:26:54,480 --> 00:26:56,480 som har en realistisk syn på

651 00:26:56,480 --> 00:26:58,480 teknologilandskapet av företaget

652 00:26:58,480 --> 00:27:00,480 och därför utmaningarna som kommer

653 00:27:00,480 --> 00:27:02,480 tillsammans med den teknologilandskapen

654 00:27:02,480 --> 00:27:04,480 och som kan prioritera de områden

655 00:27:04,480 --> 00:27:06,480 som de vill säkerställa.

656 00:27:06,480 --> 00:27:08,480 Om de har en helt falsk syn på företaget

657 00:27:08,480 --> 00:27:10,480 så kommer de inte att kunna göra

658 00:27:10,480 --> 00:27:12,480 en bra liste av var de ska

659 00:27:12,480 --> 00:27:14,480 göra sina säkerhetsinvesteringar

660 00:27:14,480 --> 00:27:16,480 och det innebär att de ska

661 00:27:16,480 --> 00:27:18,480 göra dem på rätt plats.

662 00:27:18,480 --> 00:27:20,480 Det finns många företag som

663 00:27:20,480 --> 00:27:22,480 kräver varje dag för att

664 00:27:22,480 --> 00:27:24,480 lösa den här ekvationen.

665 00:27:24,480 --> 00:27:26,480 Att vara en organisation

666 00:27:26,480 --> 00:27:28,480 som inte blockerar företaget.

667 00:27:28,480 --> 00:27:30,480 Tack så mycket Rich.

668 00:27:30,480 --> 00:27:32,480 Jag vill ge dig en chans

669 00:27:32,480 --> 00:27:34,480 för din nya bok som jag såg

670 00:27:34,480 --> 00:27:36,480 att du har skrivit.

671 00:27:36,480 --> 00:27:38,480 Ja, jag har just lyssnat på en bok

672 00:27:38,480 --> 00:27:40,480 som jag har co-autorerat med

673 00:27:40,480 --> 00:27:42,480 Laura Bell, Michael Brunton Spall

674 00:27:42,480 --> 00:27:44,480 och Jim Byrd.

675 00:27:44,480 --> 00:27:46,480 Boken heter Agile Security

676 00:27:46,480 --> 00:27:48,480 eller Agile Application Security.

677 00:27:48,480 --> 00:27:50,480 Publiserad med O’Reilly.

678 00:27:50,480 --> 00:27:52,480 Avgörande från

679 00:27:52,480 --> 00:27:54,480 alla platser där man

680 00:27:54,480 --> 00:27:56,480 brukar köpa en bok eller online.

681 00:27:56,480 --> 00:27:58,480 Många av tematen i boken

682 00:27:58,480 --> 00:28:00,480 handlar om att vara mer agil

683 00:28:00,480 --> 00:28:02,480 när det gäller säkerheten

684 00:28:02,480 --> 00:28:04,480 och hjälpa människor som är

685 00:28:04,480 --> 00:28:06,480 praktiserare eller utvecklare

686 00:28:06,480 --> 00:28:08,480 att förstå vad det är

687 00:28:08,480 --> 00:28:10,480 säkerhetsbolaget försöker göra.

688 00:28:10,480 --> 00:28:12,480 Att försöka slå ner

689 00:28:12,480 --> 00:28:14,480 de siloer mellan

690 00:28:14,480 --> 00:28:16,480 agila utvecklare, devops och säkerhetsbolag

691 00:28:16,480 --> 00:28:18,480 som ofta kan operera

692 00:28:18,480 --> 00:28:20,480 samtidigt från varandra

693 00:28:20,480 --> 00:28:22,480 och försöka hjälpa de grupperna

694 00:28:22,480 --> 00:28:24,480 att förstå bättre om den andra.

695 00:28:24,480 --> 00:28:26,480 Vi öppnar många av

696 00:28:26,480 --> 00:28:28,480 de tematen vi pratade om idag.

697 00:28:28,480 --> 00:28:30,480 Det finns en hel del om säkerhetskultur

698 00:28:30,480 --> 00:28:32,480 det finns delar

699 00:28:32,480 --> 00:28:34,480 specifikt om att bygga säkerhet

700 00:28:34,480 --> 00:28:36,480 in i en Agile Development Pipeline.

701 00:28:36,480 --> 00:28:38,480 Mellan mig och de andra tre co-autorerna

702 00:28:38,480 --> 00:28:40,480 är många av det som finns i boken

703 00:28:40,480 --> 00:28:42,480 anekdotiska saker som vi har

704 00:28:42,480 --> 00:28:44,480 försökt med i organisationer

705 00:28:44,480 --> 00:28:46,480 som vi har jobbat med.

706 00:28:46,480 --> 00:28:48,480 Många av dem är saker

707 00:28:48,480 --> 00:28:50,480 som vi har försökt med

708 00:28:50,480 --> 00:28:52,480 så vi skapar saker som vi vet

709 00:28:52,480 --> 00:28:54,480 har fungerat bra för olika företag

710 00:28:54,480 --> 00:28:56,480 och organisationer som vi har jobbat med

711 00:28:56,480 --> 00:28:58,480 med hopp att det blir tillgängligt

712 00:28:58,480 --> 00:29:00,480 för de som läser boken.

713 00:29:00,480 --> 00:29:02,480 Om det här är ett område som

714 00:29:02,480 --> 00:29:04,480 du känner är svårt

715 00:29:04,480 --> 00:29:06,480 och att du

716 00:29:06,480 --> 00:29:08,480 har svårt med samma problem

717 00:29:08,480 --> 00:29:10,480 så kanske det här

718 00:29:10,480 --> 00:29:12,480 är ett område som

719 00:29:12,480 --> 00:29:14,480 du kan tänka på och

720 00:29:14,480 --> 00:29:16,480 lära dig.

721 00:29:16,480 --> 00:29:18,480 Så namnet av boken är

722 00:29:18,480 --> 00:29:20,480 Agile Application Security

723 00:29:20,480 --> 00:29:22,480 På namn av säkerhetspodkarten

724 00:29:22,480 --> 00:29:24,480 och lyssnarna

725 00:29:24,480 --> 00:29:26,480 tack för att du har delat med dig

726 00:29:26,480 --> 00:29:28,480 och jag hoppas du har en bra dag

727 00:29:28,480 --> 00:29:30,480 att fortsätta med.

Updated on 2018-09-26
 guestRobin von PostRich Smith
Back | Home