William Hill CISO membahas cara beroperasi dengan kuat untuk menghindari perjudian dengan keamanan siber

<p>William Hill CISO membahas cara beroperasi dengan kuat untuk menghindari perjudian dengan keamanan siber

Mengambil risiko dengan keamanan tidak perlu dipertanyakan lagi jika menyangkut perlindungan operasi, terutama untuk bandar taruhan terkenal, William Hill. Killian Faughnan, Grup CISO di William Hill, memberi tahu kami tentang perannya di perusahaan dan beberapa faktor pendorong di balik ambisinya untuk terus memperkuat postur keamanan sibernya.

Seperti apa peran Anda sehari-hari? )

Ini cukup bervariasi. Seperti kebanyakan CISO, banyak waktu saya dihabiskan untuk mencoba memungkinkan tim saya mencapai tujuan kami. Ini berarti banyak waktu yang dihabiskan untuk memanfaatkan tender ability, mengoordinasikan aktivitas, dan menjaga agar InfoSec berputar dengan lancar.

Seperti kebanyakan peran mature, banyak pekerjaannya adalah membangun hubungan dan jaringan di seluruh bisnis dan membuka jalan bagi tim saya untuk dapat melakukan apa yang mereka butuhkan seefektif dan seefisien mungkin. Ada juga banyak waktu yang dihabiskan untuk mempertimbangkan cara kami bekerja sebagai tim dan sebagai organisasi, bagaimana kami dapat memberikan layanan yang lebih baik, dan apakah kami berfokus pada place lebih tepat. Seiring berjalannya waktu, prioritas Anda harus terus berjalan sehingga penting untuk berhenti secara teratur dan meninjau posisi Anda saat ini.

Apa yang mendorong minat Anda dalam berkarir di bidang keamanan siber?

Saya selalu tertarik untuk mencari tahu cara membuat komputer melakukan hal-hal yang tidak seharusnya mereka lakukan dan untuk melihat apa yang terjadi, jadi keamanan sangat cocok untuk saya. Saya mulai dalam keamanan sebagai penguji pena, yang merupakan pekerjaan yang sulit untuk tidak dinikmati. Dari sana, banyak waktu yang dihabiskan untuk mencari tahu bagaimana mengidentifikasi dan mengeksploitasi masalah sebelum mengalihkan tangan saya ke sisi pertahanan. Menurut saya yang membuat saya tetap berkarier di cybersecurity adalah variasi. Untuk setiap teknologi yang kami bangun, Anda membutuhkan keamanan. Tidak ada jalan keluar darinya.

Bagaimana Anda menggambarkan lanskap ancaman dunia maya?

Terus berkembang. Saya rasa ketika berbicara tentang lanskap ancaman, penting untuk dipertimbangkan bahwa meskipun beberapa ancaman bersifat worldwide, dampaknya akan berbeda dari bisnis ke bisnis.

Secara umum, lanskap ancaman dunia maya masih mengikuti pola yang sama seperti tahun-tahun belakangan ini; sistem yang belum ditambal atau salah konfigurasi, risiko rantai pasokan, ransomware, ancaman orang dalam, dll. Secara pribadi, saya selalu berpandangan bahwa tantangan terbesar yang kita hadapi adalah masalah yang lebih biasa. Sistem pemberian makan, penyiraman, dan pemeliharaan pada tingkat kualitas dan ketahanan yang memadai adalah di antara aktivitas-aktivitas pertama yang hilang ketika kendala sumber daya mulai mengganggu.

Apa saja faktor pendorong di balik ambisi William Hill untuk terus memperkuat postur keamanan sibernya?

Sederhananya, ini pelanggan kami. Kami memiliki tanggung jawab kepada mereka untuk selalu berusaha meningkatkan sikap keamanan siber kami, untuk selalu mendorong untuk memanfaatkan teknologi dan metodologi baru untuk mengamankan sistem dan layanan kami, dan untuk menjaga keamanan dan privasi mereka di depan saat kami melakukannya.

Apakah Anda berniat melakukan investasi keamanan siber strategis dalam beberapa bulan mendatang dan jika ya, apa?

Kami sebenarnya telah mengambil langkah mundur dari investasi 'strategis' satu kali dan telah bergerak menuju pendekatan yang lebih gesit untuk investasi dan pengiriman. Kami menetapkan tujuan strategis kami dan hasil utama yang akan kami gunakan untuk mengukur kemajuan kami menuju ini (OKR) dan selanjutnya mendorong pengiriman menggunakan pendekatan tangkas ini, memanfaatkan putaran umpan balik yang lebih pendek dan eksperimen berkelanjutan untuk mencapai tujuan kami.

Dalam praktiknya, hasilnya lebih difokuskan pada place yang akan mendorong paling banyak keamanan dan nilai bisnis. Salah satu contohnya adalah otomatisasi, apakah itu membangun keamanan ke dalam SDLC, penerapan infrastruktur kami, atau pengujian kepatuhan otomatis, tujuan akhirnya adalah menuju keadaan 'Keamanan sebagai Kode'.

Bagaimana Anda memastikan budaya keamanan siber yang kuat?

Saya tidak berpikir saya akan menghancurkan pandangan dunia siapa pun dengan mengatakan pendekatan tahunan atau musiman untuk mengatasi perubahan budaya keamanan siber tidak berhasil. Perubahan budaya itu sulit, terlepas dari apakah itu untuk mempromosikan kesehatan dan keselamatan, keamanan, atau hanya cara kerja; dan mengubah budaya organisasi tidak akan terjadi dalam semalam. Ini membutuhkan banyak waktu dan energi, baik dalam hal mendorong komponen yang lebih nyata dari app perubahan seperti aspek komunikasi (yaitu kesadaran dan pelatihan keamanan) serta dalam membangun dan memelihara hubungan dengan bagian-bagian penting dari bisnis yang diperlukan. untuk membuat contoh perubahan budaya di sebanyak mungkin persimpangan fungsional, geografis dan organisasi dalam bisnis.

Hal yang saya coba dan ingat lebih dari apa pun adalah pepatah yang saya temukan beberapa tahun yang lalu yang melekat dalam diri saya: 'Perubahan mengganggu ketika dilakukan untuk kami, menggembirakan saat selesai oleh kami'. (Kanter, R.M. (1983) The Change Masters, New York, Simon dan Schuster).

Apa prioritas Anda dalam mengambil pendekatan pragmatis terhadap keamanan siber?

Jelas memahami apa yang pragmatis dan praktis untuk bisnis tempat Anda bekerja adalah kuncinya, tetapi biasanya memprioritaskan pengurangan kompleksitas, pengurangan proses, dan otomatisasi adalah titik awal yang bagus. Menurut saya, hubungan yang baik adalah kunci untuk membangun keamanan yang lebih baik dan sedapat mungkin mengurangi gesekan adalah cara yang bagus untuk membantu, yang semua prioritas ini atasi dalam beberapa bentuk atau lainnya.

Pendekatan ini benar-benar berasal dari keyakinan saya bahwa kita harus memikirkan keamanan sebagai produk atau layanan dan dengan demikian, kita harus mengatur, memasarkan, dan memproduksi untuk menciptakan dan memenuhi permintaan pelanggan kita, dan siapa pun yang bekerja di lingkungan produk akan mengetahui bahwa NPS adalah raja.

Apa yang dapat dilakukan seller untuk memberikan dukungan kepada pelanggan mereka selama masa-masa sulit ini?

Saya rasa saya akan memberikan saran yang sama hari ini seperti yang akan saya berikan tahun lalu – bicarakan dengan pelanggan Anda tentang cara mendapatkan hasil maksimal dari apa yang sudah mereka miliki. Jika Anda dapat membantu saya mendorong nilai maksimum dari apa yang telah saya belanjakan dengan Anda, kemungkinan besar saya akan kembali kepada Anda untuk hal lain nanti.

Nasihat apa yang akan Anda tawarkan kepada calon CISO?

Saya tidak akan menawarkan saran apa pun tentang keamanan itu sendiri atau jalur menuju CISO, tetapi berfokus pada pendekatan setelah Anda berada di kursi panas.

Mainkan permainan panjang – mudah untuk mencapai hasil yang rendah dan perbaikan poin bagus untuk menunjukkan 'arah perjalanan yang positif', tetapi terlalu fokus pada ini adalah mengapa kami masih berjuang untuk memahami dasar-dasar sebagai sebuah industri. Pikirkan tentang dasar-dasar yang ingin Anda miliki saat Anda bergabung dengan bisnis dan pastikan itu ada untuk siapa pun yang datang berikutnya.

Lebih efektif dan berkelanjutan memimpin melalui pengaruh daripada otoritas. Ada beberapa kali Anda dapat menekan tombol nuklir dan memaksakan eskalasi sebelum mulai kehilangan efektivitasnya.

Ingatlah bahwa rekan-rekan Anda adalah tim Anda juga dan Anda semua beroperasi di lingkungan zero-sum. Setiap tambahan jumlah pegawai atau pound / dolar yang Anda konsumsi harus dialihkan dari beberapa aktivitas lain agar dapat diterima oleh Anda, jadi gunakan dengan bijak dan hargai keamanan adalah olahraga tim.

Klik di bawah untuk membagikan artikel ini