Ser el director de seguridad de la información (CISO) de un importante proveedor conlleva desafíos: trabaja con personas que entienden su trabajo tan bien como usted y tiene un gran objetivo en la espalda para un atacante.
Sentado con Stephen McDermid, director de seguridad regional (CSO) para EMEA en Okta, habla abiertamente sobre cómo mantener una conexión sólida con clientes y socios y garantizar una experiencia fluida para todos, algo en lo que tiene experiencia de haber trabajado en puestos senior de seguridad cibernética. para empresas como Salesforce y la policía escocesa.
Dentro de Okta, dice que actúa como los ojos y oídos del CISO de la empresa, David Bradbury, donde puede interactuar con los clientes y ayudarlos a comprender los conceptos de seguridad de Okta, ofrecer soporte “y hacer todo lo correcto en términos de seguridad”. una estrategia de empresa”.
En cuanto al cliente, McDermid dice que lo ve en gran medida como un socio de la empresa, al que se le brinda la mayor protección posible.
“Nos encontramos haciendo cosas que normalmente un SaaS [software as a service] el proveedor no serviría; Si es un proveedor de SaaS normal, no estaría monitoreando proactivamente los ataques dirigidos a su cliente, pero Okta lo hace porque sabemos que si sabe que tenemos esa visibilidad, podemos verlo, y si podemos detenerlo y alertar. el cliente, entonces eso será algo bueno”.
Este concepto de modelo de responsabilidad compartida fue uno que McDermid estaba dispuesto a insistir, elogiando el trabajo realizado por los ejecutivos de alto nivel de la compañía para permitir que Okta trabajara con el equipo de seguridad para garantizar la aceptación corporativa y permitir una experiencia interna sin fricciones. .
“Creo que, en última instancia, la seguridad sigue siendo un asunto de personas”, afirma. “Aunque tenemos personas que son increíbles expertos [working for Okta]En definitiva, la seguridad es un asunto de personas. Son corazones y mentes. Incluso el simple hecho de tener claro por qué estamos haciendo las cosas es importante, porque aunque no lo entiendan, tiene sentido hacerlo, porque en realidad se trata de la hoja de ruta”.
una dirección
McDermid mencionó el Compromiso de Identidad Segura de Okta, lanzado en febrero de 2024, que, según él, establece la misión de la empresa, por lo que no solo los clientes y socios conocen la dirección de la empresa, sino que, en última instancia, su propio personal sabe hacia dónde intenta llegar la empresa. lograr y cuál es la visión a largo plazo.
“Creo que es muy importante que le expliques ‘el por qué’ a las personas, independientemente de si están en seguridad o no, porque en última instancia eso les permitirá subir a bordo y llevarlos contigo, en lugar de simplemente decirles hacer algo”.
Un ejemplo que citó fue el uso de simulaciones de phishing como método de entrenamiento para determinar tanto la preparación como su efecto en la mentalidad del usuario.
“Como cualquier organización, realizamos capacitación sobre phishing y medimos el éxito del phishing, y también enviamos la capacitación y luego, literalmente, lo siguiente que recibirán es un correo electrónico legítimo pidiéndoles que nos den su opinión”, afirma. “Así que es esa mentalidad de saber cuándo es algo bueno y cuándo no”.
Sin fricción
Dice que el objetivo de ser más fluido es no imponer cambios a las personas “sin que entiendan completamente lo que se hace o por qué se hace o cómo puede ser el final”. Esto llevó a la formación de un equipo de cultura de seguridad, para garantizar que haya un enfoque en la mensajería interna y medir y monitorear esa cultura, ya que “en última instancia, así es como vamos a elevar el nivel de seguridad que tenemos y seguir progresando”. y hacer estas mejoras”.
Admite que el concepto del “departamento de no” que a menudo se ve afectado por la seguridad, y que a menudo funciona, es “a menudo la opción menos riesgosa”, pero admite que esa actitud no ayuda a que el negocio avance, y no Tampoco ayuda a los clientes.
“Entonces, la realidad es que tenemos que estar en esta posición en la que habilitamos el negocio y les hacemos conscientes de cuáles son los riesgos”. Al mantener al personal en sintonía y colaborando, deberían sentirse más involucrados en la hoja de ruta de seguridad y comprender dónde se encuentran los obstáculos, no se trata de prevenirlos o ralentizarlos.
Ataques a otros
Ese punto sobre los riesgos me lleva a preguntarme: ¿cómo ve el CISO de una importante empresa de seguridad cibernética los ataques a otras empresas y extrae puntos de aprendizaje de ellos? McDermid dice: “Cómo respondemos cuando vemos estos incidentes en la prensa; Respondemos observando lo que sucedió, observamos al actor de la amenaza y observamos cómo habríamos respondido a eso. Eso nos da la capacidad de pensar en estas amenazas desde una perspectiva real en lugar de ‘¿y si esto sucediera?’”.
También dijo que hay un período de autorreflexión y de pensar en cuál sería el impacto en los clientes y qué preguntas tendrían los clientes para Okta. “Eso nos da la oportunidad de preparar y analizar nuestras propias capacidades, y nos brinda oportunidades para aprender: monitoreamos estas cosas y podemos aprender de ellas”.
McDermid dice que cualquier cosa que afecte a los clientes sería una preocupación principal, y abordar y abordar cualquier problema permitirá a la empresa abordarlo de inmediato, por ejemplo, si se utilizó una vulnerabilidad o exploit común, o si un atacante estaba identificando objetivos en verticales específicas.
En una industria tan unida como la seguridad cibernética, McDermid dice que si una empresa afectada fuera un socio o un cliente, se comunicaría con ellos para ofrecerles ayuda, ya que “se agradece incluso un segundo par de oídos para rebotar algo”.
Quiere recalcar que se puede y se debe aprender de las instancias, y que la clave para Okta es la necesidad de ser transparente, “y ahí es donde te ganas la confianza: qué pasó, qué estás haciendo al respecto, qué cambios estás cometiendo y creo que ahí es donde realmente puedes aprender de los errores de otras personas y luego, obviamente, intentar elevar tu propia posición”.
Unos 12 meses después de una violación de tokens de acceso bien informada, Okta está dando pasos adelante en materia de seguridad cibernética y está demostrando que el incidente no hizo retroceder. De hecho, la empresa ahora está desarrollando su papel como proveedor de identidad segura y como facilitador de servicios basados en la nube, y su aparente núcleo fuerte internamente sirve como parte de ese viaje.