Domande e risposte sui rischi informatici e sul ripensamento della produzione dei software

DR Mark e Sebastian

Parliamo del Consiglio consultivo per la sicurezza di Splashtop, dei rischi informatici e di come ripensare la produzione dei software con l'esperto di sicurezza informatica Sebastian Goodwin

Di Mark Lee, CEO e cofondatore di Splashtop

Di recente, Splashtop ha reso pubblica un'aggiunta al nostro Consiglio consultivo per la sicurezza che abbiamo annunciato nel dicembre 2020: Sebastian Goodwin. Sebastian è ricercatore sulla sicurezza informatica, relatore, consulente aziendale, professore presso la UC Berkeley's School of Information e Chief Information Security Officer (CISO) presso Nutanix. Vanta più di 20 anni di esperienza nell'aiutare le aziende Global 2000 a gestire il rischio informatico su larga scala.

Sebastian ha parlato con Mark Lee, CEO di Splashtop, dei motivi per cui è entrato a far parte del Consiglio consultivo per la sicurezza di Splashtop, del perché è così appassionato di problemi di sicurezza e di come prevede che si evolva il panorama della sicurezza in questa era di attacchi ransomware sempre più frequenti e altre minacce alla sicurezza informatica.

Mark Lee: Sebastian, siamo molto contenti che tu sia entrato a fare parte del nostro Consiglio consultivo per la sicurezza. Credo che tu abbia sentito parlare di Splashtop per la prima volta attraverso uno dei nostri investitori, giusto?

Sebastian Goodwin: Sì, è così. Sapeva del mio background e che Splashtop stava cercando consulenti per la sicurezza, quindi abbiamo pensato di incontrarci.

Mark: Hai una straordinaria esperienza professionale nella sicurezza informatica, specialmente considerando il tuo ruolo attuale di CISO presso Nutanix e membro del consiglio di amministrazione di SADA, un partner Google Cloud Premier e fornitore di soluzioni, oltre alle posizioni di leadership legate alla sicurezza presso Palo Alto Networks, Robert Half, PeopleSoft e IBM, tra gli altri. Hai una visione a 360° di come le aziende affrontano il rischio informatico. In generale, quanto pensi che le organizzazioni si stiano approcciando alla sicurezza, di questi tempi?

Sebastian: Le aziende oggi affrontano rischi senza precedenti per la sicurezza informatica. Come hanno evidenziato i recenti notiziari, i ransomware sono minacce enormi. Gli aggressori hanno capito di potersi mettere in posizione di potere attaccando un software ampiamente utilizzato in diversi settori e mercati. Le aziende devono ripensare a come producono i propri software per mantenere al meglio la sicurezza e la fiducia dei clienti.

Mark: Puoi dirci di più su come le aziende devono "ripensare" al modo in cui producono software?

Sebastian: Certo. Ripensare significa trovare il giusto equilibrio tra sicurezza da un lato e agilità aziendale dall'altra. Investire molto per fornire rapidamente nuovi prodotti e funzionalità ai clienti può significare investire meno in sicurezza, un processo che richiede tempo e può diminuire l'agilità e la capacità di rimanere competitivi.

La chiave è trovare il punto giusto in cui si è in grado di servire i clienti con i prodotti e le funzionalità migliorati che richiedono e, allo stesso tempo, di rendere i prodotti il più sicuri possibile.

Mark: I clienti si aspettano di ottenere rapidamente le funzionalità più recenti e avanzate, ma potrebbero non essere consapevoli dei rischi derivanti dall'utilizzo di software che non è stato sottoposto a controlli approfonditi. Si capisce la differenza?

Sebastian: Fa tutto parte di un maggiore cambiamento nella consapevolezza dei rischi informatici. Chiaramente, qualsiasi azienda o individuo che abbia subito un attacco in prima persona comprende l'importanza delle buone pratiche di sicurezza informatica, anche se lo capiscono troppo tardi, spesso dopo avere già subito l'impatto di un attacco. Chi non ha ancora sperimentato un attacco informatico, o si impegna a proteggere in modo proattivo se stesso e la propria azienda, o si sta rendendo un bersaglio facile. Un attacco può costargli l'intera attività.

Mark: Quali sono le azioni che le aziende di software come la nostra possono intraprendere per proteggere i clienti dagli incidenti di sicurezza informatica?

Sebastian: Tutto parte dall'essere molto attenti alla sicurezza e alla progettazione di prodotti software sicuri per impostazione predefinita, ad esempio adottando l'autenticazione a due fattori per l'accesso ai tuoi servizi su reti pubbliche.

Oppure adottare un approccio zero trust, il che significa non fidarsi di niente e di nessuno. Bisogna partire dal presupposto che la tua azienda venga violata e lavorare per limitare la tua superficie di impatto, termine che utilizziamo nel settore della sicurezza per descrivere fino a che punto un determinato attacco si allargherà. Ad esempio, è importante che, se il dispositivo di un utente è compromesso, il malware non possa diffondersi oltre tale utente e infettare altri dispositivi sulla rete.

Mark: Sei impegnato a insegnare alle aziende come migliorare le loro pratiche di sicurezza informatica. Puoi parlarci un po' di questo aspetto del tuo lavoro?

Sebastian: Penso che sia fondamentale che le organizzazioni siano in grado di misurare e gestire efficacemente il rischio informatico in modo da poter proteggere in modo proattivo la propria attività. Un modo per aiutare è lavorare come relatore indipendente per la sicurezza informatica e consulente di amministratori delegati e consigli di amministrazione. Il servizio del Consiglio consultivo per la sicurezza è un esempio di questo ruolo. Insegno anche in un corso di laurea che ho creato per UC Berkeley, dove aiuto i futuri leader tecnologici e aziendali a diventare più abili nella valutazione e nella gestione dei rischi informatici sia a livello esecutivo che di consiglio.

Mark: È evidente che tu sia appassionato di gestione dei rischi informatici. Da dove nasce questa passione?

Sebastian: Beh, sono interessato ai computer da quando ho memoria. Ho imparato da solo a programmare quando ero abbastanza giovane, ai tempi dei modem da 2400 baud e agli albori del web mondiale. Mi hanno sempre affascinato gli hacker e la creatività e le abilità che entrano in gioco nell'hacking. Pensaci. Devi prima capire a fondo come un sistema è stato costruito per funzionare in un certo modo, e poi devi capire come spingere quel sistema a fare cose che non è stato progettato per fare.

È un puzzle affascinante e una sfida. Un aneddoto divertente: al liceo sono stato quasi espulso quando sono riuscito ad aggirare il software di crittografia full-disk appena distribuito del reparto informatico. L'unica cosa che mi ha salvato è stato che uno dei miei insegnanti aveva effettivamente lanciato una sfida a "qualsiasi studente che potesse hackerare la crittografia infrangibile". Fortunatamente mi sono evitato l'espulsione.

Mark: Siamo contenti che tu abbia deciso di continuare a lavorare per prevenire gli attacchi piuttosto che unirti al lato oscuro dell'hacking!

Sebastian: Anche io! Ma penso che apprezzare il livello di abilità degli hacker sia un fattore importante. Quando assumo il personale di sicurezza dei miei team, mi assicuro che comprendano tutto lo stack tecnologico. Un neolaureato che sa scrivere codice richiede molta formazione per arrivare al punto in cui può comprendere tutti i modi in cui il software che sta costruendo può essere aggirato. È una sfida infinita, ma è anche infinitamente affascinante.

Mark: Grazie mille per questa chiacchierata, Sebastian. E grazie per aver aderito al nostro Consiglio consultivo per la sicurezza, per aiutare Splashtop a migliorare continuamente la sicurezza dei prodotti che forniamo.

Sebastian: Apprezzo l'atteggiamento di Splashtop verso la sicurezza. Come la mia attuale azienda, Nutanix, Splashtop si impegna a guardare al futuro e ad essere proattivo sui rischi per la sicurezza. Questo è l'unico punto di partenza responsabile per capire come costruire le soluzioni più sicure per i nostri clienti.

Banner di prova gratuito nella parte inferiore del blog