Vraag en antwoord over cyberrisico's en anders nadenken over softwareproductie

QA Mark en Sebastian

De onderwerpen: de Veiligheidsadviesraad van Splashtop, cyberrisico's en anders nadenken over softwareproductie met cybersecurity-expert Sebastian Goodwin

Door Mark Lee, CEO en medeoprichter van Splashtop

Splashtop heeft onlangs bekendgemaakt dat Sebastian Goodwin is toegevoegd is aan de Veiligheidsadviesraad. Deze raad heeft Splashtop december 2020 in het leven geroepen. Sebastian is cybersecurity-onderzoeker, keynote spreker, bedrijfsadviseur, adjunct-professor aan de UC Berkeley's School of Information en Chief Information Security Officer (CISO) bij Nutanix. Hij heeft meer dan 20 jaar ervaring in het helpen van Global 2000-bedrijven om grote cyberrisico's te beheersen.

Sebastian sprak onlangs met Splashtop CEO Mark Lee over de redenen waarom hij lid is geworden van de Splashtop Veiligheidsadviesraad, waarom hij zo gedreven is als het gaat om security en hoe hij de security als geheel ziet evolueren in dit tijdperk van toenemende ransomware-aanvallen en andere cybersecurity-dreigingen.

Mark Lee: Sebastian, we zijn zo blij dat je deel uitmaakt van onze Veiligheidsadviesraad. Ik geloof dat je Splashtop hebt leren kennen via een van onze investeerders, toch?

Sebastian Goodwin: Ja, dat klopt. Hij kende mijn achtergrond en wist dat Splashtop op zoek was naar beveiligingsadviseurs, dus het was logisch om ons bij elkaar te brengen.

Mark: Je hebt een enorme professionele ervaring op het gebied van cyberbeveiliging, met je huidige functies als CISO bij Nutanix en bestuurslid van SADA, een Google Cloud Premier Partner en leverancier van oplossingen, evenals je eerdere veiligheidsgerelateerde leiderschapsposities bij onder meer Palo Alto Networks, Robert Half, PeopleSoft en IBM. Je hebt goed in beeld hoe bedrijven omgaan met cyberrisico's. Hoe goed denk je dat organisaties tegenwoordig in het algemeen met security omgaan?

Sebastian: Bedrijven worden tegenwoordig geconfronteerd met ongekende cybersecurityrisico's. Zoals recente nieuwsberichten hebben laten zien, is ransomware een enorme bedreiging. Aanvallers hebben zich gerealiseerd dat ze invloed kunnen uitoefenen door software aan te vallen die veel wordt gebruikt in verschillende sectoren en markten. Bedrijven moeten heroverwegen hoe ze software produceren om de beveiliging beter te handhaven en het vertrouwen van klanten te behouden.

Mark: Kun je iets meer vertellen over hoe bedrijven moeten "heroverwegen" hoe ze software produceren?

Sebastiaan: Zeker. Herbezinning betekent het vinden van de juiste balans tussen beveiliging aan de ene kant en zakelijke bruikbaarheid aan de andere kant. Als je zwaar investeert in het snel leveren van nieuwe producten en functies voor klanten, kan dit betekenen dat je minder kunt investeren in beveiliging. Investeren in beveiliging kost juist veel tijd en kan de flexibiliteit en het vermogen om concurrerend te blijven verminderen.

De sleutel is om de goede balans te vinden waar je je klanten kunt bedienen met verbeterde producten en functies die ze nodig hebben, en je je producten tegelijkertijd zo veilig mogelijk kunt maken.

Mark: Klanten verwachten dat ze snel de nieuwste en beste functies krijgen, maar ze zijn zich misschien niet bewust van de risico's van het gebruik van software die niet grondig is doorgelicht. Zie je dat veranderen?

Sebastian: Het maakt allemaal deel uit van een grotere verschuiving in het bewust zijn van cyberrisico's. Het is duidelijk dat elk bedrijf of individu dat zelf een aanval heeft meegemaakt, het belang van goede cybersecuritypraktijken begrijpt, ook al zijn ze te laat tot dat besef gekomen. Degenen die nog geen cyberaanval hebben meegemaakt zijn te verdelen in twee categorieën: of ze zetten zich in om zichzelf en hun bedrijven proactief te beschermen, of ze maken zichzelf een gemakkelijk doelwit. Een aanval kan die mensen duur komen te staan.

Mark: Wat kunnen softwarebedrijven zoals wij doen om klanten te beschermen tegen cyberdreigingen?

Sebastian: Het begint met heel goed nadenken over beveiliging en het ontwerpen van software die standaard veilig is. Maak bijvoorbeeld tweestapsverificatie een standaard voor authenticatie bij uw services via openbare netwerken.

Neem een zero-trusthouding aan, wat betekent dat je niets of niemand vertrouwt. Ga ervan uit dat alles uiteindelijk zal worden geschonden, en probeer uw 'blast radius' te beperken - de term waarmee de beveiligingsindustrie beschrijft hoe ver een bepaalde aanval doorwerkt. Zorg er bijvoorbeeld voor dat als een gebruiker op een netwerk een gecompromitteerd apparaat heeft, de malware zich niet verder dan die gebruiker kan verspreiden en zo andere apparaten op het netwerk kan infecteren.

Mark: Je zet je in om bedrijven te leren hoe ze hun cybersecuritypraktijken kunnen verbeteren. Kun je iets vertellen over dat aspect van je werk?

Sebastian: Ik denk dat het cruciaal is dat organisaties hun cyberrisico's effectief kunnen meten en beheren, zodat ze hun bedrijf proactief kunnen beschermen. Eén manier waarop ik kan helpen is als onafhankelijk spreker op het gebied van cybersecurity en adviseur van CEO's en besturen. Het plaatsnemen in jullie Veiligheidsadviesraad is een voorbeeld van deze rol. Ik geef ook een cursus op graduate niveau die ik heb gemaakt voor UC Berkeley, waar ik toekomstige technologie- en businesssleiders help om beter te worden in het beoordelen en beheren van cyberrisico's, zowel op directie- als boardniveau.

Mark: Je hebt duidelijk een passie voor het beheren van cyberrisico's. Waar komt die passie vandaan?

Sebastian: Ik ben al zo lang als ik me kan herinneren in computers geïnteresseerd. Ik leerde mezelf programmeren toen ik nog vrij jong was, tijdens de dagen van 2400-baud modems en het begin van het wereldwijde web. Ik ben altijd gefascineerd geweest door hackers en de creativiteit en vaardigheden die bij hacken komen kijken. Bedenk maar eens: je moet eerst goed begrijpen hoe een systeem is gebouwd om op een bepaalde manier te werken en dan moet je manieren bedenken om dat systeem dingen te laten doen waarvoor het niet is ontworpen.

Het is een boeiende puzzel en een uitdaging. Een grappig verhaal: op de middelbare school werd ik bijna van school gestuurd toen ik de nieuw geïmplementeerde encryptiesoftware van de computerafdeling kon omzeilen. Wat me redde, was dat een van mijn leraren net 'alle studenten had uitgedaagd om de onbreekbare codering te hacken'. Gelukkig werd ik dus niet van school gestuurd.

Mark: We zijn blij dat je hebt besloten om te blijven werken om aanvallen te voorkomen in plaats van de duistere kant van het hacken te kiezen!

Sebastiaan: Ik ook! Maar ik denk dat waardering hebben voor de skills van hackers belangrijk is. Als ik securitymedewerkers inhuur, zorg ik ervoor dat ze de alle aspecten van de technologie begrijpen. Mensen die net zijn afgestudeerd en geweldig zijn in het schrijven van code, hebben veel training nodig om op het punt te komen waarop ze alle manieren kunnen begrijpen waarop de software die ze bouwen kan worden omzeild. Het is een eindeloze uitdaging, maar ook eindeloos fascinerend.

Mark: Heel erg bedankt voor dit gesprek, Sebastian. En bedankt dat je lid bent geworden van onze Veiligheidsadviesraad om Splashtop te helpen de beveiliging van de producten die we leveren voortdurend te verbeteren.

Sebastian: Ik waardeer hoe Splashtop met security omgaat. Net als mijn huidige bedrijf, Nutanix, zet Splashtop zich in om vooruit te kijken en proactief te zijn over beveiligingsrisico's. Dat is het enige verantwoorde startpunt om uit te zoeken hoe we de meest veilige oplossingen voor onze klanten kunnen bouwen.

Gratis proefbanner op de onderkant van het blog