道格豪斯:
从意图 & 这是不合适的, 一个面向企业家的管理和金融服务播客, 获得终身职位的商业领袖和其他愿意跳出西装革履文化,寻找有意义的、可衡量的结果的人.
我是道格·豪瑟. 在这个每周的播客中,思想领袖和商业专家会分解复杂和平凡的话题,给你一些你真正需要的发展业务的建议和见解.
如果你还没有订阅,请点击订阅按钮,这样你就不会错过未来的剧集了. 如果你想获得更多的信息, 展示笔记和独家内容请访问我们的网站:729x.mblayst.com . 播客并注册获取更新.
我们知道,过去几年发生了很多变化, 我们工作的方式, 做生意,甚至相互交流. 在这个不断变化的时代,组织如何继续保持数据安全和网络威胁?
今天我们很高兴邀请到马克·多德, InfoGPS的首席开发官, 他讨论了每个组织应该在他们的工具箱中拥有什么来保护自己免受威胁. 此外,讨论当前的趋势和更多.
欢迎来到《比较靠谱的赌博软件》,马克.
马克·多德:
非常感谢,道格. 很高兴来到这里.
道格:
绝对. 很高兴你能来,因为这是, 很明显, 这是一个与所有企业主甚至我们所有人都息息相关的话题. 谈谈我们在过去两年中看到的威胁的扩散和范围, 三个, 四年.
Mark:
这几乎是无法估量的. 这是基于恐惧的. 我们不断听到下一个威胁的消息. 公司和组织面临着令人麻木的潜在风险海洋. 你会收到恶意软件,勒索软件,很多 ... 勒索软件并不总是如此,但恶意软件肯定有很多是人为错误造成的.
你不必在内心成为一个恶意的演员. 这几乎从来都不是根本原因. 你只是点错了邮件,突然间你的公司就成了人质. 这是一个令人沮丧的话题, 我认为对于那些处于萌芽状态的技术来说更是如此,因为它们当然有 ... 它们把这些东西一直追到海底, 才意识到这里还有另一个问题.
它真的会让非技术业务人员泄气, 通常在黑板上, 很多时候都是在高管层. 你可以成为一名首席财务官,而不是一名技术专家,当然也不是一名高管. 与你的技术人员进行一次不让你掉队的对话是非常困难的,这是其中之一, 我认为, 这是我认为任何组织都能做得更好的关键领域, 是帮助非技术业务人员开始与他们的技术团队和顾问进行对话,而不会把他们落在后面, 这使他们能够提出正确的问题并承担责任.
谁能做些什么来降低我们的风险? 我的意思是,我认为这是领导这场对话的行政挑战. 通常情况下,这是很难做到的,因为你被淹没在我所说的技术呓语中, 这对那些非技术业务人员来说真的很令人沮丧.
道格:
马克,你提出的观点很好. 很明显,如果你是一个典型的所有者管理的企业,收入是2000万美元, 也许你在公司内部有个精通技术的人, 假设. 他们如何提高这种意识,他们如何与能够真正帮助他们减轻这种风险的人合作,因为他们没有 ... 他们内部不一定有这种能力
Mark:
(相声00:04:57)
道格:
... 所以作为一个企业主,他们应该思考什么,问自己什么?
Mark:
所以我很高兴你用收入数字来分析. 我的意思是, 我认为在2000万美元范围内的人是中小企业, 是的,我发现大多数组织都在这个范围内, 当然,如果他们是制造商,但即使他们是服务提供商, 可能有一个内部的人,这是一个中断/修复, “嘿, 我有个问题. 我那该死的邮箱坏了.“这样的人在内心,我认为这是一个给定的规模.
但后来, 他们依靠外部资源, 咨询来源, 来帮助他们进行高层架构和规避风险的途径. 这就是事情变得棘手的地方. 我想我们很多人都知道一个短语叫做msp. 这就是托管服务提供商.
道格:
好吧.
Mark:
而托管服务提供商则不是 ... 我的意思是,这不是一个商品术语. 这并不等于你总是会得到X Y和Z. 有很多非常小的托管服务提供商,只有两三个人在里面,他们可以很好地帮助你设置服务器, 让您的架构正常工作,并真正成为2000万美元甚至4000万美元操作可能需要的许多东西的首选资源.
但, 通常情况下不是这样, 这就是为什么出现了一个新名词, 托管安全服务提供商. 现在我们寻找mssp. 我以意图为例. 你们有个网络小组. 那个网络组织,我很了解,是一家托管安全服务提供商.
道格:
嗯哼(肯定).
Mark:
这就是人们需要寻找的东西,而且有很多这样的人. 并不是说这些人很难找到,但当你考虑外包时,希望, 你外包了一大笔钱. 这不是一个你应该试图节省金钱的领域. 这就是你需要一个真正的合作伙伴,他在这个领域有很多专业知识.
你要审查这个群体,确保你得到的不仅仅是传统的MSP. 我并不是要从这个团队身上拿走任何东西因为他们真的很努力,他们确实提供了很多价值但如果安全方面的差距没有由一个真正的主题专家来填补,你就会遇到真正的问题.
道格:
今天的威胁实在是太普遍了. 我曾经, 回到10年前, 15年, 就像这样, 他们真的只追求大的, 大公司, 正确的, 或者诸如此类的人. 好吧, 希望在过去的几年里,每个人都知道,在这一点上,我们都是目标, 当然也包括个人. 但是我们认为小型企业或中型市场企业是由少数人持有的, 它们已经成熟,可以成为攻击的目标, 可能是因为他们很容易接近, 正确的?
Mark:
是的. 是的. 我是说,你得问自己几个问题. 我是说,你拿的是什么? 正确的? 我的意思是,当涉及到网络事件时,你唯一的风险就是数据,对吧. 数据等于风险. 现在, 如果你的防御措施很低,那就是另一种风险,但即使你的防御措施很高,我们听到的大多数高级别数据泄露事件都发生在《比较靠谱的赌博软件》500强企业那里,这些企业每年花费数百万美元用于安全,他们只是想建一座更高的墙, 正确的.
如果你在保护诺克斯堡,你继续来上班, 你是负责人, 每天早上都有人跑过来对你说, “人, 我们昨晚清点了一下砖头,又丢了一块.“你不可能在墙上再放一个机枪炮塔. 在某些时候,你可能会想要在黄金上放一个摄像机,看看砖头是否、何时以及如何消失.
因此,了解您的数据资产是至关重要的事情,只是为了开始对话. 如果你持有隐私数据你不必是医疗账单公司来持有这些数据. 你不需要成为AT&我不这么认为. 如果你有100名员工,你的人力资源部门可能会携带大量的隐私数据.
隐私数据基本上有三种形式. 你有身份信息. 你有信用信息和健康信息. 现在, 我不知道,也许五年前,它成为了健康信息的主流理解, 我们称之为, 个人健康信息, 暗网上的交易价值是个人信用信息或个人身份信息价值的八倍,这就是为什么
道格:
真的?
Mark:
是的.
道格:
这是难以置信的.
Mark:
这是为什么. 你偷了我的信用信息,然后去买辆沃尔沃, 我现在知道,但突然之间就结束了. 如果你偷了我的个人健康信息,你就可以 ... 它可以被不法分子利用,从一系列愿意支付账单的人那里制造医疗欺诈. 我永远都不会发现它,它是一种常青树的资产,可以被用来从欺诈行为中捞钱十年,我可能永远都不会知道.
道格:
哇.
Mark:
正因为如此,它有一种常绿的味道. 只是给你一个想法. 如果你有这样的隐私数据, 是的, 如果你个子小,你可能是唾手可得的水果. 也许你不会是那个月被坏人偷得最多的人,但这并不意味着你不是唾手可得的果实. 我去拿些隐私数据. 这是神奇的.
你需要担心的另一种数据资产是那些对你来说具有不可思议价值的资产,它们不一定是公共数据. 所以如果你家里到处都是专有情报, 如果你有很多IP,或者你只有一两个IP. 如果你有肯德基的配方,那就值一大笔钱.
道格:
是的.
Mark:
当我就这一点向董事会和高管提出建议时,我说, “你有什么数据让你无法承担到野外去的代价??“什么数据?, 因为经历网络泄露通常离数据泄露很近. 不一定是这样的,对吧.
你可以做一些事情来体验其中一种而不痛苦另一种. 但你必须非常老练才能做到这一点. 所以我总是以“你的噩梦是什么?? 你有什么数据表明,如果它被公开,它要么是一个关键事件,要么是一个存在事件."
道格:
是的. 绝对.
Mark:
如果你有两千万美元,如果这是你的收入,数据泄露绝对会让你陷入困境. 我的意思是,这不仅是明确的,而且是记录下来的. 如果这是你的收入, 如果你没有五百万美元, 600万美元的银行存款放在那里,以备不时之需这可能是生死攸关的威胁.
道格:
是的. 绝对. 网络犯罪分子通常想要达到什么目的 ... 我的意思是,我们听说过网络钓鱼攻击和这类事情. 我的意思是,我猜,他们通常想要达到的目标是什么? 这是- - - - - -
Mark:
他们总是想要得到的是数据. 网络钓鱼攻击是一种方法,对吧. 我让你点击那个链接,砰,我的恶意软件就在那里了,现在我可以走了 ... 我可以在一个连接到网络的设备上上网. 现在我可以穿越所有的设备.
所以不同的方法来实现它是一回事这就是技术团队对你很有帮助的地方因为他们在战略上和战术上反对这些方法. 更高层次的对话是我们持有什么,以及我们如何持有它?
所以我要保持这是非技术性的. 每个公司都有这些好东西,通常他们有隐私数据和其他非常特殊的数据,他们永远不想泄露出去. 顺便说一下,我总是想到律师事务所. 我们从不谈论律师事务所. 想想一家律师事务所. 正确的.
道格:
绝对.
Mark:
我是说,他们掌握着每个人的秘密. 提醒我一下,因为这里有一个有趣的警告. 关于这一点,我想再提一下. 但律师事务所就是个很好的例子. 我们有很多秘密,对吧. 现在,我们把它们存储在哪里? 大多数组织, 尤其是在4000万美元以上的交易中,他们足够老练,在他们的网络中有一个诺克斯堡.
它被称为安全区域网络,即SAN. 你把你所有的东西都放到了那个安全区域网络里. 通常你必须通过管理员才能获得这些数据. 你有两个因素认证. 这是安全的地方. 数据泄露通常不会发生在安全区域网络中.
道格:
好吧.
Mark:
问题是, 律师事务所或Acme 制造业就是一个很好的例子, 问题是这些数据多久取出一次,我才能打开电子表格, 用电子邮件发给我楼下的搭档? [相声00:15:20]所以突然之间数据就不在SAN里了, 我称之为高度结构化的数据.
它现在很松散,在这些端点,这些笔记本电脑周围运行. 所以这些数据现在属于我所说的非结构化或半结构化数据类型这就是钓鱼者和他 ... 不管用什么方法进入,这是每个人都在努力寻找的.
在非结构化或半结构化数据中有什么好处呢? 这就是风险高的地方. 我喜欢谈论风险,因为我认为这让董事会和高管们感到不安, 提醒自己什么是风险, 正确的. 风险是可能性乘以影响.
道格:
是的. (相声00:16:13)
Mark:
我住在俄亥俄州, 我被龙卷风袭击的可能性非常低,但如果真的发生了,我遇到的麻烦就和我在阿拉巴马州被龙卷风袭击一样多.
道格:
正确的.
Mark:
所以这种对可能性的理解阻碍了很多中小企业的发展. 就像,“我没有很多钱可以花. 我不觉得我有这种倾向. 我感觉很安全. 我只是乔·布罗. 我不是目标."
道格:
对,谁在乎呢.
Mark:
你是目标. 很多人都错误地认为可能性很低, 尽管他们知道影响会很大. 它正试图传播给SMB,尤其是SMB ... 我指的是企业主和中小企业高管,当存在中小企业董事会时,你必须更加认真地对待这种可能性.
我讨厌这么说,因为这听起来就像“害怕”. 害怕. 害怕.“这不是我想说的. 我的意思是,如果你现在能在精神上跨过那座桥,你就可以开始花钱,以变得更安全.
道格:
正确的. 要意识到风险. 这是任何行政级别的工作. 要意识到风险,并尽你所能采取适当的措施来减轻风险. 你永远无法消除它,但要尽量减轻它,这样你就准备好了.
Mark:
通过意外事故来降低风险几乎是不可能的. 这几乎是故意的. 所以你必须了解你所拥有的资产,然后你不必成为一个高科技专家,从你的团队那里了解这些资产的位置以及我们如何管理我们的数据? 我们如何处理我们的数据? 我们的政策应该是什么? 我们知道我们是否遵守了我们的政策吗? 关于这些数据,我们给我们的员工提供了什么样的培训?
我的意思是,有一些组织一直在经营网络钓鱼学校,而且他们做得越来越好. 现在, 他们就像, 我甚至没有看那封邮件,因为我认为这是网络钓鱼,甚至可能不是,但他们现在 ... 他们过于谨慎,这是一件好事.
道格:
是的,绝对.
Mark:
但是要了解资产,然后了解我们今天是如何存放它们的,以及我们的操作SOP是什么,这些数据类型是我们必须非常小心的? 我们如何通过更好的程序来处理这类数据来降低风险? 我来自一个法律家庭. 我是说,我家现在有三家不同的律师事务所.
道格:
好吧.
Mark:
我喜欢用律师事务所作为例子,因为他们有疯狂的秘密,就像[相声00:18:57]
道格:
绝对.
Mark:
... 这是PDF,这是Word文档. 帮帮我,Wordsmith. 那份文件里的东西会毁了人们的生活你们这些人对待这件事的傲慢态度令人震惊. 说了这么多, 回到MSP对MSSP, 你可能与皮特和泰德的IT商店有20年的关系,你可以保持这种关系.
我并不是说他们没有巨大的价值,但如果你开始进行这种对话,打破这种意识,并决定可能有一些差距没有得到填补,现在是时候开始寻找MSSP,他们中的一些人不想成为打破/修复的人. 他们中的许多人并没有试图成为所有人的一切.
他们的专长是来到这里和你谈论访问权限. 他们的专长是来这里和你讨论你的网络分割, 访问数据, 访问端点,并保持它是一个单独的部分. 我的意思是,很少有公司,即使是2000万美元的公司 ... 有大约2000万美元的公司 ... 我们抛弃了这个数字,所以我坚持用它 ... 只有 ... 他们可能是一家制造公司,他们可能只有70人,其中只有12人在办公室.
我们将在九月底举办一个活动. 雷亚其实是赞助商之一,我也是, 在沃尔什大学, 重点关注国防部供应链和所有制造商. 供应链上有30万家制造商. 到目前为止,他们只是得到了质押者的担保,国防部就像跳跃式的跳跃. 而不是试图逐渐增加他们说, “好吧, 我们要做一个重大的转变它将会是[tychonic 00:21:09]."
这让许多制造商几乎陷入疯狂,因为他们必须获得这个级别的认证,如果他们没有获得认证,他们将失去获得现有合同的机会,他们将无法竞标新的合同. 我的意思是, 游戏结束了,完成这个任务的时间相当短,这是一个重大的变革管理. 那2000万美元, 70年员工, 办公室里12个人描述了一大堆人[听不清00:21:40].
道格:
我们对政府承包商也是这么说的. 即使他们处理的是他们认为非机密的东西, 他们仍然必须遵守这些标准.
Mark:
主要的数据,在机密的世界里有绝密,秘密,机密,对吧. CMMC的要求甚至没有处理这个问题. 这是另一个片段. CMMC所要求的是让您知道指定为受控非机密信息的每一条数据的位置.
所以一开始是不保密的,但他们想控制它. 举个例子,你可能是密歇根州的一个铝制冲压工你可能会送出一些零件,这些零件最终会成为F-16的尾翼部件. 你,我的朋友,持有很多的CUI. 你不是故意的,但你是故意的. 你会得到图纸. 这就是我们需要的. 所以你现在必须跳过各种各样你没有技能的障碍.
你不仅在公司内部没有人, MSP,甚至你可能与之合作的MSSP都必须经过认证. 他们被称为rpo,注册从业者组织. 你得找个RPO来让你做好认证的准备. 你可能需要六个月的时间来准备,因为它不是[相声00:23:13]. 在这个特殊的情况下,对于这个特殊的认证,它不是一个检查清单.
你必须证明你在一段时间里一直在做正确的事情, 至少90天,你要花90天的时间准备好开始学习并从中获得90天的历史. 我的意思是,这是一个沉重的负担.
道格:
是的, 我知道我们花了很多时间来教育我们的客户让他们了解要求这样他们就可以开始评估和流程因为就像你说的, 如果你不抢先一步, 不久之后,你就会失去一大块业务,这对任何人都不是好事, 很明显.
Mark:
在CMMC的特殊情况下,这是一个很好的例子. 我的意思是,这是一个很好的话题来思考所有的网络安全. 在这种特殊情况下,他们从两个角度来看待CUI. 第一个是数字化的. 它在你的电脑里的什么地方? 你可能有30台电脑. 你的CUI只有10年吗? 我是说,你要怎么算出来?
但另一个是三维CUI,这意味着它是在工作订单上打印的. 这是一幅印刷出来的图画. 在工作楼层的一个文件夹里. 所有这些, 如果你有一个带有数字CUI的设备, 它必须与网络的其他部分分开如果你在工厂地板上有文件它必须被锁起来它必须与所有其他工作分开.
我的意思是,这是一个巨大的变更管理项目. 这就是为什么我们要在沃尔什举办这个活动你们要赞助因为我们想要 ... 很多人不知道该怎么想. 有很多错误信息. 很多人只是对它感到愤怒,然后他们害怕它,他们不知道从哪里开始.
感觉这是一个模糊的话题你试着在网上读它就像读保险单一样[听不清00:25:13]. 所以我们为这个活动所做的,雷亚也参与其中, 你是在为那些企业主解释这个问题,让他们明白什么是开始, 中间和结尾. 我如何确定这个项目的范围? 证明认证是什么样子的? 认证过程是怎样的? 认证后的生活是什么样的?
试着去打破它, 同样,我们会有很多非技术企业主和其他来自制造商的代表在房间里. 所以我们必须把它分解给他们,这样他们才能理解, 他们可以从心理上理解这些章节对他们的意义,如果你是一个高水平的思考者,你可以把这些章节分解成很好的章节.
然后就没那么可怕了在这种情况下我们会 ... 我们请来了CMMC认证委员会的首席执行官作为我们的主讲人. 这是一个巨大的-
道格:
是啊,太棒了.
Mark:
这样与会者就可以来听了. 我的意思是, 他们可以直接从这些法规和当前的过程和演变中吸取教训. 在座的还有很多来自俄亥俄州的CMMC主题专家.
道格:
这是神奇的.
Mark:
其中一些将来自意图. 其中一些会 ... 意图本身是a,你们是RPO. 房间里还有其他的rpo. 房间里会有很多软件制造商, InfoGPS, 我的公司, 会是其中之一吗. 我们也会在那里安排供应商. 所以这个节目是, 这种努力是双管齐下的,当我们考虑网络安全的时候,我喜欢从总体上考虑它.
理念和原则是什么? 我需要知道什么? 我的理解是什么? 然后我从哪里得到这个? 我怎么找到这个来源? 所以所有的与会者都会学到很多东西,并把它分解成可以理解的章节,这样他们就可以开始了 ... 我怎么把它变成A到Z的线性过程呢? 学习如何解决这个问题.
然后我们要做的另一件事是我们将有一屋子的提供者如果你想开始 ... 我在帮你布置摊位. 在供应商层的赞助商在那里只是因为他们对CMMC过程有非常直接和原始的价值支撑.
我给你们举个例子. 我说, 我提到的, 我们将在那里得到赞助, 也许可以问我,我们对CMMC的原始价值支持是什么.
道格:
是的. 这是一个伟大的事件,我们当然期待着它. 所以这是很棒的东西,希望我们的人报名参加这个活动, 联系马克或者我们的网络团队,报名参加,因为你会学到很多东西,你会意识到很多,我认为这最终会给你带来竞争优势. 这就是我们试图告诉我们的一些政府承包商的事情,即使他们觉得这是相当平凡的建筑工作, 例如,但这是在政府相关的设施, 如果你走在前面,能给你带来竞争优势吗.
Mark:
如果你是一个早期采用者,你将能够竞争更多的业务. 它是有等级的,我不想讲得太复杂,但很多人都需要达到第三级. 如果你是一个早期的采用者,并在明年达到第三级, 你将能够在之前没有遇到过的投标中竞争,因为你是在第一波投标中获得的.
这不仅是真的,我还想说,我有一个坚定的信念,这是我们在活动中要重点关注的事情之一,对于正在看这个的人来说, 不仅仅是冲过终点线. 要做到这一点,你不可能不增加公司的估值. 不可能是. 你不可能达到这种程度的意识和保护,这在你公司的估值中没有体现出来. 它会体现在你认为对你有意义的网络安全保险中.
我的意思是,它会波及各个领域. 但是道格,我不确定你之前是否听到了. 我邀请你问我一个问题,作为我们将要拥有的供应商的一个例子. 问我我们对CMMC的价值支柱是什么 ... 需要获得认证的公司?
道格:
那是什么价值道具?
Mark:
谢谢关心,道格. InfoGPS所做的就是找到所有的CUI. 所以它是一个数据发现工具. 所以我们的位置在最开始. 我们的问题是这个项目的范围有多大. 我的意思是,我有100台电脑,也许我有50台. 第二天我们就能告诉你所有的CUI都在一台服务器和12台笔记本电脑或12台设备上.
所以在那个时候我们可以决定,你是需要所有12个还是只需要7个. 这就是你对这些端点进行数字分割的范围. 所以现在突然间你就可以开始工作了. 我们请来了从事加密业务的人. 我们请来了在这个过程中扮演不同角色的人. 这里没有不应该出现的人. 每个人都会有一个非常干净的价值道具.
道格:
太棒了.
Mark:
参加会议的人将能够建立联系. 以上就是沃尔什的全部内容. 我很荣幸能成为沃尔什商学院(Walsh School of Business)的顾问委员会成员,已经有十年的时间了,我们一直在沃尔什努力成为一个越来越像U2B的平台, 为我们全州的企业合作伙伴创造价值.
信息系统与沃尔什和雷亚一起领导了一个活动 & 2020年春天,同事们召开了董事会网络安全会议. 这段对话的第一部分就是围绕着这个展开的. 我们如何帮助这些非技术业务人员解决这个问题?
道格:
是的.
Mark:
所以这看起来是一个自然的后续网络事件, 这是CMMC的挑战,我喜欢CMMC的故事,因为你可以成为一名牙医,从中获得一些学习曲线.
道格:
绝对. 非常酷的东西,我们感谢马克. 这太棒了,我们期待着这次活动. 谈到这一点,我们所有人都有很多东西要学,当然我们要确保我们教育自己, 我们的客户有机会和其他重要的中心影响力. 所以再次感谢今天的到来,期待在即将到来的活动中听到你的声音,看到你. 所以很感激.
Mark:
非常感谢,道格. 这绝对是我的荣幸.
道格:
绝对. 如果你想要更多的商业技巧和见解,或者想听以前的剧集,请访问我们的播客页面729x.mblayst.com . 播客,在那里注册独家内容和节目说明.
感谢收听本周的节目. 一定要订阅苹果播客上的《比较靠谱的赌博软件》, 谷歌播客或者任何你正在收听的地方, 包括YouTube. 我是道格·豪瑟. 下周和我们一起来看另一个来自行业专业人士的不合适的面试.