在這次采訪中,Kurt John分享了自己總結的第一手的網絡安全經驗。有需要的人一定不要錯過這個機會,以獲得關于網絡安全未來的寶貴見解,并聽取該領域經驗豐富的領導者的意見。
Kurt John是Expedia集團的全球首席安全官,負責網絡安全、物理安全和隱私的海外治理和執行。他還是大西洋理事會(Atlantic Council)的非常駐高級研究員,幫助思考美國及其盟友在地緣政治、商業和安全交叉領域面臨的最相關的網絡安全挑戰。這包括為政策制定者提供建議,以幫助加強生活方式的安全。除此之外,Kurt還在私人和公共組織擔任多個董事會職位,包括弗吉尼亞州創新伙伴關系管理局等等。
QuHarrison Terry是德克薩斯州達拉斯風險投資公司Mark Cuban 的首席成長官,負責為投資組合公司的營銷策略和目標提供建議和幫助。此前,他曾在Redox負責領導市場營銷,專注于潛在客戶獲取、新用戶體驗、活動和內容營銷等任務。QuHarrison曾接受過CNN、哈佛商業評論、WIRED、福布斯等媒體專訪,同時也是CNBC黃金時段系列節目《No Retreat: Business Bootcamp》的聯合主持人。身兼演講者和主持人的QuHarrison曾在CES、TEDx、羅馬尼亞的Techsylvania、東京的Persol Holdings、德克薩斯州奧斯汀的SXSW等場合發表過演講。值得一提的是,QuHarrison曾4次獲得領英(Linkedin)“最佳技術發聲獎(top voices in Technology award)”。
采訪摘錄
Michael Krigsman(主持人):今天的主題是2023年的安全態勢以及如何管理和引導安全。下面有請本期嘉賓——來自Expedia集團的首席安全官Kurt John,以及嘉賓主持人——來自Mark Cuban公司的成長型營銷主管QuHarrison Terry。Kurt,可以先簡單介紹下Expedia集團以及您的角色嗎?
Kurt John:我是Expedia集團的首席安全官(CSO),主要負責物理安全、IT安全(或網絡安全)以及隱私等領域。
Michael Krigsman:QuHarrison Terry,歡迎您回來跟我一起主持今天的采訪,能簡單介紹您的角色以及Mark Cuban公司嗎?
QuHarrison Terry:正如你所說,我是Mark Cuban公司的成長型營銷主管。我也很高興能參與本期采訪,并且真的很期待即將到來的與Kurt的對話環節。我對這次談話很興奮,因為我們的主題是安全問題。
Michael Krigsman:Kurt,您如何看待當前復雜的安全形勢?
Kurt John:我認為很多公司都在努力應對的一件事就是威脅的規模。我喜歡你剛才用的這個詞,復雜性。規模的不斷擴張,隨之而來的就是環境的復雜性。試想一下,我們有云、有邊緣計算、有人工智能、有自動化,還有編排。
有趣的是,不僅只有我們在努力改變業務模式以及市場影響力,惡意行為者也在改變。他們有相同類型的組織結構,相同的合資企業以及相同類型的戰略合作,他們也在努力爭取自己的利益,為自己牟利。
因此,我們要做的不僅要嘗試新的業務模式以及獲取更大的市場影響力,還必須防御那些正在做類似事情的攻擊對手。所以,我認為,目前最大的挑戰是規模、擴展以及復雜性。
話雖如此,但當涉及到實際的技術威脅時,可能有一些東西可以組織起來發揮作用。這與終端設備(我們都在使用的電腦)有很大關系;它與云有關,因為我們都在使用它。甚至對于一部分公司來說,這也與邊緣計算有關。
最后一點,人工智能,無論是從安全的角度,還是從倫理的角度,關注人工智能都非常重要。
QuHarrison Terry:Kurt,世界上有很多像您這樣的首席安全官角色。但在Expedia這樣的旅游公司,這個職位意味著什么呢?
Kurt John:它關乎的是我們的旅行者,因為這是我們試圖做的根本的事情。我們正在努力將旅行者與全球各地的新體驗聯系起來。
為了做到這一點,我們需要為旅行者提供新的能力,新的方式,讓他們參與和計劃自己的旅行。因此,我們會組織我們的旅行者,合作伙伴,當然還有我們的員工。我們做的很多決定以及我們問自己的問題和給出的答案都是圍繞著旅行者、合作伙伴和員工。
現在,關于Expedia的有趣事實是,除了Expedia, Expedia集團還擁有很多其他品牌。對于這一點,很多人都不知道。
有次,我跟一位朋友聊天時提及,“嘿,我現在要去Expedia工作了!”
他們表示,“哇,你知道的,Expedia很好,但你知道誰更好嗎?Orbitz.com!你可以搜索一下。”
我回應稱,“哦,好的,我想我會去了解的。”但那個時候,很明顯,我知道他們說的這個品牌。
除了orbitz.com外,我們其實還有travelocity.com、hotels.com、Verbo、carrentals.com以及很多品牌。所以,一個有趣的事實是,我們通過很多不同的品牌來推動市場價值。
Michael Krigsman:您如何看待不同公司、不同知名品牌的安全問題?
Kurt John:分享信息是十分必要的,因為我們現在已經到了一個地步:你無法獨自完成任何你需要做的事情。除非你正在制造一個非常特殊的小部件(硬件小部件)供其他人消費(即使這樣,你也需要有人提供鋼鐵或其他類型的原材料),否則你需要一個合作伙伴的生態系統才能取得成功。
從根本上講,我會從兩個方面來看待這個問題。第一個問題是,如何與合作伙伴合作,在整個生態系統中始終如一地推動安全性?這意味著顯然每個人都不需要達到這個難以置信的高門檻。但是,你希望與你的合作伙伴在整個價值鏈上真正實現安全性。這是第一點。
另一方面,對我來說,是威脅情報和共享數據的能力,因為你的生態系統中的一些人可能正在遭受某些攻擊。接下來的問題是,你們能在多大程度上共享信息,從而使你們能夠隔離自己,或者試圖避免這樣的攻擊?
在與你們的生態系統合作以及共享信息的過程中,我發現了提升安全態勢的巨大價值。我認為這才是網絡安全真正的未來。
甚至聯邦政府、美國網絡安全和基礎設施安全局(CISA),以及國家網絡安全記錄辦公室,都說過同樣的話。換句話說,要打敗我們所有人,你可能需要打敗我們中的一個。但另一方面,要打敗我們中的一個,你就必須打敗我們所有人。這聽起來非常復雜,但本質上,這意味著如果我們都合作,共享信息,并確保整個生態系統的控制是一致的,我認為所有企業都將受益匪淺。
QuHarrison Terry:Expedia內部是如何看待您所描述的決策支持系統的?畢竟,在整個企業中工作,每個人都有自己的指令和目標。
Kurt John:這并非Expedia獨有的。這實際上可以應用于任何公司。這同樣適用于我之前工作過的公司,任何人都可以采用。
從根本上說,你要考慮兩件事。我認為人們通常沒有足夠的時間來構建你剛才描述的那種結構。它非常特別,你希望盡可能快地從特別轉換到優化。這意味著過程的一致性。A)你的組織結構是什么樣的?B)你如何評估組織內部的風險?你需要一種可重復的方法來做到這一點。C)你知道你的風險偏好嗎?
這很有趣。我以前在公司工作過,當然不是Expedia。很多年前,我是一名顧問,我見過一些自認為風險偏好非常保守的公司。但當你看他們做決定的方式以及他們追求的東西的類型時,這是非常矛盾的。他們的風險偏好非常強烈。
我認為這是因為人們(或組織)并沒有刻意去定義你的風險偏好是什么。它是保守的、激進的,還是介于兩者之間?你覺得有風險和沒有風險哪個更舒服?這又回到了你的風險偏好。
最后,你可能需要一種非常快速地做出決策的方法,就像您提到的那樣。這意味著您可能需要為特定的風險閾值分配特定的決策。對于低、中、高以及更高的關鍵風險可能需要通過CEO做出決策。如果有一些風險較低的事情,可能會在總監級別或更低的級別做出。
Michael Krigsman:當技術無處不在時,您如何定義生態系統的邊界?
Kurt John:不可否認,如今的生態系統邊界已經變得難以置信地更加多孔(porous)。所以,我認為你不需要定義邊界。事實上,在安全社區中,你會發現有些人可能會對這個不以為然,而是更多的關注零信任。這個術語可謂老生常談,但你的信任圣地究竟在哪里?
零信任,仍然是關乎租戶的問題。換句話說,你如何在你的環境中創建一個生態系統,允許你的合作伙伴和員工(無論他們在哪里)適當地訪問,而無需訪問所有內容的完整權限。
我在這個話題上的基本觀點是,我沒有邊界,即使我有邊界,它也會非常多孔。那么,如何更好地管理軟件級別的訪問呢?零信任是其中一個重要方面。
QuHarrison Terry:這個問題有沒有引發您在隱私方面的擔憂?
Kurt John:最大的擔憂還是數據蔓延問題,原因有兩個:一方面是云計算帶來的速度和可擴展性。你有一個開發環境。你有一個管道。你可以建造一些東西。你只有一個最小的可行產品。你把數據放進去。然后有人會說,“哦,這是有趣的數據。讓我復制一份。” 很難開始?對不起,它很容易開始,但很難控制!數據蔓延就是其中最大的問題之一。
其次,我認為是不斷變化的隱私環境。歐盟《通用數據保護法案》(GDPR)在列出人們需要做的具體事情方面做得非常好。但例如,在美國,不同的州仍在思考如何以不同的方式處理隱私。這意味著如果你在美國或者你在美國做生意,那么你可能需要注意50個不同的隱私法規。
我認為這是兩件最重要的事情。隱私和安全之間有很多融合。所以,你需要一個個人隱私策略,但你也需要一個聯合策略,來更好地實現隱私保護。
Michael Krigsman:安全組織能在多大程度上通過為客戶提供更好的安全性和隱私來實現他們公司的市場差異化?
Kurt John:一般來說,安全部門面臨的最大挑戰之一就是闡明它的價值,因為我們的價值來自于沒有發生安全事故或沒有漏洞。我已經看到了越來越多的,我傾向于稱之為業務價值指標。
你需要一些操作指標來減少漏洞。你需要降低風險,需要清楚地表達風險等等。這些都是操作或風險指標。
業務價值指標是指這些活動如何向業務交付價值。一個很好的例子就是ISO 27001,它是一個標準機構的認證,你可以作為一個組織獲得該認證。它本質上說明,當涉及到組織內的安全治理時,你做得非常好。
對我來說,這是一個很好的例子,它不僅降低了風險(這是因為它意味著你已經把某些事情放在適當的位置,以確保你有一個健康的安全計劃),而且它還成為了一個業務價值指標。為什么?因為你的合作伙伴如果想和你簽約,可能會問你,“安全對我們來說真的很重要。它會破壞我們的行動。我需要知道你對待安全的態度有多認真?”
這時候,你就可以把證書交給他們。當然,這并不是最終的結果,但這是向正確方向邁出的重要一步,表明你在市場中脫穎而出。這是個很簡單的例子。
我認為,當你向下移動技術堆棧或你得到更多的安全技術成果時,你會看到這些也開始在市場上得到反映。實際上,我對此非常興奮,因為它解決了一個古老的問題,那就是:第一,CEO和CSO(在過去幾年)講的是不同的語言,一種非常技術,一種非常以業務為中心。第二,每當CEO或董事會的任何人問“我們做得怎么樣?”時,如果我們回答,“嗯,我們做得很好。沒有違規。” 他們就會表示:“好吧,如果沒有違規,你真的還需要那么多錢嗎?”
這是一種充滿碰撞性的對話。現在,有了這些業務價值指標,對話就變得更容易了。
QuHarrison Terry:也就是說,當您在構建一個沒有太多事件的環境時,必須要有威脅向量或您發現普遍存在的東西。
Kurt John:沒錯。
QuHarrison Terry:它們不僅對您如何建立內部組織有不同的影響,甚至對您如何傳達您所建立的系統的價值也有不同的影響,因為這些對您來說是最重要的。您覺得現在有什么特別的計算機事件非常引人注目嗎?
Kurt John:我非常依賴我的威脅情報團隊來展示一般的威脅形勢,以及這對Expedia來說意味著什么。另一個,就你的觀點而言,如果我的安全運營團隊正在減輕或阻止一些發生在環境中的事件時,我會高調地宣稱,“看,在過去30天里,我們阻止了以下幾起事件。”
回到你問題的關鍵,我現在處理這個問題的方式是,我在我的團隊所關注的事情和業務結果之間建立了非常緊密的聯系。
例如,一家公司專注于與第三方建立更強大的合作伙伴,并試圖在那里推動更多的自動化。然后,突然之間,API和邊緣計算對于驅動我的程序需要的那種業務效率變得非常重要。為什么?因為這是一個對成功至關重要的業務策略,所以我的項目也需要以此為中心。
QuHarrison Terry:在這種環境下,考慮到貴公司是一家電子商務公司,您如何看待欺詐?這是您負責的威脅的一部分嗎?或者這是您必須與內部業務部門密切合作的事情嗎?
Kurt John:有些欺詐是從一次安全事故開始的。有些欺詐是從錯誤配置開始的,但有些人可能會認為這本質上也屬于安全事故。有一些可能是從隱私事件開始的,有些人可能會說這是一樣的,但它有一點不同。
歸根結底,我發現,在整個行業中,至少有三到四個職能部門存在大量的合作關系。通常情況下,你會看到這些技能組合。最好的理解方式是價值鏈。我認為大多數過程和結果都是一個價值鏈。
作為一個組織,如果你想確保你能很好地處理欺詐行為,那么你想要的結果是什么?你需要采取哪些步驟?然后專注于推動這一過程,而不管它們在組織中的位置。
總有機會去優化和改變事物。但你想要的是這樣一種環境,在這種環境中,你可以得到一個結果,找到里程碑,然后橫向地推動各個業務單元。
QuHarrison Terry:您認為,在欺詐保護方面,一個更好的企業與政府聯盟具體是什么樣的?
Kurt John:你可能不太了解信息共享和分析中心(ISAC,Information Sharing and Analysis Center)。它是收集對信息科技,尤其是收集對關鍵信息基礎設施信息科技的網絡威脅信息的中心。ISAC通常是一個非營利組織,并在企業和公共事業之間提供雙向信息共享。
例如,成立于1999年的FS-ISAC(金融業信息共享和分析中心)現在已有300余企業會員,會員包括銀行、證券、保險、票券、期貨等細分行業。FS-ISAC還提供了額外的服務,包括參與在線研討會、威脅演習、協助創建信息過濾器以防信息超載。
就目前來看,美國已具有約20個行業ISAC。主要分布在金融、交通、電力、通信、航空、衛生、能源、水利等擁有大量關鍵信息基礎設施的重點行業。已知的ISAC還包括歐盟的FI-ISAC、日本的F-ISAC,韓國也已設置了KS-ISAC。
關于你的問題,有趣的是,我認為大多數企業都受到欺詐的影響,特別是如果控制不力的話。也許我想到的一個更好的方法是——我以前從來沒有想過這個問題,所以這是一個非常好的問題——我們是否需要開始思考這些困擾著我們的特定主題的風險,這些風險在多個領域橫向運行,坦率地說,困擾著很多公司和領域?
針對你的問題,我覺得它應該是某種信息共享類型的政企聯盟,最好是專門針對欺詐主題的信息共享和分析中心。
Michael Krigsman:在消費者生態系統中,個人無法通過合同向提供商追究責任,在您看來,安全項目增量投資的最大董事會激勵因素是什么?以及安全團隊可以提供哪些重要指標來推動董事會成員和業務同事的對話?
Kurt John:說到董事會,主要有兩件事。首先,你需要找到一種方法,向董事會闡明安全性是如何幫助保護或促進業務發展的。在最大程度上,你總是希望在業務策略的上下文中闡明你的安全結果。通常情況下,在董事會會議期間會有關于業務戰略的更新,所以你可以在會議之前或之后來,并能夠說明,“是的,我們正在采取這些步驟來幫助維護這一戰略。”這是一個。
第二,消費者也變得非常精明。我認為,總體而言,董事會和管理層開始意識到這一點(特別是隨著Twitter等社交媒體平臺的出現)。看到這一點后,我認為董事會對公司的形象要敏感得多。
我認為最大的推動力還是合規。我們所做的事情是否會讓我們所有人都進監獄或被叫到國會聽證?不,沒人想要這樣,所以進行安全審查。
作為一家公司,我們是誰?我們是否采取了必要的措施,讓我們的消費者繼續認為我們是他們安全和/或隱私的倡導者?如果我們不是——我認為許多公司需要問自己這個問題——那么我們是誰?
我之所以使用“個人(individual)”這個詞,是因為我認為公司具有獨特的文化和個性等等,所以請原諒我對“個人”這個詞的使用。在安全和隱私方面,我們屬于哪種類型的人?我們愿意走多遠?
第三個問題是,我們是否需要成為同類最佳,或者我們是那種擅長行業標準的公司?是最佳還是落后一點?這是一個公司需要與自己進行的持續風險對話。
我并不認為每個公司都需要在任何時候都是最好的。你需要考慮很多變量。當涉及到你的同事時,也是一樣的事情——只是降低了一個層次。
最后我想說的是,你需要非常重視反饋。你知道自己想要完成什么。你要盡自己最大的努力以一種你認為合理的方式與董事會和其他業務領導者建立聯系。
你要真正推動他們取得成功的結果。但你不可能總是對的,所以你想要有一個封閉的反饋循環系統,你可以不斷地得到反饋。那是怎么回事?有用嗎?沒用嗎?所以,我是業務價值指標的強烈支持者。我們怎么落實?然后得到反饋。因此,如果你需要以業務價值指標為中心,那么你就可以這樣做。
Michael Krigsman:我認為這是個好答案。問題是要說服董事會他們必須進行投資,這顯然很困難,因為投資就像保險一樣。
Kurt John:完全同意。我要提的另一件事是,你必須是一個令人難以置信的出色的資金管理人。
這是什么意思呢?如果你即將獲得一筆投資,你需要做兩件事。首先,你需要非常清楚地知道什么時候會產生什么價值,并為你和團隊設定里程碑,這樣錢就不會憑空消失。
另一件事是,僅僅因為你獲得了大量資金,并不意味著你不需要節約成本。你總是想這么做。如果為了進行更多優化和節省成本,你需要做出艱難的決定,那么你幾乎需要將它們分開對待,因此您需要進行優化。不管你是否有現金流入,你都會不斷優化你的支出。
Michael Krigsman:GDPR是一個很好的框架,我們知道美國聯邦政府無法很快制定出這種數據隱私法案,那么為什么公司不把GDPR作為自己的標準呢?
Kurt John:公司之所以不這么做,最重要的原因是他們大多是全球性公司。我想你們會發現,他們是總部在美國的公司,主要在歐洲運營,或者他們是總部在歐洲的公司,很快就會這么做。
但如果你關注更多的全球性公司,你會發現他們可能會更加猶豫,因為其中一個挑戰是,當你在美國東部或西部工作時,他們面對的是不斷變化的隱私法規,更不用說50個州了。例如,我知道加州剛剛通過了CPRA。俄勒岡州正在考慮出臺一個隱私法規。弗吉尼亞州也有一個。
我認為,公司在猶豫,他們最終做的是試圖找到公分母并解決這個問題,直到有一個更可預測的監管環境。我認為這可能是關鍵。在缺乏可預測的監管環境的情況下,公司會試圖做到公約數,以避免浪費資金。
QuHarrison Terry:你知道拳王泰森有句話,他說:“每個人都有一個計劃,直到……”
Kurt John:你的臉被打了一拳!
QuHarrison Terry:沒錯。完全正確。我想開始放大一下這個對話。作為首席安全官,您可以建立一個非常好的安全系統,但沒有一個系統是完美的。當您真的被入侵了或者遭遇一些超出想象的事情時,您在想什么?
Kurt John:作為一名首席安全官,你需要做的一件事就是弄清楚如何快速而優雅地面對失敗,因為沒有什么——正如你提到的——是完美的,總會出問題。當它出現時,你不會想要萎靡不振。你需要能夠在失敗后盡快恢復。
我還關注的一件事是,你需要不斷評估你快速失敗和快速恢復的能力。坦白地說,這是那些能很好地處理數據泄露的公司,和那些不能很好地處理數據泄露的公司之間的最大區別,因為如果一個國家決定跟蹤你,你幾乎無法阻止它。
這周我參加了一個CISO會議,有人問了這樣一個問題:“消費者真的還關心數據泄露的發生嗎?”
這個問題不是問我的。我當時也是觀眾,但我說了出來。我說,“是的,也許我們作為消費者有點麻木了,因為每天都在曝光各種漏洞新聞。但這并不意味著消費者不關心。”
公司面對的問題已經從“已經發生的數據泄露”轉變為“公司如何應對數據泄露”以及他們的溝通方式。對我來說,這也是你快速失敗并快速恢復的能力的一部分。
QuHarrison Terry:當我在安全部門工作時,我們非常擅長的一件事是事后分析和事后分析的藝術,我認為這幫了我們很多忙。我們做得有點不同的一件事是,我們總是以已實現的修復為主導。那么,你的團隊最高層的事后分析過程是怎樣的?
Kurt John:對我來說,最基本的問題就是剛剛發生了什么,怎么發生的。即使你不一定完全知道對手得到了什么,你要開始做的是試著弄清楚在你的環境中是否有其他區域復制了這種類型的錯誤配置或漏洞,你需要開始非常非常迅速地查看。它需要把發生的事情放入背景/上下文中分析。然后,與此同時,你顯然需要處理被訪問的內容,因為可能會有一些報告要求。
但對我來說,最重要的是弄清楚如何阻止可能發生的任何類型的破壞。但是,在那之后,我需要非常迅速地進入修復模式,并且能夠與董事會和其他可能需要獲得信息的人清楚地溝通。
QuHarrison Terry:假設您帶著現在的經驗和知識儲備回到過去,年輕時的你會怎么做?
Kurt John:可能有四到五件事,我希望我能記住它們,因為坐到這樣的位置上,真的會讓人不知所措。
有無數不同的事情在發生。每個人都需要占用你的時間。尤其是作為一個新手CISO,真的很難從噪音中過濾出信號。
我的建議是,確保你非常清楚自己的目標和關鍵結果,無論別人如何干擾你,你都要回到這些目標上。
第二,在安全領域,可能有4件事。有安全意識和培訓,試圖減少你的用戶群體做傻事的可能性;有端點保護,這里說的端點包括服務器;還有漏洞管理,你希望盡可能快地發現并擺脫這些漏洞;然后,在一定程度上,還有身份和訪問管理。
如果你能解決這四個問題,我認為你比很多其他組織都處于更好的位置,然后在此基礎上進行構建。找出你的基礎是什么。建立一些OKR,那就是你的“北極星”。你虔誠地工作,任噪音來來去去,你只需要專注于實現這些目標。
Michael Krigsman:安全和IT部門是如何處理合作伙伴的問題的,比如西南航空公司在圣誕節期間的服務中斷?
Kurt John:如果你也受到了波及,那么從今天開始,你就需要和你的重要伙伴建立關系,共享信息,分享政策,找出答案——獲得雙向報告等等。這就是你想做的。
如果是合作伙伴發生了事情,而你并未受到波及,那么你需要發揮真正的合作伙伴精神,利用你的資源,看看并詢問你能為其提供什么幫助。
這是需要雙向奔赴的關系,無論你是主要參與者還是第三方,你都需要這樣做。因為,沒有強大、積極的伙伴關系,我們都不會成功。
Michael Krigsman:人工智能在安全方面的作用如何?能使用人工智能作為首席信息安全官的顧問嗎?
Kurt John:這個問題很有趣。事實上,隨著ChatGPT的出現,人們確實圍繞這種類型的安全功能進行了大量的分析和開發利用。它會做一些類似于逆向工程的事情,基本上,只要告訴它要做什么,它就能做所有這些。
我堅定地認為人工智能在今天有一席之地,在未來還會有更大的一席之地,因為人工智能將幫助我們抽象出許多安全的復雜性,并讓我們專注于結果。現在,有些人可能會聽到這句話并認為,“人工智能導致工作機會正在消失。”對此,我并不認同。安全是一個非常復雜的領域,我認為這樣做可以幫助人類騰出非常有限的資源,來處理更復雜和有趣的業務問題。
Michael Krigsman:下面的問題需要你們兩位做出回答,“偉大的成長心態”思維認為安全既關乎偉大的技術,也關乎人類的行為。陷入危機,讓漏洞慢慢消失,絕不是正確的答案。事后和持續改進不僅關乎改善障礙,還關乎人們的反應和響應。
QuHarrison Terry:我相信你可能已經看到了,但新生代(00后)對此非常感興趣。我們都記得伴隨著我們成長的這些東西。Kurt,你還記得這種翻蓋電話嗎?
Kurt John:我當然記得!
QuHarrison Terry:瘋狂的是,這是一部你現在必須擔心的自帶設備手機。不,我是認真的。翻蓋手機又回來了。同時,惡意行為者也在利用這種設備,因為通過它更容易滲透進組織網絡。
但我們并沒有思考這些事情。我們總是看到新興的趨勢,然后發表評論。我們不考慮隱私,不考慮數據。我們使用它只是因為我們喜歡它的外觀。
舊的東西有朝一日會變成新的。新的東西有朝一日會變成舊的。現在在一個更加互聯的環境下,這些東西甚至可以發揮競爭情報的作用,這很吸引人。它們可以成為威脅、安全風險和漏洞。
但是我想把這個問題傳給你,Kurt,你是怎么看待這個問題的?因為人工智能現在很酷,但我記得當時區塊鏈和大數據也曾風靡一時。總有一種被炒作的趨勢,但你有責任將其保持在正軌上,并確保引擎向前發展。
Kurt John:技術可能會改變,但是,對于提出問題的人來說,你可以換掉技術,但本質上,你從用戶社區中尋找的是完全相同的東西。
首先,安全是零號任務(job zero)。第二,他們是安全的倡導者還是擁護者?如果他們不是,他們需要開始更多的意識培訓,只有參與水平和反饋水平才能推動這種文化。
然后,從我的角度來看,這也歸結于多樣性和成長心態。成長心態不言自明。我該如何學習、發展、成長,以便更好地應對這類問題?
然后多樣性。我說的是種族的,認知的,你能想到的,所有類型的多樣性。關于安全非常有趣的一點是,這是一個非常有創造性的領域。
兩個人可以坐在一起盯著同樣的東西看。僅僅因為你有了靈感的火花,你就能想出別人無法解決的問題。
是的,這是技術性的,但也有一定的藝術成分。無論何時,當你處在這樣的情況下,你都想要擁有背景多樣化的團隊。當它們組合在一起時,其效果將大于各部分的和。
我認為這是文化的結合,包括成長心態,以及多樣性。
QuHarrison Terry:考慮到您自己、同事和合作伙伴已經實施的一些實踐,為我們所有人帶來了新的環境。您認為IT安全的應用對整個旅游業有什么影響?
Kurt John:我會說,這是一種深切關心旅行者及其經歷的能力。這種體驗的一部分不僅僅是能夠看到大峽谷或救世主基督像或其他任何可能的東西。而是他們有信心與你分享信息,并相信你可以促進這種經歷,以幫助他們在旅行后對生活有更好的看法。我認為這為我們繼續努力在游客和合作伙伴中建立信心提供了動力。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號