Запознайте се с човека, който поддържаше сигурността на Microsoft в продължение на 16 години

Запознайте се с човека, който поддържаше сигурността на Microsoft в продължение на 16 години
  • Майк Хауърд беше главен директор по сигурността (CSO) на Microsoft в продължение на 16 години.
  • Той отговаряше за сигурността на глобален екип от почти 200 000 души, включително изпълнителния екип на компанията, нейните 90 000 служители и приблизително 90 000 изпълнители в 700 съоръжения на компанията, разпръснати в 100 държави.
  • Той постави индустриални стандарти като включване на сигурността във всички програми за обучение на служителите и превръщането на сигурността в неразделна част от фирмената култура.
  • Тази статия е за собственици на бизнес и професионалисти по сигурността, които искат да се учат от топ CSO, който управлява протоколите за сигурност на Microsoft повече от десетилетие.

Майк Хауърд е бивш оперативен служител на ЦРУ с 22-годишен опит, който ръководи глобалните операции по сигурността на Microsoft като главен служител по сигурността (CSO) от 2002 г. до пенсионирането си на 31 август 2018 г. По време на престоя си в Microsoft, Майк гарантира, че компанията е установила протоколи, пригодени да работят при всякакъв вид физическа заплаха или заплаха за киберсигурността . Тези протоколи са предназначени да подкрепят компанията не само преди и по време на атака, но и след като е засегнала служителите.

Протоколи, вкоренени в традицията

Въпреки че Microsoft се счита за един от пионерите в технологичната индустрия, Хауърд веднъж каза, че много, ако не и всички протоколи за сигурност, наложени от Microsoft, все още се коренят в традиционните начини за осигуряване на сигурност в много корпорации.

„Киберсигурността е голям проблем за всички, тъй като станахме по-глобализирани като общество, а бизнесът разшири своите отпечатъци и всичко е цифрово“, каза Хауърд в предишно интервю. „Но традиционните проблеми със сигурността като кражби, насилие срещу служители, тероризъм и природни бедствия все още са от първостепенно значение от гледна точка на големите предизвикателства за сигурността за бизнеса.“

Хауърд вярва, че докато технологиите напредват все по-бързо всеки ден, големи компании като Microsoft все още трябва да базират своите протоколи за сигурност на чертежи, създадени преди десетилетия. Основите на сигурността са ключът към управлението на толкова голяма компания като Microsoft, но те се отнасят и за по-малки организации.

Независимо дали имате над 700 офиса, разпръснати в сто държави по света, като Microsoft, или сте малък бизнес, който иска да подобри вашата киберсигурност, трябва да се съсредоточите върху често срещаните проблеми със сигурността, срещани на всички нива на управление.

Как Microsoft се справя със сигурността

Заслужава да се отбележи, че Microsoft инвестира общо 1 милиард долара годишно, за да се увери, че техните собствени данни, както и тези на техните клиенти, са добре защитени. Това обаче не е единственият аспект на сигурността, в който компанията инвестира. Тя също така гарантира, че се поддържа максимална сигурност във всеки ъгъл на работното пространство. Управлението на инциденти със сигурността на Microsoft разчита на основните процеси за намаляване на рисковете за сигурността: подготовка, откриване и анализ, ограничаване, изкореняване и възстановяване и дейност след инцидент.

Въпреки че Microsoft харчи огромни суми пари за сигурност, спестяванията, които получава от предотвратяване и смекчаване на ефектите от атаки в резултат на наличието на изключителни протоколи за сигурност, са повече от това, което са похарчили.

Например, без подходящи протоколи за сигурност, „интелектуалната собственост може да бъде компрометирана и това може да повлияе на репутацията на марката на компанията или да доведе до съдебни дела“, каза Хауърд. И двете могат да доведат до големи загуби за компанията. Сигурността не е толкова допълнителен разход за компанията, колкото инвестиция.

Това е особено важно с нарастването на законите за поверителност на данните, тенденция, която започна точно преди Хауърд да напусне Microsoft, когато Европейският съюз (ЕС) прие Общия регламент за защита на данните (GDPR). GDPR отваря компаниите за финансова отговорност, ако нарушение на данните компрометира личната информация за идентифициране на всеки потребител в ЕС. Подобни закони, като Калифорнийския закон за поверителността на потребителите (CCPA), също се появиха след GDPR и изискват от компаниите да планират щателно своите протоколи за сигурност.

Примери за практики за сигурност на Microsoft

Като част от протокола за сигурност на компанията, Microsoft публикува Microsoft Security Intelligence Report на всеки шест месеца от 2006 г. насам. Този доклад обобщава всички заплахи, които са навлезли в системата на Microsoft, и всяка от тези заплахи се оценява, за да помогне за намаляване на риска от нарушаване на данните и други възможни проблеми.

Друга функция за сигурност, използвана от Microsoft, е тяхната платформа Microsoft Defender Threat Intelligence, която анализаторът по сигурността може да използва, за да анализира и приоритизира сигнали или заплахи, които се нуждаят от най-високо ниво на внимание.

Той функционира много като AI, предназначен за киберсигурност, позволявайки на Microsoft да изпраща персонализирани имейли до потребителите, когато възникне заплаха. Тези комуникации съветват потребителите относно определени връзки, върху които не трябва да се кликва, имейли, които изглеждат подозрителни, и други действия в киберпространството, които могат да бъдат маркирани като заплашителни.

Ролята на Майк Хауърд като евангелист по сигурността

Освен разработките, които предприе в Microsoft за защита на данните на своите потребители и клиенти, голяма част от отличието на Хауърд като човек зад звездните мерки за сигурност на компанията се приписва на ролята му на евангелист за другите. Хауърд гарантира, че всички в компанията, от тези, които живеят на най-ниското ниво на управление до изпълнителните директори и акционерите, разбират значението на сигурността както във физическия, така и в киберпространствения свят.

„До голяма степен [отдадеността на Microsoft към сигурността] е свързана с евангелизирането на сигурността на няколко фронта през последното десетилетие“, каза Хауърд. „Моят колега по ИТ сигурността и аз работихме усърдно, за да накараме хората да разберат сигурността и да подпомогнат тези усилия за сигурност и натискането на това съобщение в цялото предприятие.“

Внушаването на важността на тези протоколи в съзнанието на всеки един работник в Microsoft е непрекъснат процес. Тези работници са тези, които извършват ежедневните дейности във фирмата. Като такива, те трябва да имат предвид сигурността на бизнеса, докато изпълняват работните си функции.

Дори когато прави планове по отношение на маркетинговите усилия на Microsoft, Хауърд се погрижи да предостави информация, която да помогне на служителите да изпълняват своите отговорности, без да компрометира тяхната цялост или тази на ценната информация на компанията. Тази култура на евангелизиране на сигурността е наследството на Хауърд сега, след като той напусна компанията.

Помощта на служителите като начин за гарантиране на сигурност

Хауърд вярва, че освен ролята на технологиите за максимизиране на сигурността в Microsoft, служителите са от ключово значение за гарантирането, че работата се извършва с най-голяма бдителност и спазване на адекватни насоки за сигурност.

„Наличието на програма за обучение е от съществено значение за всяка програма за сигурност“, каза Хауърд. „Без него нямате добре закръглена програма за сигурност. Имаме определен брой служители и доставчици на пълен работен ден, за да покрием Microsoft в световен мащаб; никога не бихме могли да покрием света адекватно, без да образоваме и създаваме програми за информираност, които учат хората какво да търсят.“

Има определени ползи за сигурността от обучението на служителите относно рисковете за сигурността:

  • Служителите стават техен собствен персонал по сигурността; те се чувстват отговорни за благополучието на своите екипи и внимават за всякакви възможни заплахи.
  • Те ще донесат собствения си опит, за да вземат предвид фактори, които обикновено не са в уравнението, когато оптимизират сигурността, правейки протоколите за сигурност по-приобщаващи и ефективни.
  • Служителите са обучени да бъдат бдителни както пред своите компютри, така и в непосредствената им среда, като гарантират цялостна сигурност.

Защо отделът по човешки ресурси е от първостепенно значение за сигурността

Въпреки че е неразделна част от бизнеса, HR често се пренебрегва, когато се обсъжда как да се оптимизира сигурността. Най-често вратичките в системата за сигурност на компанията се намират в области, които иначе са били третирани като неуместни, което ги прави благоприятна среда за различни видове заплахи.

„Лоша икономика, проблеми у дома, дори работа с болен роднина могат да бъдат неща, които могат да предизвикат [причини за повишена] сигурност на работното място и наличието на екип, който да помогне за разрешаването на тези проблеми, може да ги предпази от инцидент на насилие или кражба — каза Майк.

Това показва, че технологията не е достатъчна, за да се справят само с проблемите на сигурността. Хората, които изпълняват дори най-простите задачи в Microsoft, трябва да бъдат взети под внимание, когато се подготвят смекчаващи решения, ако възникне заплаха. Екип от професионалисти, който е в състояние да оцени тези видове рискове от отдела по човешки ресурси, е това, което отличава Microsoft от другите. Това е урок, който другите компании трябва да вземат под внимание.

Как малките и средни предприятия могат да се поучат от практиката на Microsoft

Най-голямото погрешно схващане на малките и средни предприятия относно практиките на Microsoft за киберсигурност е, че е въпрос на това колко пари сте готови да похарчите, за да защитите информацията на вашата компания . Истината зад успеха на Microsoft обаче не е само делегирането на финансови ресурси.

Реалността зад успешните практики за сигурност на Microsoft е правилната ориентация на хората, които изграждат компанията от самото начало. Става дума за това да се уверите, че те разбират важността на протоколите за сигурност, независимо за кой отдел работят, и да ги обучите да смекчават възможните рискове, с които могат да се сблъскат в хода на работата си. Обръщането на внимание на служителите и проактивното актуализиране на информацията, необходима за смекчаване на рисковете за сигурността, е ефективен начин за ръководене на киберсигурността на компанията.

Не оставяйте сигурността на случайността

Историята на Майк Хауърд като бивш офицер по сигурността на ЦРУ беше стъпало към ролята му на главен офицер по сигурността на Microsoft и неговата философия, когато става дума за сигурност, се корени във факта, че всички заплахи могат да бъдат смекчени, стига да са налице правилни протоколи.

Времето на Хауърд в Microsoft подчертава важността както на технологичните, така и на протоколните защити за сигурността, независимо дали това означава внедряване на система за киберсигурност и план за реагиране, обучение на отделни членове на екипа или предлагане на ресурсите, от които се нуждаят, за да останат бдителни. Фирмената сигурност е работа на всеки и е необходима 24/7/365 отдаденост, за да се свърши тази работа.

11 технологични тенденции в малкия бизнес от 2023 г

11 технологични тенденции в малкия бизнес от 2023 г

Как затварянето на правителството вреди на малкия бизнес

Как затварянето на правителството вреди на малкия бизнес

Как да проектирате IVR телефонна система, която да не дразни...

Как да проектирате IVR телефонна система, която да не дразни...

Запознайте се с човека, който поддържаше сигурността на Microsoft в...

Запознайте се с човека, който поддържаше сигурността на Microsoft в...

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.