道格豪斯:
从意图 & 同事工作室. 这是不合适的, 一个面向企业家的管理和金融服务播客, 终身商业领袖, 还有一些人已经准备好超越西装革履文化,寻找有意义的东西, 可衡量的结果. 我是道格·豪瑟. 在这个每周的播客中, 思想领袖和商业专家会分解复杂和平凡的话题,给你一些建议和见解,帮助你成长为一个领导者,同时帮助你的组织成长和繁荣. 如果你还没有订阅,请点击订阅按钮,这样你就不会错过未来的剧集了. 如果你想获得更多的信息, 显示记录, 独家内容, 请访问我们的网站WWW.beijingcitytourist.com . 播客,并注册获取更新.
您知道托管服务提供商和托管安全服务提供商之间的区别吗? 虽然它们可能有相似之处,但今天的客人告诉我,两者之间存在一些重要的差异,首先是托管安全服务提供商以安全和风险为先的方式领导. 今天, 肖恩·理查森和乔恩·巴克斯卓, 雷亚网络安全和数据保护服务团队的领导在这里解释这些差异,以及为什么你的企业应该关注谁对你的数据负责.
欢迎来到 不合适的肖恩和乔恩.
肖恩·理查森:
嘿,道格,你好吗?
家Baxstrom:
谢谢你!.
道格:
很高兴你们来了, 和男孩, 这个话题确实处于最前沿, 我认为, 现在发生的最重要的事情之一. 也许这只是一点点, 也许我有一点偏见,因为我们这里有一些客户经历过这种情况, 不幸的是. 我知道肖恩你现在正忙着应对突发事件, 这可能是, 我们会讲到一点, 但是稍微讲一下这些术语, 托管服务提供商. 这是我经常听到的. 就像会计一样, 当我们出去与企业交谈时,我们会听到这种说法, 但我很少听到MSSP管理的安全服务提供商. 肖恩,也许你能给我们一些启发. 有什么不同吗.
尚伟:
确定. 真的, 道格, 最大的区别在于,我们可以把托管服务提供商想象成维持供电的人, 保持网络正常运行, 确保电脑坏了就修好, 确保人们可以沟通. 坦率地说,这是CIA模式中的A以及CIA模式是什么, 只是保密问题, 完整性, 信息和网络的可用性, data, 身份, 等等......。. “三位一体”更侧重于计算机、网络和信息系统的可用性. 他们的工作是确保他们专注于,只专注于这一点.
现在, 坦率地说, 在过去的5到10年里,他们中的一些人有了一些转变, 但这样一来,你就进入了为每个人提供一切的领域,更少关注安全性,而更多关注可用性, 那些信息系统,数据和身份. 所以家的实际上领导着我们的管理安全和信息技术实践. 他是我们那个部门的经理. 所以他经常看到这两个概念之间的明显区别, 在提供这些解决方案的服务提供商之间, 只是日常解决方案和真正的托管安全提供商, 看看风险, 对我们来说,这是一种数据优先的方法.
道格:
好吧. So, 所以家, 跟我谈谈这种数据优先的方法和风险, 我们要做些什么来减轻这种影响?
家:
是的. 举个例子, 我不知道有多少次我走进一家公司, 中小型企业, 他们有MSP, 但他们真的不知道MSP在做什么. 除此之外,他们什么都不知道. 他们只知道这个人在这里, 他们应该让我的电脑灯亮着,除此之外, 他们对自己的信息系统和数据的安全性一无所知. 所以很多时候,我可以很容易地指出这些公司的巨大漏洞,因为这不是MSP的职责所在. 他们只是在那里,让电脑运行,让每个人都开心. 如果电话响了,那我们就可以出发了.
道格:
所以安全部分真的没有多大作用, 如果有的话, 那些所谓的msp做了什么, 正确的?
家:
正确的.
道格:
是的, 因为我们去见客户时听到的一件事是, 我在跟他们说这些事, 我知道几个关键词,试图识别情况,然后让像你们这样的专家参与进来, 但是当你问他们, 他们说, "Oh, 我们有很棒的MSP,我们所有的东西都在云端. 好了.“所以我相信你也听到了. 当人们说到这一点的时候,肖恩说了一些,他们错过了什么?
尚伟:
是的. 我就直说了, 最大的错误就是宣称我们在云端, 好了. 数据是有身份的. 这是什么意思呢? Data, 它与某人的身份有关, 它与一些行动或项目有关, 或者坦率地说, 大家都很清楚, HIIAA数据, 医疗保健信息, 私人身份信息, 机密信息, 因为它与商业有关. 也许它是一家制造公司,有一种特殊的酱汁或类似的东西.
但是把它颠倒过来,把它想象成发生在人力资源部门的日常事情,对吧? 当人们把纳税申报表寄给合伙人的时候, K1s, 不管是什么情况, 它们都有信息. 所以我要做的是把它放在云中而不加控制这是不可接受的. 这是与信息技术专家不相称的行为. 这也是我们与信息技术专家和安全从业者的区别所在. 一个以安全第一的方式领导的人.
道格:
家的,谈谈你可以在数据周围放置的一些控制. 作为一个典型的业主管理企业,我们处理的中端市场业务是什么? 我们应该做些什么,思考些什么?
家:
把数据限制在需要看的人身上是最重要的事情之一. 很多人认为他们的系统就是这样建立起来的. 但很多时候他们不是. 因此,基于凭证的访问是巨大的. 审查谁有权访问这些数据,哪些系统可以访问这些数据. 然后现在, 我的意思是, 当今最伟大的事情是双因素身份验证,并将其实现到该身份验证中, so.
道格:
是的,这很重要. 我知道我们正在和客户合作,让他们做好准备. 他们是政府承包商,他们必须做一些事情来升级他们的流程和程序. 这是其中很重要的一部分,多因素认证. 虽然我们在过去已经讨论过了, 他们真的有点抗拒它,因为这是一个痛苦的屁股, 谁想做这种多因素身份验证? 肖恩,谈谈这个吧.
尚伟:
是的. So, 具有讽刺意味的是, 这是一个很好的segue讨论清楚地定义你应该有什么控件, 尤其是在监管环境下, 就像你提到的那个客户, 因为现在我们有, 这就是政府要求的网络安全成熟度模型认证. 事实上,我们的团队是一个注册的评估和认证从业者. 在不久的将来,这里的公司将成为一家注册公司. 也是一家有资质的公司. 话虽如此, 我们实际上可以介入其中,和他们一起检查这些级别的控制,这样他们就能达到这些标准,这样他们就能真正开展业务了. 因为在接下来的几周和几个月里,他们将被追究责任,以确保他们在开展任何业务之前都需要这些控制. 所以这可能会影响他们的底线.
道格:
是的. 他们也在考虑,这对他们来说是一种竞争优势
尚伟:
绝对,绝对.
道格:
... 因为他们在大多数规模相似的竞争对手中走在了前面. 但, 家的, 也许你可以跟我们谈谈你是如何把这些变成你的文化和生活的一部分的, 呼吸文件和打勾, 我们做了这个, 它被扔到架子上,被遗忘了. 你如何向客户灌输这种文化?
家:
是的, 我认为首先要了解一家公司的风险偏好,以及他们愿意为保护自己的数据付出什么. 因为你可以用你想要的钱投入尽可能多的控制, 但这种欲望的极限在哪里呢?“我现在感到足够安全,我花了足够的钱,我有正确的控制措施,有合适的人来保护我的数据安全。.“所以这只是从一个会议开始, 和客户好好谈谈, 讨论他们愿意继续使用的漏洞和控制. 然后我们和他们一起制定一个计划,一起完成它.
道格:
所以肖恩, 如果我在看的话, 再一次。, 这是一句古老的谚语, 一盎司的预防胜过十分的治疗.“我知道你现在正忙于应对某种危机事件. 我们已经有过一些了, 不幸的是,最近几个月, 谈谈这种引子. 所以如果我提前做了正确的准备,把正确的事情安排在合适的地方, 你知道你在看什么, 也许是在时间和精力方面, "我的天啊, 这是一个危机. 我们要么被勒索软件攻击,要么被类似的东西攻击,我们面临着一个真正的问题."
尚伟:
这是一个很好的从家的的接触点开始,我将在此基础上继续. 坦率地说, 我们一直在讨论风险偏好与预算相关的问题. 在大多数情况下,他们甚至没有预算. 因此,我们将帮助他们建立这种关系. 有一件事我们永远不会做, 虽然, 我们永远不会把他们引向一个我们接受答案的方向, “嗯, 我们就便宜点吧. 让我们以尽可能低的成本来做这件事.“如果我们有这样的对话, 我通常, 在大多数情况下, 会阻止他们并向他们解释风险偏好的重要性吗. 但更重要的是,有一件事我们永远不会做,那就是隔离我们的... 把我们自己降低到一个我们可能会给企业带来风险的水平, “哦是的, 我们可以这么做,“只是为了拿到生意.
这就是想要销售产品的供应商和想要建立关系的合作伙伴之间的区别. 正确的? 所以在这个特殊客户的情况下, 这是一位我们认识并信任的网络保险代表的推荐,他们也信任他, 长话短说, 他们联系了我和我们的团队,我们马上就在现场订婚了. 我们讨论过他们有多少预算. 他们没有. 在[摄入00:12:42], 他们一直跑到现在, 他们的生意经营得很好, 但到目前为止都是简单的形式. 那么,从技术角度来看,这意味着什么呢? 他们只是在操作,他们进来并登录他们的电脑. 没有真正的、单一的真理来源. 这意味着像一个活动目录服务器或某种控制身份的系统,实际上涵盖了家的所说的关于设置明确定义的职责分离的领域, 控制, 谁能接触到什么, 等等......。.
所以现在我们的目标是让他们在接下来的25年里继续经营下去, 他们已经经营了25年, 我们现在想把他们带到那里吗. 这样我们就能满足所有的监管要求, 我们收集了取证信息,然后通过一些工具把这些信息传回给需要这些信息的各方. 但现在我们在一个支点上. 所以, 再一次。, 供应商、合作伙伴和关系建设者之间的区别在于,我们正处于一个转折点,我们希望让他们在未来25年里都是安全的.
企业主们整个星期都在谈论这个问题,就像, “我们可能需要做一些不同的事情.“所以这就是我们现在谈话的重点, 在那之前你们有过对话吗? 因为它们可能会持续数周,而它们只会持续10天左右, 7到10天是中断的时间. 但我们有客户叫道格, 你提到过, 我们的一些客户在某些情况下已经瘫痪了几个星期, 个月, 他们每天都在赔钱.
道格:
是的. 事情就是这样,在建筑行业和商业地产领域做生意. 很多时候我听到,“嘿,他们不是冲着我来的. 我是每年两千五百万美元的HPAC合同,不然他们管什么呢?“我们一直在努力击败他们,他们确实在乎. 首先, 你, 现在更容易下手了, 想想他们处理的客户在信息中他们可以成为大型公共项目的门户在那里他们可能只是一个分支或者其他可能发生的事情. 所以家, 谈谈你和这些客户打交道的经历,试着做好准备,克服困难. 你会不会这样推销他们:“好吧,这是投资回报率?“你会得到那种颗粒状的东西吗? 或者更像是,“嘿,这是你真正的风险.“你如何真正接近并说服别人, “嘿, 这是你需要为你的企业做的一项投资."
家:
是的. 再快速重申一下肖恩说过的话, 我们从来不只是卖给你们服务或者收取监控的月租费之类的. 我们想建立一个团队. 我们希望成为值得信赖的顾问,比如注册会计师. 我们希望建立并帮助您的公司成长. 继续, 我们要做的第一件事是快速的风险评估扫描整个网络, 扫描设备, 从网络外部扫描,看看哪里有高安全风险.
然后从那里开始, 基本上就是把这些交给高层管理人员, 所以他们的团队可以和我们的团队一起工作,我们就把他们放在那里说, “问题是这样的. 这里是巨大的、显而易见的漏洞,给贵公司带来了严重的风险.“然后我们可以和你合作,制定一个计划来解决这些漏洞和威胁因素,让公司向前发展.
道格:
它并不一定是一项重大的前期投资. 这是加班, 你建立了企业文化,流程和程序, 但是当你把它和... 肖恩,我们这里最近发生了几起. 我的意思是,谈到勒索软件,你会想到一家典型的公司. 就勒索软件活动而言,我们现在看到了什么?他们要求多少赎金
尚伟:
我会给你们一些小的例子我会给你们一些更大的例子. 从更小、更复杂的开始. 在这些暖通空调公司或建筑公司建立你的观点,他们正在做20, 每年3000万美元, “我们没有危险.“嗯,它们绝对是第一个目标,因为它们的控制不存在. 正确的? 所以他们在攻击他们的金融系统. 他们在攻击他们的备份. 坦率地说,这就是威胁行为者所追求的. 一旦他们获得控制权,他们就会突破最基本的控制,在大多数情况下,他们会在百思买买到的防火墙或路由器上进行控制, 只是为了通过网络, 通过流量率, 一旦他们攻破了那道屏障进入了他们的系统, 他们会把他们锁起来,然后他们就不能操作了.
小型组织中的完美用例示例, 我们已经讨论过这个了, 我记得是在另一个播客上. 那是阿米什社区的一个小炉子和一个零售商店. 是的, 他们有信息系统,我被允许购买店主的发言,因为他希望每个人都能感受到并理解他在这10天里所经历的一切. 我是说,我永远不会忘记,去年是我的生日. 我接到电话,两小时后,我就在他家门口,当时正值冠状病毒病. 所以发生的事情是他所有的QuickBooks和所有的封锁备份. 你谈到了这要花多少钱. 所以降低成本是有代价的, 企业退化是有代价的, 潜在的未来业务.
更重要的是,如何恢复这些数据? 对我们来说,我们很幸运. 我的IRT和法医小组联系了勒索者,并就降低成本进行了谈判. 老板做了这个决定. 等我们拿回数据. We, 当然, 法医捕获的数据, 测试它以确保它是好的, 大约6天后,它们又恢复了运作. 所以这是一个积极的结果.
另一个用例, 有几个, 但是最近, 昨晚我和这家公司的首席运营官共进晚餐. 她的丈夫插话说:“我有个朋友在一家价值30亿美元的钢铁公司工作. 它们已经被关闭了6个月. 在最初的30天里,他们每天损失近100万美元.想想看. 我的意思是... 你不相信自己是目标. 可能只是... 这又回到了约恩说的话, 我的意思是, 我们的方法非常, 在像我们这样的关系组织中,供应商和合作伙伴之间的区别在于我们想要建立这种关系, 但更重要的是, 我想了解你的业务. 我想先降低你的风险. 我们带你去吧. 我们来保护你. 我们一直在谈论这个. 找到任何灼热、尖锐和危险的东西,立即消除它,然后保证你的安全.
道格:
是的. 我很喜欢. 这是一个很好的概要. 那么,乔恩,在我们继续前进的过程中你还有什么最后的智慧之言吗? 我喜欢肖恩的标语. 我得记住这一点.
家:
是的. 我想我赢不了那个. 这很好. 但是,每个人都是目标.
道格:
老话是怎么说的, “如果你还没有被黑的话, 你可能只是不知道而已”或者类似的话.
尚伟:
是的,“所以如果你不认为自己被黑了,你可能只是没有意识到自己被黑了."
道格:
是的,是的. 所以我们都处于危险之中,这是最好的, 就像今天一样, 我的意思是, 你们得找像你们一样的专业人士, 因为我知道足够多的危险,其中一些人, 如我所说, 关键字. 但你必须让人们意识到. 这是一个巨大的风险,他们的生意,坦率地说,个人生活和幸福也因此受到影响. 所以,要确保它真的是预防药物. 这是, 这和我们去看医生没什么不同, 牙医, 为了检查和做一些事情来保持健康. 你的网络健康也一样. Shawn和家的很高兴你们今天能来. 我知道你很快就会回来的. 谢谢.
我们可以谈谈这个, 我知道, 整天, 我们也期待着以后的例子.
尚伟:
绝对,绝对.
家:
谢谢.
尚伟:
再次感谢你的到来. 当然,如果你想要更多的商业技巧和见解,或者听以前的 不合适的,请访问我们的播客页面WWW.beijingcitytourist.com/播客. 而且,当你在那里的时候,注册独家内容和节目笔记. 感谢收听本周的节目. 一定要订阅 不合适的 在苹果播客上, 谷歌播客, 不管你现在在听我们说话, 包括YouTube,我是道格 Houser. 下周继续收听我们的节目 不合适的 与业内专业人士进行面试.
免责声明:
如果你用expresson 不适合在意图电台播放 是我们自己的,并不一定反映意图的观点 & 比较靠谱的赌博软件. 该播客仅用于信息和教育目的,并不打算取代您在其他地方收到的专业建议. 就你的特殊情况向值得信赖的顾问咨询, 因此,他们可以根据您的具体情况专业地指导您找到最佳解决方案.