Bespreking van de beveiligingsadviesraad van Splashtop, cyberrisico's en heroverweging van softwareproductie met cybersecurity-expert Sebastian Goodwin
Door Mark Lee, CEO en medeoprichter van Splashtop
Splashtop heeft onlangs bekendgemaakt dat Sebastian Goodwin is toegevoegd is aan de Veiligheidsadviesraad. Deze raad heeft Splashtop december 2020 in het leven geroepen. Sebastian is cybersecurity-onderzoeker, keynote spreker, bedrijfsadviseur, adjunct-professor aan de UC Berkeley's School of Information en Chief Information Security Officer (CISO) bij Nutanix. Hij heeft meer dan 20 jaar ervaring in het helpen van Global 2000-bedrijven om grote cyberrisico's te beheersen.
Sebastian sprak onlangs met Splashtop CEO Mark Lee over de redenen waarom hij lid is geworden van de Splashtop Veiligheidsadviesraad, waarom hij zo gedreven is als het gaat om security en hoe hij de security als geheel ziet evolueren in dit tijdperk van toenemende ransomware-aanvallen en andere cybersecurity-dreigingen.
Mark Lee: Sebastian, we zijn zo blij dat je deel uitmaakt van onze Security Advisory Council. Ik geloof dat je Splashtop voor het eerst hebt leren kennen via een van onze investeerders, correct?
Sebastian Goodwin: Ja, dat klopt. Hij kende mijn achtergrond en wist dat Splashtop op zoek was naar beveiligingsadviseurs, dus het was logisch om ons bij elkaar te brengen.
Mark: Je hebt een enorme professionele ervaring in cybersecurity, met je huidige functies als CISO bij Nutanix en bestuurslid van SADA, een Google Cloud Premier Partner en leverancier van oplossingen, evenals je vroegere leidinggevende functies op het gebied van beveiliging bij onder andere Palo Alto Networks, Robert Half, PeopleSoft en IBM. Je hebt in vogelvlucht te zien hoe bedrijven cyberrisico's aanpakken. Hoe goed denk je in het algemeen dat organisaties de beveiliging tegenwoordig aanpakken?
Sebastian: Bedrijven worden tegenwoordig geconfronteerd met ongekende cybersecurityrisico's. Zoals recente nieuwsberichten hebben laten zien, is ransomware een enorme bedreiging. Aanvallers hebben zich gerealiseerd dat ze invloed kunnen uitoefenen door software aan te vallen die veel wordt gebruikt in verschillende sectoren en markten. Bedrijven moeten heroverwegen hoe ze software produceren om de beveiliging beter te handhaven en het vertrouwen van klanten te behouden.
Mark: Kun je meer zeggen over hoe bedrijven moeten "heroverwegen" hoe ze software produceren?
Sebastiaan: Zeker. Herbezinning betekent het vinden van de juiste balans tussen beveiliging aan de ene kant en zakelijke bruikbaarheid aan de andere kant. Als je zwaar investeert in het snel leveren van nieuwe producten en functies voor klanten, kan dit betekenen dat je minder kunt investeren in beveiliging. Investeren in beveiliging kost juist veel tijd en kan de flexibiliteit en het vermogen om concurrerend te blijven verminderen.
De sleutel is om de goede balans te vinden waar je je klanten kunt bedienen met verbeterde producten en functies die ze nodig hebben, en je je producten tegelijkertijd zo veilig mogelijk kunt maken.
Mark: Klanten zijn gaan verwachten dat ze snel de nieuwste en beste functies krijgen, maar ze zijn zich misschien niet bewust van de risico's van het gebruik van software die niet grondig is doorgelicht. Zie je dat veranderen?
Sebastian: Het maakt allemaal deel uit van een grotere verschuiving in het bewust zijn van cyberrisico's. Het is duidelijk dat elk bedrijf of individu dat zelf een aanval heeft meegemaakt, het belang van goede cybersecuritypraktijken begrijpt, ook al zijn ze te laat tot dat besef gekomen. Degenen die nog geen cyberaanval hebben meegemaakt zijn te verdelen in twee categorieën: of ze zetten zich in om zichzelf en hun bedrijven proactief te beschermen, of ze maken zichzelf een gemakkelijk doelwit. Een aanval kan die mensen duur komen te staan.
Mark: Wat zijn enkele dingen die softwarebedrijven als de onze kunnen doen om onze klanten te helpen beschermen tegen cyberbeveiligingsslachtoffers?
Sebastian: Het begint met heel goed nadenken over beveiliging en het ontwerpen van software die standaard veilig is. Maak bijvoorbeeld tweestapsverificatie een standaard voor authenticatie bij uw services via openbare netwerken.
Neem een zero-trusthouding aan, wat betekent dat je niets of niemand vertrouwt. Ga ervan uit dat alles uiteindelijk zal worden geschonden, en probeer uw 'blast radius' te beperken - de term waarmee de beveiligingsindustrie beschrijft hoe ver een bepaalde aanval doorwerkt. Zorg er bijvoorbeeld voor dat als een gebruiker op een netwerk een gecompromitteerd apparaat heeft, de malware zich niet verder dan die gebruiker kan verspreiden en zo andere apparaten op het netwerk kan infecteren.
Mark: U zet zich in om bedrijven te leren hoe ze hun cyberbeveiligingspraktijken kunnen verbeteren. Kun je wat vertellen over dat aspect van je werk?
Sebastian: Ik denk dat het cruciaal is dat organisaties hun cyberrisico's effectief kunnen meten en beheren, zodat ze hun bedrijf proactief kunnen beschermen. Eén manier waarop ik kan helpen is als onafhankelijk spreker op het gebied van cybersecurity en adviseur van CEO's en besturen. Het plaatsnemen in jullie Veiligheidsadviesraad is een voorbeeld van deze rol. Ik geef ook een cursus op graduate niveau die ik heb gemaakt voor UC Berkeley, waar ik toekomstige technologie- en businesssleiders help om beter te worden in het beoordelen en beheren van cyberrisico's, zowel op directie- als boardniveau.
Mark: Je bent duidelijk gepassioneerd over het beheer van cyberrisico's. Waar komt die passie vandaan?
Sebastian: Ik ben al zo lang als ik me kan herinneren in computers geïnteresseerd. Ik leerde mezelf programmeren toen ik nog vrij jong was, tijdens de dagen van 2400-baud modems en het begin van het wereldwijde web. Ik ben altijd gefascineerd geweest door hackers en de creativiteit en vaardigheden die bij hacken komen kijken. Bedenk maar eens: je moet eerst goed begrijpen hoe een systeem is gebouwd om op een bepaalde manier te werken en dan moet je manieren bedenken om dat systeem dingen te laten doen waarvoor het niet is ontworpen.
Het is een boeiende puzzel en een uitdaging. Een grappig verhaal: op de middelbare school werd ik bijna van school gestuurd toen ik de nieuw geïmplementeerde encryptiesoftware van de computerafdeling kon omzeilen. Wat me redde, was dat een van mijn leraren net 'alle studenten had uitgedaagd om de onbreekbare codering te hacken'. Gelukkig werd ik dus niet van school gestuurd.
Mark: We zijn blij dat je besloten hebt te blijven werken aan het voorkomen van aanvallen in plaats van je aan te sluiten bij de duistere kant van schadelijk hacken!
Sebastiaan: Ik ook! Maar ik denk dat waardering hebben voor de skills van hackers belangrijk is. Als ik securitymedewerkers inhuur, zorg ik ervoor dat ze de alle aspecten van de technologie begrijpen. Mensen die net zijn afgestudeerd en geweldig zijn in het schrijven van code, hebben veel training nodig om op het punt te komen waarop ze alle manieren kunnen begrijpen waarop de software die ze bouwen kan worden omzeild. Het is een eindeloze uitdaging, maar ook eindeloos fascinerend.
Mark: Heel erg bedankt voor dit gesprek, Sebastian. En bedankt voor je toetreding tot onze Security Advisory Council om Splashtop te helpen de beveiliging van de producten die we leveren voortdurend te verbeteren.
Sebastian: Ik waardeer hoe Splashtop met security omgaat. Net als mijn huidige bedrijf, Nutanix, zet Splashtop zich in om vooruit te kijken en proactief te zijn over beveiligingsrisico's. Dat is het enige verantwoorde startpunt om uit te zoeken hoe we de meest veilige oplossingen voor onze klanten kunnen bouwen.