医療診断学からサイバーセキュリティとリスク管理のFBIリーダーまでキャリアを構築したChatmanは、業界の多くの人々にメンターシップを提供してきました。彼女は、CISOが今日の役割に特有の課題をどのようにナビゲートできるかについても明確なビジョンを持っています。
ジュリー・チャットマンがサイバーセキュリティに進むことは当初計画していませんでした。実際、彼女は大多数がそうではないと考えていますが、彼女がそうされたようにメンターシップを受けてそこに至ります。
チャットマンは米国海軍病院衛生兵として職業キャリアをスタートし、医学検査科学と技術を専攻していました。医療診断の中核です。「血液検査を分析し、品質管理を監視し、生死がかかった結果の正確さを保証していました。その精密性とシステム思考は、今日のサイバーセキュリティへのアプローチに直結しています」と彼女はCSOに語っています。
3度の米国海軍入隊の後、チャットマンはCIOオフィスの予算分析官としてFBIに参加しました。「予算分析は私の最終的な目標ではありませんでしたが、大規模な組織でテクノロジー投資がどのように行われるかを学びました」と彼女は言います。「ROI、リスク、リソース配分の言語を学びました。これらはすべてサイバーセキュリティリーダーシップに不可欠です。」
この基盤は、シニアリーダーが彼女にハイステークスプロジェクトに起用した際に価値があることが証明されました:FBIの紙ベースの機密情報提供者ファイルのデジタル化です。
「FBIは紙で運営されており、50以上の野外事務所、20以上の法務官事務所、および世界中の複数の秘密サイトがありました」とチャットマンは説明しています。「私たちは機関の最初のロールベースアクセス制御、PKIインフラストラクチャ、およびデジタル署名を実装しながら、この方法で働いたことのない数千人の職員の変化を管理する必要がありました。」
このプロジェクトは、エンタープライズサイバーセキュリティ、組織的変化管理、および大規模な運用セキュリティを組み合わせました。その成功は段階的にシニアな役割へのドアを開き、最終的にFBI内でのサイバーセキュリティとリスク管理リーダーの職につながりました。
FBIから、チャットマンはDeloitte、GSK、およびMcKinseyとの戦略的アドバイザリーの役割に移り、フォーチュン100企業のサイバーセキュリティ変革を主導し、数十億ドルの企業分離についてアドバイスし、基礎的な危機管理フレームワークを作成しました。その後、彼女はヘルスケアおよび連邦請負業者のCISOを務め、現在はサイバーセキュリティコンサルティング会社であるResilientTech Advisorsを運営しています。彼女のキャリア全体を通じて、彼女は新興のサイバーセキュリティプロフェッショナルのメンターシップを優先してきました。
CSOはジュリー・チャットマンにCISO役割がどのように変わっているのか、およびセキュリティリーダーが役割に特有の課題をどのようにナビゲートできるかについて話しました。以下はその会話で、長さと明確さのために編集されています。
CISOまたはサイバーセキュリティリーダーが今日直面している課題は何ですか?
チャットマン:いくつかの課題があります。古いものもあれば、新しいものもあります。
古い課題は、セキュリティが重要であることを人々に理解させることです。そして私が人々と言うとき、同僚、C級リーダー、環境内のすべての人を意味します。セキュリティはしばしば摩擦のように感じられ、仕事を成し遂げる際に邪魔になります。人々はセキュリティ制御を含む、彼らを遅くするものを回避します。それが基本的な緊張です。
2番目の課題は資金です。その最初の課題のために、リーダーはサイバーセキュリティ予算要求が必要だとは見ていません。何か問題が起こるまで。
3番目の課題は現代的です:AI対応適応攻撃。常に新興技術がありましたが、AIは人間の知性をある程度模倣できるという点で異なっています。現在、対象者に基づいて動作を変更する攻撃に対処しています。誰もそれを計画していませんでした。
そして個人責任があります。いくつかの高い注目度の事件では、セキュリティリーダーは違反開示の処理方法で刑事告発に直面しており、投資家と規制当局への危険報告方法について民事執行に直面しています。トレンドは、CISOに統治とディスクロージャーの決定について個人的に責任を持たせることに向かっています。しかし、ここが問題です:CISOはしばしばその説明責任に一致する権限を持っていません。あなたはリーダーシップに「このコントロールが必要です」と言い、尋ねるのをやめるように言われます。それから何かが起こります。誰が非難されるでしょうか?CISOはまた、チーフスケープゴートを意味することもできます。
この仕事にサインアップするように若い人を説得するのが難しくなっています。
それが起こっているのを見ていますか?人々が仕事を回避しているのを気づきましたか、それともこれらの最近のケースのために怖がっているだけですか?
チャットマン:はい、絶対に。このレベルのストレスと露出なしでお金を稼ぐ他の方法があります。
典型的なセットアップについて考えてください:あなたはC級経営者ですが、あなたの予算を制御する別のC級に報告します。彼らはD&O [取締役と役員] 保険カバレッジを持っています。あなたはそうしないかもしれません。彼らはサイバーセキュリティ予算を削減します。その後、違反があると、彼らはあなたを非難し、あなたは個人的に露出されている間、彼らは保護されます。
誰がそのためにサインアップするでしょうか?
この役割はより魅力的になっています。分数CISOs、仮想CISOs、完全なCISOタイトルの代わりにITセキュリティのヘッドが上昇しています。分数のCISOに個人的に責任を持たせるのは非常に難しいです。これは比較的新しいです。責任の会話は、いくつかの高い注目度の執行措置の後に本当に激しくなり、今私たちは市場が対応するのを見ています。
サイバーセキュリティ業界が私たちが見ている責任トレンドに対抗するために何ができますか?
チャットマン:推し返そうとしている支援グループがありますが、現実的には、規制当局が人々に責任を持たせたいのであれば、彼らはそうします。ですから、トレンドと戦うことについてではなく、個人として少なくとも今のところそれをナビゲートすることについてかもしれません。
まず、前もって保護をネゴシエートします。CISO役割の受け入れを考えているとき、明示的にD&O保険カバレッジについて尋ねてください。CISOが会社の取締役や役員と見なされず、D&O保険を与えることができない場合、会社は個人の保険をどのように補助しますか?現在、CISO固有のポリシーを販売している企業があります。これを補償交渉の一部にしてください。
次に、仕事を上手にやってください。ただし、パラドックスを理解してください。仕事を適切に行うと、「いいえのオフィス」というラベルが付けられることがあり、「難しい」と見なされ、18ヶ月続きます。それは矛盾しています。
本当の責任保護は、あなたの組織がリスク所有権についてどのように考えるかを変えています。ほとんどの組織はリスクの統一されたビューを持っていないか、それを適切に議論するための語彙を持っていません。CISOとしてそれを前進させることができれば、あなたはビジネスにリスクが自分たちを受け入れることで、あなたのものではないことを理解するのを助けることができます。
実践ではどのようなことがあるかは以下の通りです:誰かが「このコントロールを実装したくない、それはあまりにも費用がかかる」と言います。それは大丈夫ですが、誰かがそのリスクを正式に受け入れる必要があります。そしてそれはあなたではありません。これはビジネスオーナー、データオーナー、製品オーナーです。GRCツールに文書化し、プロセスを作成し、署名を取得します。
CISOが彼らに属さないリスクを引き受ける時にトラブルに入るのを見ます。彼らは拒否権を持っているかのように行動します。彼らは「I’m blocking this」または「You can’t do that」と言っています。これは彼らが受け入れるべきではないリスクを受け入れる立場に彼らを置きます。
代わりに、言う:「私たちはリスク食欲とリスク許容度を持っています。この決定はこれらのパラメータの外側に落ちます。この危険を正式に受け入れる必要があります。」それは会話です。あなたは彼らに言っていません。あなたは彼らに彼らの選択を所有するよう求めています。
しかし、これはサイバーセキュリティコミュニティの文化シフトを必要とします。私たちの多くは聞かれることに慣れていません。だから私たちはただ大きな話をします。それはビジネスリーダーシップではありません。
すべてのCISOはビジネスリーダーが最初にいることを覚える必要があります。これはROI、運用上の摩擦、および生産への影響について考えることを意味します。「正しいことだから私たちはこれをする必要があります」。映画ではそれは素晴らしいですが、あなたはビジネス機能を実行しています。企業はトレードオフで実行されます。
組織のサイバーへの投資をビジネスを保護する必要性とどのようにバランスさせますか?
チャットマン:CISOとしてどのくらいの声を持っているかによります。一部の組織では、CISOはテーブルの席を持っていません。CIOおよび他のC級は予算決定を閉じたドアで行い、次にCIOはあなたに何を得ているかを伝えます。ただし、組織構造に関係なく、ベストプラクティスは利害関係者が受け取ることができる方法で価値を明確にすることです。そして、予算会話にさえ到達する前に、単なるコストセンターではなくパートナーとして自分自身を確立してください。
組織に参加するときに私がすることの一つは、既存のツールを監査することです。使用していないものを支払っていますか?重複する機能に対して二重支払いしていますか?通常、かなり迅速に数十万ドルの節約を見つけることができます。それはあなたをCFOのオフィスで迅速に友達にします。
予算に関しては、あなたが何を必要とするかについて正直で、あなたがそれを得ないかどうか何が起こるかについて透明です。また、予算の3つのバージョンを構築することをお勧めします:
- まず、希望と夢の予算:既知のすべてのギャップを閉じて積極的に動作するのにかかるのはどれですか?
- 次に、これで生きることができる予算:現実的であり、あなたが許容できるリスクレベルに到達しますか?
- 三番目に、I-think-I’m-going-to-resign予算:違反が来ているのを見ることができるからです、あなたはあなたの名前をそれに添付したくないです。
あなたはおそらくその最後のものに終わらないでしょう、しかすべてのあなたの利害関係者は各レベルで何が危機にあるのかを理解する必要があります。そして、あなたはあなたが過去の投資がどのように成果に翻訳されたかを彼らに示す必要があります。あなたが達成したこと、あなたが防いだこと。
これは重要です。サイバーセキュリティ予算はブラックホールだと人々が言うからです。サイバーセキュリティは何も起こらない場合に最適に機能します。あなたのパフォーマンス指標は文字通りゼロのインシデントです。それは難しい売上ですが、それは現実です。
AI対応攻撃にどのように対処しますか?
チャットマン:CISOを含むすべてのサイバーセキュリティプロフェッショナルは、AIがどのように機能するかを理解する必要があります。一部の人々はAIがハイプであると考え、それについて学ぶことを遅延させました。今、皆はそれがどこにも行かないことに気付いており、テクノロジーを理解していなければ、あなたはそれに対して防御することができません。
また、セキュリティ認識トレーニングを更新して、AIの脅威を反映させる必要があります。これは、ディープフェイク、AI強化ビジネスメールの侵害、ターゲットに基づいて変わる適応攻撃をカバーすることを意味します。トレーニングプログラムは脅威環境とともに進化する必要があります。
そして、ここに見落とされることが多いことがあります:CISOは今、もっとアクセス可能である必要があります。AIはより説得力のある攻撃をより難しくします。従業員は、愚かに見えるのではなく、疑わしいアクティビティを報告することを快適に感じる必要があります。誰かがディープフェイクやAI生成のフィッシングの試みに落ちたと思われる場合、あなたは彼らが恥ずかしいために彼らが隠すのではなく、すぐにあなたに来ることを望みます。
ここでサイバープロフェッショナルへの私のメッセージは:覚えてください、あなたはいつもサイバーセキュリティの専門家ではありませんでした。あなたは時間の経過とともにこれを学びました。だから、人々が彼らがいる場所を満たします。専門用語をスキップします。平易な言語で物事を説明します。人々があなたを理解できない場合、彼らはあなたが組織を防御するのを助けることができません。
メンタリングの経験について教えてください。
チャットマン:1対1とグループの両方で、多くの人々にメンターシップとコーチング行っています。
たとえば、2021年に、私はCyber Career Differentiatorsと呼ばれる無料の5部のシリーズを作成しました。基本的にテクノロジー企業向けのビジネス理解とソフトスキルです。ファイアウォールの設定方法を教える企業がいたるところにありますが、テクノロジー企業が目を接触させ、ビジネスマンと実際の会話をする方法を教えている人は誰もいません。だから、私はその中核を構築し、それを外に出し、516人がクラスを取った。
それ以上に、私は継続的な1対1のメンターシップを行い、現在サイバーセキュリティリーダーの開発に焦点を当てたコーチング会社を実行しています。
あなたのキャリアで最も誇りに思っていることは何ですか?
チャットマン:以前、サイバープロフェッショナルはCISO役割から遠ざかっていると言いました。この仕事にサインアップするよう人を説得するのが難しくなっています。しかし、私が最も誇りに思っていることがあります:人々は私が彼らにサイバーセキュリティに参加するよう刺激されたと言ってくれます。私が得ている反応は、私が関連性があり、実用的で、人間であるということです。
私は人々がテクノロジーの背後にある人間について気にかかることを見ることができると思います。それが私が「いいえのオフィス」を決して運営していない理由です。「いいえ」は最初の言葉のほとんどの赤ちゃんが学習し、サイバーセキュリティの好きな言葉です。しかし、それは自然に私に来ません。これは私が許可的である、これは言わないではありません。難しい質問をし、詳細を掘り下げ、仮定に挑戦します。ただし、私は常にリッスンして始めます。
私が最も誇りに思っていることは、このフィールドによって怖がっている人々の例となることです。私は医療診断で始まった。私がCISOになることができるなら、好奇心と献身の適切なブレンドを持つすべての人は、サイバーセキュリティで成功したキャリアを構築できます。
これは、どのような技術的な達成、任意のFBIプロジェクト、他のものより私に重要です。他の人が自分たちのために可能だと見えるように刺激することが、私が誇りに思っていることです。
あなたにインスピレーションを与えている引用がありますか?
チャットマン:「強さは決して失敗しないシステムに見つかりません。しかし、より賢く、より速く、そしてより強く回復するために構築されたもの。」
あなたが学んだ本があり、他の人に提案したいと思いますか?
チャットマン:World War Z by Max Brooks。ゾンビの黙示録の最中に設定された短編集ですが、ゾンビの部分は単なるプレースホルダーです。価値があるのは、ストレス下の社会のさまざまなフィールドをどのように調べるかです。政府、軍事、財政、グローバルサプライチェーンと物流、医学、臓器移植と移植、医学、医学、医学。
この本は本当にゾンビについてではありません。インフラストラクチャが失敗した場合、システムがどのように崩壊するかについてです。基本的なサービスを失った場合はどうなりますか。食料品店、薬局、病院、法執行機関。すべての物あたり前だと思っていますか?
それを読むたびに、テクノロジー企業として考える方法について何か新しいものを見ています。たとえば、物流の章:サプライチェーンはどのように崩壊しますか?輸送システムが失敗した場合、人々はどのように立ち往生していますか?テクノロジーによって有効になされているので、これらのすべての依存関係を理解する必要があります。この本は、それらが機能しているときにどのように物事が動作するか、そして機能しないときにどの最初が最初に壊れるかについての興味深い見方です。
テクノロジーが規模で失敗したときに何が起こるかを示すため、このジャンルに魅了されています。我々はCrowdStrikeインシデントで少しの味を持っていました。人々は銀行口座にアクセスすることができず、家に飛ぶことができませんでした。それは体系的な失敗がどのようなものであるかの垣間見です。
