本期采访我们邀请了Expedia集团的首席安全官(CSO)Kurt John,以及风险投资公司Mark Cuban的首席成长官QuHarrison Terry与我们一起探讨数字时代企业面临的最新威胁,以及可以采取的防护策略。
在这次采访中,Kurt John分享了自己总结的第一手的网络安全经验。有需要的人一定不要错过这个机会,以获得关于网络安全未来的宝贵见解,并听取该领域经验丰富的领导者的意见。
Kurt John是Expedia集团的全球首席安全官,负责网络安全、物理安全和隐私的海外治理和执行。他还是大西洋理事会(Atlantic Council)的非常驻高级研究员,帮助思考美国及其盟友在地缘政治、商业和安全交叉领域面临的最相关的网络安全挑战。这包括为政策制定者提供建议,以帮助加强生活方式的安全。除此之外,Kurt还在私人和公共组织担任多个董事会职位,包括弗吉尼亚州创新伙伴关系管理局等等。
QuHarrison Terry是德克萨斯州达拉斯风险投资公司Mark Cuban 的首席成长官,负责为投资组合公司的营销策略和目标提供建议和帮助。此前,他曾在Redox负责领导市场营销,专注于潜在客户获取、新用户体验、活动和内容营销等任务。QuHarrison曾接受过CNN、哈佛商业评论、WIRED、福布斯等媒体专访,同时也是CNBC黄金时段系列节目《No Retreat: Business Bootcamp》的联合主持人。身兼演讲者和主持人的QuHarrison曾在CES、TEDx、罗马尼亚的Techsylvania、东京的Persol Holdings、德克萨斯州奥斯汀的SXSW等场合发表过演讲。值得一提的是,QuHarrison曾4次获得领英(Linkedin)“最佳技术发声奖(top voices in Technology award)”。
采访摘录
Michael Krigsman(主持人):今天的主题是2023年的安全态势以及如何管理和引导安全。下面有请本期嘉宾——来自Expedia集团的首席安全官Kurt John,以及嘉宾主持人——来自Mark Cuban公司的成长型营销主管QuHarrison Terry。Kurt,可以先简单介绍下Expedia集团以及您的角色吗?
Kurt John:我是Expedia集团的首席安全官(CSO),主要负责物理安全、IT安全(或网络安全)以及隐私等领域。
Michael Krigsman:QuHarrison Terry,欢迎您回来跟我一起主持今天的采访,能简单介绍您的角色以及Mark Cuban公司吗?
QuHarrison Terry:正如你所说,我是Mark Cuban公司的成长型营销主管。我也很高兴能参与本期采访,并且真的很期待即将到来的与Kurt的对话环节。我对这次谈话很兴奋,因为我们的主题是安全问题。
Michael Krigsman:Kurt,您如何看待当前复杂的安全形势?
Kurt John:我认为很多公司都在努力应对的一件事就是威胁的规模。我喜欢你刚才用的这个词,复杂性。规模的不断扩张,随之而来的就是环境的复杂性。试想一下,我们有云、有边缘计算、有人工智能、有自动化,还有编排。
有趣的是,不仅只有我们在努力改变业务模式以及市场影响力,恶意行为者也在改变。他们有相同类型的组织结构,相同的合资企业以及相同类型的战略合作,他们也在努力争取自己的利益,为自己牟利。
因此,我们要做的不仅要尝试新的业务模式以及获取更大的市场影响力,还必须防御那些正在做类似事情的攻击对手。所以,我认为,目前最大的挑战是规模、扩展以及复杂性。
话虽如此,但当涉及到实际的技术威胁时,可能有一些东西可以组织起来发挥作用。这与终端设备(我们都在使用的电脑)有很大关系;它与云有关,因为我们都在使用它。甚至对于一部分公司来说,这也与边缘计算有关。
最后一点,人工智能,无论是从安全的角度,还是从伦理的角度,关注人工智能都非常重要。
QuHarrison Terry:Kurt,世界上有很多像您这样的首席安全官角色。但在Expedia这样的旅游公司,这个职位意味着什么呢?
Kurt John:它关乎的是我们的旅行者,因为这是我们试图做的根本的事情。我们正在努力将旅行者与全球各地的新体验联系起来。
为了做到这一点,我们需要为旅行者提供新的能力,新的方式,让他们参与和计划自己的旅行。因此,我们会组织我们的旅行者,合作伙伴,当然还有我们的员工。我们做的很多决定以及我们问自己的问题和给出的答案都是围绕着旅行者、合作伙伴和员工。
现在,关于Expedia的有趣事实是,除了Expedia, Expedia集团还拥有很多其他品牌。对于这一点,很多人都不知道。
有次,我跟一位朋友聊天时提及,“嘿,我现在要去Expedia工作了!”
他们表示,“哇,你知道的,Expedia很好,但你知道谁更好吗?Orbitz.com!你可以搜索一下。”
我回应称,“哦,好的,我想我会去了解的。”但那个时候,很明显,我知道他们说的这个品牌。
除了orbitz.com外,我们其实还有travelocity.com、hotels.com、Verbo、carrentals.com以及很多品牌。所以,一个有趣的事实是,我们通过很多不同的品牌来推动市场价值。
Michael Krigsman:您如何看待不同公司、不同知名品牌的安全问题?
Kurt John:分享信息是十分必要的,因为我们现在已经到了一个地步:你无法独自完成任何你需要做的事情。除非你正在制造一个非常特殊的小部件(硬件小部件)供其他人消费(即使这样,你也需要有人提供钢铁或其他类型的原材料),否则你需要一个合作伙伴的生态系统才能取得成功。
从根本上讲,我会从两个方面来看待这个问题。第一个问题是,如何与合作伙伴合作,在整个生态系统中始终如一地推动安全性?这意味着显然每个人都不需要达到这个难以置信的高门槛。但是,你希望与你的合作伙伴在整个价值链上真正实现安全性。这是第一点。
另一方面,对我来说,是威胁情报和共享数据的能力,因为你的生态系统中的一些人可能正在遭受某些攻击。接下来的问题是,你们能在多大程度上共享信息,从而使你们能够隔离自己,或者试图避免这样的攻击?
在与你们的生态系统合作以及共享信息的过程中,我发现了提升安全态势的巨大价值。我认为这才是网络安全真正的未来。
甚至联邦政府、美国网络安全和基础设施安全局(CISA),以及国家网络安全记录办公室,都说过同样的话。换句话说,要打败我们所有人,你可能需要打败我们中的一个。但另一方面,要打败我们中的一个,你就必须打败我们所有人。这听起来非常复杂,但本质上,这意味着如果我们都合作,共享信息,并确保整个生态系统的控制是一致的,我认为所有企业都将受益匪浅。
QuHarrison Terry:Expedia内部是如何看待您所描述的决策支持系统的?毕竟,在整个企业中工作,每个人都有自己的指令和目标。
Kurt John:这并非Expedia独有的。这实际上可以应用于任何公司。这同样适用于我之前工作过的公司,任何人都可以采用。
从根本上说,你要考虑两件事。我认为人们通常没有足够的时间来构建你刚才描述的那种结构。它非常特别,你希望尽可能快地从特别转换到优化。这意味着过程的一致性。A)你的组织结构是什么样的?B)你如何评估组织内部的风险?你需要一种可重复的方法来做到这一点。C)你知道你的风险偏好吗?
这很有趣。我以前在公司工作过,当然不是Expedia。很多年前,我是一名顾问,我见过一些自认为风险偏好非常保守的公司。但当你看他们做决定的方式以及他们追求的东西的类型时,这是非常矛盾的。他们的风险偏好非常强烈。
我认为这是因为人们(或组织)并没有刻意去定义你的风险偏好是什么。它是保守的、激进的,还是介于两者之间?你觉得有风险和没有风险哪个更舒服?这又回到了你的风险偏好。
最后,你可能需要一种非常快速地做出决策的方法,就像您提到的那样。这意味着您可能需要为特定的风险阈值分配特定的决策。对于低、中、高以及更高的关键风险可能需要通过CEO做出决策。如果有一些风险较低的事情,可能会在总监级别或更低的级别做出。
Michael Krigsman:当技术无处不在时,您如何定义生态系统的边界?
Kurt John:不可否认,如今的生态系统边界已经变得难以置信地更加多孔(porous)。所以,我认为你不需要定义边界。事实上,在安全社区中,你会发现有些人可能会对这个不以为然,而是更多的关注零信任。这个术语可谓老生常谈,但你的信任圣地究竟在哪里?
零信任,仍然是关乎租户的问题。换句话说,你如何在你的环境中创建一个生态系统,允许你的合作伙伴和员工(无论他们在哪里)适当地访问,而无需访问所有内容的完整权限。
我在这个话题上的基本观点是,我没有边界,即使我有边界,它也会非常多孔。那么,如何更好地管理软件级别的访问呢?零信任是其中一个重要方面。
QuHarrison Terry:这个问题有没有引发您在隐私方面的担忧?
Kurt John:最大的担忧还是数据蔓延问题,原因有两个:一方面是云计算带来的速度和可扩展性。你有一个开发环境。你有一个管道。你可以建造一些东西。你只有一个最小的可行产品。你把数据放进去。然后有人会说,“哦,这是有趣的数据。让我复制一份。” 很难开始?对不起,它很容易开始,但很难控制!数据蔓延就是其中最大的问题之一。
其次,我认为是不断变化的隐私环境。欧盟《通用数据保护法案》(GDPR)在列出人们需要做的具体事情方面做得非常好。但例如,在美国,不同的州仍在思考如何以不同的方式处理隐私。这意味着如果你在美国或者你在美国做生意,那么你可能需要注意50个不同的隐私法规。
我认为这是两件最重要的事情。隐私和安全之间有很多融合。所以,你需要一个个人隐私策略,但你也需要一个联合策略,来更好地实现隐私保护。
Michael Krigsman:安全组织能在多大程度上通过为客户提供更好的安全性和隐私来实现他们公司的市场差异化?
Kurt John:一般来说,安全部门面临的最大挑战之一就是阐明它的价值,因为我们的价值来自于没有发生安全事故或没有漏洞。我已经看到了越来越多的,我倾向于称之为业务价值指标。
你需要一些操作指标来减少漏洞。你需要降低风险,需要清楚地表达风险等等。这些都是操作或风险指标。
业务价值指标是指这些活动如何向业务交付价值。一个很好的例子就是ISO 27001,它是一个标准机构的认证,你可以作为一个组织获得该认证。它本质上说明,当涉及到组织内的安全治理时,你做得非常好。
对我来说,这是一个很好的例子,它不仅降低了风险(这是因为它意味着你已经把某些事情放在适当的位置,以确保你有一个健康的安全计划),而且它还成为了一个业务价值指标。为什么?因为你的合作伙伴如果想和你签约,可能会问你,“安全对我们来说真的很重要。它会破坏我们的行动。我需要知道你对待安全的态度有多认真?”
这时候,你就可以把证书交给他们。当然,这并不是最终的结果,但这是向正确方向迈出的重要一步,表明你在市场中脱颖而出。这是个很简单的例子。
我认为,当你向下移动技术堆栈或你得到更多的安全技术成果时,你会看到这些也开始在市场上得到反映。实际上,我对此非常兴奋,因为它解决了一个古老的问题,那就是:第一,CEO和CSO(在过去几年)讲的是不同的语言,一种非常技术,一种非常以业务为中心。第二,每当CEO或董事会的任何人问“我们做得怎么样?”时,如果我们回答,“嗯,我们做得很好。没有违规。” 他们就会表示:“好吧,如果没有违规,你真的还需要那么多钱吗?”
这是一种充满碰撞性的对话。现在,有了这些业务价值指标,对话就变得更容易了。
QuHarrison Terry:也就是说,当您在构建一个没有太多事件的环境时,必须要有威胁向量或您发现普遍存在的东西。
Kurt John:没错。
QuHarrison Terry:它们不仅对您如何建立内部组织有不同的影响,甚至对您如何传达您所建立的系统的价值也有不同的影响,因为这些对您来说是最重要的。您觉得现在有什么特别的计算机事件非常引人注目吗?
Kurt John:我非常依赖我的威胁情报团队来展示一般的威胁形势,以及这对Expedia来说意味着什么。另一个,就你的观点而言,如果我的安全运营团队正在减轻或阻止一些发生在环境中的事件时,我会高调地宣称,“看,在过去30天里,我们阻止了以下几起事件。”
回到你问题的关键,我现在处理这个问题的方式是,我在我的团队所关注的事情和业务结果之间建立了非常紧密的联系。
例如,一家公司专注于与第三方建立更强大的合作伙伴,并试图在那里推动更多的自动化。然后,突然之间,API和边缘计算对于驱动我的程序需要的那种业务效率变得非常重要。为什么?因为这是一个对成功至关重要的业务策略,所以我的项目也需要以此为中心。
QuHarrison Terry:在这种环境下,考虑到贵公司是一家电子商务公司,您如何看待欺诈?这是您负责的威胁的一部分吗?或者这是您必须与内部业务部门密切合作的事情吗?
Kurt John:有些欺诈是从一次安全事故开始的。有些欺诈是从错误配置开始的,但有些人可能会认为这本质上也属于安全事故。有一些可能是从隐私事件开始的,有些人可能会说这是一样的,但它有一点不同。
归根结底,我发现,在整个行业中,至少有三到四个职能部门存在大量的合作关系。通常情况下,你会看到这些技能组合。最好的理解方式是价值链。我认为大多数过程和结果都是一个价值链。
作为一个组织,如果你想确保你能很好地处理欺诈行为,那么你想要的结果是什么?你需要采取哪些步骤?然后专注于推动这一过程,而不管它们在组织中的位置。
总有机会去优化和改变事物。但你想要的是这样一种环境,在这种环境中,你可以得到一个结果,找到里程碑,然后横向地推动各个业务单元。
QuHarrison Terry:您认为,在欺诈保护方面,一个更好的企业与政府联盟具体是什么样的?
Kurt John:你可能不太了解信息共享和分析中心(ISAC,Information Sharing and Analysis Center)。它是收集对信息科技,尤其是收集对关键信息基础设施信息科技的网络威胁信息的中心。ISAC通常是一个非营利组织,并在企业和公共事业之间提供双向信息共享。
例如,成立于1999年的FS-ISAC(金融业信息共享和分析中心)现在已有300余企业会员,会员包括银行、证券、保险、票券、期货等细分行业。FS-ISAC还提供了额外的服务,包括参与在线研讨会、威胁演习、协助创建信息过滤器以防信息超载。
就目前来看,美国已具有约20个行业ISAC。主要分布在金融、交通、电力、通信、航空、卫生、能源、水利等拥有大量关键信息基础设施的重点行业。已知的ISAC还包括欧盟的FI-ISAC、日本的F-ISAC,韩国也已设置了KS-ISAC。
关于你的问题,有趣的是,我认为大多数企业都受到欺诈的影响,特别是如果控制不力的话。也许我想到的一个更好的方法是——我以前从来没有想过这个问题,所以这是一个非常好的问题——我们是否需要开始思考这些困扰着我们的特定主题的风险,这些风险在多个领域横向运行,坦率地说,困扰着很多公司和领域?
针对你的问题,我觉得它应该是某种信息共享类型的政企联盟,最好是专门针对欺诈主题的信息共享和分析中心。
Michael Krigsman:在消费者生态系统中,个人无法通过合同向提供商追究责任,在您看来,安全项目增量投资的最大董事会激励因素是什么?以及安全团队可以提供哪些重要指标来推动董事会成员和业务同事的对话?
Kurt John:说到董事会,主要有两件事。首先,你需要找到一种方法,向董事会阐明安全性是如何帮助保护或促进业务发展的。在最大程度上,你总是希望在业务策略的上下文中阐明你的安全结果。通常情况下,在董事会会议期间会有关于业务战略的更新,所以你可以在会议之前或之后来,并能够说明,“是的,我们正在采取这些步骤来帮助维护这一战略。”这是一个。
第二,消费者也变得非常精明。我认为,总体而言,董事会和管理层开始意识到这一点(特别是随着Twitter等社交媒体平台的出现)。看到这一点后,我认为董事会对公司的形象要敏感得多。
我认为最大的推动力还是合规。我们所做的事情是否会让我们所有人都进监狱或被叫到国会听证?不,没人想要这样,所以进行安全审查。
作为一家公司,我们是谁?我们是否采取了必要的措施,让我们的消费者继续认为我们是他们安全和/或隐私的倡导者?如果我们不是——我认为许多公司需要问自己这个问题——那么我们是谁?
我之所以使用“个人(individual)”这个词,是因为我认为公司具有独特的文化和个性等等,所以请原谅我对“个人”这个词的使用。在安全和隐私方面,我们属于哪种类型的人?我们愿意走多远?
第三个问题是,我们是否需要成为同类最佳,或者我们是那种擅长行业标准的公司?是最佳还是落后一点?这是一个公司需要与自己进行的持续风险对话。
我并不认为每个公司都需要在任何时候都是最好的。你需要考虑很多变量。当涉及到你的同事时,也是一样的事情——只是降低了一个层次。
最后我想说的是,你需要非常重视反馈。你知道自己想要完成什么。你要尽自己最大的努力以一种你认为合理的方式与董事会和其他业务领导者建立联系。
你要真正推动他们取得成功的结果。但你不可能总是对的,所以你想要有一个封闭的反馈循环系统,你可以不断地得到反馈。那是怎么回事?有用吗?没用吗?所以,我是业务价值指标的强烈支持者。我们怎么落实?然后得到反馈。因此,如果你需要以业务价值指标为中心,那么你就可以这样做。
Michael Krigsman:我认为这是个好答案。问题是要说服董事会他们必须进行投资,这显然很困难,因为投资就像保险一样。
Kurt John:完全同意。我要提的另一件事是,你必须是一个令人难以置信的出色的资金管理人。
这是什么意思呢?如果你即将获得一笔投资,你需要做两件事。首先,你需要非常清楚地知道什么时候会产生什么价值,并为你和团队设定里程碑,这样钱就不会凭空消失。
另一件事是,仅仅因为你获得了大量资金,并不意味着你不需要节约成本。你总是想这么做。如果为了进行更多优化和节省成本,你需要做出艰难的决定,那么你几乎需要将它们分开对待,因此您需要进行优化。不管你是否有现金流入,你都会不断优化你的支出。
Michael Krigsman:GDPR是一个很好的框架,我们知道美国联邦政府无法很快制定出这种数据隐私法案,那么为什么公司不把GDPR作为自己的标准呢?
Kurt John:公司之所以不这么做,最重要的原因是他们大多是全球性公司。我想你们会发现,他们是总部在美国的公司,主要在欧洲运营,或者他们是总部在欧洲的公司,很快就会这么做。
但如果你关注更多的全球性公司,你会发现他们可能会更加犹豫,因为其中一个挑战是,当你在美国东部或西部工作时,他们面对的是不断变化的隐私法规,更不用说50个州了。例如,我知道加州刚刚通过了CPRA。俄勒冈州正在考虑出台一个隐私法规。弗吉尼亚州也有一个。
我认为,公司在犹豫,他们最终做的是试图找到公分母并解决这个问题,直到有一个更可预测的监管环境。我认为这可能是关键。在缺乏可预测的监管环境的情况下,公司会试图做到公约数,以避免浪费资金。
QuHarrison Terry:你知道拳王泰森有句话,他说:“每个人都有一个计划,直到……”
Kurt John:你的脸被打了一拳!
QuHarrison Terry:没错。完全正确。我想开始放大一下这个对话。作为首席安全官,您可以建立一个非常好的安全系统,但没有一个系统是完美的。当您真的被入侵了或者遭遇一些超出想象的事情时,您在想什么?
Kurt John:作为一名首席安全官,你需要做的一件事就是弄清楚如何快速而优雅地面对失败,因为没有什么——正如你提到的——是完美的,总会出问题。当它出现时,你不会想要萎靡不振。你需要能够在失败后尽快恢复。
我还关注的一件事是,你需要不断评估你快速失败和快速恢复的能力。坦白地说,这是那些能很好地处理数据泄露的公司,和那些不能很好地处理数据泄露的公司之间的最大区别,因为如果一个国家决定跟踪你,你几乎无法阻止它。
这周我参加了一个CISO会议,有人问了这样一个问题:“消费者真的还关心数据泄露的发生吗?”
这个问题不是问我的。我当时也是观众,但我说了出来。我说,“是的,也许我们作为消费者有点麻木了,因为每天都在曝光各种漏洞新闻。但这并不意味着消费者不关心。”
公司面对的问题已经从“已经发生的数据泄露”转变为“公司如何应对数据泄露”以及他们的沟通方式。对我来说,这也是你快速失败并快速恢复的能力的一部分。
QuHarrison Terry:当我在安全部门工作时,我们非常擅长的一件事是事后分析和事后分析的艺术,我认为这帮了我们很多忙。我们做得有点不同的一件事是,我们总是以已实现的修复为主导。那么,你的团队最高层的事后分析过程是怎样的?
Kurt John:对我来说,最基本的问题就是刚刚发生了什么,怎么发生的。即使你不一定完全知道对手得到了什么,你要开始做的是试着弄清楚在你的环境中是否有其他区域复制了这种类型的错误配置或漏洞,你需要开始非常非常迅速地查看。它需要把发生的事情放入背景/上下文中分析。然后,与此同时,你显然需要处理被访问的内容,因为可能会有一些报告要求。
但对我来说,最重要的是弄清楚如何阻止可能发生的任何类型的破坏。但是,在那之后,我需要非常迅速地进入修复模式,并且能够与董事会和其他可能需要获得信息的人清楚地沟通。
QuHarrison Terry:假设您带着现在的经验和知识储备回到过去,年轻时的你会怎么做?
Kurt John:可能有四到五件事,我希望我能记住它们,因为坐到这样的位置上,真的会让人不知所措。
有无数不同的事情在发生。每个人都需要占用你的时间。尤其是作为一个新手CISO,真的很难从噪音中过滤出信号。
我的建议是,确保你非常清楚自己的目标和关键结果,无论别人如何干扰你,你都要回到这些目标上。
第二,在安全领域,可能有4件事。有安全意识和培训,试图减少你的用户群体做傻事的可能性;有端点保护,这里说的端点包括服务器;还有漏洞管理,你希望尽可能快地发现并摆脱这些漏洞;然后,在一定程度上,还有身份和访问管理。
如果你能解决这四个问题,我认为你比很多其他组织都处于更好的位置,然后在此基础上进行构建。找出你的基础是什么。建立一些OKR,那就是你的“北极星”。你虔诚地工作,任噪音来来去去,你只需要专注于实现这些目标。
Michael Krigsman:安全和IT部门是如何处理合作伙伴的问题的,比如西南航空公司在圣诞节期间的服务中断?
Kurt John:如果你也受到了波及,那么从今天开始,你就需要和你的重要伙伴建立关系,共享信息,分享政策,找出答案——获得双向报告等等。这就是你想做的。
如果是合作伙伴发生了事情,而你并未受到波及,那么你需要发挥真正的合作伙伴精神,利用你的资源,看看并询问你能为其提供什么帮助。
这是需要双向奔赴的关系,无论你是主要参与者还是第三方,你都需要这样做。因为,没有强大、积极的伙伴关系,我们都不会成功。
Michael Krigsman:人工智能在安全方面的作用如何?能使用人工智能作为首席信息安全官的顾问吗?
Kurt John:这个问题很有趣。事实上,随着ChatGPT的出现,人们确实围绕这种类型的安全功能进行了大量的分析和开发利用。它会做一些类似于逆向工程的事情,基本上,只要告诉它要做什么,它就能做所有这些。
我坚定地认为人工智能在今天有一席之地,在未来还会有更大的一席之地,因为人工智能将帮助我们抽象出许多安全的复杂性,并让我们专注于结果。现在,有些人可能会听到这句话并认为,“人工智能导致工作机会正在消失。”对此,我并不认同。安全是一个非常复杂的领域,我认为这样做可以帮助人类腾出非常有限的资源,来处理更复杂和有趣的业务问题。
Michael Krigsman:下面的问题需要你们两位做出回答,“伟大的成长心态”思维认为安全既关乎伟大的技术,也关乎人类的行为。陷入危机,让漏洞慢慢消失,绝不是正确的答案。事后和持续改进不仅关乎改善障碍,还关乎人们的反应和响应。
QuHarrison Terry:我相信你可能已经看到了,但新生代(00后)对此非常感兴趣。我们都记得伴随着我们成长的这些东西。Kurt,你还记得这种翻盖电话吗?
Kurt John:我当然记得!
QuHarrison Terry:疯狂的是,这是一部你现在必须担心的自带设备手机。不,我是认真的。翻盖手机又回来了。同时,恶意行为者也在利用这种设备,因为通过它更容易渗透进组织网络。
但我们并没有思考这些事情。我们总是看到新兴的趋势,然后发表评论。我们不考虑隐私,不考虑数据。我们使用它只是因为我们喜欢它的外观。
旧的东西有朝一日会变成新的。新的东西有朝一日会变成旧的。现在在一个更加互联的环境下,这些东西甚至可以发挥竞争情报的作用,这很吸引人。它们可以成为威胁、安全风险和漏洞。
但是我想把这个问题传给你,Kurt,你是怎么看待这个问题的?因为人工智能现在很酷,但我记得当时区块链和大数据也曾风靡一时。总有一种被炒作的趋势,但你有责任将其保持在正轨上,并确保引擎向前发展。
Kurt John:技术可能会改变,但是,对于提出问题的人来说,你可以换掉技术,但本质上,你从用户社区中寻找的是完全相同的东西。
首先,安全是零号任务(job zero)。第二,他们是安全的倡导者还是拥护者?如果他们不是,他们需要开始更多的意识培训,只有参与水平和反馈水平才能推动这种文化。
然后,从我的角度来看,这也归结于多样性和成长心态。成长心态不言自明。我该如何学习、发展、成长,以便更好地应对这类问题?
然后多样性。我说的是种族的,认知的,你能想到的,所有类型的多样性。关于安全非常有趣的一点是,这是一个非常有创造性的领域。
两个人可以坐在一起盯着同样的东西看。仅仅因为你有了灵感的火花,你就能想出别人无法解决的问题。
是的,这是技术性的,但也有一定的艺术成分。无论何时,当你处在这样的情况下,你都想要拥有背景多样化的团队。当它们组合在一起时,其效果将大于各部分的和。
我认为这是文化的结合,包括成长心态,以及多样性。
QuHarrison Terry:考虑到您自己、同事和合作伙伴已经实施的一些实践,为我们所有人带来了新的环境。您认为IT安全的应用对整个旅游业有什么影响?
Kurt John:我会说,这是一种深切关心旅行者及其经历的能力。这种体验的一部分不仅仅是能够看到大峡谷或救世主基督像或其他任何可能的东西。而是他们有信心与你分享信息,并相信你可以促进这种经历,以帮助他们在旅行后对生活有更好的看法。我认为这为我们继续努力在游客和合作伙伴中建立信心提供了动力。
