Yash Jain diskuterar hur cybersäkerhet måste vara en institutionell ”grundläggande komponent”, inte en ”compliance checkbox”.
För Yash Jain, en cybersäkerhets-, kriminalteknisk och integritetsansvarig på PwC, utvecklas Irlands cybersäkerhetslandskap ”snabbt i takt med att medvetenheten växer efter riktade cyberattacker mot kritisk nationell infrastruktur, såsom Health Service Executive (HSE) och läkemedelsföretag”.
Han berättade för SiliconRepublic.com: ”Dessa incidenter belyser vikten av cybersäkerhet i modern digital infrastruktur, vilket får både statlig och privat sektor att prioritera säkerhet som en grundläggande komponent, snarare än bara en kryssruta för efterlevnad.”
Kan du utveckla några av utmaningarna?
Cybersäkerhetsmedvetenheten är utbredd, men många kämpar med de praktiska åtgärder som krävs för att skydda både organisationer och individer från cyberthot. Den primära utmaningen ligger i att skapa en säkerhetsstrategi som är i linje med affärsmål och efterlevnadskrav. Cybersäkerhet handlar inte bara om att anta automatiserade verktyg eller att driva kampanjer. Det handlar om att välja en strategi som effektivt implementerar skyddsåtgärder över både människor, process och teknik. Dessutom är kompetensbrist en annan utmaning som denna sektor står inför i detta skede. Att hitta rätt talang för att hantera säkerhet och detta har varit en viktig utmaning.
Vilka färdigheter behöver moderna proffs i sin arsenal för att hantera eller ligga före hot?
I den nuvarande cybersäkerhetsmiljön kräver begränsning av kompetensbrist ett starkt grepp om nätverkskoncept och förtrogenhet med grundläggande utvecklingsverktyg, inklusive API:er och vanliga skript- och webbteknologier. Dessa kärnkompetenser gör det möjligt för proffs att förstå hur system kommunicerar, identifiera sårbarheter och effektivt analysera och reagera på cyberthot.
Denna kunskap lägger grunden för att förstå komplexa tekniska koncept. Att eftersträva globalt erkända certifieringar som Certified Information Systems Professional (CISSP) och Certified Information System Auditor (CISA) kan ytterligare förbättra deras säkerhetsexpertis. Detta tillvägagångssätt utrustar yrkesverksamma att navigera i de växande utmaningarna inom cybersäkerhet. Att utnyttja AI för att utveckla dessa färdigheter erbjuder dessutom ett modernt alternativ till traditionella inlärningsmetoder, som att gå igenom omfattande böcker.
Hur kan en organisation säkerställa att arbetsstyrkan är tillräckligt utbildad i bästa praxis för cybersäkerhet?
För att bygga en robust cybersäkerhetskultur bör organisationer se till att deras team förstår cybersäkerhetens inverkan på både dem och organisationen. Utbildningen bör vara enkel och tydlig, särskilt för dem i icke-IT-roller som HR, ekonomi och drift. Engagera din personal med interaktiva sessioner, som personlig träning och storskaliga nätfiske-simuleringsövningar. Dessa simuleringar, som hanteras av ditt säkerhetsteam eller en betrodd tredje part, involverar att skicka falska nätfiske-e-postmeddelanden till anställda för att testa deras förmåga att upptäcka och hantera nätfiskeförsök – utan något verkligt hot mot organisationen.
Och tillbaka till grunderna, det är avgörande att upprätthålla grundläggande säkerhetspraxis, undvika att dela lösenord, avstå från att skriva ner dem på skrivbord eller laptopfodral och inte använda företagets e-postadresser för personliga aktiviteter som gymmedlemskap. Genom att främja dessa vanor kan du förbättra din organisations motståndskraft mot cybersäkerhet.
Hur viktigt är korssamarbete för att säkerställa stark cyberhygien och snabb lyhördhet för hot?
Korssamarbete är avgörande för att bygga en motståndskraftig ställning för cybersäkerhet. Cybersäkerhet är inte längre enbart IT- eller säkerhetsteamets ansvar, det är en organisatorisk angelägenhet som berör varje avdelning och individ. När team inom HR, juridik, ekonomi, drift och teknik arbetar utan samarbete skapar det blinda fläckar som hotaktörer enkelt kan utnyttja. Effektivt samarbete säkerställer att hotintelligens delas snabbt mellan rätt team, vilket möjliggör snabbare upptäckt och respons på incidenter. Till exempel, under en ransomware-attack, är ett samordnat svar mellan säkerhetsteamet, högre ledning, juridisk rådgivning och kommunikation väsentligt för att minimera skador och upprätthålla efterlevnadsförpliktelser.
Det är viktigt att organisationer vidtar konkreta åtgärder för att upprätthålla och stärka sitt nuvarande tillstånd av effektivt samarbete och följaktligen överväger att gå bort från traditionella cyberbedömningsövningar, såsom konventionella penetrationstester. Istället borde de flytta fokus mot lila lagövningar. En lila lagövning är en avancerad bedömning av cyberpenetrationstestning där penetrationstestare simulerar sofistikerade cyberattacker för att utvärdera en organisations säkerhetsmognad över människor, processer och teknik, med målet att upptäcka och blockera potentiella cyberhot.
Finns det några myter kring din roll inom cybersäkerhet som du skulle vilja avslöja?
Absolut. Det finns några missuppfattningar jag ofta stöter på som jag tycker är värda att ta itu med. Den första är att cybersäkerhet är en rent teknisk roll. Även om teknisk kunskap verkligen är värdefull, involverar en stor del av det jag gör strategiskt tänkande, riskbedömning och att kommunicera hot på ett sätt som icke-tekniska intressenter kan förstå och agera på. Du behöver inte vara programmerare för att ha en meningsfull och effektfull karriär i detta utrymme.
Den andra myten är att cybersäkerhet bara är ett bekymmer för stora organisationer. Min erfarenhet är att små och medelstora företag ofta är mer sårbara just för att de antas ha låg risk och därför investerar mindre i sitt försvar. Angripare är mycket medvetna om detta.
Den tredje och kanske farligaste myten är att att ha rätt verktyg innebär att du är skyddad. Teknik är bara ett lager av försvar. Några av de mest skadliga intrång jag har sett var inte resultatet av ett tekniskt fel, de inträffade för att en person klickade på en länk som de inte borde ha, eller delade referenser utan att inse konsekvenserna.
Vad är ditt råd till proffs som letar efter en liknande karriär inom detta område?
Mitt råd är enkelt: börja med nyfikenhet och sluta aldrig lära dig. Börja med att bygga en solid grund inom nätverks- och IT-grunderna, och överväg att söka erkända certifieringar som CompTIA Security+, CISSP eller CISA beroende på ditt intresseområde. Bli inte avskräckt om din bakgrund inte är inom traditionell IT, eftersom några av de mest effektiva yrkesverksamma inom detta område kommer från olika bakgrunder som juridik, affärer och psykologi, eftersom mjuka färdigheter som kommunikation, kritiskt tänkande och problemlösning är lika värdefulla som teknisk expertis.
Vi har sett sådana scenarier där människor som kommer från olika utbildningsbakgrunder som affärsstudier, juridik och andra icke-tekniska kurser följde ovanstående tillvägagångssätt och möjliggjorde dem som kompetenta cyberproffs. PwC tillhandahåller skräddarsydda utbildningsprogram skräddarsydda för anställda som går med i företaget från olika bakgrunder för att uppnå detta mål. Inlärningsvägen är anpassad för att utveckla individer till cybersäkerhetsproffs som kan hantera rutinmässiga styrnings-, risk- och efterlevnadsuppgifter för att upprätthålla en organisations cybersäkerhetsställning. Men för att få ytterligare djup i denna karriär, specifikt för att bli en offensiv säkerhetsingenjör krävs ytterligare färdigheter.
Utnyttja AI-drivna inlärningsverktyg och onlineplattformar för att påskynda din utveckling snarare än att enbart förlita dig på traditionella metoder. Viktigast av allt, engagera sig med den bredare cybersäkerhetsgemenskapen genom evenemang, forum och nätverksmöjligheter, eftersom detta område frodas på samarbete och kunskapsdelning och de som omfamnar det kommer alltid att ligga före.
