Interviews
At navigere i cybersikkerhed: Indsigt og tips fra Niel Harper, Doodles CISO
Read Time: 6 minutes
I takt med at vores liv bliver mere og mere sammenflettet med den digitale verden, har behovet for robust cybersikkerhed aldrig været større. Fra beskyttelse af følsomme virksomhedsdata til beskyttelse af vores personlige oplysninger - indsatsen har aldrig været større.
Vi har talt med Niel Harper, Doodles Chief Information Security Officer og Data Protection Officer, for bedre at forstå dette landskab i konstant udvikling. Han vandt for nylig en Senior Professional Award med ISC2 en førende nonprofitorganisation, der specialiserer sig i cybersikkerhedstræning og -certificeringer. Tidligere i år blev han i en New York Times-annonce af Lacework også fremhævet som en fremragende leder inden for cybersikkerhed.
I dette interview diskuterer vi hans baggrund og rolle hos Doodle, tendenser inden for cybersikkerhed, hvordan man sikrer kundedata, og hvordan små og mellemstore virksomheder (SMB'er) kan beskytte sig selv i dette stadigt udviklende landskab.
Mød Niel Harper, CISO hos Doodle
Fortæl os om dig selv, og hvad der inspirerede dig til at forfølge en karriere inden for cybersikkerhed.
Min inspiration til at forfølge en karriere inden for cybersikkerhed udsprang af min interesse for at opbygge robuste netværk og IT-systemer.
Min karriere begyndte for omkring 20 år siden, da jeg fik min universitetsgrad i informationssystemer med speciale i telekommunikation. Her blev jeg introduceret til området og fik praktisk træning i at implementere kommercielle ISDN-tjenester (Integrated Services Digital Network).
Mit første rigtige job var hos Cable & Wireless, hvor jeg som teletekniker var involveret i den daglige drift af en internetudbyder på Barbados. Min sidste rene telekommunikationsrolle var som Network Operations Manager for AT&T Wireless, hvor jeg ledede et team med ansvar for drift og vedligeholdelse af et GSM-mobilnetværk.
I 2002 fik jeg min første cybersikkerhedsrelaterede certificering - Certified Information Systems Auditor (CISA) - og skiftede så til cybersikkerhed året efter som Manager of Internal & ICT Audit for en telekommunikationsudbyder på De Nederlandske Antiller.
Spol frem til 2022, hvor jeg kom til Doodle og siden har ledet it-drifts-, sikkerheds- og compliance-teamene.
De mest presserende cybersikkerhedstrusler
Hvad ser du som de mest presserende cybersikkerhedstrusler, som virksomheder står over for i dag?
Ransomware - en type ondsindet software, der låser eller krypterer et offers data og kræver en løsesum for at genoprette adgangen - er fortsat en stor trussel. Alligevel er den blevet endnu mere udbredt, da trusselsaktører fokuserer deres opmærksomhed på cyberafpresning.
Det nuværende geopolitiske klima bidrager også til, at meget erfarne og velorganiserede statssponsorerede modstandere i stigende grad går efter organisationer.
Derudover er mange virksomheder fortsat uforberedte på at håndtere de risici, de står over for fra tredjeparter (f.eks. angreb på forsyningskæden).
Endelig er medarbejderes og eksterne trusselsaktørers brug af generativ AI både en mulighed og en trussel, men mange virksomheder forstår stadig ikke fuldt ud konsekvenserne.
Sikring af vores kunders datasikkerhed
Hvordan sikrer Doodle sikkerheden for sine kunders data, især med sine produkter?
Hos Doodle er vi ikke afhængige af sikkerhedsværktøjer som erstatning for robuste sikkerhedskontroller. Vores fokus er primært på at få styr på det grundlæggende i cybersikkerhed - blandt andet identitets- og adgangsstyring (IAM), konfigurationsstyring, aktivstyring, sårbarhedsstyring, penetrationstest og tredjepartsrisikostyring. Alle værktøjer er lagt ovenpå for at understøtte orkestrering, automatisering og forsvar i dybden.
Der er en risikofokuseret "tone fra toppen", hvor cyberrisiko er et løbende emne på bestyrelses- og direktionsmøder og et nøgleelement i rammerne for virksomhedsrisikostyring (ERM). Doodle gennemgår også årlige SOC 2 Type II-, Cyber Verify- og GDPR-audits.
At skabe en kultur med sikkerhedsbevidsthed
Hvad er nøglen til at skabe en kultur med sikkerhedsbevidsthed blandt medarbejderne?
Det mest kritiske aspekt ved at skabe en kultur med sikkerhedsbevidsthed er en stærk "tone fra toppen". Sikkerhedsbevidsthed bør starte med ledelsen, der påvirker virksomhedskulturen og styrer deres teams handlinger.
Hos Doodle er bestyrelsen og direktionen f.eks. følsomme og opmærksomme på de potentielle konsekvenser af cyberrisici på tværs af flere virksomhedsdimensioner. Deres støtte i form af risikoejerskab, effektive beskeder, passende finansiering og ved at gå foran med et godt eksempel er afgørende for at indgyde den rette sikkerhedspraksis blandt medarbejderne.
Vi leverer også et dynamisk træningsprogram for sikkerhedsbevidsthed, der udnytter online-læring, regelmæssige tips og tricks, phishing-simuleringer, bordøvelser og rollespecifik træning.
Nye tendenser inden for cybersikkerhed
Hvilke nye cybersikkerhedstendenser eller -teknologier er du mest begejstret eller bekymret for?
Jeg er især begejstret for at se den store opmærksomhed, der er på opbygning af cyberkapacitet. Vi er vidne til, at betydelige ressourcer koncentreres om at opbygge kapacitet i nationalstaterne, så de bedre kan beskytte sig mod onlinetrusler.
Jeg må rose nøgleaktører som Global Forum for Cyber Expertise (GFCE), Verdensbanken, EU, World Economic Forum, Organisation of American States (OAS), Cyber Peace Institute og andre for deres arbejde på dette område.
Bekymringer i trusselshorisonten, som jeg tænker meget på, omfatter risikoen ved store sprogmodeller (LLM) og AI, tingenes internet (f.eks. intelligente enheder, forbundne biler, intelligente byer osv.), kvantesikker kryptografi og statsstøttet cyberkrig og cyberspionage.
Indsigt og råd til virksomheder
Hvilke råd vil du give virksomheder, især små og mellemstore virksomheder, for bedre at kunne beskytte deres data og bevare kundernes tillid?
Små og mellemstore virksomheder skal have nogen på ledelses- og driftsniveau, som forstår og ejer cyberrisiko som en strategisk forretningsrisiko. Med det mener jeg, at ansvaret for cybersikkerhed ikke bør uddelegeres til en it-chef eller systemadministrator, fordi det er meget mere end en teknologisk risiko.
En kvalificeret og erfaren person bør arbejde med at udvikle og udføre virksomhedens cybersikkerhedsplan. Hvis denne kompetence ikke er tilgængelig internt, bør de overveje at ansætte en virtuel eller fraktioneret Chief Information Security Officer (CISO) til at føre tilsyn med cyberrisikostyringen.
Som nævnt i en tidligere kommentar må organisationer ikke se smarte værktøjer som et universalmiddel eller en erstatning for effektiv cybersikkerhed. De skal lave en opgørelse over deres kritiske systemer og data ('kronjuveler') og implementere stærke kontroller baseret på vigtigheden af disse systemer og informationsaktiver for virksomheden.
Tak, Niel, for at dele din indsigt og ekspertise!