taló Jack Koziol, fundador i CEO d'Infosec - Entrevistes de ciberseguretat - Unite.AI
Connecteu-vos amb nosaltres
   entrevistes  
Jack Koziol, fundador i CEO d'Infosec – Entrevistes de ciberseguretat
 mm
 actualitzat on   
 
Jack Koziol, fundador i CEO de Infosec, s'especialitzen a enfortir les organitzacions i els seus empleats contra les amenaces de seguretat amb una educació guardonada sobre seguretat i privadesa. Reconèixer que la ciberseguretat és feina de tots, ofereixen formació en desenvolupament d'habilitats i certificació per als professionals de la TI i la seguretat, alhora que construeixen l'aptitud de seguretat de tota la plantilla amb formació de conscienciació i simulacions de pesca. Reconegut com a Elecció dels clients de Gartner Peer Insights per a la formació basada en ordinador sobre conscienciació de la seguretat, Infosec també és una de la indústria de la formació "Top 20 IT Training Company" i el Guanyador d'or del programa de formació i educació en seguretat als premis a l'excel·lència global de la Guia de productes de seguretat d'Info.
Inicialmente vas començar a treballar en ciberseguretat a Harris Bank l'any 2003, què va implicar la teva feina i com ha canviat la indústria des de llavors?
Vaig ser l'únic professional de la ciberseguretat que treballava al banc l'any 2003. Teníem altres funcions transversals a la nostra empresa matriu, BMO, però era l'únic empleat a temps complet dedicat a la ciberseguretat en aquell moment. Els canvis en la tecnologia, i els seus riscos associats, han afectat de manera espectacular la indústria des de la meva etapa a Harris Bank. Els pressupostos de ciberseguretat i la mida dels equips s'han multiplicat almenys per deu per mantenir-se al dia amb les amenaces de ciberseguretat dirigides al sector dels serveis financers. El que em van assignar fa 15 anys com a col·laborador individual ara és probablement gestionat per un equip de més de 100 professionals de la ciberseguretat.
Mentre treballaves al banc vas publicar “The Shellcoder's Handbook”, un dels primers llibres sobre pirateria ètica. Quina era la teva mentalitat en el moment d'escriure aquest llibre?
Quan vaig escriure el llibre, el fòrum principal per compartir informació relacionada amb exploits era una llista de correu anomenada BUGTRAQ. El manual de Shellcoder va fer més accessible aquesta informació una mica arcana compartint-la amb un públic molt més ampli d'una manera fàcil d'entendre. Molta gent en aquell moment volia —i necessitava— aprendre sobre l'explotació de l'escriptura. Sabia que podia ensenyar als altres com escriure exploits de programari amb exemples pràctics de la meva pròpia experiència. Egoistament, també volia deixar de treballar al banc i portar la meva carrera en una altra direcció.
Podries compartir la història de la gènesi darrere d'Infosec?
Tot va començar després de publicar The Shellcoder's Handbook. La seva popularitat va impulsar l'interès i la consciència necessaris sobre la pirateria ètica i les vulnerabilitats del programari, la qual cosa va provocar múltiples sol·licituds per ensenyar camps d'entrenament sobre les explotacions del programari que es tracta al llibre. Vaig utilitzar el temps de vacances per ensenyar alguns cursos, però finalment vaig quedar sense PTO, així que vaig deixar la meva feina diària al banc i vaig passar els següents dos anys viatjant per tot el món ensenyant a persones amb feines corporatives a piratejar. Va ser bastant divertit.
Durant aquest temps, la indústria del programari va explotar. Les noves eines i plataformes van introduir més riscos de seguretat, la qual cosa comporta una necessitat encara més gran de formació en ciberseguretat. I a mesura que els ciberdelinqüents van ampliar els objectius del programari per incloure usuaris de programari, la demanda d'educació en ciberseguretat escalable i basada en rols es va disparar.
Va ser en aquell moment Infosec va escalar els nostres serveis educatius mitjançant programari com a servei i va desenvolupar les plataformes educatives de ciberseguretat més grans del món. Habilitats Infosec i Infosec IQ. Ambdues plataformes ofereixen formació pràctica rellevant per al rol a tota l'empresa per dotar els empleats dels coneixements, les habilitats i la confiança per superar la ciberdelinqüència. Avui en dia, més del 70% dels Fortune 500 han confiat en Infosec Skills per desenvolupar el seu talent i equips de seguretat, i més de 5 milions d'alumnes a tot el món són més resilients a la cibernètica gràcies a la formació en consciència de seguretat i pesca d'Infosec IQ.
Podries parlar d'alguns dels certificats i cursos de ciberseguretat més populars que ofereix Infosec?
Infosec ofereix educació en ciberseguretat basada en rols per a tota l'organització, des del departament de comptabilitat fins a l'equip SOC. Atès que Infosec és neutral per a proveïdors, probablement no sigui d'estranyar saber que alguns dels nostres camps d'entrenament més populars són aquells que preparen els estudiants per a certificacions de demanda com el CISSP, Security+ i Certified Ethical Hacker (CEH). El que fa que Infosec sigui únic és la manera com preparem els estudiants per als seus exàmens. Utilitzem una combinació de conferències immersives i laboratoris pràctics de la gamma cibernètica per ajudar els estudiants a aprendre fent i ensenyar habilitats valuoses que es poden aplicar immediatament a la seva feina. El Gamma cibernètica Infosec Skills és una de les experiències d'aprenentatge més populars de la plataforma i una cosa en la qual estem invertint molt aquest any.
Pel que fa a la conscienciació sobre la seguretat i la formació, el nostre acabat de llançar Tria els teus propis jocs de conscienciació de seguretat Adventure® han canviat completament la manera com els nostres clients ofereixen formació i conscienciació sobre seguretat als seus empleats. Ens vam associar amb l'equip que hi ha darrere de la marca Choose Your Own Adventure® per portar l'emoció i el misteri de la popular sèrie de llibres de jocs als programes de formació i consciència de seguretat d'arreu del món. Els jocs posen als estudiants a càrrec del seu propi programa de formació en consciència de seguretat amb històries interactives que fomenten el pensament crític i la presa de decisions, alhora que mantenen l'entrenament divertit.
Quina importància té la conscienciació dels empleats sobre les amenaces a la ciberseguretat?
La creació de consciència dels empleats sobre les amenaces de ciberseguretat ofereix beneficis més enllà de la seguretat i el compliment de les dades corporatives. Més enllà dels avantatges evidents d'ajudar les organitzacions a evitar incidents de seguretat costosos, sovint perjudicials, els programes d'educació en ciberseguretat protegeixen els empleats tant a la feina com a casa. Saber com evitar un atac de pesca o protegir un dispositiu IoT pot protegir els empleats de pèrdues personals devastadores i fins i tot d'amenaces a les seves famílies. Entendre com mantenir-se segur en línia ja no és només una qüestió laboral, sinó que és una habilitat per a la vida. No podríem estar més orgullosos d'ajudar els nostres clients a protegir les seves empreses, clients i personal de les amenaces cibernètiques i els mals actors.
Quin és el mètode més comú que els empleats són víctimes d'explotacions o pirates informàtics?
La majoria dels investigadors de ciberseguretat coincideixen que la majoria de les infraccions de dades es poden atribuir a un error humà. El darrer estudi d'IBM X-Force Threat Intelligence Index informa el ransomware, el robatori de dades i l'accés al servidor com els tres tipus d'atac més comuns el 2020, i l'exploració i exploració, la pesca i el robatori de credencials com els 3 principals vectors d'atac inicials. El phishing és una amenaça de seguretat molt greu i comuna i, per tant, està àmpliament cobert pels mitjans de comunicació. La realitat és que mentre moltes infraccions comencen amb el phishing i el programari maliciós, la mesura en què els pirates informàtics tenen accés a informació i sistemes sensibles sovint és un reflex de la infraestructura informàtica de l'organització i de la postura general de seguretat. El recent incident de SolarWinds és només un dels molts exemples en què alguna cosa tan senzilla com una política de contrasenyes més sòlida o un programa de conscienciació de seguretat més eficaç pot haver evitat una violació important.
Conclusió: els buits de coneixement de la ciberseguretat a qualsevol nivell de l'organització suposen riscos de seguretat per a l'organització i s'han de mitigar amb la conscienciació i l'educació dels empleats en matèria de seguretat.
La ciberseguretat està sempre en evolució, amb quina freqüència els empresaris i els empleats han de tornar a familiaritzar-se amb les possibles amenaces cibernètiques?
Com a professionals de la seguretat, mai hem acabat d'aprendre. És la nostra responsabilitat evolucionar juntament amb les necessitats de la tecnologia, i les noves vulnerabilitats que poden introduir, per mantenir-nos al capdavant de la ciberdelinqüència. Recomanem almenys 1-3 hores d'aprenentatge dedicat a la setmana per als professionals de la ciberseguretat i formació mensual de conscienciació i simulacions de pesca per al personal no tècnic.
Els experts en aprenentatge d'adults citen sovint La corba de l'oblit d'Ebbinghaus per reconèixer la importància de la formació freqüent dels empleats. La teoria estableix bàsicament que sense repeticions espaciades per reforçar els nous coneixements, els empleats oblidaran el 90% de la informació nova en un mes.
Formació tècnica pràctica a través d'una gamma cibernètica o conscienciació de seguretat gamificada mitjançant a Tria el teu propi joc de consciència de seguretat Adventure® són només algunes de les maneres en què ajudem els nostres clients a aprendre fent i maximitzem la retenció del coneixement. Els programes d'aprenentatge continu com aquests inspiren hàbits segurs alhora que ajuden a crear una cultura de seguretat al lloc de treball.
Gràcies per la gran entrevista, els lectors que vulguin aprendre més haurien de visitar Infosec.
       
 Temes relacionats:
 mm
Soci fundador de unit.AI i membre de la Consell Tecnològic de Forbes, Antoine és un futurista apassionat pel futur de la IA i la robòtica.
També és el fundador de Securities.io, un lloc web que se centra a invertir en tecnologia disruptiva.