मार्क फेचेस, स्पिनाकर सपोर्ट के सीटीओ – साक्षात्कार श्रृंखला

मार्क फेचेस स्पिनाकर सपोर्ट में ईएमईए के लिए मुख्य प्रौद्योगिकी अधिकारी हैं, जहां वे उद्यम संगठनों को प्रौद्योगिकी रणनीति, सुरक्षा, क्लाउड, एआई और बड़े पैमाने पर परिवर्तन पहलों पर सलाह देते हैं। एक्सेंचर, डेलॉइट और पीडब्ल्यूसी में 30 से अधिक वर्षों के परामर्श और नेतृत्व के अनुभव के साथ, मार्क ने सी सूट कार्यकारी और बोर्डों के साथ मिलकर जटिल उद्यम वातावरण को आधुनिक बनाने और प्रौद्योगिकी निर्णयों को लंबी अवधि के व्यावसायिक उद्देश्यों के साथ संरेखित करने के लिए काम किया है। यूके में स्थित, वह विरासत प्रौद्योगिकी चुनौतियों, संचालन जोखिम और डिजिटल परिवर्तन के साथ संगठनों को नेविगेट करने में मदद करने में माहिर हैं।

स्पिनाकर सपोर्ट एक अग्रणी वैश्विक प्रदाता है जो उद्यमों के लिए तृतीय-पक्ष सॉफ्टवेयर समर्थन, प्रबंधित सेवाएं और सुरक्षा सलाहकार प्रदान करता है, जो ऑरेकल, एसएपी, जेडी एडवर्ड्स और अन्य मिशन-महत्वपूर्ण प्लेटफार्मों पर चलते हैं।

आपने एक्सेंचर, डेलॉइट और पीडब्ल्यूसी में 20 से अधिक वर्षों तक उद्यमों को सलाह देने के बाद स्पिनाकर सपोर्ट में सीटीओ के रूप में काम किया है। उस यात्रा को देखते हुए, कार्यकारी अधिकारियों के पास प्रौद्योगिकी जोखिम के बारे में सबसे बड़ा गलत धारणा क्या है, और एआई के उदय ने उन बातचीत को कैसे बदल दिया है?

मुझे लगता है कि सबसे बड़ा गलत धारणा यह है कि प्रौद्योगिकी जोखिम व्यवसाय के एक अलग हिस्से में बैठता है और इसे एक विशेषज्ञ मुद्दे के रूप में प्रबंधित किया जा सकता है। मैंने कभी भी इसे उस तरह से नहीं देखा है।

मैंने जो गंभीर जोखिम देखा है, वह नेतृत्व के निर्णयों से आता है। आप कितनी जटिलता को सहन करते हैं। आप कितने पुराने प्लेटफार्मों या कुंजी विक्रेताओं पर निर्भर हैं। आप कितनी तेजी से धक्का देते हैं। क्या आप वास्तव में उस डेटा पर विश्वास करते हैं जिस पर व्यवसाय चल रहा है। प्रौद्योगिकी वह जगह है जहां वे निर्णय दिखाई देते हैं, लेकिन यह आमतौर पर नहीं है जहां वे शुरू होते हैं।

वर्षों से, मैंने कई कार्यकारी अधिकारियों को स्पष्ट चीजों पर ध्यान केंद्रित करते हुए देखा है, जैसे कि साइबर, अनुपालन और लागत में कमी। वे वास्तविक मुद्दे हैं, बिल्कुल। लेकिन जो जोखिम कंपनियों को पकड़ लेते हैं वे अक्सर कम ध्यान देने योग्य होते हैं। यह वह प्लेटफ़ॉर्म है जिसे हर कोई जानता है कि यह नाजुक है लेकिन इसकी जगह लेने को टालता रहता है। यह डेटा समस्या है जिसे कोई वास्तव में नहीं जानता। यह आउटसोर्स की गई निर्भरता है जो कुशल लगती है जब तक कि यह बोतलनेक न हो जाए। वे चीजें हैं जो पृष्ठभूमि में वर्षों तक बैठ सकती हैं और फिर अचानक तब दिखाई देती हैं जब कुछ टूट जाता है।

मुझे लगता है कि अनुपालन और लचीलेपन के बीच एक लंबे समय से चली आ रही आदत है। वे एक ही चीज नहीं हैं। आप एक ऑडिट पास कर सकते हैं और फिर भी जितना सोचते हैं उससे कहीं अधिक जोखिम में हैं। एक चेकलिस्ट आपको यह नहीं बताती कि व्यवसाय दबाव में कैसे प्रतिक्रिया देगा, यह कितनी जल्दी पुनर्प्राप्त करेगा, या नेताओं को वास्तव में समस्या को स्पष्ट रूप से देखने के लिए पर्याप्त देखभाल की जा रही है।

एआई ने जो बदलाव किया है, वह ध्यान का स्तर है। ये बातचीत पहले संगठन में नीचे बैठती थीं। अब वे बोर्ड रूम में विकास, विश्वास, उत्पादकता और ब्रांड के बारे में चर्चाओं के बीच में हैं। यह एक बहुत अच्छी बात है। लेकिन इसने एक नई सरलीकरण भी पेश की है, जो यह विचार है कि उपयोग किया जाने वाला एआई मॉडल जोखिम है। आमतौर पर, यह उससे बड़ा है। कठिन प्रश्न डेटा और इसके आसपास के शासन, प्रभावित निर्णयों और मानव निर्णय के अभी भी महत्वपूर्ण होने के बिंदु के बारे में हैं।

तो अगर मुझे इसे सारांशित करना होता, तो मैं कहूंगा कि प्रौद्योगिकी जोखिम वास्तव में प्रौद्योगिकी के बारे में नहीं है। यह नेतृत्व के निर्णय का प्रतिबिंब है। एआई ने इसे और अधिक कठिन बना दिया है कि इसे अनदेखा किया जाए।

सुरक्षा टीमों के पास अब पहले से कहीं अधिक कमजोरता खुफिया जानकारी तक पहुंच है, फिर भी संगठन प्राथमिकता के साथ संघर्ष करते हैं। आप उद्योग में सिग्नल-टू-शोर समस्या के बजाय एक पता लगाने की समस्या क्यों मानते हैं?

मैं इसे बहुत सरल तरीके से रखूंगा, उद्योग कमजोरता डेटा से कम नहीं है। यह स्पष्टता से कम है।

अधिकांश सुरक्षा टीमों के पास पहले से ही पर्याप्त इनपुट हैं, स्कैनर आउटपुट, खतरा खुफिया, गंभीरता स्कोर, पैच सलाहकार, शोषण रिपोर्टिंग। मुद्दा यह नहीं है कि वे कमजोरियों का पता लगा सकते हैं या नहीं। यह है कि क्या वे उन कुछ को अलग कर सकते हैं जो वास्तव में व्यवसाय को नुकसान पहुंचा सकते हैं और उन कई से जो तकनीकी रूप से दिलचस्प हैं लेकिन कम परिणामी हैं।

यही कारण है कि मैं इसे एक सिग्नल-टू-शोर समस्या के रूप में देखता हूं। पता लगाने में बहुत सुधार हुआ है। जो नहीं रखा गया है वह संदर्भ लागू करने की क्षमता है। एक कमजोरता तभी वास्तविक प्राथमिकता बन जाती है जब आप समझते हैं कि यह कहां बैठता है, यह कितना उजागर है, यह कितना महत्वपूर्ण है, क्या मुआवजा नियंत्रण मौजूद हैं, और यदि इसका शोषण किया जाता है तो व्यवसाय पर क्या प्रभाव पड़ेगा।

व्यवहार में, कई संगठन अभी भी उन मेट्रिक्स पर गिर जाते हैं जो उत्पादित करने में सबसे आसान होते हैं जैसे कि गंभीरता रेटिंग, पैच गिनती, और पुराने रिपोर्ट। वे उपयोगी हैं, लेकिन वे मानव निर्णय के समान नहीं हैं। एक उच्च-स्कोरिंग मुद्दा एक कम-मूल्य वाली आंतरिक प्रणाली में बहुत कम मायने रख सकता है जितना कि एक कम-रेटेड कमजोरता जो ग्राहकों को सामने या संचालन में महत्वपूर्ण है।

तो मुझे नहीं लगता कि यह मूल रूप से एक दृश्यता समस्या है। यह एक व्यवसाय प्राथमिकता समस्या है जिसे सुरक्षा टीमों को सीखने की आवश्यकता है। हम बहुत अच्छे हो गए हैं जो खोजते हैं। हम अभी भी कम निरंतर हैं जो उन खोजों को व्यवसाय प्रभाव के संदर्भ में एक छोटी सूची में कार्रवाई के लिए नेतृत्व के साथ विश्वास के साथ समर्थन करने के लिए अनुवाद करते हैं।

और मेरे दृष्टिकोण से, यह वास्तव में वह बदलाव है जिसे उद्योग को अभी भी बनाने की आवश्यकता है, एक पता लगाने से दूर ले जाने के लिए एक कदम, व्यवसायिक प्रभाव के संदर्भ में क्या वास्तव में महत्वपूर्ण है।

बोर्ड स्तर पर, यह वास्तव में जोखिम अनुवाद का सवाल है, क्या संगठन तकनीकी जोखिम को एक छोटी संख्या में स्पष्ट, कार्रवाई योग्य व्यवसायिक प्राथमिकताओं में अनुवाद कर सकता है? जो ऐसा कर सकते हैं वे हैं जो शोर से संकेत में जाते हैं।

कई साइबर सुरक्षा विक्रेता दावा करते हैं कि एआई स्वचालित रूप से कमजोरियों को प्राथमिकता दे सकता है और खतरों की भविष्यवाणी कर सकता है। आप विपणन कथा और एआई के बीच अंतर को क्या मानते हैं जो वास्तव में आज उद्यम वातावरण में वितरित कर सकता है?

मुझे लगता है कि इसे रखने का सबसे आसान तरीका यह है कि विपणन इस तरह की एआई का वादा करता है जो वास्तविक उद्यम वातावरण में अनुमति नहीं देता है।

विक्रेता अक्सर एआई का वर्णन इस तरह से करते हैं जैसे कि यह शोर से ऊपर उठ सकता है, सब कुछ ले सकता है और सुरक्षा टीम को विश्वसनीय रूप से बता सकता है कि सबसे ज्यादा क्या मायने रखता है और आगे क्या होने की संभावना है। यह एक आकर्षक पिच है क्योंकि हर सुरक्षा नेता कम शोर और अधिक विश्वास चाहता है। लेकिन एक बार जब आप एक बड़े संगठन के अंदर जाते हैं, तो चीजें अक्सर इतनी साफ नहीं होती जितनी वे होने का दावा करती हैं।

एआई मदद कर सकता है। यह पैटर्न को एक साथ खींच सकता है, कुछ मैनुअल सॉर्टिंग को कम कर सकता है, असामान्यताओं को उजागर कर सकता है और टीमों को जानकारी की मात्रा के माध्यम से काम करने में मदद कर सकता है जो अन्यथा प्रबंधन करना मुश्किल होगा, और इसका वास्तविक मूल्य है। लेकिन एक अंतर है मदद करने वाली एक टीम और वास्तव में जानने के बीच कि क्या सबसे ज्यादा मायने रखता है और क्या होने की संभावना है उस विशिष्ट वातावरण में।

यही वह जगह है जहां अंतर दिखाई देता है। अधिकांश उद्यम जटिल संदर्भ से भरे हुए हैं। संपत्ति सूची अधूरी है। स्वामित्व हमेशा स्पष्ट नहीं है। व्यवसाय महत्वपूर्णता बदल जाती है। नियंत्रण एक हिस्से से दूसरे हिस्से में भिन्न होते हैं। डेटा गुणवत्ता मिश्रित है। यदि अंतर्निहित चित्र धब्बेदार है, तो एआई का आउटपुट भी धब्बेदार होगा, चाहे इंटरफ़ेस कितना भी पॉलिश किया गया हो।

मुझे लगता है कि यह विशेष रूप से तब सच है जब विक्रेता भविष्यवाणी की बात करते हैं। एक अर्थपूर्ण अंतर है जो कहता है, “यह पैटर्न जोखिम भरा लगता है,” और जो कहता है, “यह आगे क्या होगा।” पहला उपयोगी हो सकता है। दूसरा वह है जहां भाषा वास्तविकता से आगे निकल जाती है।

तो मेरे लिए, एआई को आज सबसे अच्छी तरह से एक प्रवर्तनक के रूप में समझा जाता है, एक प्राधिकरण के रूप में नहीं। यह टीमों को सॉर्ट, संबंधित और फोकस करने में मदद कर सकता है। लेकिन यह स्थिर रूप से मानव निर्णय, स्थानीय ज्ञान और वास्तव में क्या व्यवसाय की परवाह है की आवश्यकता को प्रतिस्थापित नहीं कर सकता है।

यह वास्तव में वह विभाजन है। कथा निश्चितता का सुझाव देती है। वास्तविकता अधिक विनम्र है और यदि आप इसके बारे में ईमानदार हैं तो हाइप से अधिक उपयोगी है। एआई विश्लेषण की गुणवत्ता और गति में सुधार कर सकता है, लेकिन यह उद्यम सुरक्षा निर्णय लेने की जटिलता को दूर नहीं कर सकता है।

स्पिनाकर सपोर्ट ऑरेकल, एसएपी और जेडी एडवर्ड्स के साथ व्यापक रूप से काम करता है। एआई-संचालित सुरक्षा उपकरणों के लिए अत्यधिक अनुकूलित ईआरपी वातावरण को समझने और सटीक रूप से मूल्यांकन करने में क्या मुश्किल बनाता है?

जो इन वातावरणों को कठिन बनाता है वह यह है कि वर्षों के बाद, वे मानक सॉफ़्टवेयर की तरह व्यवहार करना बंद कर देते हैं जिस पर एआई को प्रशिक्षित किया गया है और व्यवसाय वास्तव में कैसे काम करता है इसका एक रिकॉर्ड की तरह व्यवहार करना शुरू कर देते हैं।

मैंने यह विशेष रूप से देखा है जो बहुत अनुकूलित ऑरेकल, एसएपी और जेडी एडवर्ड्स एस्टेट में है। कागज़ पर, आप अभी भी एक ज्ञात प्लेटफ़ॉर्म देख रहे होंगे। वास्तव में, आप अक्सर स्थानीय अनुकूलन, अनुकूलित कोड, विरासत में मिली एकीकरण, अनुमति संरचनाएं, रिपोर्टिंग तर्क और विशिष्ट परिचालन कारणों से बनाए गए काम के आसपास के वर्ष देख रहे होंगे। मुझे लगता है कि एक एआई-संचालित सुरक्षा उपकरण के लिए यह वास्तव में पढ़ने में मुश्किल हो सकता है।

बहुत सारे ऐसे टूल्स हैं जो तब सबसे अच्छा काम करते हैं जब वातावरण अपेक्षाकृत संगत होता है और पैटर्न आसानी से तुलना करने योग्य होते हैं। अत्यधिक अनुकूलित ईआरपी वातावरण शायद ही कभी ऐसे होते हैं। तर्क अधिक जटिल है। दस्तावेज़ीकरण अक्सर अधूरा है। स्वामित्व टीमों में फैला हो सकता है। जो असामान्य लगता है वह वास्तव में故意 और जो दिनचर्या लगता है वह वास्तव में वित्त, आपूर्ति श्रृंखला या संचालन में कुछ वास्तव में महत्वपूर्ण का समर्थन कर सकता है।

यही वह जगह है जहां कठिनाई है। टूल को नहीं कहा जा रहा है कि एक कमजोरता या एक गलत विन्यास का पता लगाए। यह पूछा जा रहा है कि यह व्यवसाय प्रक्रिया, एक अनुकूलित निर्भरता या एक नियंत्रण संरचना के संदर्भ में क्या मतलब है जो कहीं और मौजूद नहीं हो सकता है।

और यह एक बहुत बड़ा समस्या है जितना कि विपणन आमतौर पर कहता है। एआई पैटर्न को सतह पर ला सकता है, कुछ मैनुअल विश्लेषण को कम कर सकता है, लोगों को करीब से देखने लायक क्षेत्रों की ओर इशारा कर सकता है, और इसका वास्तविक मूल्य है। लेकिन यदि एस्टेट केवल आंशिक रूप से प्रलेखित है, वर्षों से अपवादों द्वारा आकार दिया गया है, और व्यवसाय के संचालन से गहराई से जुड़ा हुआ है, तो एक स्वचालित प्रणाली को इसकी पर्याप्त संदर्भ को समझने में सक्षम होने की सीमा है।

तो मुझे लगता है कि वास्तविक मुद्दा यह नहीं है कि क्या एआई कुछ देख सकता है। यह है कि क्या यह पर्याप्त संदर्भ को समझने में सक्षम है ताकि इसे ठीक से न्याय कर सके। अत्यधिक अनुकूलित ईआरपी वातावरण में, यह अभी भी जहां मानव विशेषज्ञता अंतर बनाती है।

आपके एक मुख्य तर्क यह है कि मानव विशेषज्ञता एक बोतलनेक को खत्म करने के लिए नहीं है, बल्कि सुरक्षा प्रक्रिया का एक आवश्यक हिस्सा है। क्या आप उन उदाहरणों को साझा कर सकते हैं जहां मानव निर्णय ने जोखिमों की पहचान की जो एक एआई-संचालित प्राथमिकता इंजन द्वारा याद की जा सकती थी?

हाँ, बिल्कुल। और मेरे लिए, यह वह जगह है जहां स्वचालित प्राथमिकता की सीमाएं बहुत स्पष्ट हो जाती हैं।

कुछ जोखिम केवल तभी समझ में आते हैं जब आप पर्यावरण को पर्याप्त रूप से जानते हैं कि आप समझते हैं कि डेटा के पीछे क्या है। एक प्रणाली बाहर से विशेष रूप से महत्वपूर्ण नहीं लग सकती है। कमजोरता स्कोर असाधारण नहीं हो सकता है। लेकिन जो कोई पर्यावरण जानता है वह जानता है कि यह वेतन, तिमाही समाप्ति रिपोर्टिंग, एक नाजुक एकीकरण या एक व्यवसाय प्रक्रिया का समर्थन करता है जिसे कंपनी वास्तव में बाधित नहीं कर सकती है। डेटा में संकेत सामान्य दिख सकता है। वास्तविक दुनिया का परिणाम नहीं है।

मैंने उन मामलों को भी देखा है जहां नियंत्रण चित्र सिद्धांत रूप में बेहतर दिखता है जितना कि वास्तविक अभ्यास में है। एक एआई इंजन मान सकता है कि जोखिम कम हो गया है क्योंकि सेगमेंटेशन है, क्योंकि एक्सेस प्रतिबंधित है या क्योंकि एक निगरानी नियंत्रण मौजूद है। लेकिन पर्यावरण के करीब कोई व्यक्ति जानता है कि एक नियंत्रण असंगत रूप से लागू किया जाता है, दूसरा दबाव में बायपास किया जाता है और तीसराquietly अविश्वसनीय हो गया है। वह अंतर आमतौर पर सिस्टम ऑफ रिकॉर्ड में साफ नहीं दिखता है।

संशोधित वातावरण में भी ऐसा ही होता है। एक स्क्रिप्ट, एक कार्य प्रवाह या एक अनुमति मॉडल पैटर्न को स्कैन करते समय सामान्य दिख सकता है। किसी को जो समझता है कि उस प्रणाली को समय के साथ कैसे अनुकूलित किया गया है, उसी विवरण को तुरंत एक वास्तविक स्रोत के रूप में खड़ा किया जा सकता है।

समय भी महत्वपूर्ण है। एक कमजोरता अलगाव में प्रबंधनीय दिख सकती है, फिर व्यवसाय प्रवास, अधिग्रहण, नियामक समय सीमा या शीर्ष संचालन अवधि के बीच में होने पर बहुत अधिक गंभीर हो जाती है। उस तरह का परिवर्तन हमेशा एक स्वचालित इंजन द्वारा व्याख्या करना आसान नहीं होता है।

तो जब मैं मानव विशेषज्ञता की बात करता हूं, तो मैं वाग्ज़वाग़ की बात नहीं कर रहा हूं। मैं स्थानीय ज्ञान, स्मृति, निर्णय की क्षमता की बात कर रहा हूं। यह देखने की क्षमता है कि जब एक छोटी सी तकनीकी समस्या कुछ अधिक परिणामी से जुड़ी होती है।

यही कारण है कि मैं मानव विशेषज्ञता को एक बोतलनेक के रूप में नहीं देखता जिसे हटाया जाना चाहिए। मैं इसे उस हिस्से के रूप में देखता हूं जो झूठी आत्मविश्वास को रोकता है। एआई डेटा को सॉर्ट और संकुचित करने में मदद कर सकता है। लेकिन जो जोखिम सबसे ज्यादा मायने रखते हैं वे अक्सर वे होते हैं जो तभी स्पष्ट होते हैं जब कोई व्यक्ति समझता है कि व्यवसाय वास्तव में कैसे काम करता है।

संगठन सुरक्षा संचालन में एआई को अपनाने की जल्दी में, सुरक्षा जोखिम प्रबंधन और जोखिम मूल्यांकन के लिए एआई को अधिक स्वचालित करने के सबसे बड़े जोखिम क्या हैं?

मुझे लगता है कि सबसे बड़ा जोखिम यह है कि आप नियंत्रण की उपस्थिति बनाते हैं जो वास्तव में नियंत्रण की वास्तविकता नहीं है।

कमजोरता प्रबंधन एक ऐसा क्षेत्र है जहां स्वचालन स्पष्ट रूप से मूल्यवान है। उद्यम स्तर पर, आपको मुद्दों का पता लगाने, डेटा को सहसंबंधित करने, प्राथमिकता के स्तर पर और प्रक्रिया को आगे बढ़ाने के लिए स्वचालन की आवश्यकता है। कोई भी गंभीर संगठन इसे मैनुअल रूप से प्रबंधित नहीं कर सकता है।

लेकिन खतरा तब आता है जब स्वचालन कार्यक्रम को मानव चुनौती के बिना चलाने लगता है।

स्पष्ट जोखिम पहला है झूठी प्राथमिकता। यदि आप बहुत अधिक स्वचालित स्कोरिंग पर निर्भर करते हैं, तो आप तकनीकी गंभीरता को व्यवसायिक जोखिम के रूप में मान सकते हैं। यह नहीं है। एक महत्वपूर्ण कमजोरता एक अलग या मुआवजे वाले नियंत्रित परिसंपत्ति पर मायने रख सकती है और एक कम-रेटेड मुद्दा एक उच्च जोखिम वाली प्रणाली पर बैठा हो सकता है जो एक महत्वपूर्ण व्यवसाय प्रक्रिया से जुड़ा हुआ है।

दूसरा जोखिम है संदर्भ की हानि। स्वचालित कार्यक्रम केवल उतना ही अच्छा है जितना कि पीछे का परिसंपत्ति डेटा, स्वामित्व डेटा, निर्भरता मैपिंग और अपवाद हैंडलिंग। यदि वह जानकारी अधूरी है, और अधिकांश उद्यमों में कुछ ऐसा है, तो स्वचालन प्रणाली में त्रुटिपूर्ण निर्णयों को कुशलता से चलाने की क्षमता रखती है।

तीसरा जोखिम व्यवहार संबंधी है। एक बार जब लोग स्वचालन पर बहुत अधिक विश्वास करने लगते हैं, तो वे इसके आउटपुट की जांच बंद कर देते हैं। टीमें मानती हैं कि जो शीर्ष पर आता है वह सबसे महत्वपूर्ण है और जो शीर्ष पर नहीं आता है वह प्रतीक्षा कर सकता है। यह समझने योग्य है, लेकिन मुझे लगता है कि यह खतरनाक है। क्योंकि यह संस्कृति को सूचित जोखिम प्रबंधन से मशीन-नेतृत्व वाले ऑर्डर में बदल देता है।

और फिर एक व्यापक रणनीतिक जोखिम है, जो यह है कि संगठन शुरू करते हैं जो प्रवाह को सुरक्षा सुधार के साथ भ्रमित करते हैं। एक उच्च मात्रा में कमजोरियों को बंद करना संचालन रूप से दिखाई देता है। यह डैशबोर्ड बनाता है, मेट्रिक्स, और एक गति की भावना पैदा करता है। लेकिन यदि आप वास्तव में उन जोखिमों को कम नहीं कर रहे हैं जो व्यवसाय को सबसे ज्यादा मायने रखते हैं, तो आप बस व्यस्त दिखने के लिए तेजी से हो रहे हैं।

तो मेरा दृष्टिकोण है कि स्वचालन को वास्तव में भारी उठाना चाहिए। लेकिन यह निर्णय लेना चाहिए, न कि इसे प्रतिस्थापित करना चाहिए। अन्यथा, आप एक प्रक्रिया के साथ समाप्त हो जाते हैं जो कुशल है, मापने योग्य है और स्केलेबल है, लेकिन आवश्यक रूप से सुरक्षित नहीं है।

आपने आईटी परिवर्तन और उद्यम वास्तुकला में व्यापक रूप से काम किया है। सीआईएसओ को मिशन-महत्वपूर्ण व्यवसाय प्रणालियों को बाधित करने के संचालन जोखिम के खिलाफ कमजोरियों को जल्दी से पैच करने की आवश्यकता को कैसे संतुलित करना चाहिए?

महान प्रश्न, क्योंकि यह एक ऐसा क्षेत्र है जहां आसान उत्तर आमतौर पर गलत होता है।

बिल्कुल, आप जल्दी से पैच करना चाहते हैं। कोई भी सीआईएसओ यह तर्क नहीं देगा कि ज्ञात कमजोरियों पर बैठना लंबे समय तक आवश्यक है। लेकिन एक वास्तविक उद्यम में, विशेष रूप से महत्वपूर्ण प्रणालियों को चलाने वाले, गति ही लक्ष्य नहीं है। यदि आप खराब पैच करते हैं और व्यवसाय पर निर्भर कुछ को नीचे ले जाते हैं, तो आप एक समस्या का समाधान करते हैं और दूसरा बनाते हैं।

तो संतुलन वास्तव में यह है कि कौन से जोखिम लाइव हैं, कौन से सैद्धांतिक हैं और कौन सी प्रणाली परिवर्तन को सहन कर सकती है बिना कहीं और परेशानी पैदा किए।

कुछ कमजोरियों को वास्तव में तत्काल कार्रवाई की आवश्यकता होती है। यदि कुछ उजागर, शोषित और महत्वपूर्ण है, तो आप चलते हैं। लेकिन अधिकांश समय, निर्णय कम绝对 है। आपके पास अन्य नियंत्रण मुद्दे के चारों ओर हो सकते हैं। प्रभावित प्रणाली सख्ती से सीमित हो सकती है। परिवर्तन का संचालन जोखिम आज करने की तुलना में थोड़े समय के लिए इसे रखने से अधिक हो सकता है।

यही कारण है कि बेहतर सीआईएसओ वे होते हैं जो व्यवसाय के साथ एक वयस्क बातचीत कर सकते हैं। नहीं बस, “यह महत्वपूर्ण है, इसे अब पैच करें,” लेकिन “यह जोखिम है, यह हो सकता है, यह हो सकता है जब यह गलत हो जाए और यह सबसे सुरक्षित तरीका है इसे संभालने के लिए।” यह एक अधिक विश्वसनीय रूप है नेतृत्व।

मुझे लगता है कि ये क्षण एस्टेट के बारे में कुछ गहरा उजागर करते हैं। यदि एक संगठन लगातार डरा हुआ है कि कोर प्रणालियों को पैच करने से डरा हुआ है क्योंकि कोई भी परिवर्तन खतरनाक लगता है, तो यह आमतौर पर इंगित करता है कि वातावरण नाजुक हो गया है। बहुत अधिक छिपी हुई निर्भरता, परीक्षण में आत्मविश्वास की कमी, बहुत कम लचीलापन वास्तुकला में। उस स्थिति में, पैचिंग बहस वास्तव में एक पुरानी समस्या का लक्षण है।

तो हाँ, तेजी से पैच जहां जोखिम वास्तविक है और पथ स्पष्ट है। लेकिन जहां वातावरण संवेदनशील है, काम जोखिम को कम करना है बिना एक बड़ा मेस बनाए। यह संतुलन है।

और ईमानदारी से, अधिकांश अनुभवी सीआईएसओ पहले से ही जानते हैं। चुनौती दबाव में अपने निर्णय लागू करना है, जब घड़ी टिक रही है और कोई भी गलत होने के परिणामों का मालिक नहीं बनना चाहता है।

स्पिनाकर का दृष्टिकोण एआई-संचालित विश्लेषण को विशेषज्ञ सत्यापन के साथ जोड़ती है। एआई को कौन से विशिष्ट कार्य संभालने चाहिए और कौन से निर्णय अनुभवी सुरक्षा पेशेवरों के हाथों में रहने चाहिए?

मुझे लगता है कि विभाजक रेखा वास्तव में khá सीधी है।

एआई को गति, पैमाने और निरंतरता से लाभान्वित होने वाला काम करना चाहिए। बड़ी मात्रा में डेटा के माध्यम से जाना, पैटर्न को एक साथ खींचना, असामान्यताओं को उजागर करना, चीजों को इंगित करना जो बंद हैं, लोगों को क्षेत्र को संकुचित करने में मदद करना, यह वह काम है जो मशीनें उपयोगी होती हैं। यह समय बचाता है, मैनुअल प्रयास को कम करता है और सुरक्षा टीमों को एक बेहतर शुरुआती बिंदु देता है।

यह पुनरावृत्ति वाले हिस्सों के लिए भी उपयुक्त है। पहली परत का त्रि-स्तरीय। सारांशित करना। समान मुद्दों को जोड़ना। पुनरावृत्ति अपवादों को ट्रैक करना। इंगित करना जहां कertain प्रकार की नियंत्रण कमजोरी लगातार दिखाई देती है। कोई भी यह विशेषज्ञता को प्रतिस्थापित नहीं करता है, लेकिन यह इसका बेहतर उपयोग करता है।

जहां मैं बहुत अधिक सावधानी से होगा, वह है जब आप विश्लेषण से निर्णय लेने की ओर बढ़ते हैं।

महत्वपूर्ण कॉल अभी भी अनुभवी सुरक्षा पेशेवरों के साथ रहने चाहिए। क्या यह वास्तव में इस व्यवसाय में एक गंभीर जोखिम है या यह केवल सैद्धांतिक रूप से गंभीर लगता है? क्या यह एक वास्तविक नियंत्रण विफलता है या यह एक जटिल लेकिन समझी गई अपवाद है? यदि हम इसे अब ठीक करते हैं, तो हम क्या बाधित कर सकते हैं? यदि हम प्रतीक्षा करते हैं, तो हम वास्तव में क्या स्वीकार कर रहे हैं? वे निर्णय हैं।

और यह है कि मानव पक्ष भी है। यह क्यों होता है? क्या संगठन जानबूझकर इस जोखिम को ले जा रहा है या यह बस कि यह रोकना बंद कर दिया है? क्या यह एक अलग मुद्दा है या यह कुछ सांस्कृतिक के नीचे एक संकेत है? उस तरह की व्याख्या अभी भी बहुत मायने रखती है।

तो मैं एआई को सॉर्टिंग, क्लस्टरिंग, पहले पास, भारी उठाने दूंगा। लेकिन मैं इसे यह तय करने की अनुमति नहीं दूंगा कि व्यवसाय को सबसे ज्यादा क्या परवाह है या क्या कार्रवाई की जानी चाहिए बिना मानव समीक्षा के।

क्योंकि एक बार जब एक निर्णय परिणाम होता है, तो चाहे वह संचालन रूप से, वित्तीय रूप से या प्रतिष्ठा से, आप केवल जानकारी को संसाधित नहीं कर रहे हैं। आप एक निर्णय ले रहे हैं।

और सुरक्षा में, मुझे लगता है कि यह अभी भी एक व्यक्ति के साथ वास्तविक बुद्धिमत्ता होनी चाहिए।

कई संगठन अभी भी कमजोरता गिनती और गंभीरता स्कोर पर भारी ध्यान केंद्रित करते हैं। आप वास्तविक जोखिम प्रबंधन के लिए एक व्यापक दृष्टिकोण के महत्व पर क्यों जोर देते हैं जो मुआवजे वाले नियंत्रण, पहुंच प्रतिबंध, प्रणाली वास्तुकला और व्यवसायिक संदर्भ को शामिल करता है?

यह एक व्यापक दृष्टिकोण की आवश्यकता है क्योंकि एक संख्या अपने आप में बहुत कुछ नहीं बताती है।

गंभीरता स्कोर अपनa स्थान है। कमजोरता गिनती अपना स्थान है। वे समस्या को आकार देने में मदद करते हैं। वे बैकलॉग को व्यवस्थित करने में मदद करते हैं। लेकिन वे जोखिम को समझने के समान नहीं हैं, और यही वह जगह है जहां मुझे लगता है कि बहुत सारे संगठन अभी भी गलत हैं।

एक कमजोरता सिद्धांत रूप में गंभीर दिख सकती है और अभी भी अपेक्षाकृत सीमित हो सकती है। यदि प्रणाली तक पहुंच सख्ती से सीमित है, यदि अन्य मुआवजे वाले नियंत्रण इसके चारों ओर हैं, यदि यह एक ऐसे वातावरण के हिस्से में बैठता है जो कठिन है तो पहुंच प्राप्त करने के लिए, तो वास्तविक जोखिम जो यह मायने रखता है वह गंभीरता स्कोर से बहुत अलग हो सकता है।

और फिर आपको विपरीत मामला मिलता है, जो अक्सर अधिक दिलचस्प होता है। कुछ नीचे सूची में कुछ और मायने रख सकता है क्योंकि यह बैठता है। यह एक महत्वपूर्ण सेवा को छूता है। यह अधिक पहुंच योग्य है। यह प्रणाली की वास्तुकला में एक हिस्से में बैठता है जहां एक समझौता आपको आगे बढ़ने की अनुमति देता है। यह वह तरह की चीज है जो एक सरल गंभीरता रैंकिंग को अच्छी तरह से नहीं समझा जा सकता है।

तो जब लोग जोखिम प्रबंधन की बात करते हैं, तो मेरे लिए इसका अर्थ है कि कमजोरताओं को स्कोर द्वारा व्यवस्थित करने से अधिक।

आपको यह जानने की जरूरत है कि मुद्दे के आसपास क्या है। कौन से नियंत्रण पहले से मौजूद हैं। कौन पहुंच सकता है। क्या प्रणाली अलग-थलग है या कुछ अधिक महत्वपूर्ण से जुड़ी हुई है। और यदि इसका शोषण किया जाता है, तो वास्तव में क्या होता है।

अन्यथा, आप जोखिम की तस्वीर को प्रबंधित कर रहे हैं, न कि जोखिम को। डैशबोर्ड में सुधार होता है। टिकट संख्या चलती है। रिपोर्टिंग बेहतर दिखती है। लेकिन आप वास्तव में सुरक्षित नहीं हो सकते हैं।

मुझे लगता है कि इसका एक कारण यह है कि संख्याएं आरामदायक हैं। वे वस्तुनिष्ठ दिखती हैं। वे लोगों को कुछ साफ-सुथरा प्रस्तुत करने के लिए देती हैं। वे समस्या को कम करने की भावना पैदा करते हैं जो मापने योग्य और नियंत्रित है। लेकिन वास्तविक जोखिम आमतौर पर इतना साफ नहीं होता है।

यह जोखिम, नियंत्रण, वास्तुकला और व्यवसायिक परिणाम के बीच ओवरलैप में बैठता है जब कुछ गलत हो जाता है।

तो हाँ, स्कोर का उपयोग करें। गिनती का उपयोग करें। बिल्कुल। लेकिन उन्हें समझने के लिए मत भूलिए।

यदि आप वास्तव में जोखिम को जानना चाहते हैं, तो मुझे लगता है कि आपको पूरे वातावरण को देखना होगा, न कि chỉ एक संख्या जो इसके साथ जुड़ी हुई है।

उद्यम सॉफ़्टवेयर वातावरण महत्वपूर्ण परिवर्तन की अवधि में प्रवेश कर रहे हैं क्योंकि संगठन विरासत प्रणालियों को आधुनिक बनाने के साथ-साथ एआई प्रौद्योगिकियों को अपना रहे हैं। अगले तीन से पांच वर्षों में, एआई, साइबर सुरक्षा और उद्यम प्लेटफ़ॉर्म के बीच संबंध कैसे विकसित होने की संभावना है, और आज के लिए प्रौद्योगिकी नेताओं को क्या तैयारी करनी चाहिए?

मुझे लगता है कि अगले तीन से पांच वर्ष बहुत परिभाषित होने वाले हैं।

मुख्य रूप से क्योंकि कंपनियां पुराने उद्यम एस्टेट को आधुनिक बनाने की कोशिश कर रही हैं और साथ ही मिश्रण में एआई को ला रही हैं और न तो आसान है।

जो पहले बदलता है वह यह है कि एआई एक तरफ के प्रयोग से बाहर निकलता है और वास्तव में कैसे व्यवसाय चलता है इसका हिस्सा बन जाता है। यह कार्य प्रवाह, समर्थन, विकास, सुरक्षा संचालन और प्लेटफ़ॉर्म प्रशासन में दिखाई देता है, एक नवाचार के रूप में नहीं, बल्कि प्लंबिंग के हिस्से के रूप में।

और एक बार जब ऐसा होता है, तो साइबर बातचीत और गंभीर हो जाती है। आप अब यह नहीं पूछ रहे हैं कि टूल उपयोगी है या नहीं। आप यह पूछ रहे हैं कि यह क्या पहुंच सकता है, यह क्या प्रभावित कर सकता है, यह किस डेटा को खिलाता है और इसके परिणामस्वरूप क्या होता है जब यह कुछ गलत करता है।

मुझे लगता है कि हम सुरक्षा और वास्तुकला के बीच की रेखा को और अधिक कठिन देखने जा रहे हैं। पुराने वातावरण में, जो चीज़ एक सुरक्षा समस्या की तरह दिखती है अक्सर वास्तव में एक वास्तुकला समस्या है जो एक सुरक्षा बैज पहने हुए है। कमजोर पहचान डिज़ाइन, बहुत अधिक निर्भरता, अस्पष्ट स्वामित्व, नाजुक एकीकरण, खराब दृश्यता, वे चीजें हैं जो आमतौर पर दिखाई देने वाले मुद्दे के नीचे बैठती हैं। एआई उसे चिकना नहीं बनाता है। यदि कुछ भी, तो यह तेजी से गड़बड़ी को उजागर कर सकता है।

तो संगठन जो इसे अच्छी तरह से संभालते हैं, मुझे लगता है कि वे एआई अपनाने, साइबर सुरक्षा और प्लेटफ़ॉर्म आधुनिकीकरण को तीन अलग-अलग कार्य धाराओं के रूप में इलाज करना बंद कर देंगे। वे एक ही बातचीत के रूप में अधिक इलाज करेंगे।

यदि मैं आज तकनीकी नेताओं को सलाह दे रहा होता, तो मैं दृश्यता से शुरू करूंगा। आपको यह जानने की आवश्यकता है कि आपके पास क्या है, यह कैसे जुड़ता है, कौन इसका उपयोग कर सकता है, संवेदनशील डेटा कहां जाता है और आपके वास्तविक नियंत्रण बिंदु कहां हैं। उसके बिना, एआई को शीर्ष पर परत करना केवल उन चीजों की संख्या बढ़ाता है जिन्हें आप पूरी तरह से नहीं समझते हैं।

अगली बात शासन है, लेकिन प्रदर्शनकारी नहीं। वास्तविक निर्णय। एआई कहां उपयोग किया जा सकता है? जहां मानव समीक्षा को अभी भी बने रहने की आवश्यकता है? आउटपुट कैसे जांचे जाते हैं? कौन सा डेटा ऑफ लिमिट है? कौन सा परिणाम है अगर सिस्टम गलत कार्रवाई को चलाता है? उन प्रश्नों को अब उत्तर देने की आवश्यकता है, बाद में नहीं।

और ईमानदारी से, सरलीकरण अधिक मायने रखता है जितना कि बहुत से लोग स्वीकार करना चाहते हैं। जितना अधिक जटिल एस्टेट, उतना ही कठिन यह सुरक्षित करना है, उतना ही कठिन यह आधुनिक बनाना है, और उतना ही कठिन यह एआई का उपयोग किए बिना ताज़ा अनिश्चितता पैदा करना है।

फिर लोगों का पक्ष है। बेहतर संगठन वे होंगे जो स्वचालन को निर्णय लेने के साथ जोड़ना जानते हैं। वे केवल एआई आउटपुट को इसलिए नहीं खाते हैं क्योंकि यह तेज़ है या पॉलिश किया गया है। वे इसे चुनौती देते हैं। इसका परीक्षण करें। जब आवश्यक हो तो वापस धक्का।

तो हाँ, अगले कुछ वर्षों में, मुझे लगता है कि एआई, साइबर और उद्यम प्लेटफ़ॉर्म एक दूसरे के साथ बहुत अधिक जुड़ जाएंगे।

और मुझे लगता है कि जो नेता अच्छी तरह से तैयारी करेंगे, वे वे होंगे जो समझते हैं कि यह केवल एक प्रौद्योगिकी परिवर्तन नहीं है। यह निर्णय लेने के तरीके में, नियंत्रण का प्रयोग करने के तरीके में, और वास्तव में उनके संगठन कितना लचीला है, में एक परिवर्तन है।