Wes Andrues guida il nostro team di rischio e conformità di Guru. In questa intervista, condivide con noi il suo background nella sicurezza informatica
Quando mi sono unito a Guru diversi anni fa, cercavo una sfida dopo il servizio militare e dopo diversi anni trascorsi nella conformità alla sicurezza del governo e dell'industria. Sebbene Guru fosse solo una startup “modesta” all'epoca, ho riconosciuto che l'azienda aveva una grande responsabilità nel proteggere i dati chiave che gli utenti affidano al sistema. Certo, ogni app chiede ai suoi utenti di cedere qualche tipo di dato, ma con Guru l'ampiezza dei contenuti è diffusa. Può essere un semplice riassunto di una riunione o qualcosa di critico come un segreto commerciale. Guru è posizionato per elaborarlo tutto, e questo è un lavoro importante per la funzione di sicurezza.
Wes Andrues, Responsabile del Rischio e della Conformità di Guru
Ci sono due principi fondamentali che noi di Guru rispettiamo e che aiutano a mantenere la fiducia e contribuiscono alla protezione dei dati:
Una Famiglia Vivia di Controlli di Sicurezza Alimentati da una Valutazione Formale del Rischio
Senza sembrare troppo simile a un “nerd” della conformità, prestiamo attenzione alle migliori pratiche e alle norme del settore, e ci assicuriamo che i nostri controlli documentati soddisfino o superino i mandati. Manteniamo vivo il framework convalideando regolarmente ogni elemento con reali artefatti di conformità che mostrano che le azioni vengono completate. Inoltre, esaminiamo questi controlli annualmente attraverso la lente di una valutazione del rischio per fare in modo che eventuali minacce emergenti o vulnerabilità siano affrontate come necessario.
Un Enfasi su una Protezione End to End
Cose come la crittografia e una corretta configurazione di rete possono fare molto per garantire un'applicazione e qualsiasi connessione esterna di cui ha bisogno per comunicare, e Guru ha fatto un buon lavoro nel bloccarsi nel proprio terreno digitale. È quando appaiono vulnerabilità che gli attori malintenzionati possono colpire, e Guru riduce al minimo queste opportunità eseguendo la scansione dei contenitori software al momento della creazione e analizzando il nostro codice per le dipendenze di terze parti vulnerabili. Inoltre, applichiamo numerose attività di manutenzione che includono l'aggiornamento del nostro firewall con indirizzi IP noti come dannosi e il ritiro di componenti di rete obsoleti (come sottodomini obsoleti). Invitiamo i tester di penetrazione due volte all'anno a “rompere” la nostra sicurezza e a dirci come possiamo migliorare.
In tutto, Guru rappresenta un avanzamento rinfrescante nell'idea della “gestione della conoscenza”, ma con questo arriva una sfida gradita per mantenere tutta quella conoscenza sicura, protetta e al servizio dei nostri clienti.
Quando mi sono unito a Guru diversi anni fa, cercavo una sfida dopo il servizio militare e dopo diversi anni trascorsi nella conformità alla sicurezza del governo e dell'industria. Sebbene Guru fosse solo una startup “modesta” all'epoca, ho riconosciuto che l'azienda aveva una grande responsabilità nel proteggere i dati chiave che gli utenti affidano al sistema. Certo, ogni app chiede ai suoi utenti di cedere qualche tipo di dato, ma con Guru l'ampiezza dei contenuti è diffusa. Può essere un semplice riassunto di una riunione o qualcosa di critico come un segreto commerciale. Guru è posizionato per elaborarlo tutto, e questo è un lavoro importante per la funzione di sicurezza.
Wes Andrues, Responsabile del Rischio e della Conformità di Guru
Ci sono due principi fondamentali che noi di Guru rispettiamo e che aiutano a mantenere la fiducia e contribuiscono alla protezione dei dati:
Una Famiglia Vivia di Controlli di Sicurezza Alimentati da una Valutazione Formale del Rischio
Senza sembrare troppo simile a un “nerd” della conformità, prestiamo attenzione alle migliori pratiche e alle norme del settore, e ci assicuriamo che i nostri controlli documentati soddisfino o superino i mandati. Manteniamo vivo il framework convalideando regolarmente ogni elemento con reali artefatti di conformità che mostrano che le azioni vengono completate. Inoltre, esaminiamo questi controlli annualmente attraverso la lente di una valutazione del rischio per fare in modo che eventuali minacce emergenti o vulnerabilità siano affrontate come necessario.
Un Enfasi su una Protezione End to End
Cose come la crittografia e una corretta configurazione di rete possono fare molto per garantire un'applicazione e qualsiasi connessione esterna di cui ha bisogno per comunicare, e Guru ha fatto un buon lavoro nel bloccarsi nel proprio terreno digitale. È quando appaiono vulnerabilità che gli attori malintenzionati possono colpire, e Guru riduce al minimo queste opportunità eseguendo la scansione dei contenitori software al momento della creazione e analizzando il nostro codice per le dipendenze di terze parti vulnerabili. Inoltre, applichiamo numerose attività di manutenzione che includono l'aggiornamento del nostro firewall con indirizzi IP noti come dannosi e il ritiro di componenti di rete obsoleti (come sottodomini obsoleti). Invitiamo i tester di penetrazione due volte all'anno a “rompere” la nostra sicurezza e a dirci come possiamo migliorare.
In tutto, Guru rappresenta un avanzamento rinfrescante nell'idea della “gestione della conoscenza”, ma con questo arriva una sfida gradita per mantenere tutta quella conoscenza sicura, protetta e al servizio dei nostri clienti.
Scopri il potere della piattaforma Guru in prima persona - fai il nostro tour interattivo del prodotto
