Wes Andrues prowadzi nasz zespół ds. ryzyka i zgodności w Guru. W tym wywiadzie dzieli się z nami swoim doświadczeniem w zakresie bezpieczeństwa cybernetycznego
Kiedy dołączyłem do Guru kilka lat temu, szukałem wyzwania po służbie wojskowej oraz po kilku latach spędzonych w zgodności z wymaganiami bezpieczeństwa w rządzie i przemyśle. Mimo że Guru było wówczas tylko "skromnym" startupem, zdałem sobie sprawę z wielkiej odpowiedzialności firmy związanej z ochroną kluczowych danych, które użytkownicy powierzają systemowi. Oczywiście, każda aplikacja prosi swoich użytkowników o przekazanie jakiegoś rodzaju danych, ale w przypadku Guru zakres treści jest szeroki. Może to być tak proste jak streszczenie spotkania lub tak istotne jak tajemnica handlowa przedsiębiorstwa. Guru jest w stanie to wszystko przetworzyć, i to jest ważna praca dla funkcji bezpieczeństwa.
Wes Andrues, Menedżer Ryzyka i Zgodności w Guru
Są dwa podstawowe zasady, które my w Guru przestrzegamy, które pomagają utrzymać zaufanie i przyczyniają się do ochrony danych:
Żyjąca rodzina kontroli bezpieczeństwa zasilana formalną oceną ryzyka
Nie chcąc brzmieć zbyt jak "nerd" od zgodności, zwracamy uwagę na najlepsze praktyki i normy branżowe oraz upewniamy się, że nasze udokumentowane kontrole spełniają lub przewyższają wymogi. Utrzymujemy ramy żywe, rutynowo weryfikując każdy element z prawdziwymi artefaktami zgodności, które pokazują, że działania są podejmowane. Ponadto corocznie przyglądamy się tym kontrolom przez pryzmat oceny ryzyka, aby upewnić się, że wszelkie nowe zagrożenia lub luki są adresowane w razie potrzeby.
Podkreślenie ochrony end-to-end
Rzeczy takie jak szyfrowanie i odpowiednia konfiguracja sieci mogą znacząco poprawić bezpieczeństwo aplikacji oraz wszelkich zewnętrznych połączeń, które musi nawiązać, a Guru dobrze poradziło sobie z zabezpieczeniem swojego terytorium cyfrowego. To wtedy pojawiają się luki, które mogą być wykorzystane przez złych aktorów, a Guru minimalizuje te możliwości, skanując kontenery oprogramowania przy tworzeniu i przeglądając nasz kod w poszukiwaniu podatnych na atak zależności osób trzecich. Co więcej, stosujemy szereg działań porządkowych, w tym aktualizację naszego zapory sieciowej o znane złośliwe adresy IP oraz wycofywanie starych komponentów sieciowych (jak nieaktywne subdomeny). Zapraszamy testerów podrzędnych dwa razy w roku, aby "złamać" nasze zabezpieczenia i powiedzieć nam, jak możemy stać się lepsi.
Ogólnie rzecz biorąc, Guru to świeży postęp w idei "zarządzania wiedzą", ale z tym wiąże się przyjemne wyzwanie, aby utrzymać tę wiedzę w bezpieczeństwie, zapewnieniu jej bezpieczeństwa oraz służeniu naszym klientom.
Kiedy dołączyłem do Guru kilka lat temu, szukałem wyzwania po służbie wojskowej oraz po kilku latach spędzonych w zgodności z wymaganiami bezpieczeństwa w rządzie i przemyśle. Mimo że Guru było wówczas tylko "skromnym" startupem, zdałem sobie sprawę z wielkiej odpowiedzialności firmy związanej z ochroną kluczowych danych, które użytkownicy powierzają systemowi. Oczywiście, każda aplikacja prosi swoich użytkowników o przekazanie jakiegoś rodzaju danych, ale w przypadku Guru zakres treści jest szeroki. Może to być tak proste jak streszczenie spotkania lub tak istotne jak tajemnica handlowa przedsiębiorstwa. Guru jest w stanie to wszystko przetworzyć, i to jest ważna praca dla funkcji bezpieczeństwa.
Wes Andrues, Menedżer Ryzyka i Zgodności w Guru
Są dwa podstawowe zasady, które my w Guru przestrzegamy, które pomagają utrzymać zaufanie i przyczyniają się do ochrony danych:
Żyjąca rodzina kontroli bezpieczeństwa zasilana formalną oceną ryzyka
Nie chcąc brzmieć zbyt jak "nerd" od zgodności, zwracamy uwagę na najlepsze praktyki i normy branżowe oraz upewniamy się, że nasze udokumentowane kontrole spełniają lub przewyższają wymogi. Utrzymujemy ramy żywe, rutynowo weryfikując każdy element z prawdziwymi artefaktami zgodności, które pokazują, że działania są podejmowane. Ponadto corocznie przyglądamy się tym kontrolom przez pryzmat oceny ryzyka, aby upewnić się, że wszelkie nowe zagrożenia lub luki są adresowane w razie potrzeby.
Podkreślenie ochrony end-to-end
Rzeczy takie jak szyfrowanie i odpowiednia konfiguracja sieci mogą znacząco poprawić bezpieczeństwo aplikacji oraz wszelkich zewnętrznych połączeń, które musi nawiązać, a Guru dobrze poradziło sobie z zabezpieczeniem swojego terytorium cyfrowego. To wtedy pojawiają się luki, które mogą być wykorzystane przez złych aktorów, a Guru minimalizuje te możliwości, skanując kontenery oprogramowania przy tworzeniu i przeglądając nasz kod w poszukiwaniu podatnych na atak zależności osób trzecich. Co więcej, stosujemy szereg działań porządkowych, w tym aktualizację naszego zapory sieciowej o znane złośliwe adresy IP oraz wycofywanie starych komponentów sieciowych (jak nieaktywne subdomeny). Zapraszamy testerów podrzędnych dwa razy w roku, aby "złamać" nasze zabezpieczenia i powiedzieć nam, jak możemy stać się lepsi.
Ogólnie rzecz biorąc, Guru to świeży postęp w idei "zarządzania wiedzą", ale z tym wiąże się przyjemne wyzwanie, aby utrzymać tę wiedzę w bezpieczeństwie, zapewnieniu jej bezpieczeństwa oraz służeniu naszym klientom.
