Tajný CSO: Howard Taylor, Radware

Jméno: Howard (Chaim) Taylor

Organizace: Radware, Ltd.

Název pozice: CISO

Datum zahájení současné role: únor 2019

Umístění: Tel Aviv, Izrael

Howard Taylor má více než 40 let zkušeností v oblasti IT infrastruktury, řízení provozu, informační bezpečnosti a řízení technologických rizik. Před nástupem do Radware působil Taylor jako hlavní konzultant pro BDO Israel, kde podporoval jak hi-tech start-upy, tak velké společnosti, jako jsou Teva a Amdocs. Před svým přestěhováním do Izraele měl Taylor 29letou kariéru jako viceprezident pro řízení technologických rizik ve společnosti JPMorganChase. Taylor byl jedním z prvních CISO v bankovním odvětví, zodpovědný za vytvoření bezpečnostní strategie pro počáteční internetovou přítomnost firmy, vývoj zásad a dodržování předpisů.

Jaká byla vaše první práce? Abych zaplatil vysokou školu, pracoval jsem v datovém centru New York University a programoval jsem jejich počítačový fakturační systém. Zde jsem rozvinul svou lásku k počítačovému hardwaru a operačním systémům.

Jak jste se dostali ke kybernetické bezpečnosti? Za starých dobrých časů se říkalo „Bez špatného auditu se nic nestane!“ Externí auditor byl připraven vypnout hlavní aplikaci pro převody/zúčtování finančních prostředků, pokud se dramaticky nezlepší všechny kontroly (zabezpečení, řízení změn a kontinuita podnikání). Dali nám rok na to, abychom udělali zázrak, a já jsem dostal za úkol to udělat! Ve své firmě jsem vybudoval první tým pro řízení technologických rizik.

Jaké bylo vaše vzdělání? Jste držitelem nějaké certifikace? Co to je?Mám B.S. v informatice na City University of New York, School of Engineering. Nikdy jsem neměl čas věnovat se certifikacím, protože jsem měl vždy příliš mnoho práce ve frontě. Velmi doporučuji certifikaci CISSP pro začínající CISO.

Vysvětlete svou profesní dráhu. Jeli jste nějakou oklikou? Pokud ano, diskutujte. Můj začátek v oblasti správy IT infrastruktury mi poskytl ty nejlepší základy k tomu, abych se stal profesionálem v oblasti řízení rizik. Byl jsem obeznámen s procesy a postupy od začátku do konce. Pochopil jsem bezpečnostní výzvy a rychle jsem si vybudoval vztahy nezbytné k jejich řešení. Jakmile jsem opustil JPMorganChase, abych se stal konzultantem, tyto dovednosti se opravdu vyplatily. Byl jsem schopen rychle přecházet od klienta ke klientovi a od jedné technologie ke druhé. Nyní, jako CISO pro Radware, přední bezpečnostní společnost v oboru, jsem spokojen se směrem, kterým se moje kariéra ubírala. Žádné objížďky k nahlášení.

Byl někdo, kdo vás ve vaší kariéře inspiroval nebo mentoroval? Při své první práci v oblasti řízení rizik v JPMorganChase jsem velmi úzce spolupracoval se dvěma senior partnery z velké účetní firmy. Blížili se odchodu do důchodu a viděli mě jako součást nové generace, která bude pokračovat ve své misi v oblasti bezpečnosti a řízení rizik. Po mnoha vášnivých diskuzích a spoustě tvrdé práce jsme dramaticky zlepšili kontrolní prostředí a udrželi firmu v provozu! Naučili mě přístupu, který mi zůstal dodnes. Základní principy nikdy nevyjdou z módy.

Co je podle vás nejdůležitějším aspektem vaší práce? Udržování rovnováhy! CISO se musí zabývat mnoha požadavky, i když některé budou v rozporu s jinými. Například R&D potřebuje široký otevřený přístup ke všemu odkudkoli. Zákazníci požadují přísnější kontroly a rozsáhlé monitorování. Hlavní obchodní služby musí být chráněny před interními a externími hrozbami. CISO musí tyto cíle vyhodnotit a definovat způsoby, jak vnést do chaosu harmonii.

Jaké metriky nebo KPI používáte k měření efektivity zabezpečení? To, že vaše bezpečnostní incidenty nejsou hlášeny jako zprávy na titulní stránce, je skvělý KPI! (Dělám si srandu). Definování a sledování správných KPI zabezpečení zůstává výzvou. KPI pro program Radware se zaměřují na základy, jako je stav aktualizace operačního systému správy oprav, pokrok v plánech nápravy, doba odezvy na incidenty a statistiky školení o povědomí o bezpečnosti. Nemusí to být ty nejzajímavější KPI, ale jsou významnými ukazateli zdraví a úspěchu zabezpečení programu.

Ovlivňuje nedostatek bezpečnostních dovedností vaši organizaci? Jaké role nebo dovednosti je pro vás nejobtížnější obsadit? Radware má pověst skvělého místa pro práci. Máme také vynikající HR náborový tým. Takže to může chvíli trvat, ale podaří se jim najít ty nejlepší kandidáty.

Kybernetická bezpečnost se neustále mění – jak se můžete neustále učit? Radware je bezpečnostní společnost plná mnoha odborníků, kteří jsou připraveni sdílet své znalosti. Kromě interního sdílení informací nabízí Radware bílé knihy, webináře a další informace veřejnosti prostřednictvím webu Radware.com.

Jaké konference jsou na vašem seznamu, který musíte navštívit? Nikdy jsem neshledal, že konference mají velkou hodnotu. Pokud nemám potřebné informace doma, párkrát zavolám, abych je našel.

Jaký je nejlepší současný trend v kybernetické bezpečnosti? Nejhorší?Cítím, že nejlepším trendem je nově posílené zaměření na základní úklid, jako je správa patchů. To se dostalo do popředí incidentu Solar Winds. Kořenem mnoha kybernetických narušení je špatná kybernetická správa. Nejhorším trendem dneška je snaha zavést „automatizaci procesů“, aniž bychom měli procesy dobře definované. Někteří CISO považují nástroje za způsob, jak lépe zabezpečit své prostředí. Pokud nemají definované kontrolní cíle a procesy, nástroje nemusí poskytovat návratnost investic, kterou očekávají. Plýtvání zdroji, kterému se lze vyhnout.

Jaká je nejlepší kariérní rada, kterou jste kdy dostali? Nejlepší kariérní rada byla opustit svou IT infra zónu pohodlí a přesunout se do prostoru zabezpečení a řízení rizik.

Co byste poradili začínajícím lídrům v oblasti bezpečnosti? Kybernetická bezpečnost umožňuje podnikání! Úzce spolupracujte se svým podnikem a najděte způsoby, jak bezpečně implementovat jejich požadavky. Zkrátka vyvarujte se říkat NE!

Jaký byl váš největší kariérní úspěch? Stále na tom pracuji! Sledování úspěchů mladých profesionálů v oblasti kybernetické bezpečnosti, se kterými jsem spolupracoval, dostávám obrovské uspokojení.

Když se podíváte zpět s odstupem 20:20, co byste udělali jinak? ANI JEDNO!