#RISK Gründer Nick James im Gespräch mit Victoria Guilloit

 

Transkript:

Nick James:

Hallo, ich bin Nick James. Ich bin die Gründerin von #Risk, einer Veranstaltungsreihe, die im November 2022 in London beginnt. Ich freue mich, eine weitere unserer #Risk-Botschafterinnen, Victoria Guilloit, vorzustellen.

Victoria Guilloit:

Vielen Dank, Nick. Ich freue mich, hier zu sein.

Nick James:

Victorias 20-jährige branchenübergreifende Erfahrung in der Informationssicherheit, einschließlich Investmentbanking, Konsumgüter, Einzelhandel und Regierung. Vicky, erste Frage von mir, die Grenzen zwischen Cybersicherheit, Datenschutz, Risikomanagement und Compliance, die einst klar und abgegrenzt waren, verschwimmen jetzt. Wie hat sich Ihrer Meinung nach die Risikolandschaft in den letzten etwa 10 Jahren verändert?

Victoria Guilloit:

Ich denke, es ist ein bisschen wie ich selbst, überraschend schnell und nicht unbedingt so, wie ich es mir vielleicht vorgestellt habe. Diese Disziplinen waren vor 10 Jahren definitiv viel isolierter. Und Cybersicherheit zum Beispiel wurde sicherlich als Geschäftsrisiko betrachtet, aber der Datenschutz war in dieser Welt normalerweise nur eine Kategorie von zu schützenden persönlichen Informationen. Und dann hatten wir die Anwendung der DSGVO, und das war eine seismische Veränderung in der Privatsphäre- und Datenschutzlandschaft. Und dies bot den CSOs wirklich eine enorme Gelegenheit, Risiken und Compliance auf Meereshöhe zu kontextualisieren und ihre Budgets natürlich mit der Drohung der Datenschutzverletzung und den darauf folgenden erheblichen Bußgeldern zu sichern. Und dann haben Sie natürlich die Explosion der sozialen Medien. Jetzt haben wir KI, wir haben maschinelles Lernen und das anhaltende erstaunliche Wachstum der Cyberkriminalität. Und es scheint immer einen Schritt voraus zu sein. Anscheinend wird es bald die drittgrößte Volkswirtschaft der Welt nach den USA und China sein, wenn es das nicht schon ist. Und das bedeutet, dass diese isolierten Funktionen wirklich nahtlos zusammenarbeiten müssen, um ihre Organisationen zu schützen und voranzubringen.

Nick James:

Wow, das ist eine erstaunliche Statistik. Die dritte Wirtschaft könnte Cyberkriminalität sein. Ja, beängstigend. Wir haben in der Vergangenheit oft darüber gesprochen, aber Kultur. Wie schafft man eine Sicherheitskultur in einer Organisation?

Victoria Guilloit:

Meine Güte, am Anfang fühlt es sich immer wie ein wirklich großes, unhandliches Ding an, aber ich werde es versuchen. Und wir haben viele Male darüber gesprochen und ich hoffe, dass ich dieses Mal eine konsistente Antwort geben kann, aber hoffentlich mit einer Prise etwas anderem. Beginnen wir also mit einer guten Unternehmenskultur. Es sollte leicht zu beobachten sein, denn die Leute, die dort arbeiten, werden sich wohlfühlen und es wird ein Unternehmen sein, für das sie vielleicht gerne arbeiten möchten. Und sie werden sagen, alles fühlt sich einfach richtig an. Meistens gehen sie gerne zur Arbeit. Und ganz wichtig, der Chef hat immer offene Türen oder zumindest ein offenes Ohr und kann souverän Fragen stellen, er fühlt sich von oben und von allen Ebenen gut informiert über die Marschrichtung in der Organisation . Und wie jeder Unternehmensleiter weiß, jede Organisation, eine gesunde Kultur wie diese erfordert eine beträchtliche Menge an Anstrengung, und eine wirklich anhaltende Menge an Anstrengung wird wie dieser Schwan sein, der oben entlang gleitet und wütend darunter paddelt.

Victoria Guilloit:

Und so wird die Entwicklung und Einbettung Ihrer Datenschutz- und Sicherheitskultur nicht anders sein. In gewisser Weise muss man weiter daran arbeiten. Und was am wichtigsten ist, wenn Sie Ihren Mitarbeiter in Betracht ziehen, und das ist für mich als Mensch wirklich wichtig und kein Potenzial für menschliches Versagen, ist es ein wirklich guter Ort, um aufzuhören. Denn egal wie viele technische oder prozedurale Schutzmaßnahmen vorhanden sind, die Hacker werden hacken und die Menschen werden Fehler machen. Ihre Leute haben in erster Linie eine Aufgabe zu erledigen. Und wenn Sie möchten, dass sie Datenschutz und Sicherheit berücksichtigen, müssen alle Ratschläge, die Sie ihnen erteilen, im Kontext des Geschäftszwecks und ihrer Rolle sowie aller Prozesse oder Verfahren stehen, die Sie einführen werden.

Victoria Guilloit:

Zum Beispiel Datenschutzunsicherheit durch Design in der Systementwicklung, dass Ihre Daten klassifiziert und gekennzeichnet werden, potenzielle Dateninstanzen und Rechteanfragen werden schnell gemeldet. All diese Dinge müssen super einfach und effizient sein. Es geht nicht um ein allgemeines jährliches E-Learning, obwohl das ein Anfang ist, wenn nichts anderes vorhanden ist. Es ist ein fortlaufendes Programm und es wird einige Zeit dauern. Es wird Geduld, Ressourcen, Sponsoring, Eigenverantwortung, Zusammenarbeit, Engagement, Gemeinschaft und zu guter Letzt und vor allem Risikomanagement erfordern. Das war eine wirklich lange Antwort, Nick, wurde mir klar.

Nick James:

Gar nicht. Und ich denke, dies ist eine ergänzende Frage, wenn Sie so viele dieser Dinge wie möglich getan haben, wie messen Sie dann die Wirksamkeit der Schulung, Bildung und Sensibilisierung?

Victoria Guilloit:

Das ist eine großartige Frage. Und erstens, ich werde sehr häufig gefragt und oft wird viel am Kopf gekratzt, wie machen wir das wirklich? Aber im Wesentlichen, selbst wenn ein Mitarbeiter sehr wenig über Datenschutz oder Sicherheit weiß, aber selbstbewusst ist und das der Schlüssel ist, um schnell etwas zu sagen, sind Sie an einem ziemlich guten Ort, wenn etwas nicht richtig aussieht. Jemand sagte mir vor ein paar Jahren, dass bei der nachträglichen Auswertung eines Datenvorfalls Ihr Sensibilisierungs-, Aufklärungs- und Schulungsprogramm versagt, wenn festgestellt wird, dass der potenzielle Vorfall bekannt, aber nicht gemeldet wurde. Und ich denke, das ist ein ziemlich weiser Rat. Viele Sicherheitsleute sprechen über das Melden von Vorfällen, steigen nach einer Schulung zu diesem Thema und das ist absolut das, was Sie erwarten sollten. Und dann sollte es sich mit der Zeit verbessern, da die Leute verstehen, was gemeldet werden sollte. Und achten Sie gleichzeitig darauf, sensible Informationen zu schützen und nach unerwünschten E-Mails Ausschau zu halten.

Victoria Guilloit:

Jetzt verfügen Sie über Technologien und Prozesse zur Verhinderung von Datenverlust, die Unternehmen dabei helfen, das Verhalten ihrer Mitarbeiter zu verstehen. Und ob ihr Bewusstsein, ihre Bildung und Ausbildung verbessert werden müssen. Und es ist immer hilfreich, die Meinung der Mitarbeiter selbst durch eine Umfrage oder einen Workshop einzuholen, ist eigentlich eine meiner Lieblingsbeschäftigungen, weil es um ein Gespräch geht. Und meistens müssen wir uns immer daran erinnern, dass Mitarbeiter eigentlich das Richtige tun wollen, und wenn Sie ihnen eine Stimme geben, können Sie besser verstehen, wo Ihre Prozesse möglicherweise schwierig zu navigieren sind oder Ihre Schulung verwirrend ist und Sie sie verbessern müssen.

Nick James:

Das ist eine großartige Antwort. Was wir in den letzten zwei Jahren gesehen haben, ist die Beschleunigung der digitalen Transformation in einem Tempo, das wir aufgrund der Pandemie einfach nicht erwartet hatten. Wie sollte Cybersicherheit Ihrer Meinung nach in Transformationsprogramme passen?

Victoria Guilloit:

Ja, das ist auch eine sehr gute Frage. Und Sie wissen, was ich damals während der Pandemie beobachtet habe, die Cybersicherheit war wirklich führend von vorne und sie ist immer noch in diesen Initiativen. Früher waren sie ein bisschen hintendran und sagten: Nun, wie werden wir dem Unternehmen beweisen, dass wir ein Wegbereiter sind, und wie werden wir versuchen, an dieser Transformation oder einem anderen Technologieprojekt festzuhalten und nicht kosten zu viel Zeit oder Geld. Aber jetzt denke ich, dass die Frage von Unternehmen eher lautet, wo wir arbeiten, ob unsere Daten tatsächlich sicher sind. Weil jetzt viel mehr erkannt wird, dass Daten vom Büro weg und in unsere Häuser und anderswo reisen, jetzt, wo wir flexibler und hybrider arbeiten können. Dass Menschen, ob Verbraucher oder Kunden, Kunden einer Organisation erwarten, dass ihre Daten geschützt werden. Und die Unternehmen beginnen das wirklich zu erkennen. Es wird also kein nachträglicher Einfall oder eine teure Anschraublösung mehr sein. Es wird ein Treiber für sich und ein Beschleuniger für geschäftliche Veränderungen sein.

Nick James:

Und das führt uns, denke ich, ganz schön zu meiner nächsten Frage, bei der es um Vertrauen geht, auf die Sie in dieser Antwort irgendwie angespielt hatten. Weil Organisationen heutzutage Vertrauen in die digitale Welt, in der wir alle leben, priorisieren und ein solides Governance-Risiko- und Compliance-Framework eine entscheidende Komponente für den Aufbau und die Aufrechterhaltung von Vertrauen ist. Aber wie wichtig ist es, in diesem Mix ein vielfältiges Team zu haben?

Victoria Guilloit:

Ja, das ist eine wirklich gute Frage. Also werde ich das einfach aus einem bestimmten Blickwinkel angehen, den ich selbst erlebt habe und bei dem ich so viele Veränderungen gesehen habe und für den ich wirklich leidenschaftlich bin. Und ich denke, deshalb sind Vielfalt, Stärke und Fähigkeiten wirklich wichtig. Ich werde also auf die Tage in der Sicherheitsbranche zurückblicken, als jeder, der kein Technikfreak war, ein Benutzer war und ich tatsächlich als Token Awareness Lady bezeichnet wurde. Ich habe nicht wirklich viel gemacht. Ich saß nur auf der Seite und wusste nicht wirklich etwas über Sicherheit. Aber die Zeiten haben sich wirklich geändert und der Wert und die Bedeutung einer Rolle, die in der Lage ist, Governance-Risiken und Compliance-Sicherheit und Datenschutz-Jargon in die Sprache des Unternehmens zu übersetzen und effektiv zu kommunizieren und sie zu verstehen und sich entsprechend zu verhalten und Risiken zu minimieren, ist jetzt als entscheidend für die Effektivität des GRC-Programms, das Risikomanagement und das Erreichen von Compliance anerkannt. Es hat also wirklich nur in diesem bestimmten Gebiet eine seismische Verschiebung gegeben. Daher ist es wichtig, dass wir verschiedene Rollen haben.

 

Nick James:

Vicky, danke dafür. Wie können wir die Kultur für Unternehmen weiter verändern, um mit sich ändernden Vorschriften, Gesetzen und Bedrohungen Schritt zu halten, insbesondere wenn wir ins Büro zurückkehren oder vielleicht in einer hybriden Arbeitsumgebung von zu Hause aus weitermachen?

Victoria Guilloit:

Ein paar Punkte hier. Aufgrund der Kultur steht die Kultur also nicht still. Also müssen wir damit Schritt halten, aber es kann sich ziemlich überwältigend anfühlen. Und ich denke, das ist der Punkt im Gespräch, an dem ich mich wenden kann, um zu fördern, was die Datenschutzkultur und andere spezialisierte Dienste tatsächlich tun. Ich sehe oft, dass Teams in Unternehmen aus allen Nähten knarren und versuchen, alles selbst zu machen. Und das ist der Punkt, an dem sie anfangen zu brechen. Und eine Bedrohung wird dann tatsächlich potenziell zu einer Katastrophe. Damit Unternehmen wirklich auf dem Laufenden bleiben können, müssen sie wirklich effektiv darin werden, ihre Geschäftsrisiken zu verstehen und zu beherrschen. Auf diese Weise werden sie wirklich erkennen, wo und wann sie vor allem fachliche Hilfe benötigen, um mit Gesetzesänderungen Schritt zu halten. Wie zum Beispiel gezieltes Training. Wenn ein bestimmtes Datenschutzgesetz in einer bestimmten Region oder einem bestimmten Land in Kraft tritt, wird dies möglicherweise tatsächlich eine Änderung dessen bewirken, was Ihre Mitarbeiter tun und wissen müssen. Jetzt bedeutet flexibles Arbeiten, dass Manager wirklich Wege finden müssen, ihre Teams zusammenzuhalten und das Vertrauen kontinuierlich zu fördern.

Victoria Guilloit:

Wie ich bereits erwähnt habe, und Vertrauen, und das bedeutet, die Arbeit der Person ein bisschen mehr zu machen, die persönliche Arbeit, Entschuldigung, zu einem Ereignis, bei dem Sie tatsächlich zusammenkommen. Damit es ein bisschen Sozialisierung gibt, damit die Leute im Team miteinander reden, die möglicherweise nicht immer miteinander reden, und sicherstellen, dass es auch regelmäßige Online-Aufholjagden und Einzelgespräche mit dem Manager gibt. Denn einem Remote-Mitarbeiter, der sich nicht wirklich als Teil des Teams fühlt, fehlt möglicherweise auch das Selbstvertrauen, sich zu äußern. Wenn sie also beispielsweise eine seltsame E-Mail entdecken oder sich Computer auf seltsame Weise verhalten, fühlen sie sich möglicherweise nicht sicher, mit irgendjemandem oder dem Vorgesetzten zu sprechen, und das könnte zu einem potenziellen Datenvorfall oder etwas anderem führen. Das ist nur ein Beispiel für mangelndes Vertrauen in einen Mitarbeiter.

Nick James:

Brillant. Ich liebe das. Es geht wirklich um Geselligkeit und Kommunikation. Und ich meine, das ist es, was großartige Teams und großartige Kulturen in großartigen Teams aufbaut. Meine letzte Frage ist eine, die ich vielen Leuten stelle, und zwar aus geschäftlicher und nicht aus persönlicher Sicht, aber was hält Sie nachts wach?

Victoria Guilloit:

Oh, viele Dinge sind verrückt. Aber wie Sie sagen, es ist wirklich schwer, das Persönliche nicht mit hineinzubringen. Gibt es jetzt so eine Unschärfe zwischen Arbeit und Privatleben? Ich denke, heutzutage versuche ich, nicht zu weit in die Zukunft zu denken, weil Sie wissen, dass die Zukunft in keiner Weise versprochen ist. Und ich hoffe einfach, dass ich heute das Richtige für mich und das Team tue und mein Bestes gebe, um erfolgreich zu sein. Ich meine, ich denke, ich mache mir wahrscheinlich Sorgen, dass ich zurückfallen werde, weshalb die Kommunikation mit dem Team so wichtig ist, insbesondere mit denen, die hinter uns kommen, weil sie diejenigen sind, die wirklich wissen, was auf sie zukommt rege mich echt auf. Ich hoffe also, dass das, was ich mitbringe, nützlich ist und einen Unterschied für das Unternehmen und unsere Kunden bewirken wird. Und hoffentlich wird das, was ich tue und einiges von dem, was ich sage, jeden inspirieren, der hinter mir steht.

Nick James:

Brillant. Vielen Dank, Vicky. Und nun, ich denke, das einzige, was wir daraus mitnehmen sollten, ist, dass wir uns wahrscheinlich bald persönlich treffen und etwas Kontakte knüpfen und kommunizieren müssen.

Victoria Guilloit:

Definitiv. Das hört sich für mich sehr gut an.

Nick James:

Wunderbar. Ich wünsche Ihnen einen schönen Tag und ich melde mich bald bei Ihnen.

Victoria Guilloit:

Ich wünsche Ihnen einen wunderschönen Tag, Nick. Vielen Dank für die Einladung.

Nick James:

Wiedersehen.

Victoria Guilloit:

Wiedersehen.