Okta 安全访谈：Stephen McDermid 的安全理念

作为一家主要供应商的首席信息安全官 (CISO)，面临着诸多挑战：你与深谙你工作的人共事，同时也成为攻击者的重要目标。

在与 Okta 欧洲、中东和非洲地区首席安全官 (CSO) Stephen McDermid 交谈时，他坦诚地讨论了如何与客户和合作伙伴保持紧密联系，并确保所有人获得流畅的体验。他在 Salesforce 和苏格兰警察部队等机构担任高级网络安全职务的经历为他提供了丰富的经验。

在 Okta 内部，McDermid 表示他充当公司 CISO David Bradbury 的"眼睛和耳朵"，能够与客户互动并帮助他们理解 Okta 的安全理念，提供支持，"并在公司战略方面做正确的事情"。

对于客户，McDermid 认为他们更像是公司的合作伙伴，需要得到尽可能多的保护。

"我们发现自己在做一些通常 SaaS (软件即服务) 提供商不会做的事情；如果你是一个普通的 SaaS 提供商，你不会主动监控针对你客户的攻击者，但 Okta 会这样做，因为我们知道如果客户知道我们有这种可见性，我们就能看到并阻止攻击，并警告客户，这将是一件好事。"

McDermid 强调了共同责任模式的概念，他赞扬了公司高层管理人员所做的工作，使 Okta 能够与安全团队合作，确保公司层面的支持，并在内部实现更加无缝的体验。

"我认为，归根结底，安全仍然是一项与人相关的业务，"他说。"尽管我们有在 Okta 工作的令人难以置信的专家，但最终，安全是一项与人相关的业务。它关乎人心。即使只是清楚地解释我们为什么要做某些事情也很重要，因为即使他们可能不理解，但这样做是有意义的，因为这实际上是关于路线图。"

McDermid 提到了 2024 年 2 月推出的 Okta 安全身份承诺，他表示这阐明了公司的使命，不仅让客户和合作伙伴了解公司的方向，最终也让自己的员工知道公司试图实现什么，以及长期愿景是什么。

"我认为，无论人们是否从事安全工作，向他们解释'原因'都很重要，因为最终这将让他们能够理解并跟随你，而不是仅仅告诉他们去做某事。"

他举了一个例子，说明如何使用钓鱼模拟作为培训方法，以确定准备情况和它如何影响用户的心态。

"像任何组织一样，我们进行钓鱼培训并衡量钓鱼成功率，我们还发送培训，然后字面上下一件他们收到的就是一封合法的电子邮件，要求他们给我们反馈，"他说。"所以这种心态就是知道什么时候是好事，什么时候不是。"

他表示，减少摩擦的目标是不强制人们做出改变，"而不让他们完全理解或知道为什么你要这么做或最终会是什么样子。"这导致了安全文化团队的成立，以确保关注内部消息传递并衡量和监控这种文化，因为"最终，这就是我们将如何提高和提升我们拥有的安全标准并继续进步和做出这些改进。"

他承认安全部门经常被贴上"拒绝部门"的标签，这种态度通常是有效的，因为这"通常是风险最小的选择"，但他承认这种态度并不能帮助企业向前发展，也不能帮助客户。

"所以，现实是，我们必须处于这样一个位置，我们赋能业务并让他们意识到风险是什么。"通过让员工保持同步和支持，他们应该感到更多地参与到安全路线图中，并理解遇到阻碍时，这不是为了阻止他们或减慢他们的步伐。

谈到其他公司遭受的攻击，McDermid 说："当我们看到这些事件出现在新闻中时，我们会通过查看发生了什么、查看威胁行为者以及我们将如何应对来做出反应。这让我们能够从现实的角度思考这些威胁，而不是'如果发生这种情况会怎样'。"

他还表示，会有一段自我反思的时期，思考对客户的影响会是什么，以及客户会对 Okta 有什么问题。"这让我们有机会准备和分析自己的能力，并给我们学习的机会 - 我们监控这些事情，我们可以从中学习。"

McDermid 表示，任何影响客户的事情都是首要关注的问题，解决和处理任何问题将使公司能够立即解决它们 - 例如，如果使用了常见的漏洞或利用，或者如果攻击者正在特定行业中识别目标。

在网络安全这个紧密联系的行业中，McDermid 表示，如果受影响的公司是合作伙伴或客户，他会联系他们提供任何帮助，因为"即使只是有第二双耳朵来讨论某些事情也会受到赞赏"。

他强调，应该从事件中学习，对 Okta 来说，关键是需要保持透明，"这就是你赢得信任的地方 - 发生了什么，你正在做什么，你正在做出什么改变，我认为这就是你实际上可以从别人的错误中学习，然后显然试图提升自己的位置。"

在去年备受关注的访问令牌泄露事件后的 12 个月里，Okta 在网络安全方面正在迈出步伐，并证明该事件并没有使其倒退。事实上，该公司现在正在发展其作为安全身份提供商的角色，并作为基于云的服务的推动者，其明显强大的内部核心成为这一旅程的一部分。