يفكر CISO لجون ديري دائمًا في المواهب الإلكترونية

جون ديري استأجرت أول CISO في عام 2014 ، وظل جيمس جونسون في هذا الدور في شركة المعدات الزراعية حتى يومنا هذا. جلس جونسون مع Information Week للحديث عن كيفية البدء في حياته المهنية ، ولماذا كان العمل من خلال هجوم الدولة القومية محوريًا لحبه للأمن ، وكيف يبني جون ديري موهبة في خط الأنابيب في وقت فجوة مهارات الأمن السيبراني.

من مهندس الشبكة إلى كبير موظفي أمن المعلومات

بدأ جونسون حياته المهنية كمهندس شبكة في شركة Windows and Doors Pella. كان يحب العمل في مساحة الشبكة ، لكنه سرعان ما أدرك أنه قد يزرع بالملل هناك ما يكفي من الوقت.

اقترح ديريك بنز ، صديق لجونسون والآن CISO من Coca-Cola ، النظر في الأمن. خرج جونسون وحصل على شهادة أمنية أمنية أنظمة المعلومات المعتمدة (CISSP) ، مما ساعده على الحصول على وظيفة كاختبار قلم في شركة Honeywell للتصنيع والتكنولوجيا.

خلال فترة وجوده في هانيويل ، أصيبت شركة Titan Rain بالضرب ، وهي سلسلة من الهجمات الإلكترونية المنسقة التي قام بها صيني.

جيمس جونسون ، CISO

“الحصول على فرصة لمعرفة كيف تستهدف الدول القومية الشركات وما هي قادرة على القيام بها ، أعتقد أن المهمة جعلت حقًا أكثر أهمية بالنسبة لي في تلك المرحلة” ، يشارك جونسون. “عندما تعاني من هجوم الدولة القومية في وقت مبكر من حياتك المهنية ، فهذا نوع من تغيير اللعبة … مجرد التفكير في قيمة العمل الذي تقوم به ولماذا يهم”.

متعلق ب:كيف يمكن للنقد البناء تحسين أداء فريق تكنولوجيا المعلومات

أمضى 11 عامًا في هانيويل ، حيث كان يعمل بثبات في الرتب ليصبح CISO يشرف على مختلف الأقسام داخل الشركة. وبعد ذلك ، جاءت مكالمة من جون ديري.

أول CISO لجون ديري

جاءت تلك المكالمة في الوقت المناسب. وصل جونسون إلى نقطة في هانيويل حيث من المحتمل أن يكون نموه محدودًا لفترة من الزمن.

يقول جونسون: “لقد فوجئت بسرور بهذه الفرصة”. “كان لدي علاقة كبيرة بجون ديري يخرج من ولاية أيوا ، نشأت في مجتمع الزراعة ، ورؤية الكثير من ذلك … العلامة التجارية الرائعة وفرصة بناء شيء من الصفر مرة أخرى.”

في حين أن بناء برنامج أمنية كصاحقي CISO لأول مرة هو فرصة مثيرة ، فإنه يأتي مع تحدياته. عندما وصل جونسون ، لاحظ كيف كانت الثقة في الثقافة في جون ديري.

يقول: “إنها قيمة كبيرة لدى جون ديري … يحاولون حقًا السعي لفعل الشيء الصحيح بنزاهة ، لكن هذه ليست الطريقة التي يعمل بها العالم على الجبهة الرقمية”.

أخبره أحد مرشديه في وقت مبكر من فترة ولايته في جون ديري أنه سيحصل على عمل في تحويل ثقافة الشركة بأكملها أثناء قيامه ببناء منظمة الأمن الخاصة به.

متعلق ب:وفاة CIO؟ لماذا تقوم بعض الشركات بإلغاء الدور

وقد اتخذ خطوات. عندما وصل إلى هناك لأول مرة ، كان الجميع يستخدم كلمات مرور بسيطة نسبيًا. ومع ذلك ، فإن عملية تغيير كلمات المرور هذه كانت مرهقة وتستغرق وقتًا طويلاً.

يقول: “اليوم ، يتم نشر MFA في جميع أنحاء الشركة. لدينا كلمات مرور معقدة”. “نحن نحاول إيجاد طرق لاستخدام القياسات الحيوية أكثر.”

دور متطور

نمت مسؤولياته في دور CISO مع مرور الوقت. عندما انضم لأول مرة ، كان يشرف على أمن وعمليات تكنولوجيا المعلومات. أمن المنتج المالي وأمن البيانات والحوكمة ؛ لقد أخذ فريقه أكثر وأكثر بمرور الوقت.

يقول: “لقد قمنا ببناء البرنامج من حوالي 32 شخصًا إلى … 220 شخصًا أقوياء الآن في منظمتنا”.

كان جونسون مع جون ديري لأكثر من عقد من الزمان. لا تتمسك كل CISO أو CIO بنفس الشركة لفترة طويلة ، لكن جونسون وجد أن طول العمر له فوائده. لقد بنى علاقات مع المجلس وأقرانه C-suite

ويوضح قائلاً: “من الصعب جدًا أن تحصل على شيء ما في سنتين أو ثلاث سنوات”. “أنت هناك لفترة أطول. لديك العلاقات. لديك القدرة على التأثير على الأشياء وإحداث فرق أكبر حقًا.”

اليوم ، يعمل جنبًا إلى جنب مع قيادة جون ديري للتنقل في إمكانيات الإثارة والمخاوف الأمنية من الذكاء الاصطناعي.

متعلق ب:يحلل Ciniper Networks CIO الخيارات الوظيفية للقادة في القمة

بناء خط أنابيب المواهب

في حين أن إمكانية حدوث حادث أمني تلوح دائمًا في عقل CISO ، فإن جونسون يفكر في الموهبة أيضًا. يقول: “لن ننجح بدون الأشخاص المناسبين في منظمتنا يقودون التغيير الصحيح”.

يتبع جون ديري مقاربات متعددة لجلب الأشخاص المناسبين إلى فريقه. أولاً ، يتطلع إلى فرق أخرى للأشخاص الذين هم خبراء وليس بالضرورة في الأمن. إنه يبحث عن موهبة واعدة ويسأل ، “هل يمكنني تعليم هذا الشخص الأمن؟” والإجابة على هذا السؤال في كثير من الحالات كانت “نعم”.

يقول: “لدينا أشخاص اعتادوا أن يكونوا مهندسين رئيسيين على جانب المنتج الذين يديرون الآن قسم أمن منتجاتنا ، ولم يكونوا مهتمين أبدًا بالأمان على الإطلاق”.

يستفيد جون ديري أيضًا من المواهب الإلكترونية من خلال برنامج Bug Bounty ، الذي لديه دفع أكثر من 1.5 مليون دولار منذ 2022.

بعد أن كان اختبار القلم ، يعرف جونسون مدى إحباطه لشخص ما لاكتشاف الضعف فقط للشركة لعدم القيام بأي شيء لإصلاحه. يقول: “لدينا اتفاقيات على مستوى الخدمة للحصول على بعض نقاط الضعف التي تعتبر حاسمة ، عالية ، متوسطة ، منخفضة ، ثابتة في غضون فترة زمنية معينة ، وفي معظم الحالات ، نتغلب على هذه الأرقام”.

جون ديري أيضا يعمل مع جامعة ولاية أيوا لزراعة المواهب. يقول جونسون: “نضع بعض الخدمات في الحرم الجامعي ، وهي جزء من مركز التكنولوجيا الخاص بهم ، وهي خدمات ربما لن تحصل عليها أبدًا فرصة للعمل مع الكلية أو تعلمها حقًا”.

إنه يعلم أنه سيكون من الصعب العثور على خبراء أمان سحابي ، على سبيل المثال ، لذلك يساعدون في تطوير هؤلاء الخبراء في ولاية أيوا. يقول جونسون: “لقد قمنا ببناء خط أنابيب من المواهب من جامعة ولاية أيوا لأنهم يعرفون علامتنا التجارية”.