Bil

Bakom kulisserna: En dag i en sÀkerhetsrevisionschefs liv

Bryan Hornung, center, Àr chef för sÀkerhetsrevision och VD för Xact IT Solutions. Han hjÀlper kunder att göra sina system sÀkra och i enlighet med myndighetsföreskrifter. Bild: Xact IT Solutions

NĂ€r han gick pĂ„ college vid Rider University i New Jersey ville Bryan Hornung bli revisor. Men efter fyra mĂ„naders praktik bytte han inriktning. “Jag bestĂ€mde mig för att det hĂ€r inte Ă€r det jag ser mig sjĂ€lv göra under de kommande 40 Ă„ren,” sa han. Han tillĂ€mpade sitt intresse för siffror mot en examen i IT.

MÄste lÀsa sÀkerhetstÀckning

PÄ sitt första jobb, med webbutveckling för en försvarsentreprenör för den amerikanska flottan, arbetade Hornung med interna applikationer och tog upp saker som fartygsÀndringar. Han hjÀlpte företaget att gÄ frÄn kalkylblad till webbapplikationer.

Men han hade levt med en Ă„nger. Under college, nĂ€r han arbetade pĂ„ en restaurang och en kund frĂ„gade om han var intresserad av att driva IT, kĂ€nde Hornung att han inte var förberedd. “Men jag hade helt enkelt inte sjĂ€lvförtroendet,” sa han. “Jag sa till mig sjĂ€lv en massa huvudskrĂ€p och tackade nej till erbjudandet.” Hornung lovade sig sjĂ€lv att aldrig sĂ€ga nej till en sĂ„dan möjlighet igen. UngefĂ€r sex Ă„r senare, 2002, nĂ€r en kille kom in pĂ„ hans kontor pĂ„ Navy Yard i Philadelphia och sa att hans frus företag hade problem med hennes IT-support, sa min hjĂ€rna omedelbart, “Det hĂ€r Ă€r det. Det hĂ€r Ă€r en möjlighet för dig som du inte kan tacka nej till.”

SER: Hur man bygger en framgÄngsrik karriÀr inom cybersÀkerhet (gratis PDF) (TechRepublic)

“Jag har alltid vetat att jag ville bli min egen chef och driva mitt eget företag,” sa Hornung. Kvinnan visade sig vara hans första kund, och han fick i uppdrag att se till att datorer fungerade, byta ut delar, köpa nya datorer och installera dem.

2007 övergick han till att bli en leverantör av hanterade tjĂ€nster, “dĂ€r vi precis stoppade reparationsarbetet och alla typer av bostadsarbete, verkligen fokuserade pĂ„ företag, hantera vĂ„r IT med mĂ„let att öka effektiviteten, visa dem hur de kan anvĂ€nda teknik för att öka vinsten, för att göra det till en konkurrensfördel”, sa Hornung. De ledde till nya möjligheter med större företag, “mer industridriven kontroll av efterlevnad”, sa han.

Nu Àr Hornung VD pÄ Xact IT Solutions och har 15 Är av sÀkerhetsrevision och andra IT-tjÀnster bakom sig. Hans nuvarande position innebÀr att övervaka revisionsprocesserna för sina kunder, saker som SOC2, industrirevisioner och Cybersecurity Maturity Model Certification (CMMC).

Inom lĂ€kemedelsindustrin, sa Hornung, finns det ett incitament att ta itu med förordningar – bortom FDA – för att undvika att “hantera PR-mardrömmen om ett brott mot deras företag.”

Som ett resultat har de varit bra pĂ„ att reglera sig sjĂ€lv, men “du ser det inte lika mycket i andra sektorer som inte har nĂ„gon som berĂ€ttar för dem vad de behöver göra kring cybersĂ€kerhet”, sa han. SĂ„, Hornung började med att hjĂ€lpa stora företag som Pfizer, Merck och Bristol Myers Squibb att göra revisioner. De företag som gjorde revisioner, sa han, kanske inte har granskat eller verifierat uppgifterna som skickades tillbaka till dem. “Det var mycket en box-checking-övning frĂ„n 2007 till ungefĂ€r 2012, 2013, nĂ€r ransomware verkligen började komma pĂ„ scenen och bli ett problem för företag,” sa Hornung.

Men snart tvingades företag komma med en omfattande cybersĂ€kerhetsplan och ha ett ramverk pĂ„ plats. “Och hur granskar man det? Hur jĂ€mför du det?”

“Vi antog mycket tidigt detta ramverk för cybersĂ€kerhet i vĂ„r verksamhet, och vi granskar hela tiden vĂ„r egen verksamhet mot det,” sa Hornung. “Och sedan anvĂ€nder vi det i vĂ„ra kunders verksamheter ocksĂ„.”

Hornung sa att de började som ett “typiskt IT-företag som utvecklats till en MSP, med möjligheter att göra mer sĂ€kerhetsfokuserade saker.” Företaget övergick 2012 till en ledande MSP inom sĂ€kerhet och hĂ„ller nu pĂ„ att bli ett cybersĂ€kerhetsföretag. “Jag vet inte hur lĂ€nge vĂ„r verksamhet faktiskt kommer att göra det dĂ€r mer traditionella helpdesk-arbetet av IT-typ,” sa han.

Vissa företag Àr tveksamma till att anlita ett företag som Hornungs, om de har en tidigare relation med en IT-leverantör. Men Hornung sa att företaget kan arbeta med nuvarande IT som en del av en bredare satsning. Det kan med andra ord vara ett samarbete, snarare Àn en ersÀttning.

”Ur ett tekniskt perspektiv Ă€r det en sĂ€kerhetsbedömares eller revisors uppgift att hitta nĂ„len i höstacken och sedan avgöra om nĂ„len Ă€r nĂ„got som kan Ă„tgĂ€rdas eller inte. Beroende pĂ„ vad du övervakar och vad du försöker faststĂ€lla har ett problem, om det Ă€r en kördator eller maskin, en hĂ„rdvara, kommer den saken att generera hundratals och hundratals loggar varje minut, om inte tusentals, beroende pĂ„ företagets storlek, sĂ€ger Hornung.

Det Àr mycket att vada igenom. I början var det bara Fortune 500-företag som hade rÄd. Nu gör automatisering jobbet enklare, sÄ Àven smÄföretag har rÄd med det.

NĂ€r ett problem lokaliseras Ă€r revisorn ansvarig för pappersspĂ„ret, för att identifiera problemet och se vilka Ă„tgĂ€rder som vidtagits. “I vĂ„r verksamhet betyder kommunikationen mellan oss och kunden i en situation dĂ€r ett företag har en intern IT att vi (revisorn) vill se kommunikationen mellan de interna IT-personalen och vem som Ă€n Ă€r sĂ€kerhetsansvarig eller chef”, förklarade han . “Revisorn mĂ„ste se att det har vidtagits Ă„tgĂ€rder och mĂ„ste sedan kunna se vilka Ă„tgĂ€rder som vidtagits.”

SER: De tre bÀsta anledningarna till att cybersÀkerhetsproffs byter jobb (TechRepublic)

“Vi tittar pĂ„ policyerna och procedurerna, och vi sĂ€ger, ‘OK, stĂ€mmer de Ă„tgĂ€rder som dessa personer vidtog kring den hĂ€r hĂ€ndelsen överens med vad företaget lagt ner i sin process och procedur?’ Och om det gör det, dĂ„ uppfyller de kvalifikationerna för revisionskontrollen. Om det inte gör det kommer en revisor att skriva en rapport om bristen för det.”

Som chef kunde Hornung arbeta med kunden för att “ge dem den fĂ€rdplanen sĂ„ att de kan Ă€gna rĂ€tt budget över rĂ€tt tidsram för att hantera det vi upptĂ€ckte”, sa han. “Jag skulle sĂ€ga att nĂ€stan 40 % av tiden gĂ„r Ă„t till att prata med kunder och arbeta med dem pĂ„ dessa fĂ€rdplaner och se till att de avsĂ€tter rĂ€tt pengar för att hĂ„lla sig i linje med sitt ramverk för cybersĂ€kerhet.” Hans övriga tid gĂ„r Ă„t till att arbeta med tekniker som driver revisionerna och pĂ„ hur man bĂ€st presenterar informationen för kunden.

Hornung kan inte granska CMMC – ”ingen Ă€r certifierad att göra det nu” – men kan hjĂ€lpa till med bedömningar kring det.

Det mest givande med hans arbete Ă€r nĂ€r kunderna tar bedömningarna pĂ„ allvar. Och det mest frustrerande Ă€r nĂ€r de gör tvĂ€rtom och “de vĂ€ljer att inte göra nĂ„gonting.”

“Du kan inte fĂ„ folk att se saker,” sa Hornung. “De mĂ„ste se det sjĂ€lva.”

“Gubbarna i skyttegravarna Ă€r de osjungna hjĂ€ltarna,” sa Hornung. “Det Ă€r de som hittar sĂ„rbarheterna och uppmĂ€rksammar ledningen pĂ„ dem. Om de inte kan göra det och de inte anvĂ€nder verktygen pĂ„ rĂ€tt sĂ€tt och de inte lĂ€r sig hur man hittar olika sĂ„rbarheter, sĂ„ Ă€r det liksom allt för intet – eftersom du ger kunden en falsk kĂ€nsla av sĂ€kerhet.”

LÀs fler artiklar i den hÀr serien

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK