Bryan Hornung, center, är chef för säkerhetsrevision och VD för Xact IT Solutions. Han hjälper kunder att göra sina system säkra och i enlighet med myndighetsföreskrifter. Bild: Xact IT SolutionsNär han gick på college vid Rider University i New Jersey ville Bryan Hornung bli revisor. Men efter fyra månaders praktik bytte han inriktning. “Jag bestämde mig för att det här inte är det jag ser mig själv göra under de kommande 40 åren,” sa han. Han tillämpade sitt intresse för siffror mot en examen i IT.
Måste läsa säkerhetstäckning
På sitt första jobb, med webbutveckling för en försvarsentreprenör för den amerikanska flottan, arbetade Hornung med interna applikationer och tog upp saker som fartygsändringar. Han hjälpte företaget att gå från kalkylblad till webbapplikationer.
Men han hade levt med en ånger. Under college, när han arbetade på en restaurang och en kund frågade om han var intresserad av att driva IT, kände Hornung att han inte var förberedd. “Men jag hade helt enkelt inte självförtroendet,” sa han. “Jag sa till mig själv en massa huvudskräp och tackade nej till erbjudandet.” Hornung lovade sig själv att aldrig säga nej till en sådan möjlighet igen. Ungefär sex år senare, 2002, när en kille kom in på hans kontor på Navy Yard i Philadelphia och sa att hans frus företag hade problem med hennes IT-support, sa min hjärna omedelbart, “Det här är det. Det här är en möjlighet för dig som du inte kan tacka nej till.”
SER: Hur man bygger en framgångsrik karriär inom cybersäkerhet (gratis PDF) (TechRepublic)
“Jag har alltid vetat att jag ville bli min egen chef och driva mitt eget företag,” sa Hornung. Kvinnan visade sig vara hans första kund, och han fick i uppdrag att se till att datorer fungerade, byta ut delar, köpa nya datorer och installera dem.
2007 övergick han till att bli en leverantör av hanterade tjänster, “där vi precis stoppade reparationsarbetet och alla typer av bostadsarbete, verkligen fokuserade på företag, hantera vår IT med målet att öka effektiviteten, visa dem hur de kan använda teknik för att öka vinsten, för att göra det till en konkurrensfördel”, sa Hornung. De ledde till nya möjligheter med större företag, “mer industridriven kontroll av efterlevnad”, sa han.
Nu är Hornung VD på Xact IT Solutions och har 15 år av säkerhetsrevision och andra IT-tjänster bakom sig. Hans nuvarande position innebär att övervaka revisionsprocesserna för sina kunder, saker som SOC2, industrirevisioner och Cybersecurity Maturity Model Certification (CMMC).
Inom läkemedelsindustrin, sa Hornung, finns det ett incitament att ta itu med förordningar – bortom FDA – för att undvika att “hantera PR-mardrömmen om ett brott mot deras företag.”
Som ett resultat har de varit bra på att reglera sig själv, men “du ser det inte lika mycket i andra sektorer som inte har någon som berättar för dem vad de behöver göra kring cybersäkerhet”, sa han. Så, Hornung började med att hjälpa stora företag som Pfizer, Merck och Bristol Myers Squibb att göra revisioner. De företag som gjorde revisioner, sa han, kanske inte har granskat eller verifierat uppgifterna som skickades tillbaka till dem. “Det var mycket en box-checking-övning från 2007 till ungefär 2012, 2013, när ransomware verkligen började komma på scenen och bli ett problem för företag,” sa Hornung.
Men snart tvingades företag komma med en omfattande cybersäkerhetsplan och ha ett ramverk på plats. “Och hur granskar man det? Hur jämför du det?”
“Vi antog mycket tidigt detta ramverk för cybersäkerhet i vår verksamhet, och vi granskar hela tiden vår egen verksamhet mot det,” sa Hornung. “Och sedan använder vi det i våra kunders verksamheter också.”
Hornung sa att de började som ett “typiskt IT-företag som utvecklats till en MSP, med möjligheter att göra mer säkerhetsfokuserade saker.” Företaget övergick 2012 till en ledande MSP inom säkerhet och håller nu på att bli ett cybersäkerhetsföretag. “Jag vet inte hur länge vår verksamhet faktiskt kommer att göra det där mer traditionella helpdesk-arbetet av IT-typ,” sa han.
Vissa företag är tveksamma till att anlita ett företag som Hornungs, om de har en tidigare relation med en IT-leverantör. Men Hornung sa att företaget kan arbeta med nuvarande IT som en del av en bredare satsning. Det kan med andra ord vara ett samarbete, snarare än en ersättning.
”Ur ett tekniskt perspektiv är det en säkerhetsbedömares eller revisors uppgift att hitta nålen i höstacken och sedan avgöra om nålen är något som kan åtgärdas eller inte. Beroende på vad du övervakar och vad du försöker fastställa har ett problem, om det är en kördator eller maskin, en hårdvara, kommer den saken att generera hundratals och hundratals loggar varje minut, om inte tusentals, beroende på företagets storlek, säger Hornung.
Det är mycket att vada igenom. I början var det bara Fortune 500-företag som hade råd. Nu gör automatisering jobbet enklare, så även småföretag har råd med det.
När ett problem lokaliseras är revisorn ansvarig för pappersspåret, för att identifiera problemet och se vilka åtgärder som vidtagits. “I vår verksamhet betyder kommunikationen mellan oss och kunden i en situation där ett företag har en intern IT att vi (revisorn) vill se kommunikationen mellan de interna IT-personalen och vem som än är säkerhetsansvarig eller chef”, förklarade han . “Revisorn måste se att det har vidtagits åtgärder och måste sedan kunna se vilka åtgärder som vidtagits.”
SER: De tre bästa anledningarna till att cybersäkerhetsproffs byter jobb (TechRepublic)
“Vi tittar på policyerna och procedurerna, och vi säger, ‘OK, stämmer de åtgärder som dessa personer vidtog kring den här händelsen överens med vad företaget lagt ner i sin process och procedur?’ Och om det gör det, då uppfyller de kvalifikationerna för revisionskontrollen. Om det inte gör det kommer en revisor att skriva en rapport om bristen för det.”
Som chef kunde Hornung arbeta med kunden för att “ge dem den färdplanen så att de kan ägna rätt budget över rätt tidsram för att hantera det vi upptäckte”, sa han. “Jag skulle säga att nästan 40 % av tiden går åt till att prata med kunder och arbeta med dem på dessa färdplaner och se till att de avsätter rätt pengar för att hålla sig i linje med sitt ramverk för cybersäkerhet.” Hans övriga tid går åt till att arbeta med tekniker som driver revisionerna och på hur man bäst presenterar informationen för kunden.
Hornung kan inte granska CMMC – ”ingen är certifierad att göra det nu” – men kan hjälpa till med bedömningar kring det.
Det mest givande med hans arbete är när kunderna tar bedömningarna på allvar. Och det mest frustrerande är när de gör tvärtom och “de väljer att inte göra någonting.”
“Du kan inte få folk att se saker,” sa Hornung. “De måste se det själva.”
“Gubbarna i skyttegravarna är de osjungna hjältarna,” sa Hornung. “Det är de som hittar sårbarheterna och uppmärksammar ledningen på dem. Om de inte kan göra det och de inte använder verktygen på rätt sätt och de inte lär sig hur man hittar olika sårbarheter, så är det liksom allt för intet – eftersom du ger kunden en falsk känsla av säkerhet.”
