Learn more about the annual Open Source Security Summit.
Building a cybersecurity work culture in the age of distributed workplaces is imperative. It can also be challenging, especially when factoring in resource constraints. Fortunately, three experts were on hand to address this topic through a Q&A during the 2023 Open Source Security Summit.
Moderating the Q&A was Leigh Honeywell, Co-Founder and CEO of Tall Poppy, a company specializing in personal and executive cybersecurity for banks, movie studios and organizations who have to deal with internet harassment.
Honeywell was joined by Henry Fisher, digital rights activist and founder of Techlore. Fisher is also a runner, artist, musician, book nerd, and privacy advocate. He also co-hosts the Surveillance Report weekly newscast.
Rounding out the panel was Phillip Kampmann, Software Engineer III at AccuRanker. Phillip is the lead developer behind AccuRanker’s Secret Service, which handles secrets through the Bitwarden Secrets Manager.
Se hela sessionsinspelningen eller läs hela Q&A nedan
Leigh Honeywell: När jag var på Slack var vår säkerhetsutbildning för nyanställda den andra utbildningen som varje nyanställd gick. I princip fick du din bärbara dator, du fick ett introduktionsvälkomst från en av cheferna och sedan gick du direkt till säkerhetsutbildning. Jag uppskattade verkligen att få detta direkt eftersom det gjorde det klart att detta var en existentiell prioritet för organisationen. Jag är nyfiken på vilka strategier ni båda har funnit vara effektiva när det gäller att uppmuntra anställdas engagemang kring cybersäkerhet.
Henry Fisher: Min huvudsakliga roll har varit fokuserad på slutanvändare snarare än företagsmiljön, men jag har upptäckt att personalisering och att hjälpa människor att verkligen bry sig och förstå hur säkerheten skyddar deras data är väldigt viktigt. Det här är en bra utgångspunkt, eftersom människor kämpar för att förstå varför det är viktigt. De måste förstå hur säkerheten påverkar, inte bara företaget utan dem själva. Många dataintrång riktar sig faktiskt mot anställdas data, inte bara kunddata och andra företagshemligheter. Dataintrång kan påverka företag, kunder eller till och med samhället, beroende på hur viktiga tjänster är för en gemenskap.
Leigh Honeywell: Det är ett riktigt intressant perspektiv. Det finns inga magiska kulor. Det är en av de svåra sakerna med det här arbetet. Jag arbetar också främst med människor i deras personliga kapacitet, eftersom vi är fokuserade på onlinetrakasserier och personliga cybersäkerhetshot. Att uppmuntra människor att luta sig in i personliga cybersäkerhetsmetoder har stor effekt på företagets säkerhetsställning.
Phillip Kampmann: Håller med, att skräddarsy utbildningsprogram för att ta itu med säkerheten vid introduktion av nya medarbetare är mycket viktigt. Det är också viktigt att erbjuda dem verkliga exempel på hur man faktiskt använder säkerhetsverktyg samt dela tips om hur man undviker några av de fallgropar som finns där ute när det gäller nätfiske-e-postmeddelanden och andra hot.
Leigh Honeywell: Vilka är fallgroparna du har sett, särskilt kring säkerhetskulturen?
Phillip Kampmann: Den största fallgrop vi ser är människors förmåga att välja ett bra lösenord. Det är där vi ofta ser människor misslyckas. Det är också därför vi fokuserar på att interagera med människor om hur de ska använda sina säkerhetsverktyg, som att sätta upp regler för hur man säkerställer lösenordslängd och komplexitet.
Vi vill skapa en kultur som uppmuntrar anställda att meddela oss när något går snett och prioritera verkliga, pågående träningsövningar under en anställds anställningstid för att säkerställa kontinuerliga förbättringar och säkerhet.
Leigh Honeywell: Flera av oss arbetar på mindre organisationer och folk vid detta möte med öppen källkod, allt från små och medelstora företag till företag. När du arbetar med små och medelstora företag, mindre organisationer, nyhetsredaktioner, ideella organisationer, upptäcker du att dessa enheter är resursbegränsade. Med det i åtanke, vilka tror du är de viktigaste faktorerna kring att bygga en cybersäkerhetskultur? Vilka är några utmaningar som mindre företag står inför och hur skiljer det sig från företag?
Phillip Kampmann: Jag tror – särskilt för små och medelstora företag – att det är viktigt att fokusera på grundläggande säkerhetsåtgärder. För det första är vi ofta inte tillräckligt stora för att hantera alla säkerhetsåtgärder på en gång. Vissa kan behöva läggas ut på entreprenad eller behandlas annorlunda än vad du skulle göra på företagsnivå. Det är viktigt att utbilda anställda och se till att de är medvetna om säkerhet. Detta gäller för små, medelstora och större företag.
Henry Fisher: Jag följer attackerna som sker på företagssidan och de flesta av dem är inte supersofistikerade attacker. De försöker bara hitta den lågt hängande frukten som är att människor gör enkla misstag. Att fokusera på det väsentliga kommer att förhindra många problem. Men detta är också en öppen källkodskonferens.
Lösningar med öppen källkod är ett fantastiskt alternativ för organisationer som är resursbegränsade eftersom de är supertillgängliga med mycket dokumentation. De är designade för alla och många av dem är också mer kostnadseffektiva. Utöver det är det mer sannolikt att det finns sätt att ändra lösningen så att den passar din situation.
Leigh Honeywell: Hur ser du på säkerhetsverktyg med öppen källkod som passar in i organisationens säkerhet, kultur och övergripande strategi, oavsett om det är småföretag, individer, personlig säkerhet eller hela vägen upp till företaget?
Henry Fisher: De är mer tillgängliga för både slutanvändare och företag.
Det finns så många fördelar med öppen källkod, inklusive transparens och anpassning.
Och även om proprietära lösningar ibland är svaret, tror jag att lösningar med öppen källkod generellt sett har ett större community-stöd, vilket kumulativt ger mycket värde vid en mycket låg friktionspunkt.
Det här kanske låter dumt, men öppen källkodsdokumentation är vackert för mig eftersom många open source-projekt försöker skapa mänsklig dokumentation som alla kan förstå oavsett bakgrund. Allt är översatt och du behöver sällan support eftersom det är så bra gjort. Och jag tror att det är lite ovanligt nuförtiden.
Jag ser säkerhetsverktyg med öppen källkod passar in i många delar av ett företags kultur och strategi. Öppen källkod har mycket att erbjuda.
Phillip Kampmann: En annan viktig fördel med öppen källkod är uppdateringarnas aktualitet.
Det är ofta många som tittar på projekt med öppen källkod; därför har vi förmågan att åtgärda små och stora problem inom rätt tid. Vi kan också göra våra egna lösningar flexibla när det gäller att använda olika typer av öppen källkod.
Leigh Honeywell: Vi är alla stora fans av öppen källkod på detta toppmöte. Men för att vara lite självkritisk och reflekterande, vilka är några av utmaningarna som du har sett med att implementera säkerhetslösningar med öppen källkod, antingen på en kulturell nivå eller på en teknisk, praktisk nivå?
Henry Fisher: En sak som personligen bekymrar mig, mitt företag och människor jag känner är att folk måste tro att de kan få support direkt från programvaran om något går fel. Ibland kan öppen källkod kännas som att du tagit träningshjulen från cykeln och nu är du på egen hand. Många organisationer kan skrämmas av det. Men det är inte alltid så.
Många organisationer med öppen källkod har stöd och erbjuder specifika program för företagskunder.
Det hjälper till att fylla tomrummet, även om det kanske inte är lika lättillgängligt för mindre organisationer eller projekt.
Leigh Honeywell: Jag måste fokusera på flexibiliteten i att använda öppen källkod, både som för- och mot. Jag tror att proffsen definitivt finns där när det kommer till anpassning och personalisering. Men vissa av de mindre projekten kanske inte har resurserna för att faktiskt vara där. De kanske inte har bidragsgivare att anpassa sig till vad som händer på marknaden i tid. Om du identifierar en utmaning finns det möjligheter att personligen lägga till, bidra och fixa saker själv.
Leigh Honeywell: Vilken är en stor säkerhetsöversyn som du ser hända i organisationer?
Phillip Kampmann: Jag kanske har sagt bristande säkerhetsmedvetenhet för ett par år sedan, men det förändras till det bättre, bland både små och större företag. Vi ser också att detta förbättras när fler säkerhetsföreskrifter implementeras runt om i världen. Så jag är faktiskt inte säker på vad det största problemet är vid denna tidpunkt. Jag tror att i mindre företag kan det fortfarande vara saker som att ta med egna enheter som kan innehålla olika typer av skadlig programvara.
Henry Fisher: Jag tror att det som kan vara det mest förödande som företag inte tänker på är om tredjepartsverktygen de litar på är säkra eller inte. Detta är faktiskt också ett bra försäljningsargument för öppen källkod.
Specifikt tänker jag på GoAnywhere-dataintrånget, som är det senaste. Det slår nu hundratals organisationer och påverkar miljontals människor bara för att en mjukvara var osäker. De kan vara riktigt katastrofala. Det kan ta bara en person att skruva ihop för att påverka tusentals företag. Att välja bra verktyg med öppen källkod som är pålitliga och som är säkert uppdaterade är mycket viktigt.
Läs mer om det årliga säkerhetsmötet med öppen källkod.
Är du redo att testa lösenordsdelning med Bitwarden? Kom snabbt igång med ett gratis Bitwarden-konto, eller starta en 14-dagars gratis provperiod av affärsplanerna för att hålla ditt team säkert online.
Har du fortfarande frågor? Kolla in den live veckovisa demon för att ansluta direkt till Bitwarden-teamet.
