Trustpilot’tan Stu Hirst, motivasyonu çevrimiçi işini harici saldırganlardan korumak için bir dizi araç ve teknik kullanmakta yatan deneyimli bir bilgi güvenliği uzmanıdır.
Baş bilgi güvenliği yetkilisi (CISO) “İnternet o kadar vahşi ve vahşi bir yer ki, onu geçmek için güven bir zorunluluktur” diyor. “Siber güvenlik, yalnızca verileri değil, insanların sahip olduğu deneyimleri ve kullandıkları ürünlere duydukları güveni korumada büyük bir rol oynamaya devam ediyor.”
Daha önce Trainline için güvenlik alanında, Capital One UK’de siber liderlik ekibinde ve Just Eat’te geçici bilgi güvenliği direktörü olarak görev yapan Hirst, Mart 2021’de tüketici inceleme web sitesi Trustpilot’a katıldı. Büyüyen iş çekici bir teklifti.
“Misyon buydu – internetin güven katmanını oluşturmak ve güvenliğin buna nasıl uyduğuna odaklanmak” diyor. “IPO’dan hemen önce katıldım, bu yüzden şirket güvenlik açısından da dahil olmak üzere tüm gerekliliklerle özel bir şirketten halka açık bir şirkete geçiyordu. İçeri girmek ve işleri gerçekten ileriye götürmek için bir şanstı.”
dizginleri almak
Trustpilot, 2007 yılında Danimarka’da kuruldu ve 2021’in başında halka açıldıktan sonra Londra Menkul Kıymetler Borsası’nda işlem görüyor. Ticaret kuruluşu ScotlandIS tarafından yürütülen ScotSoft yıllık teknoloji konferansından Computer Weekly’ye konuşan Hirst, Trustpilot CISO olarak nasıl çeşitli rolleri ve sorumlulukları olduğunu açıklıyor.
“Yönetime karşı sorumluyum ve her üç ayda bir güvenlik için mevcut durumu sunuyorum” diyor. “Günlük düzeyde, ekibi oluşturmaya ve ölçeklendirmeye odaklandım. Ben de bu şirkette ürün ve teknoloji liderliğinin bir parçasıyım, bu yüzden sık sık kendimi işin diğer yönleriyle ilgilenirken buluyorum.”
“İnternet o kadar vahşi, vahşi bir yer ki, güven, içinden geçmek için bir zorunluluktur. Siber güvenlik, yalnızca verileri değil, insanların sahip olduğu deneyimleri ve kullandıkları ürünlere duydukları güveni korumada büyük bir rol oynamaya devam ediyor.”
Stu Hirst, Güven Pilotu
Hirst’ün güvenlik ekibi dört ana alanı kapsar: tehdit avcılığı ve olay müdahale gerekliliklerini içeren güvenlik operasyonları; firmanın Amazon ve Google ortamlarında bulut güvenliği; kodlama, test etme ve güvenlik açıklarını bulmayı içeren ürün güvenliği; ve son 18 ayda daha büyük bir öncelik haline geldiğini söylediği risk, uyum ve denetim.
Rolüne ek olarak Hirst, yakın zamanda saha güvenilirlik mühendisliği sorumluluğunu üstlendi. Trustpilot’un çalışmaları arasındaki “günlük sinerjiler” nedeniyle güvenlik ve site güvenilirlik ekiplerini birleştirdiğini söylüyor.
Güvenlik mesleğinin zirvesine çıktıktan sonra Hirst, CISO olmanın hayalindeki iş olduğunu söylüyor. “Şirketleri kültürel ve teknik bir yolculuğa çıkarmayı seviyorum. Ayrıca güvenliğin liderlik yönünü ve ekipler oluşturmaya ve motive etmeye çalışmayı seviyorum” diyor.
“İster sektöre özel olsun, isterse daha geniş internet ekonomisiyle ilgili olsun, daha önce çözülmemiş sorunları çözmeyi seviyorum. Biraz engel olsak da, genel olarak BT endüstrisinin çoğunda güvenliğin hala oldukça yeni olduğunu hissediyorum. Siber güvenlikle ilgili oldukça niş sorunları çözüyormuşuz gibi hissediyorum.”
Güçlü yetenek geliştirme
Trustpilot’ta CISO rolünde 18 ay geçirdikten sonra Hirst, şu ana kadarki en büyük başarısının iç güvenlik ekibini oluşturmak ve ölçeklendirmek olduğunu söylüyor.
“Katılmamın ana nedenlerinden biri, bana insan gücü açısından, teknik yetenek açısından neye ihtiyacımız olduğunu düşündüğümü ve tüm bu güvenliğe odaklanmanın nasıl entegre edilmesi gerektiğini yönetim kuruluna söyleme yeteneğimin verilmiş olmasıydı. organizasyon. Bazı büyük ilerlemeler kaydettik ama hala o yolculuktayız” diyor.
“Şirketleri kültürel ve teknik bir yolculuğa çıkarmayı seviyorum. Ayrıca güvenliğin liderlik yönünü ve ekipler oluşturmaya ve motive etmeye çalışmayı seviyorum. Problem çözmeyi severim”
Stu Hirst, Güven Pilotu
Hirst, işinin ihtiyaç duyduğu rağbet gören yeteneği çeşitli yollarla yakalamayı başardı. Sektörle bağlantı kurmanın yanı sıra İskoç siber güvenlik camiasında da büyük bir rol oynuyor. Hirst, bu güçlü ağın takımda yeni fırsatlar için iyi adaylar aldığı anlamına geldiğini söylüyor.
Şu anda Trustpilot’taki güvenlik ekibi iki temel alana odaklanmış durumda. Birincisi, şirketin altyapısında ve uygulamalarında meydana gelebilecek tehditleri belirlemek için doğru araçları yerleştirmeyi içeren güvenlik olayı ve olay yönetimi. Hirst, ekibinin bazı “pazar lideri ürünler” kullandığını söylüyor.
Çalışmanın ikinci temel alanı, herhangi bir şey bir üretim ortamına gönderilmeden önce güvenlik açıkları ve hatalar için kodun taranmasını içeren ürün güvenliğine odaklanır. Ekip bir kez daha pazar lideri bir araç kullanıyor, ancak Hirst, çalışmanın teknolojiyi işletmenin genel kodlama uygulamalarına yerleştirmeye bağlı olduğunu söylüyor.
“Bu biraz yolculuk” diyor. “Bir gecede olmuyor. Bu kodlama uygulamalarının bazılarının ne anlama geldiğini anlamaları için mühendislere beceri kazandırmanız gerekiyor ve gürültünün içinde gezinmeye yardımcı olmak için güvenlik ekibinin onlarla birlikte çalışmasına ihtiyacınız var.”
Değişimi hızlı bir şekilde zorlamak
Hirst, güvenliği yazılım geliştirme yaşam döngüsünün başlarında tanıtmayı içeren DevSecOps’un etkin kullanımının ekibinin çalışmasında çok önemli bir taktik olduğunu söylüyor. “Bu, süreçteki şeyleri olabildiğince erken ortadan kaldırmakla ilgili çünkü o zaman geri gelip sizi daha fazla ısırmaz” diyor.
DevSecOps, kendisininki gibi hızlı hareket eden şirketlerde popüler bir uygulama olma eğilimindedir, çünkü bu çevik liderliğindeki organizasyonlar günde 10 ila 100 defa herhangi bir şeyi kodlarlar.
Hirst, “Bu ortamların muhtemelen 20 yıl öncesine kıyasla neredeyse sürekli değiştiğini görüyorsunuz” diyor. “Ve her dakika ve her saat değişen bir ortama güvenliği yerleştirmenin bir yolunu bulmaya çalışmalısınız. DevSecOps, ürün veya kodun geliştirilmesine mümkün olduğu kadar çok güvenlik unsuru yerleştirmekle ilgilidir.”
Gartner ayrıca DevSecOps’u yeni tekniklerin ortaya çıkmaya devam etmesiyle büyüyen bir trend olarak kabul ediyor. Analist firma, kurumsal DevSecOps girişimlerinin %70’inden fazlasının, 2019’da %30’dan daha az olan büyük bir artış olan 2023 yılına kadar açık kaynaklı bileşenler ve ticari paketler için otomatik güvenlik açığı ve yapılandırma taramasını dahil edeceğini söylüyor.
Hirst, şirketinin DevSecOps çabalarına atıfta bulunarak, “Genel olarak koda özeldir” diyor. “Yani, kod tarama ve hataları gidermeye çalışmak gibi birçok otomasyon. Ve çalışmaların bir kısmı daha çok kültürel yönüyle ilgili – işleri hızlı yapmak, DevSecOps’u çevik ortamlara yerleştirmek ve belki de bulut ortamı olmayan bir şirketin yapabileceği daha geleneksel şeylerden bazılarını yapmamak.”
Şirket, yoğun bir Amazon Web Service (AWS) ve Google Cloud Compute kullanıcısıdır, bu nedenle bulut ortamlarında güvenlik de çok önemlidir. Hirst’ün ekibi dolambaçlı süreçlerden kaçınıyor ve mümkün olan en kısa sürede BT ortamlarına değişimi zorlamaya çalışıyor: “Neler olduğunu görmenin veya o anda bununla başa çıkmanın yollarını bulmalıyız.”
Zorluklarla başa çıkmak
Hirst, konu bilgi güvenliği olduğunda tüm CISO’ların bitmeyen bir savaşla karşı karşıya olduğunun farkındadır. “Geceleri beni ayakta tutan şey, gelişen tehdit ortamı çünkü henüz neyi bilmediğimi bilmiyorum” diyor.
“Geceleri beni ayakta tutan şey, gelişen tehdit ortamı çünkü henüz neyi bilmediğimi bilmiyorum. Bazen olaylara olduğu gibi tepki vermeye çalışırsın. Bir yıl önce düşündüğünüz şeyler ya şimdi listenin başında değil ya da önceliklerinizi değiştiren başka bir şey oldu.”
Stu Hirst, Güven Pilotu
“Bazen, olabilecekleri önceden sezmek yerine, olaylara olduğu gibi tepki vermeye çalışıyorsunuz. Bir yıl önce düşündüğünüz şeyler ya şimdi listenin başında değil ya da önceliklerinizi değiştiren başka bir şey oldu. Esas endişe bu.”
Hirst, bir diğer önemli zorluğun da yeni tehdidin ne olduğunu ve iş için ne anlama gelebileceğini anlamak olduğunu söylüyor: “Bazen, başka biri bir olay yaşayana kadar, kimin veya neden peşinden geldiğinden tam olarak emin olamazsınız.”
Daha genel olarak, tüm CISO’lar, özellikle daha geniş makroekonomik koşullar ve Rusya’nın Ukrayna’yı işgaliyle ilgili jeopolitik ve güvenlik endişeleri göz önüne alındığında, şu anda giderek daha karmaşık bir güvenlik ortamıyla karşı karşıya. Yetenek için devam eden talebi ekleyin ve Hirst, tüm CISO’ların dolu bir yapılacaklar listesine sahip olduğunu söylüyor.
“Teknoloji endüstrisinde bir miktar yıpranma var ve insanlar çok fazla hareket ediyor. Uzaktan çalışma ve tarihsel olarak bulundukları yerlere kıyasla şimdi her yerden yetenekli insanlara sahip olma yeteneği gibi bu şeylerin bazı iyi tarafları oldu ”diyor.
“Ancak küresel iklim işleri zorlaştırmaya devam ediyor. Ayrıca zaman zaman bir beceri eksikliğinden de bahsediyoruz ve doldurulması oldukça zor olan daha niş güvenlik alanları var. Bu zor olabilir. Ve hala çözülmesi uzun zaman alacak bir çeşitlilik problemimiz var.”
Güvenlik uygulamalarını yerleştirme
Hirst’ün rolü, Trustpilot’taki meslektaşlarının bu zorlukları doğrudan aşmalarına yardımcı olmak ve önlerine çıkan her türlü engelin üstesinden gelmektir. Önümüzdeki birkaç yıldaki amacı, bilgi güvenliğinin organizasyonel faaliyetlerin merkezinde olmasını sağlamaktır.
“Güvenlik yalnızca teknik bir unsur değildir – iş genelinde kültürel olarak önemlidir”
Stu Hirst, Güven Pilotu
“Güvenliğin yaptığımız her şeye gerçekten dahil olduğu bir noktaya gelmek istiyorum” diyor. “Ve bu sadece ürettiğimiz ürünler değil, aynı zamanda her çalışanın güvenliği gerçekten günlük işlerinin bir parçası olarak düşünmesi. Farklı ekipler arasındaki planlama döngülerinin bir parçası olmasını istiyorum.”
Hirst, vizyonunu destekleyen bir yönetim kuruluyla çalıştığı için şanslı olduğunun farkında. 2021’de Trustpilot’a katılmadan önce bile şirket, güvenliğin kritik rolünü fark etti. Hirst’ün amacı, ekibinin potansiyel riskleri azaltmak için doğru süreçleri ve politikaları sağlamasını sağlamaktır.
“Onlara zorlukların ne olduğu ve onlar hakkında ne yaptığımız hakkında doğru zamanda doğru bilgiyi vermeyi hedefliyorum. Plan görmeyi severler. Ortaya çıkan her şeyle uğraştığınızı ve bu konuda bir şeyler yapmak için bir planın olduğunu bilmek istiyorlar” diyor.
“Güvenlik yalnızca teknik bir unsur değildir – iş genelinde kültürel olarak önemlidir. Önümüzdeki 24 ayın bir iş olarak bize getireceği her şeyle başa çıkmak ve bu zorluklarda başarılı bir şekilde gezinmek için kendimizi konumlandırabilmemizi istiyorum.”
root 
