Robust Cybersecurity Through Data-Driven Insights: Jonathan Rossi

Discussing his extensive experience in using data analysis and KPIs in cybersecurity is Jonathan Hiroshi Rossi, co-founder of Saya University. He shed lights to the innovative approaches to measuring and communicating security risks within Japanese organizations. His insights offer a unique perspective on the evolving cybersecurity challenges, emphasizing the critical role of education and awareness in mitigating cyber threats.


Full Transcription

 English | Spanish | Portuguese

Can you describe your experience with using data analysis and KPIs in cybersecurity? (00:00:14)

Japan is an interesting market. The maturity of the cybersecurity landscape has changed in the last few years, and they're coming to a tipping point today. And what we've been focusing in on, ensuring that strategic stakeholders in Japanese organizations understand the risk profile of security. And that security risk profile is looking at employees and ensuring that there's proper measurements in place to ensure that security education is a component of that entire security infrastructure. So we've been focusing on, Well, how do you measure Japanese literacy of security risk within the organization.

 

How do the legal department, cybersecurity, and education intersect in your experience? (00:01:01)

It depends on the maturity of that organization. A lot of times, a Japanese organization may put security and risk around more of a compliance function. And so when you have that type of organizational structure, then what you have is security as a compliance measure. And I think taking a step back, you don't want it to be just a compliance tick-the-box type of function. It needs to be understood as a security risk assessment from the entire organization. And so it depends on what type of organization. If you take a look at Japanese organizations, there's 544, give or take, a few companies in Japan that have more than 5,000 1,000 employees. And so that's what you would consider large enterprise-size companies. And that's where you're going to see more the maturity of Japanese organization. However, that only represents 0.01 of companies in Japan. There are millions of other organizations that's still sizable with thousands of employees, but don't have a really fundamental understanding of how to measure risk within the organization. And that becomes a challenge in many different ways. How do you properly communicate risk in a way where you can measure it? And how do you communicate that to the right stakeholder so they understand how to quantify that risk and then repackage that so that the organization can say, these are the type of things that we need to invest in as an organization, security risk being one of them, and then, of course, how do we properly assess and measure that risk?

 

How have you seen companies evolve over the past decades in terms of measuring risk? (00:02:36)

Yeah, I think first, you can't measure what you don't know. And so, you have to start off with baselines. And so, what we typically do as a security education is we have to baseline the organization. Where are they today? Pre-testing. And we want to do that by properly rightsizing that test. So, for example, it's a very superficial 30,000-foot view of how to do this is you want to create an environment where it simulates a fishing environment. And so effectively, what you're doing is you want to identify what types of gaps are in that organization. And so we start by baselining where they currently are And then from there, right-sizing an educational program that looks like how do you then measure and fill those gaps of security risk within the organization? It depends on the type of organization. If we're talking to a chemicals company versus a telecommunication or a medical A devices company, they have different ways of assessing internally where the risk profile and where those risks currently exist within that organization. But first, again, as I mentioned at the beginning is you have to know what it is that you're measuring, and so they have to have a framework of understanding.

 

Can you share how data analytics and measuring metrics influenced decision-making in an organization?(00:03:48)

It would have to be understood as what are the risk and impact of not doing a particular set of organizational changes? So let's say if a breach occurs, what are the risks and impact that that organization is going to experience? At the level of the breach, at the level of maybe there's civil penalties. And those are the challenges, I think, in the Japanese organization. It's difficult because there's not a proper built about civil infrastructure of penalties that puts pressure onto the organization. And so as opposed to, let's say, in the United States, where you have very strict requirements and disclosures, in the Japanese environment, those have not been fully built out. And so it's been a challenge to say, here are the ways in which this can affect you. And oftentimes, there's not really anything in place of that strong infrastructure for the Japanese market. So we haven't really seen too much of that, unfortunately.

 

How would you convince senior management to fund a project when it's difficult to quantify the benefits?  (00:04:54)

You can quantify the impact of a breach and put a dollar amount to how much that's going to affect your reputation, both if you're a publicly traded company, the impact going to have on your market value, also reputational damage, and then translating that into impact if you don't invest in the proper security measures such as education and employee-based training. And so the storytelling has to be so that it resonates, because most of the people that are going to be looking at this from the board and the Japanese C-suite are not going to have any expertise in cybersecurity. They're going to know very little about cybersecurity. And so you have to approach that by communicating in the language that they understand. And I don't mean the Japanese language. I mean more like the language that understands their business. How does this measure to their business as a company? They're listed in the Tokyo Stock Exchange or maybe potential risk with their counterparties internationally, reputational, and those are the ways that we have to be able to take that risk and then communicate that risk so that's meaningful for that organization.

So they understand if we don't do this, this can impact that. It might be a 20 %, for instance, value drop in the market based on decisions that they don't And so that's how we've been telling that story and really fitting that story into that organization rather than saying, scaring them into it, saying, here's really quantifiably what will happen to the organization, what could happen. And that, I think, resonates with the business stakeholders in any organization to understand, we tie it back to that organization, and what do they need to do to invest and build up the infrastructure and their security posture. Okay. That's a very good point.

 

Can you share an example of tracking and measuring improvements using data? How did you measure the metrics?  (00:06:42)

We're always measuring. So you have the baseline, and then we're continually measuring each quarter. And we want to see a trend line that is increasing in proficiency and understanding of identifying fishing or simulation. We create a simulated environment And so that shows a track record of that organization over time, increasing their awareness. And so then that can demonstrate that that organization is truly measuring improvement, and they can show that across the organization. So that's one That's one of the clearest ways to be able to do that.

 

What challenges do you face in collecting data, and what are the best practices for data cleanup?  (00:07:22)

A lot of times there's weariness in what this data is saying about their employees, because one of the things that we want to make sure when we're doing this is we don't want to create a shame-based assessment culture in the Japanese organization, and instead identifying that there are percentages of that organization that are failing and that we need to increase their ability to perform better for the organization. Now, philosophically, that sounds really good, and that resonates. But when it comes to gathering the data around that and very much focusing in on that data, then it really comes to an issue of who are those people that are, let's say, serial clickers, for instance? If you identify there is a department that is constantly failing, for instance, where their percentage might be 40, 50 % failure. And we keep identifying that. And the challenge for us is How do we address that without framing it as an issue of failure, but rather an improvement? And so mostly it has to do with a cultural, philosophical thing. How do we address to address that without having to shame the individuals within that unit. And that's been a perennial challenge for us because the organization says, Well, we don't want to make people feel bad until your data is collecting and really focusing in on that.

And the way that we do that is we have to identify that individual within that unit and have that conversation. And a lot of times organizations are not wanting to be confrontational, and it's a very Japanese cultural thing. And so that's the big challenge that we're finding with data and analytics, because it's giving us great insight into the organization at a very granular level to the individual at the time of the day. And you can go and look at this very interestingly, which is, for instance, as the day progresses, people's ability to decipher declines cognitively because they're working 10, 12, 13, 14 hours in the day. So a lot of times, security risks may arise more towards the latter half of the day or towards the end of the evening. And so addressing Seeing that at the end of the day and saying, well, there's some problem here because this organization is overworking its employees. So there's a challenge there, and that's driving more failure in the organization from a security risk standpoint. But then that is a fundamental aspect of their life within that organization to be able to perform and execute in their particular tasks.

So as you understand, what I'm getting at is it's a challenge to reconcile the requirements of that person's job function, working 10, 12 hours, which is very normal, but also understanding that that doesn't fit well with when you're trying to achieve high quality work life, mental health, and ensuring that the organization has to focus on when you want high quality performance on security education and awareness, you also have to be mindful that when you're overworking individuals, that decline is a natural progression because people's ability at that part of the day is going to be naturally much lower. So that's a different way that I looked at that issue of what data analytics insights provide to us. But we find a lot of these interesting things like that.

 

What differences do you see in data storytelling between US and Japanese organizations?  (00:10:56)

There's a lot. There's a lot of differences in how we tell our security education stories. And I'll give you some examples. So when you have global publishers that look at security education and they publish content to train for a global audience, they typically write that in English, and then they fit that within various different countries by way of translation or loosely localizing that. And what we've done is we've reversed that, and we've taken the Japanese user or the Japanese employee and built that entire story around their experiences and how they interact with the network. And even if the network and the security infrastructure and the way that vulnerabilities arise might be technically the same from how they do it, but the way in which they engage culturally with the user in an organization is going to be very different. They're using different types of chat devices. The way that they engage with chat communication is going to be different. The way they engage with certain devices are going to inform how they look at their responsibility as an employee. And so even if they tell that story globally as this is something you shouldn't do.

Yes, you should not click on links, or you should be very wary of fishing in general, and that's a good principle, how you tell that story as a Japanese user or as a Korean user or as a Brazilian user is going to be significantly different. Even though the basic principle technically is the same, people say, well, it's just translating, and it's not translating. It's translating is one element of that story, but the other story is the stuff that you really understand, how does a person interact with that device in that country? It's not just saying there's different devices, different chat system, different types of communication tools. There is, But how they interact with it is a lot different. Each story that we have represents different facets of that story. And so how a person works in a shared office in Japan, how a person uses the public transportation system in Japan, and the work culture within that is going to be very different. Or how you tell a story of working from home, remote working is going to be slightly different. It looks superficially the same, but when you look closely at it, security education has to be very precise.

And so education And the awareness also has to marry that precision. And oftentimes, a lot of the educational programming that's out there is a one-size-fit-all type approach. And it, in my opinion, fails to be able to truly captivate the user because you want to have engaged a user as opposed to someone says, Oh, this looks like it wasn't really written for me. It was written for a different audience, and now I'm just watching it as a compliance function. So I watch it, and I'm not that engaged. It's not speaking to me. It's probably saying it to me in the language, but it's not really resonating because it doesn't seem to understand that I don't interact with devices this way. I get what they're trying to say, but I understand that it was not for me.

 

What advice do you have for those implementing cybersecurity in legal or compliance departments, beyond benchmarking and measurement?  (00:14:01)

Listening? Japanese organizations are very consensus-oriented, and they work together across different organizations within different units. I think I think a lot of times it can be a frustrating process when you're selling, let's say, for instance, a security educational program. It isn't necessarily something just a security education professional within the organization as the stakeholder. It is the organization across all of the different units who view this as an important aspect. And so I would say listening and understanding that each organization has that history and consensus need. And so speaking to that and spending time more listening than trying to force and impose, even though it's a good idea to have security education, we really have to ride size, as I said a few moments ago. I think that's very key for the Japanese organization is rightsizing your program to fit within the cultural environment of that organization. And it's going to take time. And that's one of the most frustrating things I think a lot of outside organizations that are coming into the Japanese market have experienced is the patience to have to go through this process, that it's not going to be a simple one or two-month process. This could be a multi-year exercise, and that could be challenging from a lot of perspectives.

 

 

Expert Bio


Jonathan Hiroshi Rossi is the co-founder of Saya University, an institution dedicated to enhancing cybersecurity awareness and education. He is also the managing partner and founder of The CJK Group, a firm specializing in multi-language data analysis for litigation and investigation.  As a co-founder of Saya, Japan's largest EdTech cybersecurity employee training platform, he focuses on micro-learning content, gamified learning, and phishing simulations for Japan's 126 million people. He also serves as the co-founder and current vice president of Elevate.

An alumnus of the University of California, Berkeley, Jonathan is committed to improving digital security for individuals and organizations across Japan. 

 


 

Transcripción Completa

¿Puedes describir tu experiencia utilizando el análisis de datos y los KPI en ciberseguridad? (00:00:14)

Japón es un mercado interesante. La madurez del panorama de la ciberseguridad ha cambiado en los últimos años, y hoy están llegando a un punto de inflexión. Nos hemos centrado en garantizar que las partes interesadas estratégicas en las organizaciones japonesas comprenden el perfil de riesgo de la seguridad. Ese perfil de riesgo para la seguridad consiste en examinar a los empleados y asegurarse de que hay medidas adecuadas para garantizar que la educación en materia de seguridad sea un componente de toda esa infraestructura de seguridad. Nos hemos centrado en cómo medir la alfabetización japonesa en materia de riesgos de seguridad dentro de la organización.

 

¿Cómo se intersectan el departamento legal, la ciberseguridad y la educación en tu experiencia? (00:01:01)

Depende de la madurez de esa organización. Muchas veces, una organización japonesa puede dar prioridad a la seguridad y los riesgos en torno a una función más de cumplimiento. Y cuando tienes ese tipo de estructura organizativa, entonces lo que tienen es la seguridad como medida de cumplimiento. Y creo que dando un paso atrás, no quieres que sea sólo un cumplimiento tipo de función de marcar la casilla. Debe entenderse como una evaluación de riesgos para la seguridad de toda la organización. Depende del tipo de organización. Si echas un vistazo a las organizaciones japonesas, estas 544, más o menos, pocas empresas en Japón que tengan más de 5.000 empleados. Eso es lo que se considera una gran empresa. Y ahí es donde se va a ver más la madurez de las organizaciones japonesas. Sin embargo, eso sólo representa el 0.01 de empresas en Japón. Hay millones de otras organizaciones que sigue siendo considerable con miles de empleados, pero no tienen una comprensión realmente fundamental de cómo para medir el riesgo dentro de una organización. Y eso se convierte en un reto de muchas maneras diferentes. ¿Cómo comunicar adecuadamente el riesgo de forma que se pueda medir? ¿Cómo se lo comunicas a las partes interesadas para que entiendan cómo cuantificar ese riesgo y luego para que la organización pueda decir: "Este es el tipo de cosas en las que tenemos que invertir como organización, la seguridad arriesgarse a ser uno de ellos. Luego, por supuesto, ¿cómo evaluamos y medimos adecuadamente ese riesgo?

 

¿Cómo has visto evolucionar a las empresas en términos de medición de riesgos en las últimas décadas? (00:02:36)

En primer lugar, no se puede medir lo que no se conoce. Tienes que empezar con líneas de base. Lo que solemos hacer como educación en seguridad es tener que basar la organización. ¿Dónde están hoy? Pruebas previas. Queremos hacerlo redimensionando adecuadamente esa prueba. Por ejemplo, esta es una visión muy superficial de 30.000 pies de cómo hacer esto es usted quiere crear un entorno que simule un ambiente de pesca. Efectivamente, lo que estás haciendo es que quieres identificar qué tipos de lagunas están en esa organización. Empezamos por determinar su situación actual, y luego partimos de ahí, de un programa educativo que se parece a cómo entonces medir y colmar esas lagunas de riesgo para la seguridad dentro de la organización. Depende del tipo de organización. Si hablamos de una empresa química frente a una organización de telecomunicaciones o una empresa de productos sanitarios, tienen diferentes formas de evaluar internamente el perfil de riesgo y dónde se encuentran esos riesgos actualmente. Existen dentro de esa organización. Pero en primer lugar, de nuevo, como he mencionado al principio es, usted tiene que saber lo que es que estás midiendo, por lo que tienen que tener un marco de comprensión.

 

 

¿Puedes compartir cómo el análisis de datos y la medición de métricas influyeron en la toma de decisiones en una organización? (00:03:48)

Sí, habría que entender cuáles son el riesgo y el impacto de no realizar una serie concreta de cambios organizativos. Supongamos que se produce una infracción, ¿cuáles son los riesgos y las repercusiones? Esa organización va a experimentar a nivel de la brecha, a nivel o tal vez haya sanciones civiles? Esos son los retos, creo, en la organización japonesa. Es difícil porque no hay una infraestructura civil bien construida. De sanciones que presiona a la organización. A diferencia de, digamos, en los Estados Unidos, donde usted tiene requisitos y divulgaciones muy estrictos en el entorno japonés, no se han construido en su totalidad. Y por eso ha sido un reto decir, estas son las formas en que esto puede afectarle. Y a menudo, no hay realmente nada en lugar de esa fuerte infraestructura para el mercado japonés. Así que no hemos visto mucho de eso, por desgracia.

 

¿Cómo convencerías a la alta gerencia de financiar un proyecto cuando es difícil cuantificar los beneficios? (00:04:54)

Puede cuantificar el impacto de una infracción y poner una cantidad en dólares a lo mucho que va a afectar a su reputación, tanto si se trata de una empresa que cotiza en bolsa, el impacto que va a tener en su valor de mercado, también el daño reputacional, y luego traducirlo en impacto si no se invierte en las medidas de seguridad adecuadas, como la educación y la formación de los empleados. Así que la narración tiene que resonar. La mayoría de la gente que va a ver esto desde el consejo y los directivos japoneses no van a tener ninguna experiencia en ciberseguridad. Sabrán muy poco de ciberseguridad. Así que hay que abordarlo comunicando el lenguaje que entiendan. Y no me refiero al idioma japonés. Me refiero más bien al lenguaje que entiende su negocio. ¿Cómo afecta esto a su actividad como empresa? Cotizan en la Bolsa de Tokio o tal vez el riesgo potencial con su contrapartes a nivel internacional, reputación. Estas son las formas en que ser capaz de asumir ese riesgo y comunicarlo de forma que que sea significativo para esa organización. Entienden que si no hacemos esto, esto puede repercutir en aquello. Puede tratarse de una caída del valor del mercado del 20%, por ejemplo, basada en decisiones que no toman. Y así es como hemos estado contando esa historia y encajando realmente esa historia en organización en lugar de decirles, asustarles y decirles: "Esto es". Realmente cuantificable de lo que sucederá a la organización, de lo que podría suceder. Y eso, creo, resuena en las partes interesadas de cualquier organización. Y lo relacionamos con esa organización, y qué tienen que hacer. Para invertir y construir la infraestructura y su postura de seguridad.

 

¿Puedes compartir un ejemplo de seguimiento y medición de mejoras utilizando datos? ¿Cómo mediste las métricas? (00:06:42)

Siempre estamos midiendo, así que tienes la línea de base, y luego estamos midiendo continuamente cada trimestre, y queremos ver una línea de tendencia que está aumentando en competencia y comprensión de la identificación de phishing o simulación, cuando se crea un entorno simulado. Eso demuestra la trayectoria de esa organización a lo largo del tiempo, aumentar su concienciación. Entonces eso puede demostrar que esa organización es realmente medir la mejora, y pueden demostrarlo en toda la organización. Es una de las formas más claras de poder hacerlo.

 

¿Qué desafíos enfrentas en la recolección de datos y cuáles son las mejores prácticas para la limpieza de datos?(00:07:22)

Muchas veces hay cansancio en lo que dicen estos datos sobre sus empleados, porque una de las cosas que queremos hacer seguro de que cuando de que estamos haciendo esto es que no queremos crear un basado en la vergüenza cultura de evaluación en la organización japonesa, y en su lugar identificar que hay porcentajes de esa organización que están fallando y que necesitamos aumentar su capacidad para que rindan más para la organización. Filosóficamente, eso suena muy bien, y resuena. Pero cuando se trata de recopilar los datos y centrarse en que los datos, entonces realmente viene a una cuestión de, ¿quiénes son esas personas que son, digamos, clickers en serie, por ejemplo. Si identifica que hay un departamento que falla constantemente, por ejemplo, donde su porcentaje puede ser del 40, o del 50 % de fracaso, y seguimos identificándolo. Y el reto para nosotros es cómo abordarlo sin enmarcarlo como una cuestión de fracaso, sino de mejora? Y sobre todo tiene que ver con una cuestión cultural y filosófica. ¿Cómo lo abordamos sin tener que avergonzar a los individuos de esa unidad? Y eso ha sido un reto perenne para nosotros porque la organización lo es, no queremos que la gente se sienta mal hasta que sus datos se recopilen centrándonos realmente en eso. Y la forma en que lo hacemos es que tenemos que identificar a ese individuo dentro de esa unidad y tener esa conversación. 

Y muchas veces las organizaciones no quieren ser conflictivas, y es algo cultural muy japonés. Ese es el gran reto que nos plantean los datos y los análisis, porque nos está dando una gran visión de la organización a un nivel muy granular al individuo en el momento del día. Y usted puede ir y mirar esto muy interesante, que es, por ejemplo, A medida que avanza el día, la capacidad de descifrar de las personas disminuye cognitivamente. ¿Es porque trabajan 10, 12, 13, 14 horas al día? Así que muchas veces, los riesgos de seguridad pueden surgir más hacia la segunda mitad del día o hacia el final de la tarde. Y así abordar que al final del día y decir, bueno, hay algunos problema aquí porque esta organización está sobrecargando de trabajo a sus empleados. Así que ahí hay un reto, y eso está provocando más fracasos en la organización desde el punto de vista de los riesgos de seguridad. Pero entonces ese es un aspecto fundamental de su vida dentro de esa organización para poder realizar y ejecutar en sus tareas particulares. Así que como comprenderás, lo que quiero decir es que es un reto conciliar los requisitos de la función laboral de esa persona, trabajando 10, 12 horas, lo cual es muy normal, pero también entendiendo que, eso no encajan bien cuando intentas conseguir una vida laboral de alta calidad, salud mental, y garantizar que la organización cuente con en el que centrarse cuando se desea un rendimiento de alta calidad en la educación para la seguridad y conciencia, también tienes que ser consciente de que cuando estás sobrecargando de trabajo a los individuos, que el declive es una progresión natural porque la capacidad de la gente en ese parte del día va a ser naturalmente mucho menor. Así que no sé si eso es un diferente la forma en que he visto la cuestión de lo que los conocimientos de análisis de datos nos proporcionan, pero encontramos muchas cosas interesantes como esa.

 

 

¿Qué diferencias ves en la narración de datos entre las organizaciones de Estados Unidos y las de Japón? (00:10:56)

Hay muchas. Hay muchas diferencias en la forma de contar nuestras historias de educación en seguridad. Le daré algunos ejemplos. Cuando hay editoriales mundiales que se ocupan de la educación en seguridad y publican contenidos para formar a un público mundial, suelen escribirlos en inglés, y luego lo adaptan a los distintos países mediante traducciones. O localizándolo vagamente. Lo que hemos hecho es invertir esa tendencia y tomar al usuario japonés o el empleado japonés y construyeron toda esa historia alrededor de sus experiencias y cómo interactúan con la red. Incluso si la red y la infraestructura de seguridad y la forma en que las vulnerabilidades que surgen pueden ser técnicamente las mismas de cómo lo hacen, sino la forma en que se relacionan culturalmente con el usuario en una organización va a ser muy diferente. Utilizan diferentes tipos de dispositivos de chat. Su forma de comunicarse por chat va a ser diferente. 

La forma en que utilizan determinados dispositivos va a influir en su forma de ver las cosas. Su responsabilidad como empleado. Incluso si cuentan esa historia globalmente como, Esto es algo que no debes hacer. Como, por ejemplo, no hacer clic en los enlaces o desconfiar del phishing. En general, y ese es un buen principio, cómo contar esa historia como usuario japonés o como usuario coreano o como usuario brasileño va a ser significativamente diferente, incluso los principios básicos son técnicamente los mismos. La gente dice, bueno, es sólo traducir, y no es traducir. Traducir es un elemento de esa historia, pero la otra historia es lo que realmente entiendes. ¿Cómo interactúa una persona con ese dispositivo en ese país? No se trata sólo de decir que hay diferentes dispositivos, diferentes sistemas de chat, diferentes tipos de herramientas de comunicación que hay, sino cómo interactúan con ella es muy diferente. Cada historia que tenemos representa diferentes facetas de esa historia. Y así, cómo una persona trabaja en una oficina compartida en Japón, cómo una persona utiliza el sistema de transporte público en Japón, y la cultura laboral dentro de ese va a ser muy diferente. O cómo contar una historia de trabajo desde casa, trabajo a distancia va a ser ligeramente diferente. Parece superficialmente lo mismo, pero cuando miras de cerca en ello, la educación para la seguridad tiene que ser muy precisa. Y por eso la concienciación educativa también tiene que casar con esa precisión. Y a menudo, muchos de los programas educativos que hay es un enfoque de tipo "talla única". Y, en mi opinión, no consigue cautivar de verdad al usuario porque usted a un usuario en lugar de que alguien diga: "Oh, esto parece". Como si no hubiera sido escrito para mí. Fue escrito para un público diferente, y ahora sólo estoy viéndolo como una función de cumplimiento. Así que lo veo y no estoy tan comprometido. No me habla. Probablemente me lo está diciendo en el idioma, pero no es realmente resonando porque no parece entender que yo no interactuar así con los dispositivos. Entiendo lo que intentan decir, pero comprendo que no era para mí.

 

¿Qué consejo tienes para quienes implementan ciberseguridad en los departamentos legales o de cumplimiento, más allá de los puntos de referencia y la medición? (00:14:01)

¿Escuchas? Las organizaciones japonesas están muy orientadas al consenso y trabajan en diferentes organizaciones dentro de distintas unidades. Creo que muchas veces puede ser un proceso frustrante cuando estás vendiendo, por ejemplo, un programa educativo de seguridad, no es necesariamente algo sólo un profesional de la educación en seguridad dentro de la organización es la parte interesada. Es la organización a través de todas las diferentes unidades que lo consideran un aspecto importante. Yo diría que escuchar y comprender que cada organización tiene que la historia y el consenso necesitan. Así que hablar de eso y pasar más tiempo escuchando que intentar forzar e imponer. Aunque es una buena idea tener educación en seguridad, realmente tenemos que a su medida, como he dicho hace un momento. Creo que la clave para las organizaciones japonesas es la reducción de tamaño. Que su programa encaje en el entorno cultural de esa organización. Y va a llevar tiempo. Y esa es una de las cosas más frustrantes que creo que muchos de fuera organizaciones que están entrando en el mercado japonés experiencia es la paciencia que hay que tener para pasar por este proceso, que no va a ser un simple proceso de uno o dos meses. Podría ser un ejercicio de varios años, y eso podría suponer un reto. Desde muchas perspectivas.

 

 

 

Biografía del Experto

 

Jonathan Hiroshi Rossi es cofundador de Saya University, una institución dedicada a mejorar la concientización y la educación en ciberseguridad. También es socio gerente y fundador de The CJK Group, una firma especializada en análisis de datos en varios idiomas para litigios e investigaciones. Como cofundador en Saya, la mayor plataforma de capacitación en ciberseguridad para empleados de EdTech en Japón, se enfoca en contenido de microaprendizaje, aprendizaje gamificado y simulaciones de phishing para los 126 millones de personas en Japón. Además, se desempeña como cofundador y actual vicepresidente de Elevate.

Exalumno de la Universidad de California, Berkeley, Jonathan está comprometido con mejorar la seguridad digital para individuos y organizaciones en todo Japan.

 


 

Transcrição Completa

Você pode descrever sua experiência com o uso de análise de dados e KPIs em cibersegurança?(00:00:14)

O Japão é um mercado interessante. A maturidade do cenário de segurança cibernética mudou nos últimos anos, e eles estão chegando a um ponto crítico hoje. Estamos nos concentrando em garantir que as partes interessadas estratégicas nas organizações japonesas entendem o perfil de risco da segurança. Esse perfil de risco de segurança está analisando os funcionários e garantindo que haja medidas adequadas para garantir que a educação em segurança seja um componente de toda essa infraestrutura de segurança. Estamos nos concentrando em como medir a alfabetização japonesa em relação ao risco de segurança dentro da organização.

 

Como o departamento jurídico, a cibersegurança e a educação se intersectam na sua experiência? (00:01:01)

Isso depende da maturidade da organização. Muitas vezes, uma organização japonesa pode colocar a segurança e o risco em segundo plano em torno de uma função mais de conformidade. Portanto, quando você tem esse tipo de estrutura organizacional, o que você tem é a segurança como uma medida de conformidade. E acho que, ao dar um passo atrás, você não quer que seja apenas uma conformidade função do tipo "tick-the-box". Ele precisa ser entendido como uma avaliação de risco de segurança de toda a organização. Portanto, depende do tipo de organização. Se dermos uma olhada nas organizações japonesas, são 544, mais ou menos, algumas poucas empresas no Japão que têm mais de 5.000 funcionários. Portanto, isso é o que você consideraria grandes empresas de porte empresarial. E é aí que você verá mais maturidade das organizações japonesas. No entanto, isso representa apenas 0.01 de empresas no Japão. Há milhões de outras organizações que ainda são consideráveis com milhares de funcionários, mas não têm um entendimento realmente fundamental de como para medir o risco em uma organização. E isso se torna um desafio de muitas maneiras diferentes. Como você comunica adequadamente o risco de forma que possa medi-lo? Como você comunica isso às partes interessadas certas para que elas entendam como para quantificar esse risco e, em seguida, reempacotar isso para que a organização possa dizer: "Esse é o tipo de coisa que você quer fazer". em que precisamos investir como organização, segurança correr o risco de ser um deles. Então, é claro, como podemos avaliar e mensurar adequadamente esse risco?

 

Como você viu as empresas evoluírem nas últimas décadas em termos de medição de riscos? (00:02:36)

Acho que, em primeiro lugar, não se pode medir o que não se conhece, portanto é preciso começar com linhas de base. O que normalmente fazemos como educação em segurança é precisam servir de base para a organização. Onde eles estão hoje? Pré-teste. Queremos fazer isso dimensionando adequadamente esse teste. Por exemplo, esta é uma visão muito superficial de como fazer isso se você deseja criar um ambiente que simule um ambiente de pesca. Na verdade, o que você está fazendo é identificar os tipos de lacunas estão nessa organização. Começamos com uma análise de base de onde eles estão atualmente e, a partir daí, começamos a trabalhar, dimensionamento correto de um programa educacional que se parece com a forma como você medir e preencher essas lacunas de risco de segurança dentro da organização. Depende do tipo de organização. Se estivermos falando com uma empresa de produtos químicos ou com uma organização de telecomunicações ou uma empresa de dispositivos médicos, eles têm maneiras diferentes de avaliar internamente, onde o perfil de risco e onde esses riscos estão atualmente existem dentro dessa organização. Mas primeiro, novamente, como mencionei no início, você precisa saber o que é que você está medindo e, portanto, eles precisam ter uma estrutura de entendimento.

 

Você pode compartilhar como a data analytics e a medição de métricas influenciaram a tomada de decisões em uma organização? (00:03:48)

Sim, seria preciso entender quais são os riscos e o impacto de não realizar um determinado conjunto de mudanças organizacionais. Digamos que, se ocorrer uma violação, quais são os riscos e o impacto? Que essa organização vai experimentar no nível da violação, no nível ou talvez haja penalidades civis? Esses são os desafios, creio eu, da organização japonesa. É difícil porque não há uma infraestrutura civil adequadamente construída de penalidades que pressionam a organização. Ao contrário, digamos, dos Estados Unidos, onde você tem requisitos e divulgações muito rigorosos no ambiente japonês, esses ainda não foram totalmente construídos. Por isso, tem sido um desafio dizer, aqui estão as maneiras em que isso pode afetá-lo. E, muitas vezes, não há realmente nada no lugar desse forte infraestrutura para o mercado japonês. Portanto, infelizmente, não vimos muito disso.

 

Como você convenceria a alta gestão a financiar um projeto quando é difícil quantificar os benefícios? (00:04:54)

Você pode quantificar o impacto de uma violação e definir um valor em dólares para o quanto isso afetará sua reputação, tanto se você for uma empresa de capital aberto, quanto o impacto que isso terá em sua valor de mercado, além de danos à reputação, e depois traduzir isso em impacto se você não investe nas medidas de segurança adequadas, como educação e treinamento baseado em funcionários. Por isso, a narrativa deve ser feita de forma a repercutir. A maioria das pessoas que estarão analisando isso na diretoria e os executivos japoneses não terão nenhum conhecimento especializado em segurança cibernética. Eles saberão muito pouco sobre segurança cibernética. Portanto, você precisa abordar isso comunicando a linguagem que eles entendam. E não estou me referindo ao idioma japonês. Refiro-me mais ao idioma que entende seus negócios. Como isso afeta seus negócios como empresa? Eles estão listados na Bolsa de Valores de Tóquio ou talvez haja um risco potencial com seus contrapartes internacionais, reputação. Essas são as maneiras pelas quais nós é preciso ser capaz de assumir esse risco e comunicá-lo para que que seja significativo para essa organização. Eles entendem que, se não fizermos isso, isso pode afetar aquilo. Pode ser uma queda de 20%, por exemplo, no valor do mercado com base em decisões que eles não tomam. E é assim que estamos contando essa história e realmente encaixando-a em essa organização em vez de dizer, assustá-los, dizendo: "Aqui está de forma realmente quantificável o que acontecerá com a organização e o que poderia acontecer. E acho que isso se aplica às partes interessadas nos negócios de qualquer organização para entender, e nós o vinculamos a essa organização, e o que eles precisam fazer para investir e desenvolver a infraestrutura e sua postura de segurança.

 

Você pode compartilhar um exemplo de acompanhamento e medição de melhorias usando dados? Como você mediu as métricas? (00:06:42)

Estamos sempre medindo, para que você tenha uma linha de base, e estamos medindo continuamente a cada trimestre, e queremos ver uma linha de tendência que está aumentando a proficiência e a compreensão da identificação de phishing ou simulação, quando você cria um ambiente simulado. Isso mostra o histórico dessa organização ao longo do tempo, aumentando sua conscientização. Então, isso pode demonstrar que a organização é realmente medir a melhoria, e eles podem mostrar isso em toda a organização. Essa é uma das maneiras mais claras de fazer isso.

 

Quais desafios você enfrenta na coleta de dados e quais são as melhores práticas para a limpeza de dados? (00:07:22)

Muitas vezes, há cansaço no que esses dados estão dizendo sobre seus funcionários, porque uma das coisas que queremos fazer certeza de que, quando estamos fazendo isso, não queremos criar um ambiente baseado na vergonha cultura de avaliação na organização japonesa e, em vez disso, identificar que há porcentagens dessa organização que estão falhando e que precisamos aumentar sua capacidade de ter um desempenho melhor para a organização. Do ponto de vista filosófico, isso soa muito bem e é muito importante. Mas quando se trata de coletar os dados sobre isso e focar muito em esses dados, então realmente se trata de uma questão de quem são essas pessoas, digamos, clickers em série, por exemplo. Se você identificar que há um departamento que está constantemente falhando, por exemplo, em que sua porcentagem pode ser de 40 ou 50% de falha, e continuamos a identificar isso. E o desafio para nós é como lidar com isso sem enquadrando-o como uma questão de fracasso, mas sim como uma melhoria? Portanto, isso tem a ver principalmente com uma questão cultural e filosófica. Como podemos resolver isso sem ter que envergonhar os indivíduos dessa unidade. E esse tem sido um desafio constante para nós, porque a organização é, não queremos fazer com que as pessoas se sintam mal até que seus dados sejam coletados realmente se concentrando nisso. E a maneira como fazemos isso é identificar esse indivíduo dentro de essa unidade e ter essa conversa. E, muitas vezes, as organizações não querem entrar em confronto, e é uma questão cultural muito japonesa. E esse é o grande desafio que estamos encontrando com os dados e a análise, porque está nos dando uma ótima visão da organização em um nível muito granular para o indivíduo na hora do dia. E você pode dar uma olhada nisso de forma muito interessante, que é, por exemplo, À medida que o dia avança, a capacidade das pessoas de decifrar diminui cognitivamente. É porque eles estão trabalhando 10, 12, 13, 14 horas por dia? Portanto, muitas vezes, os riscos de segurança podem surgir mais na segunda metade do dia ou no final da noite. Portanto, ao final do dia, abordar esse assunto e dizer que, bem, há alguns problema aqui porque essa organização está sobrecarregando seus funcionários. Portanto, há um desafio aí, e isso está gerando mais falhas na organização do ponto de vista do risco de segurança. Mas esse é um aspecto fundamental de sua vida dentro dessa organização para poder realizar e executar suas tarefas específicas. Então, como você pode entender, o que estou querendo dizer é que é um desafio para conciliar os requisitos da função de trabalho dessa pessoa, trabalhando 10, 12 horas, o que é muito normal, mas também entendendo que isso não se encaixam bem quando se está tentando obter uma vida profissional de alta qualidade, saúde mental e garantir que a organização tenha para se concentrar quando você quiser um desempenho de alta qualidade em educação sobre segurança e conscientização, também é preciso estar atento ao fato de que, quando se sobrecarrega as pessoas, é preciso ter consciência disso, que o declínio é uma progressão natural, porque a capacidade das pessoas naquele momento parte do dia será naturalmente muito mais baixa. Portanto, não sei se isso é diferente maneira como analisei a questão dos insights da análise de dados mas encontramos muitas coisas interessantes como essa.

 

Quais diferenças você vê na narrativa de dados entre as organizações dos Estados Unidos e as do Japão? (00:10:56)

São muitos. Há muitas diferenças na forma como contamos nossas histórias sobre educação em segurança. Vou lhe dar alguns exemplos. Quando você tem editoras globais que se dedicam à educação em segurança e publicam conteúdo para treinar para um público global, eles normalmente escrevem em inglês, e, em seguida, eles ajustam isso em vários países diferentes por meio de tradução ou localizando-o livremente. O que fizemos foi reverter essa situação e pegamos o usuário japonês ou o funcionário japonês e construiu toda a história em torno de suas experiências e como eles interagem com a rede. Mesmo que a rede, a infraestrutura de segurança e a forma como as vulnerabilidades que surgem podem ser tecnicamente as mesmas de como eles fazem isso, mas a maneira pela qual eles se envolvem culturalmente com o usuário em uma organização será muito diferente. Eles estão usando diferentes tipos de dispositivos de bate-papo. A maneira como eles se envolvem com a comunicação por chat será diferente. A maneira como eles se envolvem com determinados dispositivos informará como eles veem a sua responsabilidade como funcionário. Mesmo que eles contem essa história de forma global como "Isso é algo que você não deve fazer". Por exemplo, sim, você não deve clicar em links ou deve ter muito cuidado com phishing em geral, e esse é um bom princípio, como você conta essa história como um usuário japonês ou como um usuário coreano ou como um usuário brasileiro será significativamente diferente, até mesmo os princípios básicos tecnicamente são os mesmos. As pessoas dizem, bem, isso é apenas tradução, e não é tradução. A tradução é um elemento dessa história, mas a outra história é o material que você realmente entende. Como uma pessoa interage com esse dispositivo naquele país? Não se trata apenas de dizer que há diferentes dispositivos, diferentes sistemas de bate-papo, diferentes tipos de ferramentas de comunicação que existem, mas como elas interagem com ele é muito diferente. Cada história que temos representa diferentes facetas dessa história. E assim, como uma pessoa trabalha em um escritório compartilhado no Japão, como uma pessoa usa o sistema de transporte público no Japão e a cultura de trabalho dentro desse sistema será muito diferente. Ou como você conta uma história de trabalho em casa, trabalho remoto será um pouco diferente. Parece superficialmente a mesma coisa, mas quando você olha de perto a educação em segurança precisa ser muito precisa. Portanto, a conscientização sobre a educação também precisa estar associada a essa precisão. E, muitas vezes, grande parte da programação educacional que está disponível é uma abordagem do tipo "tamanho único". E isso, na minha opinião, não consegue cativar verdadeiramente o usuário porque você deseja envolver um usuário, em vez de alguém dizer: "Ah, isso parece como se não tivesse sido escrito para mim. Ele foi escrito para um público diferente, e agora estou apenas observando-a como uma função de conformidade. Então, eu assisto e não me sinto muito envolvido. Ele não está falando comigo. Provavelmente, ele está me dizendo isso no idioma, mas não está realmente porque ele parece não entender que eu não tenho interagir com os dispositivos dessa forma. Entendo o que eles estão tentando dizer, mas entendo que não era para mim.

 

Que conselho você tem para aqueles que estão implementando cibersegurança nos departamentos jurídicos ou de compliance, além da análise comparativa e da medição?
 (00:14:01)

Está ouvindo? As organizações japonesas são muito orientadas para o consenso e trabalham em conjunto em diferentes organizações e unidades. Acho que, muitas vezes, pode ser um processo frustrante quando se está vendendo, por exemplo, um programa educacional de segurança, não é necessariamente algo apenas um profissional de educação em segurança dentro da organização é a parte interessada. É a organização em todas as diferentes unidades que veem isso como um aspecto importante. Eu diria que ouvir e entender que cada organização tem que a história e o consenso precisam. Portanto, falar sobre isso e passar mais tempo ouvindo do que tentar forçar e impor. Embora seja uma boa ideia ter educação sobre segurança, realmente precisamos tamanho certo, como eu disse há pouco. Acho que a chave para as organizações japonesas é o rightsizing seu programa se encaixe no ambiente cultural dessa organização. E isso levará tempo. E essa é uma das coisas mais frustrantes que eu acho que muitas pessoas de fora da empresa têm. Organizações que estão entrando no mercado japonês ter experiência é a paciência necessária para passar por esse processo, que não será um processo simples de um ou dois meses. Esse pode ser um exercício de vários anos, e isso pode ser um desafio de várias perspectivas.

 

 

Biografia do Expert

 

Jonathan Hiroshi Rossi é cofundador da Saya University, uma instituição dedicada a aumentar a conscientização e a educação em cibersegurança. Ele também é sócio-gerente e fundador do The CJK Group, uma empresa especializada em análise de dados em vários idiomas para litígios e investigações. Como cofundador na Saya, a maior plataforma de treinamento em cibersegurança para funcionários de EdTech no Japão, ele se concentra em conteúdo de microaprendizagem, aprendizado gamificado e simulações de phishing para os 126 milhões de pessoas no Japão. Além disso, atua como cofundador e atual vice-presidente da Elevate.

Ex-aluno da Universidade da Califórnia, Berkeley, Jonathan está comprometido em melhorar a segurança digital para indivíduos e organizações em todo o Japan.

 


Para acessar a coleção completa de vídeos, métricas e outros artigos, por favor, registre-se ou faça login.