Sarah Armstrong-Smith 的职业生涯以风险管理、弹性和领先于不断演变的网络威胁为中心。作为 Microsoft Europe 的领先网络安全发言人和首席安全顾问,她花了二十多年的时间帮助企业应对数字化转型,同时加强他们的安全态势。我们与 Sarah 进行了交谈,探讨了当今企业面临的最大网络安全挑战、弹性在数字世界中的作用,以及组织如何促进技术更具包容性。
是什么激发了您对网络安全、数据保护和数字化转型的兴趣?您在这个领域的旅程是如何开始的?
我从事技术领域已有 20 多年,最早可以追溯到 1999 年。2000 年千年虫爆发期间,我当时在一家自来水公司工作。当时,许多公司都在进行大规模转型,对大量计算机和服务器进行重新编码,因为他们认为,由于各种系统中 2000 年的编码方式,午夜时分,大量计算机和服务器将陷入瘫痪。
从很小的时候起,我就总是被驱使着不断问“为什么”和大量问题。如果系统崩溃了怎么办?如果我们无法让人们工作怎么办?如果所有这些事情都发生了怎么办?当时,我并没有意识到我正在考虑业务连续性。我觉得不断问这些问题是常识。那是我职业生涯的开始。
我总是将那一刻视为我职业生涯的起点。从业务连续性开始,在接下来的 20 年里,我转向灾难恢复、网络安全、欺诈、危机管理,所有这些都属于弹性范畴。这就是我的职业生涯的发展方式,而且非常棒。
工作场所的多样性对于创新和进步至关重要。从您的角度来看,在商业领域,特别是在科技和网络安全领域,还可以采取哪些措施来促进性别多样性和包容性?
我们需要能够跳出思维定势的人,这就是多样性如此重要的原因。这不仅仅关乎性别,还关乎背景、经验和文化的多样性。包容性就是要消除虚假的障碍——比如科技只适合男性,或者从事网络安全工作需要技术含量高。事实并非如此。
我们还需要重新思考如何支持年轻人。期望他们这么早就决定自己的职业道路是不现实的。人们应该尝试不同的事情,在职业生涯中不断转型,这应该得到鼓励。预期寿命正在增加,这意味着职业生涯将会更长。
人们会休息、组建家庭、转行。这是为了实现灵活性和选择权。
回顾千年虫问题的经验,在应对如此重大的潜在威胁时,您得到了哪些重要的教训?
我认为拥有业务连续性方面的背景使我能够从大局出发进行思考。我总是在思考最坏的情况——可能发生的最糟糕的事情是什么?但我们也需要更广泛地思考。我们需要考虑的事件不仅与我们自己的公司有关,还需要考虑影响跨行业甚至全球变化的事件。
我认为 9/11 事件是一个很好的例子,它可能是一场我们从未见过的大规模重大事件。电视转播的方式以及随之而来的震惊真正让人们意识到了恐怖主义的影响以及在这种规模下业务连续性的重要性。
现在,全球疫情确实凸显了我们之间的相互联系和依赖。这适用于小型企业和大型企业。当我们考虑这些威胁时,不仅要考虑业务连续性,还要考虑网络安全和攻击。我们必须从更广泛的角度来看待问题。这就是抵御所有这些类型威胁的能力成为重中之重的地方。
媒体在塑造公众对威胁的认知方面发挥着重要作用。您是否认为千年虫被媒体夸大了?我们今天如何确保准确报道网络安全风险?
有可能。有时媒体确实能提供帮助,但有时也会造成阻碍。问题在于散布恐慌,夸大其词。人们倾向于相信他们在互联网上读到的内容而不去核实事实,而由于可用的信息来源数量众多,这变得更加困难。
您从哪里获取事实信息?人们在社交媒体(Facebook、Twitter)上阅读信息,很难区分事实和虚构。媒体有时会夸大其词。找到正确的信息来源并利用情报来消除干扰并获得真实、可操作的见解非常重要。
自 2020 年担任微软欧洲首席安全顾问以来,您最自豪的成就是什么,尤其是考虑到快速发展的数字环境所带来的挑战?
事实上,我是在英国封锁一周后加入微软的。所以,到目前为止,我的整个微软职业生涯都是在这个办公室里度过的。在全球疫情期间,加入一家新公司,同时了解微软的内部运作,这很有趣。
微软是一家庞大的组织,在全球拥有超过 160,000 名员工。除了保持公司正常运转之外,我们还必须确保我们的客户正常运营。此外,云的发展也得到了极大的加速,尤其是 Teams 等协作工具。
看到微软如何应对挑战,为客户和新用户提供支持,真是令人难以置信。在我的职位上,我与欧洲各地的战略和主要客户合作,担任不同行业的执行发起人。这让我了解他们面临的挑战,特别是在云采用和数字化转型方面。
无论情况变得多么糟糕——多年来我们经历了重大危机——我总是关注机遇。我们可以学到什么?我们可以做得更好吗?这就是我为在微软工作感到自豪的原因。
随着网络威胁不断演变,您认为企业当前面临的最大风险是什么?企业应该采取哪些必要措施来加强安全?
网络犯罪分子善于抓住机会,在危机中大展身手。在过去的 12-18 个月中,我们发现利用人们的恐惧和情绪进行的网络钓鱼攻击数量大幅增加。攻击者会伪装成您的银行、慈善机构或提供支持的组织。他们会试图诱骗您提供凭证或点击恶意链接。
我们还发现勒索软件攻击有所增加,特别是针对医疗保健和关键基础设施的攻击。令我们震惊的是,在疫情期间,攻击者仍然以医院和急救服务为目标,因为他们认为这些机构更有可能支付赎金。
企业需要采取“假设妥协”的心态。无论您的网络安全有多强大,攻击者都会试图找到入侵的方法。重点应该放在准备上:如果有人访问您的系统会发生什么?如果您的数据被泄露,会有什么影响?您应该将安全工作重点放在哪些方面?
网络安全不仅关乎防御,还关乎危机应对。如果您的网络出现故障,您的业务能否恢复到手动流程?您如何与客户和合作伙伴沟通?应对策略与预防同样重要。
回顾您的职业生涯,您会给年轻时的自己或者任何渴望在科技和网络安全领域开创事业的人什么建议?
不要害怕不断推动自己前进。我年轻的时候,习惯于自愿做一些我不完全理解的事情,但这总能让我成长。如果人们不能 100% 满足要求,他们就会犹豫是否要申请职位——但你不必知道一切。你可以在工作中学习。
我从未计划从事科技行业。我最初想成为一名平面设计师,因为我喜欢艺术。职业发展不是直线性的,这没关系。只要抓住机会,不断学习,享受旅程就行了。
