Stu Hirst dari Trustpilot adalah profesional keamanan informasi berpengalaman yang motivasinya terletak pada penggunaan berbagai alat dan teknik untuk menjaga bisnis onlinenya tetap aman dan terlindungi dari pemangsa eksternal.
“Internet adalah tempat yang liar dan liar sehingga kepercayaan sangat penting untuk melintasi jalan Anda melaluinya,” kata kepala petugas keamanan informasi (CISO). “Keamanan siber terus memainkan peran besar dalam melindungi tidak hanya data, tetapi juga pengalaman yang dimiliki orang dan kepercayaan mereka terhadap produk yang mereka gunakan.”
Setelah sebelumnya bekerja di bidang keamanan untuk Trainline, di tim kepemimpinan dunia maya di Capital One UK, dan sebagai penjabat direktur keamanan informasi sementara di Just Eat, Hirst bergabung situs web ulasan konsumen Trustpilot pada Maret 2021. Dia mengatakan menyediakan platform keamanan untuk bisnis yang berkembang pesat adalah proposisi yang menarik.
“Itu adalah misinya – menciptakan lapisan kepercayaan internet dan berfokus pada bagaimana keamanan cocok dengan itu,” katanya. “Saya bergabung sebelum IPO, jadi perusahaan itu pindah dari swasta ke perusahaan publik, dengan semua persyaratan yang diperlukan, termasuk dari segi keamanan. Itu adalah kesempatan untuk masuk dan benar-benar mendorong segalanya ke depan.”
Mengambil kendali
Trustpilot didirikan di Denmark pada tahun 2007 dan, setelah mengambang pada awal tahun 2021, terdaftar di Bursa Efek London. Hirst, yang berbicara kepada Computer Weekly dari Konferensi teknologi tahunan ScottSoft dijalankan oleh badan perdagangan ScotlandIS, menjelaskan bagaimana ia memiliki berbagai peran dan tanggung jawab sebagai Trustpilot CISO.
“Saya bertanggung jawab kepada dewan dan, setiap kuartal, saya menyajikan keadaan keamanan saat ini,” katanya. “Pada level sehari-hari, saya fokus membangun dan meningkatkan tim. Saya juga bagian dari kepemimpinan produk dan teknologi di perusahaan ini, jadi saya sering menemukan diri saya terlibat dalam aspek bisnis lainnya.”
“Internet adalah tempat yang liar dan liar sehingga kepercayaan sangat penting untuk melintasi jalan Anda melaluinya. Keamanan siber terus memainkan peran besar dalam melindungi tidak hanya data, tetapi juga pengalaman yang dimiliki orang dan kepercayaan mereka terhadap produk yang mereka gunakan”
Stu Hirst, Trustpilot
haus tim keamanan mencakup empat bidang utama: operasi keamanan, yang mencakup perburuan ancaman dan persyaratan respons insiden; keamanan cloud di seluruh lingkungan Amazon dan Google perusahaan; keamanan produk, yang mencakup pengkodean, pengujian, dan penemuan kerentanan; dan risiko, kepatuhan dan audit, yang menurutnya telah menjadi prioritas yang lebih besar dalam 18 bulan terakhir.
Sebagai tambahan lebih lanjut untuk perannya, Hirst mengambil tanggung jawab untuk rekayasa keandalan situs baru-baru ini. Dia mengatakan Trustpilot sekarang telah menggabungkan tim keamanan dan keandalan situs karena “sinergi sehari-hari” antara pekerjaan mereka.
Setelah berhasil mencapai puncak profesi keamanan, Hirst berkata menjadi CISO adalah pekerjaan impiannya. “Saya suka membawa perusahaan dalam perjalanan budaya dan teknis. Saya juga menyukai aspek kepemimpinan keamanan dan mencoba membangun dan memotivasi tim, ”katanya.
“Saya suka memecahkan masalah yang belum pernah dipecahkan sebelumnya, apakah itu khusus industri atau berkaitan dengan ekonomi internet yang lebih luas. Saya merasa seperti keamanan masih cukup baru di banyak industri TI secara umum, meskipun kami sudah berada di sekitar blok sedikit. Saya merasa kami sedang memecahkan beberapa masalah khusus dalam keamanan siber.”
Mengembangkan kemampuan yang kuat
Setelah 18 bulan dalam peran CISO di Trustpilot, Hirst mengatakan pencapaian utamanya sejauh ini adalah membangun dan meningkatkan tim keamanan internal.
“Salah satu alasan utama saya bergabung adalah karena saya diberi kemampuan untuk memberi tahu dewan apa yang saya pikir kami butuhkan dari sudut pandang tenaga kerja, sudut pandang kemampuan teknis, dan bagaimana semua fokus pada keamanan itu harus ditanamkan ke dalam sistem. organisasi. Kami telah membuat beberapa kemajuan besar tetapi kami masih dalam perjalanan itu, ”katanya.
“Saya suka membawa perusahaan dalam perjalanan budaya dan teknis. Saya juga menyukai aspek kepemimpinan keamanan dan mencoba membangun dan memotivasi tim. Saya suka memecahkan masalah”
Stu Hirst, Trustpilot
Hirst telah berhasil menjerat kemampuan dalam permintaan yang dibutuhkan bisnisnya melalui berbagai cara. Selain memanfaatkan kontak industri, ia memainkan peran besar dalam komunitas keamanan siber Skotlandia. Hirst mengatakan jaringan yang kuat ini berarti dia menerima pelamar yang baik untuk peluang baru di tim.
Saat ini, tim keamanan di Trustpilot berfokus pada dua bidang utama. Pertama, manajemen insiden dan kejadian keamanan, yang melibatkan penempatan alat yang tepat untuk mengidentifikasi ancaman yang mungkin terjadi di seluruh infrastruktur dan aplikasi perusahaan. Hirst mengatakan timnya menggunakan beberapa “produk unggulan pasar”.
Area kerja utama kedua berpusat pada keamanan produk, yang melibatkan pemindaian kode untuk kerentanan dan bug sebelum apa pun didorong ke lingkungan produksi. Sekali lagi, tim menggunakan alat yang memimpin pasar, tetapi Hirst mengatakan pekerjaan itu bergantung pada penyematan teknologi ke dalam praktik pengkodean umum bisnis.
“Itu sedikit perjalanan,” katanya. “Itu tidak terjadi dalam semalam. Anda harus meningkatkan keahlian para insinyur, sehingga mereka memahami arti dari beberapa praktik pengkodean tersebut, dan Anda memerlukan tim keamanan untuk bekerja bersama mereka untuk membantu menavigasi melalui kebisingan.”
Mendorong perubahan dengan cepat
Hirst mengatakan penggunaan DevSecOps secara efektif, yang melibatkan pengenalan keamanan lebih awal dalam siklus hidup pengembangan perangkat lunak, adalah taktik penting dalam pekerjaan timnya. “Ini tentang menghilangkan hal-hal sedini mungkin dalam proses karena hal itu cenderung tidak kembali dan menggigit Anda lebih jauh,” katanya.
DevSecOps cenderung menjadi praktik populer di perusahaan yang bergerak cepat seperti miliknya, mengingat organisasi yang dipimpin tangkas ini mendorong kode apa pun dari 10 hingga 100 kali sehari.
“Anda menemukan lingkungan itu berubah hampir secara konstan dibandingkan dengan kemungkinan 20 tahun yang lalu,” kata Hirst. “Dan Anda harus mencoba menemukan cara untuk menanamkan keamanan ke dalam lingkungan yang berubah setiap menit dan setiap jam. DevSecOps ada di sekitar penyematan sebanyak mungkin keamanan elemen yang kami bisa ke dalam pengembangan produk atau kode.”
Gartner juga mengakui DevSecOps sebagai tren yang berkembang, dengan teknik baru yang terus bermunculan. Perusahaan analis mengatakan lebih dari 70% inisiatif DevSecOps perusahaan akan menggabungkan kerentanan keamanan otomatis dan pemindaian konfigurasi untuk komponen sumber terbuka dan paket komersial pada tahun 2023, yang merupakan peningkatan besar dari kurang dari 30% pada tahun 2019.
“Ini sangat spesifik kode, umumnya,” kata Hirst, mengacu pada perusahaannya Upaya DevSecOps. “Jadi, banyak otomatisasi, seperti pemindaian kode dan mencoba menghilangkan bug. Dan beberapa pekerjaan lebih tentang aspek budaya – melakukan sesuatu dengan cepat, menyematkan DevSecOps ke dalam lingkungan yang gesitdan mungkin tidak melakukan beberapa hal yang lebih tradisional yang mungkin dilakukan oleh perusahaan lingkungan non-cloud.”
Perusahaan ini adalah pengguna berat Amazon Web Service (AWS) dan Google Cloud Compute, sehingga keamanan di seluruh lingkungan cloud juga penting. Tim Hirst menghindari proses yang berbelit-belit dan mencoba mendorong perubahan ke dalam lingkungan TI secepat mungkin: “Kami harus menemukan cara untuk melihat apa yang terjadi atau menghadapinya saat itu.”
Menghadapi tantangan
Hirst mengakui itu semua CISO menghadapi pertempuran tanpa akhir ketika datang ke keamanan informasi. “Lanskap ancaman yang berkembang membuat saya terjaga di malam hari karena saya tidak tahu apa yang belum saya ketahui,” katanya.
“Lanskap ancaman yang berkembang membuat saya terjaga di malam hari karena saya tidak tahu apa yang belum saya ketahui. Kadang-kadang Anda hanya mencoba untuk bereaksi terhadap hal-hal yang terjadi. Hal-hal yang Anda pikirkan setahun yang lalu entah sekarang bukan yang teratas atau sesuatu yang lain telah terjadi yang mengubah prioritas Anda ”
Stu Hirst, Trustpilot
“Kadang-kadang Anda hanya mencoba untuk bereaksi terhadap hal-hal yang terjadi, daripada memiliki pandangan ke depan tentang apa yang mungkin akan terjadi. Hal-hal yang Anda pikirkan setahun yang lalu entah sekarang bukan yang teratas atau sesuatu yang lain telah terjadi yang mengubah prioritas Anda. Itu yang menjadi perhatian utama.”
Hirst mengatakan tantangan utama lainnya adalah mampu memahami apa ancaman baru itu dan apa artinya bagi bisnis: “Terkadang, sampai orang lain mengalami insiden, Anda tidak yakin siapa yang mengejar Anda atau mengapa.”
Secara umum, semua CISO menghadapi lingkungan keamanan yang semakin kompleks saat ini, terutama mengingat kondisi makroekonomi yang lebih luas dan kekhawatiran geopolitik dan keamanan terkait dengan invasi Rusia ke Ukraina. Tambahkan permintaan bakat yang berkelanjutan dan Hirst mengatakan semua CISO memiliki daftar tugas yang harus dilakukan.
“Ada tingkat gesekan yang terjadi di industri teknologi dan orang-orang banyak bergerak. Ada beberapa sisi positif dari hal-hal ini, seperti pekerjaan jarak jauh dan kemampuan untuk memiliki orang-orang berbakat dari semua tempat sekarang, dibandingkan dengan tempat mereka berada secara historis, ”katanya.
“Tetapi iklim global terus membuat segalanya menjadi rumit. Kami juga kadang-kadang berbicara tentang kekurangan keterampilan, dan ada beberapa area keamanan khusus yang cukup sulit untuk diisi. Itu bisa sulit. Dan kita masih memiliki masalah keragaman yang akan membutuhkan waktu lama untuk dipecahkan.”
Menyematkan praktik keamanan
Peran Hirst adalah membantu rekan-rekannya di Trustpilot menghadapi tantangan ini secara langsung dan untuk mengatasi hambatan apa pun yang menghalangi mereka. Tujuannya selama beberapa tahun ke depan adalah untuk memastikan bahwa keamanan informasi adalah inti dari kegiatan organisasi.
“Keamanan bukan hanya aspek teknis – ini penting secara budaya di seluruh bisnis”
Stu Hirst, Trustpilot
“Saya ingin mencapai titik di mana keamanan benar-benar tertanam dalam semua yang kami lakukan,” katanya. “Dan itu bukan hanya produk yang kami buat, tetapi setiap karyawan benar-benar memikirkan keamanan sebagai bagian dari pekerjaan mereka sehari-hari. Saya ingin ini menjadi bagian dari siklus perencanaan di berbagai tim.”
Hirst mengakui dia beruntung bekerja dengan dewan yang mendukung visinya. Bahkan sebelum dia bergabung dengan Trustpilot pada tahun 2021, perusahaan mengakui peran penting keamanan. Tujuan Hirst adalah untuk memastikan bahwa timnya menyediakan proses dan kebijakan yang tepat untuk mengurangi potensi risiko.
“Saya bertujuan untuk memberi mereka informasi yang tepat pada waktu yang tepat tentang apa tantangannya dan apa yang kami lakukan untuk menghadapinya. Mereka suka melihat rencana. Mereka ingin tahu bahwa Anda sedang berurusan dengan apa pun yang muncul dan bahwa ada rencana untuk melakukan sesuatu tentang hal itu,” katanya.
“Keamanan bukan hanya aspek teknis – ini penting secara budaya di seluruh bisnis. Saya ingin kami dapat memposisikan diri kami untuk menghadapi apa pun yang akan kami hadapi dalam 24 bulan ke depan sebagai bisnis dan untuk menavigasi tantangan tersebut dengan sukses.”
Indonesian
Arabic
Chinese (Simplified)
Dutch
English
French
German
Italian
Portuguese
Russian
Spanish