0:04 

Hallo, willkommen heute. Willkommen zu unserer heutigen Diskussion über Cybersicherheit in K 12. Mein Name ist Klaire Marino. Ich bin Vice President of Product Marketing bei Lightspeed Systems und vielen Dank, dass Sie heute einen Teil Ihrer Zeit mit uns verbracht haben. 

0:19 

Ich habe hier ein erstaunliches Expertengremium für dieses Webinar. Unser heutiges Webinar trägt den Titel: Cyber Nightmares: Attacks, Breaches and Leaks. 

0:29 

Aber ich bin zuversichtlich, dass Sie diese Sitzung heute mit Erkenntnissen und umsetzbaren Maßnahmen verlassen werden, die Sie bereits morgen mit Ihrem Distrikt ergreifen können. 

0:43 

Bevor ich eintauche, möchte ich Sie daran erinnern, dass wir am Ende des Webinars Zeit für Fragen haben. Wir wollen von Ihnen hören, wir wollen Ihre Fragen hören. 

0:54 

Troy und John werden bereit sein, sie zu beantworten, also geben Sie sie bitte in den Chat ein, während wir gehen, und wir werden, wir werden Zeit dafür lassen. 

1:03 

Alle. Also, zuerst möchte ich unser Panel vorstellen. 

1:08 

Heute haben wir Troy Neal. Er ist Executive Director, Cybersecurity und IT Operations bei Spring Branch ISD in Houston, Texas. 

1:18 

Und dann haben wir noch John Genter, den VP of Security and Cloud Operations bei Lightspeed Systems. 

1:25 

Ich übergebe es dir, Troy, damit du unserem heutigen Publikum ein wenig von deinem Hintergrund erzählen kannst. 

1:31 

Sicher, also waren wir nur Spring Branch ISD in Houston, Texas. Wir haben etwa 35.000 Schüler mit etwa 6000 Mitarbeitern, wir haben einen sogenannten vermögensreichen Schulbezirk, was bedeutet, dass es einige Finanzierungsprobleme gibt. Wir schicken etwa $75 Millionen zurück in den Bundesstaat Texas, was Herausforderungen für Menschen in der IT bedeutet. Ich bin also seit etwa 20 Jahren in der IT-Branche tätig. Ich bin in meiner dritten Karriere, wie ich sage, jeder begann beim Militär, im Marine Corps, besaß meine eigene Unternehmensberatung und dann das, was ich, also jeder, ich wollte einfach, ein Unternehmen. Wir sind größer als die meisten Unternehmen in K-12. Und so behandle ich es als Unternehmen am Ende des Tages. Wir befinden uns in der Ausbildung, und so habe ich Jahre damit verbracht, die operative Seite von K-12 zu verstehen. 

2:15 

Großartig, danke, Troy. Und, John, stellen Sie sich bitte vor. 

2:19 

Hallo, ich bin John Genter, Vice President of Security and Cloud Operations bei Lightspeed Systems. 

2:24 

Ich bin seit 17 Jahren bei Lightspeed. Ich bin also schon lange mit unseren, unseren Lightspeed-Leuten auf dieser Reise. 

2:31 

Ich habe alles über Kundenservice, Kundenerfolg, Support und vor kurzem als Security and Cloud Operations gemacht – kam aus der Tatsache, dass ich die meisten unserer Datenschutz- und Sicherheitsprogramme und -dinge gemacht habe. 

2:49 

Ich verbrachte auch 22 Jahre meines Lebens als Treuhänder der Schulbehörde, und das in einem kleinen Schulbezirk mit etwa 3500 Einwohnern. Troy ist also etwas kleiner als Ihr Bezirk, aber ich vermute, dass viele der Herausforderungen dieselben sind, die Finanzierung sicherlich einer von ihnen. Und in diesen 22 Jahren konnte ich, glaube ich, wirklich eine wesentliche Rolle bei der Technologieeinführung des Distrikts spielen und dafür sorgen, dass wir über die Dinge nachdenken und die Dinge tun. 

3:19 

Sicherlich sind die Herausforderungen heute ganz andere als vor 20 Jahren. 

3:24 

Aber ich denke, was sich nicht geändert hat, ist, dass das IT-Personal in Schulen normalerweise unterfinanziert ist, und das ist eine große Herausforderung. 

3:36 

Definitiv. 

Großartig, also lasst uns über diese Änderungen sprechen, wenn wir hier reinspringen. 

3:45 

Sie werden in diesem Diagramm sehen, aber es gab diese dramatische Zunahme von Cyberangriffen, und in den letzten, ich würde sagen, was, 4 bis 6 Jahren? Beginnen wir also mit dieser Frage: Warum glauben Sie, dass K-12-Distrikte für diese Cyberkriminellen so attraktiv sind? Und was sind, was siehst du? 

4:06 

Welche Arten von Angriffen sehen Sie? 

4:11 

Klar, darauf kann man springen. 

4:13 

Ja, ja, ich werde auf jeden Fall damit anfangen. Weil Sie die internen und externen Bedrohungen haben. Beginnen wir also mit dem Äußeren. Es geht um Gewinndaten, Verkaufsdaten, und jetzt geht es wieder an die Öffentlichkeit. 

4:25 

Am Ende des Tages geht es also um Profit und Geld. Und besonders in K-12 ist es Identität. Sie erhalten die Identität von jemandem, was einen hohen Wert hat. Also denke ich, dass das Ihre Drohung ist? Und die Leute wissen das. 

4:37 

Und dann nehmen Sie die Fakten: unterfinanziert, unterbesetzt, haben keine Tools, Prozesse, Richtlinien. Sie haben also diese Art von externem Faktor. Dann gehen wir hinein. Und wenn Sie sich die Folien ansehen: Datenschutzverletzung, DDoS-Invasion, 

4:53 

Insider-Bedrohung. Wir werden ständig mit DDos konfrontiert, besonders während Testfenstern. Weil Kinder keine Tests machen wollen. Eigentlich keine böswillige Absicht, aber sie wollen einfach nicht testen. 

5:02 

Aber dann haben Sie interne Bedrohungen. Kinder wollen versuchen, Zugang zu finden. Sie haben also diese Kinder, bei denen man sich im Unterricht langweilen könnte, wenn man nur etwas ausprobieren möchte, wenn man böswillige Absichten hat. Also, Insider-Bedrohungen und Probleme dort betreffen wahrscheinlich eher das Äußere. Aber sie sind beide da und deshalb müssen Sie all das in Ihre Strategie, Ihre Roadmap, Ihr Buy-in-Training und so weiter einbeziehen. Aber am Ende des Tages für Externe ist es Geld. 

5:31 

Ja, ich denke auch, die Bedrohungsakteure glauben, dass Schulen verwundbar sind und die Unterfinanzierung ihrer Meinung nach gute Ziele sind, es gibt, äh, Gehaltsabrechnungssysteme in Schulen, von denen die schlechten Akteure wollen, dass ihnen ein Gehaltsscheck zugeschickt wird. Und dann, denke ich, am Ende des Tages, und Troy hat das gesagt, gibt es dort wertvolle Informationen. Wenn Sie ein Kindergartenkind bekommen können, Sozialversicherungsnummer und Informationen. Sie haben 15 Jahre Zeit, Sie können laufen, und Sie werden wahrscheinlich keine Kreditprüfungen für diese Konten sehen, und die schlechten Schauspieler wissen das und sehen, das sind sehr wertvolle Daten. 

6:09 

Das lässt mich denken, dass ich reingehen und alle Sozialversicherungsnummern meiner Kinder überprüfen muss. Einige der Firmen bieten das tatsächlich an. Jetzt, wo Sie Ihre Kinder, Sozialversicherungsnummern und andere Dinge überwachen können, ist es also keine schlechte Idee, sich damit zu befassen. 

6:24 

Ja, definitiv. Mal schauen. 

6:29 

Was sehen Sie also aus Sicht der größten Bedrohung? Ich meine, ich glaube, Sie haben das ein wenig angesprochen, aber handelt es sich um Malware, DDoS, Datenschutzverletzungen von Schülern? Wo sehen wir sie, die mit Ihren Peer-Institutionen passiert ist? Und worüber unterhalten Sie sich mit Ihren Kollegen? 

6:51 

Es ist alles oben. Ich meine, ich glaube nicht, dass es kein spezifisches gibt. Es hängt vom Ziel und dem Ziel ab. DDOs haben also Gemeinsamkeiten, besonders intern versus extern. Ich meine, du bist immer noch da, aber mehr als das. Jetzt ist es Malware-Ransomware. 

7:06 

Weil Sie seitliche Bewegung usw. wollen. Also, ich denke, dieser externe Faktor, sagte ich, sucht immer nach Ihrer externen Verwundbarkeit. Erstens, wie sie durch die Tür kommen, wir alle klicken auf Links. 

7:18 

Der Vektor Nummer eins in jeder Organisation ist Spam. Jemand klickt auf den Link und es wird kreativ. Im Laufe der Jahre wird es immer schwieriger, es zu finden. Und das ist zurück zu Bewusstsein, Training oder Training, und es liegt in der Verantwortung aller. Und ein bisschen geredet, irgendwie in die Dinge hinein, wir haben geredet, und John hat über Grundschulkinder geredet. 

7:39 

Als Erwachsene haben wir Angst davor, nein, Kinder können sich keine langen Passwörter und all dieses Zeug merken, Kinder sind der visuellen Welt so weit voraus, den Erwachsenen oder einigen dieser Dinge im Weg. Zurück zu Bildung, digitaler Bürgerschaft, lehren Sie ihnen das Richtige und das Falsche und ihre Verantwortung, dabei zu helfen. 

7:57 

Weil wir alle zusammen dabei sind. 

8:01 

8:04 

Ja, ich wollte sagen, das ist ein guter Übergang zu meiner nächsten Frage, bei der es darum geht, darüber nachzudenken, ob wir von der Bedrohung zu etwas übergehen oder was die Distrikte tun könnten. 

8:15 

Und wenn wir, wenn wir zuerst darüber reden, ich interessiere mich nur für einige unmittelbare, einfache Dinge mit niedrigem Auftrieb. Was wäre eine Art 2 oder 3 in diesem Bereich, die Distrikte tun sollten, sobald sie diesen Anruf erhalten? Falls noch nicht geschehen, was würden Sie dort empfehlen? 

8:36 

An erster Stelle steht das Bewusstsein, und jeder ist dafür verantwortlich. Das ist unsere Botschaft in unserer Organisation, auf Vorstandsebene, auf Führungsebene, auf allen Ebenen. Es liegt in der Verantwortung aller. Training, Training, Training und Bewusstsein. Und haben Sie keine Angst, 'wenn ich auf etwas geklickt habe, sagen Sie es jemandem.' ‚Sehen Sie etwas, sagen Sie etwas‘, das gilt auch in der Technik. Patchen, alle, patchen, patchen, patchen, das sind einfache Dinge zu tun, das sind niedrig hängende Früchte. 

9:02 

Passwörter. Und Sie bekommen die falsche Philosophie von Passwortlisten gegenüber kryptischen Passwörtern und Phrasen. Ich meine, haben Sie einfach zuerst Richtlinien. Und dann Kommunikation. Leadership-Buy-in. Scheuen Sie sich nicht, sich zu äußern. Sagen Sie etwas mit der obersten Führung mit Ihrem Kabinett. Sie müssen es verstehen, weil wir gemeinsam darin stecken und weil sie dabei helfen, einen Teil dieser Politik voranzutreiben. Sie können dazu beitragen, diesen Wandel voranzutreiben. Deshalb machen wir das: In K 12 ist meine Rolle Risikobewusstsein, Risikominderung. 

9:38 

Es gibt bestimmte Dinge, die wir meiner Meinung nach in einer Sicherheitsrolle nicht tun sollten, und unsere Sicherheitsfunktion oder -richtlinie, weil es nicht das Beste für Kinder ist. Und das ist ein Risiko, das wir als Organisation eingehen. 

9:51 

Denn schließlich sind wir hier, um Kinder zu erziehen. Und so gibt es Mechanismen, die wir nicht einführen werden, weil es nicht das Beste für Kinder ist. Aber damit muss man einverstanden sein. Aber die Führung muss verstehen, wie dieses Risiko aussieht. Und scheuen Sie sich nicht zu sagen, was es ist. Denn heute müssen wir alle. 

10:10 

Also, das ist nur ein paar niedrig hängende Sachen. 

10:13 

Ich würde auch hinzufügen, dass ich denke, dass Menschen von Cybersicherheit eingeschüchtert sein können und das Gefühl haben, ein Cybersicherheitsexperte sein zu müssen. Ich teile gerne, Sie müssen alle Cyber-bewusst sein. 

10:27 

Und keine Cyberexperten, Troy hat es gut gesagt, sie wissen, wen sie fragen müssen. Das fühlt sich nicht an, das sieht nicht so aus, richtig, 'wen frage ich?' Das ist Cyber-bewusst, Sie müssen nicht wissen, wie Sie das Problem lösen. Aber das Cyber-Bewusstsein für Mitarbeiter und Studenten ist meiner Meinung nach sehr wichtig. 

10:44 

Ich denke, eine andere Sache, die ziemlich einfach gemacht werden kann, ist das Hinzufügen einer Multifaktor-Authentifizierung, sagen wir, auf Distriktebene und in Distriktsystemen. Es ist wahrscheinlich etwas schwieriger, das System im Schulbezirk mit 35.000 Schülern und so weiter einzuführen, aber wenn Sie es als kleine Komponente angehen und sich nur diese Geschäftssysteme ansehen, ist das meiner Meinung nach ein großer Gewinn. 

11:08 

Ja. Ich werde eine weitere niedrig hängende Frucht hinzufügen, die wir machen. Wir haben einen sehr strengen Onboarding-Prozess für Software. 

11:13 

Und darin ist ein ganzer Abschnitt über technische Anforderungen, den wir von Integrationen bis hin zu Standards und dem Ort, an dem die Daten gespeichert werden können, überprüfen. Vernichtung der Daten, und dann hatten wir sogar die Cybersecurity-Teile, haben Sie eine Versicherung, und wir hatten einen Verstoß, was, welche Modelle folgen Sie uns?. Wir stellen unseren Lieferanten genau die gleichen Fragen, die wir uns selbst stellen wollen. 

11:39 

Ja, das ist großartig. Wenn Sie Anbieter sagen? Wen meinst du da? 

11:45 

Also jede Art von steuerlichem Anbieter oder Anbieter. Wenn das, glücklicherweise, vor ein paar Jahren, oder Texas Gesetze verabschiedet hat, die einen Koordinator für Cybersicherheit, eine Cybersicherheitsrichtlinie, die Meldung eines Verstoßes, und dann eine Sensibilisierungsschulung für Cybersicherheit vorschrieben. 

12:07 

Und deshalb würden wir Auftragnehmer beauftragen, die die gleiche Schulung durchführen, denn wenn Sie auf das System zugreifen, stellen wir sicher, dass sie die Grundlagen dessen verstehen, wonach sie suchen müssen. 

12:14 

Ich meine, eigentlich geht es um Sensibilisierung und Schulung, aber ja, alle Beteiligten Wenn sie entweder auf das System zugreifen oder irgendwelche Informationen oder Daten von uns wollen, hier sind die Anforderungen. 

12:27 

Ja, toll, toll. Lassen Sie uns von den niedrig hängenden Früchten zu längerfristigen Plänen übergehen, die Sie vielleicht in Troy umgesetzt haben, oder etwas, das Sie gesehen haben. Johnson, einige der, einige der Steps-Distrikte könnten für die nächsten 12 Monate darüber nachdenken. 

12:45 

Sicher, ich fange mit einigen davon an. Backup, Backup, Backup, ich habe eine fünfstufige Strategie. Ich habe Air Gap Solutions. Und unser Colo und unser DR-Standort. Ich habe gute alte USB-Festplatten, die kritischsten. Ich habe auch eine Cloud-Kopie bei mehreren Cloud-Anbietern, Backups, alles, auch die Validierung Ihrer Backups und die Strategie. Aber ich meine, insgesamt muss man mit einer Strategie und einem Fahrplan beginnen. Und Ihre Frameworks, wo wollen Sie weitermachen? Das große, das große Ding ist jetzt dein Vertrauen, wie kommst du auf null Vertrauen? 

13:15 

Das Beste, was Sie in K-12 können, denn es gibt bestimmte Dinge, die Sie in K-12 ohne Vertrauen nicht tun können. Sichtbarkeit, Informationen, wie man diese Informationen nutzt. 

13:24 

Automatisierung und Prozess, welche Toolsets können Sie tun und einbringen, um diese Dinge zu automatisieren und zu orchestrieren, damit Sie die menschlichen Faktoren herausnehmen. 

13:34 

Tu so, als ob ich es wäre, ich bin sicher, du könntest dem auch zustimmen. Dass es sich überwältigend anfühlen kann, wenn man sich anschaut, wie man das alles macht. Aber Sie müssen damit beginnen, die kritischsten Systeme zu identifizieren, die Sie schützen müssen, und sich dann darauf konzentrieren, diese zu schützen, und dann von dort aus expandieren. 

13:51 

Natürlich sind Backups dieser kritischsten Daten und Luftlücken von größter Bedeutung, um schnell wiederhergestellt werden zu können, falls etwas passieren sollte. 

14:00 

Also, ich denke, wenn jemand diese Reise noch nicht begonnen hat, stellen Sie sicher, dass er damit beginnt, zu verstehen, was das Wichtigste ist, was es zu schützen gilt. 

14:10 

Ja, und dann füge ich Pläne zur Reaktion auf Vorfälle hinzu. Sie müssen eine Planübung, einen Reaktionsplan für Vorfälle. Sie identifizieren Ihre Quellsysteme für Ihre Organisation und dann, wem diese Systeme gehören. Und dann hatten Sie keine Gespräche mit diesen Besitzern von, eigentlich 'was bedeutet das?' Und wie überprüft man diese dann? Wie stellen Sie sicher, dass sich Ihre Datenschutzrichtlinien bei einigen Ihrer Anbieter ändern? Wie bleibst du auf dem Laufenden? Es ist ein Dorf. Wir sind alle im selben Boot. 

14:38 

Es gibt Hilfe da draußen, Partner oder Anbieter, es gibt umfangreiche Informationen zu Ressourcen und Menschen, die Ihnen helfen können und um Hilfe bitten. 

14:49 

Wir hatten eine Frage zu Ihrem Edtech-Anbieter und Ihren Datenschutzrichtlinien. Lightspeed hat erst kürzlich eine Edtech-App-Aufzeichnung erstellt, die ergab, dass 91% der von Schülern verwendeten Anwendung ihre Datenschutzrichtlinien mindestens einmal im vergangenen Schuljahr geändert haben. 

15:14 

Warum also ist die Überwachung von Datenschutzrichtlinien wichtig? 

15:20 

Ist das Teil Ihrer Cybersicherheitsstrategie, Troy? 

15:24 

Oh, absolut, wir besitzen CatchOn, Lightspeed Analytics, ich denke, das nennen wir jetzt Schatten-IT. Wir haben über 4000 Anwendungen im Einsatz. Und so ist es ein riesiger Katalog von Anwendungen. Und es gibt großen Nutzen und Bedarf für diese, aber Sie müssen wissen, was sie sind. Also: Datenschutzrichtlinie, Governance. Wer hat die Daten? Wer hat Zugriff auf Daten, und eine der Tatsachen, über die wir gerade in diesem Klima gesprochen haben, ist, dass unsere externen Faktoren Eltern sind. Die Welt ohne Transparenz, 'Was machen meine Kinder?' all das wurde jetzt auf die Eltern ausgeweitet.  

15:58 

Eltern sind mehr involviert und wissen, was ihre Kinder in der Schule tun, und zwar in jeder Hinsicht. Wenn Sie also wissen, wie diese Updates aussehen, weil es einige Änderungen gegeben hat, sogar, sagen wir, Google, wo es hergekommen ist, 13 und bis jetzt 18, und verwenden Sie diese Anwendungen? Hast du diese Anpassungen vorgenommen? Aber wenn Sie nicht aufpassen, beobachten Sie diese nicht. Einige dieser Richtlinien und Änderungen sind möglicherweise passiert, und jetzt sind Sie aus regulatorischer Sicht und aus rechtlicher Sicht nicht mehr konform. Und so muss man diese Art von Sichtbarkeit haben. 

16:30 

Ja. 

16:31 

Und ich denke in der Welt des Datenschutzes, weil sich die Landschaft täglich ändert, Staaten Datenschutzgesetze verabschieden, international neue Datenschutzgesetze gelten. 

16:41 

Wir sehen uns Datenschutzrichtlinien an, die in den letzten zwei Jahren nicht aktualisiert wurden, und werfen ein rotes Tuch. Es ist, Whoa, sie haben hier kein Update. Was machen sie? Passen sie auf? 

16:51 

Diese aktualisierten Richtlinien werden also häufiger vorkommen, da Unternehmen versuchen, auf die Änderungen der Gesetze und so weiter zu reagieren. 

17:01 

Ich weiß, als ich Treuhänder war, war mein IT-Personal schrecklich überarbeitet. Sie hatten nicht die Ressourcen, um nachzujagen, und plötzlich müssen sie mit den Datenschutzrichtlinien Schritt halten, und die regelmäßige Änderung kann ein etwas überwältigender Gedanke und Prozess sein . 

17:22 

Dann ist die andere Sache, dass sie wahrscheinlich keine Rechtsexperten sind. Wie lese ich also all diese Datenschutzrichtlinien durch und finde überhaupt heraus, was sich geändert hat? Das ist eine große Sache. Ich bin froh, dass Troy unsere Lightspeed Analytics CatchOn-Edition erwähnt hat, denn sie war Teil dieses Produkts, um zu versuchen, diese aufzudecken und sicherzustellen, dass Schulen leicht sehen können, wann eine Datenschutzrichtlinie aktualisiert wurde, und darüber benachrichtigt werden. Und dann denke ich vielleicht, was noch wichtiger ist, die Abschnitte der Politik hervorzuheben, die sich geändert haben, und das dann zu bewerten und zu sagen, bedeutet uns das etwas? Steht das im Widerspruch zu dem, was unsere Distriktrichtlinien sind oder nicht? Und wenn ja, dann gibt es dort vielleicht einen Entscheidungspunkt. Wenn nicht, ist es immer noch innerhalb der Richtlinien? Groß. Sie können es schnell verwenden oder weiter verwenden. 

18:06 

Aber es ist eine sehr schnelle Bewertung, die Ihnen gebracht wird, anstatt jeden Ihrer Lieferanten im Auge behalten zu müssen, und dann durchzugehen, hat sich das geändert? Wann hat es sich geändert? Was muss ich tun? 

18:18 

Lassen Sie mich dem auch noch etwas hinzufügen. Stellen Sie außerdem sicher, dass die richtigen Personen daran beteiligt sind, damit unsere akademischen Führungsteams ohne Analytics CatchOn darauf zugreifen können. Sie sehen sich also tatsächlich die Daten an. Sie schauen sich die Nutzung an, also haben sie diese Sichtbarkeit. Und dann war auch unser Edtech-Team involviert, weil sie beim Onboarding unserer Software helfen oder herausfinden, wann wir keine Software mehr verwenden. Also sagte ich, es geht immer noch um diese Teamleistung. Wir sind nicht in Silos, ist keine IT-Funktion. Es ist multifunktional, abteilungsübergreifend und stellt nur sicher, dass die Daten wie folgt verwendet werden. Und sich hinsetzen und das Gespräch führen. Ich treffe mich einmal pro Woche mit meinen Kollegen, den leitenden Direktoren, der Lehrplanunterstützung, dem Superintendenten für Technologie, dem Superintendenten für Akademiker, um eine duale Teamausrichtung zwischen den beiden Kernfunktionen von Akademiker und Technologie zu haben. Es ist also diese Partnerschaft, die alles bedeutet. 

19:16 

Ja. Ich habe nur geschaut, da ist eine Frage gekommen, die hier reingekommen ist. Das hat also eigentlich mit Eltern zu tun, Troy, du hast darüber gesprochen, dass Eltern ein so wichtiger Teil der Bildungsgemeinschaft sind, besonders nach COVID, und all das, was wir alle durchgemacht haben. Eine Frage aus unserem Publikum lautet: „Beziehen Sie Eltern in Cybersicherheitsschulungen ein? Und wenn ja, wie?“ 

19:41 

Ja, also, wenn wir Back-to-School-Abende machen, und die Back-to-School-Veranstaltungen oder Elternabende, was auch immer, wir bieten diese Art von Training an. Und wir halten viel von den externen Faktoren gegen die internen Dinge. Und dann leite ich unser Komitee für die Inhaltsfilterung, das sich aus Technikern, Verwaltung, Schulleitern, Lehrern, Gemeindemitgliedern und Eltern zusammensetzt, und wir besprechen viele unserer Richtlinien. Nicht nur Filtern, sondern ganz allgemein, um die Sicherheit unserer Kinder in Bezug auf die digitale Staatsbürgerschaft und Nutzung zweimal im Jahr. Auf diese Weise werden sie in das Gespräch einbezogen, denn es gibt auch Fürsprecher. 

20:18 

Ja genau. 

Wir führen den sogenannten Betrug oder die Woche durch. Ich bin sicher, Sie haben das wahrscheinlich schon gesehen. Wo wir tatsächlich darauf achten, was heute in der Welt passiert und was die schlechten Schauspieler benutzen. Und wir schicken das an alle unsere Mitarbeiter und wir ermutigen sie, sie an ihre Familien, Freunde und alle anderen zu schicken. 

20:37 

Weil es einfach der Weg ist, darüber informiert zu sein, was passiert und was in der Welt vor sich geht. 

20:44 

Ich denke also, dass es Möglichkeiten gibt, die Community einzubeziehen, sowie in einer proaktiven Art von Cybersicherheitsbewusstsein, ohne dass es eine schwere Arbeit ist. 

21:00 

Wir geben einen vierteljährlichen Newsletter heraus, und er kommt tatsächlich von unserem Polizeichef, dem Direktor für Sicherheit und mir. Auf diese Weise sprechen wir über das Ende des Quartals, hier ist das Ding, Cybersecurity Awareness Month. Also, wir werden Leckerbissen haben, hier sind die Ferienzeiten. Hier ist, wonach Sie suchen müssen. All das fassen wir in diesem kleinen Newsletter zusammen, der an unsere gesamte Community geht. 

21:25 

Ja, das ist toll. 

21:26 

Eine Frage kam auch in "Hat Spring Branch MFA?" 

21:36 

Ja. Es ist also eine großartige Frage. Ich bin also seit drei Jahren bei Spring Branch. Ich wollte MFA machen. Das erste Jahr, in dem ich angefangen habe. Aber ich habe sechs Monate lang nur eine Gap-Analyse gemacht. Die Art und Weise, wie wir bei Spring Branch alles aus der Perspektive des Änderungsmanagements tun, nennen wir New-November-Initiative. 

21:53 

Also werden wir im November vor die Geschäftsleitung gehen und sagen: „Hier sind die neuen Änderungen, die wir im nächsten Schuljahr einführen wollen“, damit wir ihre Zustimmung, ihr Feedback und ihre Bedenken erhalten. Und wenn sie es genehmigen, werden wir im Dezember ein Administrator-Meeting abhalten, an dem alle Administratoren des Distrikts beteiligt sind. Und dann sprechen wir als jede Abteilung darüber, was sich im nächsten Jahr ändert. Da bin ich also voll angekommen. Also führen wir MFA im nächsten Schuljahr für alle Mitarbeiter auf breiter Front ein. Und so werde ich tatsächlich in ein paar Wochen in die Führungsebene wechseln. Sie wissen bereits, dass es kommt. Weil wir alle wissen, dass eine Cybersicherheitsversicherung es jetzt erfordert, alle Mechanismen, die es gibt. Sie müssen also herausfinden, was es für Sie bedeutet, wie es aussieht, was für Ihre Organisation sinnvoll ist. Denn es gibt unterschiedliche Herangehensweisen an verschiedene Schulen, die es unterschiedlich gemacht haben. 

Es ist auch Wahrnehmung, denn viele Leute werden auf ihrer Website sagen: „Ich kann nicht und ich will keinen doppelten Faktor“. 

22:54 

90% der Menschen auf dieser Welt haben ein Smartphone, sie tun es bereits. Wir haben also diese falsche Bezeichnung in der falschen Wahrnehmung von oh, das ist zu schwierig. Wenn Sie Online-Banking betreiben, haben Sie es geschafft. Aber ich denke, ich muss nur sicherstellen, dass die Leute wissen, was das eigentlich ist. Sie sagen, MFA, Multifaktor, sagen Sie ihnen einfach, was das eigentlich bedeutet. Nur ein normaler Begriff. Ja, und es ändert sich die ganze Zeit über alles, was wir verwenden, was wir mit unseren Bankkonten machen ... 

23:23 

 es ist also nicht anders als die Erwartung, es für Ihre Schule zu tun. 

23:30 

Mir gefällt, wie Troy das gesagt hat. Art, den Leuten zu helfen, die Verbindung herzustellen. 

23:35 

Ich bringe den Menschen immer gerne bei, in ihrem Privatleben sicher zu sein und zu verstehen, warum ihnen das wichtig ist, weil ich das Gefühl habe, dass sie im Büro bereit sind, dieselben Gewohnheiten zu tragen. Und Sie können Ihr Hulu-Konto heutzutage ohne MFA kaum aktualisieren, und Sie können sicherlich nicht auf Ihr Bankkonto zugreifen, und es muss kein schrecklich komplizierter Prozess sein. Es muss nur ein Prozess sein, der auf den richtigen Systemen und Dingen implementiert wird, sodass Sie einfach diese zusätzliche Sicherheitsebene hinzufügen, damit jemand nicht auf diese kritischen Daten zugreifen kann, auf die Sie keinen Zugriff haben möchten. 

24:12 

Ja, OK, eine andere Frage, ich bringe uns hier weiter, aber Sie können in der Zeit zurückspringen. OK, hier geht es also um Schutzschichten. 

24:22 

Ist eine Firewall wirksam genug als Schutz? Oder brauchen wir weiteren Schutz? 

24:30 

Weiter, viel, viel weiter. Ich meine, und das ist eigentlich eine, die Roadmap: Wohin gehst du, und das bedeutet eigentlich, Tools zu haben, die sich integrieren, wie arbeiten sie zusammen? Weil es mehr gibt, gibt es so viele Tools da draußen. Die Firewall ist nur die Basis. Ich meine, es macht viel. Und vor allem Nixon-Firewalls, solange Sie diese bündeln, haben Sie am Ende die Firewall gekauft und nicht nur die Grundlagen, aber das ist nur Identitätsmanagement. 

24:57 

Wie definiert man Identität? Berechtigungszugriffsverwaltung ist jetzt da draußen, welche Mechanismen sind vorhanden, EDRs dann das nächste, was jeder Benutzeranforderung haben muss. Endpoint Protection, Authentifizierung, Sichtbarkeit. 

25:14 

Schwachstellen – sind Sie sich all Ihrer Schwachstellen bewusst? Gibt es Tools, mit denen Sie erkennen können, was tatsächlich vorhanden ist? 

25:19 

Patchen – Wie patchen Sie im Netzwerk, außerhalb des Netzwerks? 

25:23 

Es gibt so viele Mechanismen da draußen, aber zuerst muss mit der Strategie-Roadmap begonnen werden. Wohin willst du gehen? Wie kommt man dahin, was ist da draußen und was ist verfügbar, Next, toll, Partner und Tools, das ist nur eins, Backups auch. Aber die Firewall ist nur der Anfang der Dinge. 

25:39 

Schichten ist hier der Schlüssel. Und ich glaube, es ist schwierig, etwas zu sichern, was man nicht sehen kann, und Sie könnten hin und wieder Glück haben und über etwas stolpern und dann herausfinden, wie Sie es sichern können. Aber wenn Sie nicht wissen, was in Ihrem Netzwerk läuft, ist es wirklich schwierig, es zu sichern. 

25:55 

Und ich denke, das ist eines der Dinge, die CatchOn Analytics von Lightspeed anspricht, versucht, diese Sichtbarkeit zu schaffen, diese Apps sichtbar zu machen und den Leuten zu helfen, sogar zu wissen, was im Netzwerk läuft und was dort vor sich geht. 

26:09 

Und die Möglichkeit, sich diese Sicherheitsrichtlinien und Datenschutzrichtlinien anzusehen, hat ein gewisses Maß an Vertrauen, wenn dies den Anforderungen des Distrikts Lightspeed Filter entspricht, fügt auch eine Schutzebene hinzu, da es die Malware-Websites und andere Websites blockiert, die Studenten und Mitarbeiter möglicherweise haben in etwas hineinstolpern. Und je nachdem, wie Sie es eingerichtet haben und wofür Sie es konfiguriert haben. Es könnte Command-and-Control-Websites daran hindern, tatsächlich mit ihnen zu kommunizieren, falls dort Ransomware-Angriffe stattfinden sollten. Also, ich denke, jeder Sicherheitsmitarbeiter würde Ihnen sagen, es geht um Schichten, und ich denke, von den sehr großen Schulen bis zu den sehr kleinen Schulen, es geht wirklich darum, zu verstehen, welche dieser Schichten ihnen den größten Knall für ihr Geld geben und welche sie umsetzen können. Und schaffen es tatsächlich in ihrer, in ihrer Umgebung, ihnen den besten Schutz zu bieten. 

27:02 

Ja. Und ich füge hinzu, Sie müssen alle Ihre Vermögenswerte kennen. 

27:06 

Und ich meine, alle Ihre Vermögenswerte, und das ist nicht nur Hardware, sammeln Sie alle Ihre Vermögenswerte. 

27:11 

Und Sie sagten, es ist Schicht für Schicht, und dann, wie minimieren Sie das Risiko? Weil es nicht so ist, wann und dann zurück, kann ich wiederherstellen? Kann ich wissen? Wie schnell kann ich zurückkommen? 

27:23 

Also, ich meine, all das sind Faktoren, ja. Sie haben alles auf einer Ebene und, wie Sie möchten, den Zugriff mit den geringsten Rechten. Sie müssen sich alles ansehen, was da draußen ist. Und dann sagte ich, man muss sich auf Organisationen und Philosophien beziehen, aber es muss mit Führung und diesen Gesprächen beginnen. Denn es wird noch viel Geld kosten. 

27:45 

Groß. Also, ein paar weitere Fragen kommen herein, aber es gibt eine, die ich Sie bitten wollte, auf diese zusätzliche Frage zu antworten. 

27:59 

Es bewegt sich von der Art und Weise, wie Sie sich schützen, zu dem, was passiert, wenn es zu einem Vorfall kommt, und Sie haben natürlich die Reaktion auf Vorfälle erwähnt, aber unseren Untersuchungen zufolge beträgt die durchschnittliche Ausfallzeit für ein Schulnetzwerk nach einem Cyberangriff vier Tage mit einem weitere durchschnittlich 30 Tage bis zur vollständigen Genesung. 

28:19 

Das ist also eine Menge, und das ist eine Menge IT-Ressourcen, Zeit und Kopfschmerzen. Ich bin sicher. 

28:26 

Ich kann es mir gut vorstellen, aber was sollten Sie tun, wenn Sie Opfer eines Cyberangriffs werden, und welche Sofortmaßnahmen würden Sie innerhalb der ersten 24 Stunden ergreifen? 

28:41 

Dies geht auf den ersten Incident Response Plan zurück. 

28:43 

Sie müssten sicherstellen, dass es tatsächlich funktioniert, und Sie können es ausführen. Und wenn Sie nicht testen, wissen Sie es nicht, denn Kommunikation wird an erster Stelle stehen. Was wird extern und intern kommuniziert. Da gibt es einen großen Unterschied, und dann gibt es Unmengen an Ressourcen, die bereit sind zu helfen. Bundesstaat Texas, sie haben ein freiwilliges Team zur Reaktion auf Vorfälle. Sie haben Partnerschaften. Sie müssen im Voraus wissen, wer diese Leute sind. Und dann dieser Plan, das sollten Sie eigentlich alles dokumentiert haben. Weil es bestimmte Schritte gibt und bestimmte Leute, die Sie sofort anrufen möchten. 

29:14 

Scheuen Sie sich nicht zu fragen, die Leute sind bereit einzuspringen und zu helfen, wir stecken alle zusammen drin, ich habe vor Jahren einen Bruch in meiner Karriere durchgemacht. Es geht um Ressourcen und um Gesundheit. Ist es teuer? 100%. Und man stellt mal wieder her und weißt wieder voll funktionsfähig je nachdem wie schlimm es ist. Zurück zu: Wenn Sie Ebenen und Tools haben, können Sie in diesem Plan diese Erwartungen an die Organisation kennen und festlegen. Von den geschäftlichen Anforderungen und verstehe eigentlich, was das bedeutet. Es wird nicht normal sein, selbst wenn es passiert und Sie es wiederherstellen. Danach ist es nie normal, nachdem dies passiert ist. In unserer Welt gibt es kein Normal. 

29:52 

Wie auch immer, ja. 

29:56 

Sie sind nicht allein, und es gibt all diese Ressourcen. Denken Sie nicht, dass Sie alles alleine machen müssen. Tut mir leid, mach schon, John. 

Ich denke, Troy ist hier, es gibt eine Menge Ressourcen. CISA hat das Cybersicherheits-Framework, das Ihnen eine nette Art von Layout gibt, wie man das durchgeht. 

30:15 

Ich denke, einer der Schlüssel ist, sich zumindest im Voraus vorzubereiten, zu wissen, wen Sie anrufen werden, was, wie ist die Nummer Ihres Versicherungsträgers und wen rufen Sie an? Was, wie lautet die FBI-Nummer, falls Sie sie reinbringen müssen, und wer ist Ihr FBI-Ansprechpartner? Und das alles an einem Ort, damit Sie, wenn Sie sich mitten in einer Verletzung befinden, nicht herumjagen und versuchen, das herauszufinden, Sie haben es. Und ich denke, die grundlegenden Schritte werden sein: Sobald Sie feststellen, dass Sie einen Verstoß haben, wollen Sie ihn eindämmen, Sie wollen ihn entschärfen. Sie wollen, tun, Sie wollen verhindern, dass es sich ausbreitet. Und sobald Sie die Ausbreitung gestoppt haben, entscheidet es wirklich, was die nächsten Schritte sind und wie hoch der Schaden ist. Und weißt du was, wie sieht Erholung aus? 

30:51 

Und zu Troys Punkt, nachdem er das im Voraus durchdacht und geübt hat, trainiert er irgendwie diese Muskeln. das ist eine sehr stressige Situation. Sie sitzen nicht herum und gehen entspannt Ihren Incident-Response-Plan durch. Ich meine, wenn es an die Öffentlichkeit kommt, hoffen Sie, dass es nicht so ist, aber wenn es an die Öffentlichkeit gelangt ist, klingeln alle Telefone ununterbrochen. Es ist extrem viel Stress, und das ist nicht der richtige Zeitpunkt, um herauszufinden, wer die Telefonnummer ist, die Sie anrufen müssen. 

31:28 

Nehmen Sie sich also ein wenig Zeit und fangen Sie klein an. Beginnen Sie mit einem Incident-Response-Plan. Das hat 2 oder 3 Dinge darauf, und dann iteriere darüber und iteriere darüber und iteriere darüber. Und werden Sie mit der Zeit besser darin, während Sie es durchüben. Es ist wirklich wichtig. 

31:46 

Ich habe festgestellt, sogar auf meiner eigenen Reise durch dies. 

31:49 

Manchmal, wenn Sie auf ein leeres Blatt Papier starren und denken, ich muss einen Incident-Response-Plan erstellen, fühlen Sie sich überwältigt, denn wenn Sie im Internet gesucht haben, gibt es 40-seitige Incident-Response-Pläne. Aber ich denke, fang klein an. Verwenden Sie einige der dortigen Ressourcen, sagte Troy, und stützen Sie sich wirklich auf Ihre Kollegen und bitten Sie sie um Rat und Vorschläge. 

32:09 

Und das Tolle an K 12-Ausbildung ist, dass jeder gerne teilt, und es ist ein wunderbarer Ort, an dem man sich aufhalten kann. 

32:16 

Ja, fragen Sie zum Beispiel Ihren Nachbarbezirk, arbeiten Sie gemeinsam an diesen Richtlinien, an diesem Plan, machen Sie die Übungen zusammen, auf diese Weise haben Sie diese Bindung und Sie haben irgendwie ein gutes Verständnis für die Umgebung des anderen, wir sind alle hier aus dem gleichen Grund, die Kinder. Exakt. 

32:37 

OK, also ist eine weitere Frage für Sie hereingekommen, Troy, und es geht um Apps, die nicht zur Überprüfung an die IT gesendet werden. 

32:44 

Ich schätze also, das wären Bildungs-Apps oder potenziell administrative Apps, die Sie vielleicht in diesem System landen? Wir nennen sie manchmal Schurken-Apps, was tun Sie? 

32:57 

Nun, zum größten Teil mit CatchOn, Lightspeed Analytics, für uns die ganze Schatten-IT, die Schurken-Apps. Jetzt haben wir Sichtbarkeit für sie. Also, unsere Richtlinie, wenn sie nicht durch unseren Genehmigungsprozess überprüft wurden, blockieren wir sie jetzt tatsächlich. Aber das ist zuerst viel Gespräch mit der Führung. Und Ausrichtung auf Akademiker. Denn vielleicht entdecken Sie eine wirklich gute App, die nicht zugelassen ist. Okay, lassen Sie es uns genehmigen lassen, denn eigentlich müssen wir es verwenden, weil es einen Wert hat. Dieser Aspekt der Kommunikation und die Abstimmung zwischen Wissenschaft und Technologie. Aber wir verfolgen aus vielen Gründen einen Blockansatz, um die Organisation zu schützen. Nicht, und nicht nur aus der Cyber-Perspektive, seine Governance, Politik, Datenschutz, Datenbedenken. Aber Sie müssen die Unterstützung der Führung haben, um das zuerst tun zu können. 

33:47 

Ja, das ist eigentlich ein wirklich guter Punkt in Bezug auf die Unterstützung von Führungskräften und viele Gespräche, um zu diesem Punkt zu gelangen, aber die Sichtbarkeit aller Apps und Tools zu haben, die im gesamten Distrikt verwendet werden, ist wahrscheinlich der erste Schritt, wenn Sie es nicht haben . 

34:04 

Wie kommst du darauf. 

34:06 

Ja, ja, muss zuerst die Sichtbarkeit haben. Und dann kann man sich unterhalten. Oder führen Sie die Gespräche von, wir haben die Sichtbarkeit hinzugefügt, hier sind die Gründe, warum wir diese Sichtbarkeit brauchen. Und, sagte ich, das hat eine Kostenperspektive. 

34:20 

Aus finanzieller Sicht sind die Duplizierung der Anpassung, Bedenken in Bezug auf Datenschutz, Governance und dann Cyber Ihre ersten Gesprächsstarter. 

34:29 

Wenn Sie diese Richtung beginnen und dann herausfinden, wie Sie lösen, wusste ich nicht. Wie identifizieren Sie sich? Was muss ich tun, um diese Dinge entdecken zu können? 

34:38 

Ich möchte dem Publikum nur sagen, wir haben versucht, nur etwa 45 Minuten Ihrer Zeit für diese Webinare in Anspruch zu nehmen, also möchten wir, dass Ihre Fragen beantwortet werden Brennen und Sie möchten wirklich einige Insider-Ressourcen, geben Sie diese bitte jetzt ein. 

34:58 

Wir haben die ganze Zeit über Fragen beantwortet, also kommen wir jetzt hoffentlich zu einigen davon. 

35:04 

Einer, Troy, kam auch etwas früher. 

35:07 

Und das war wahrscheinlich relevant für Ihre vorherige Antwort, aber es ging darum, wie oft drehen oder drehen Sie Ihre Tickets, KGBT? 

35:22 

Es ist also eine großartige Frage, aber ich werde sie nicht öffentlich beantworten. 

35:32 

Wenn sie sich direkt an sie wenden möchten, können wir einige der Richtlinien und Dinge besprechen, die wir intern tun. 

35:39 

Das ist eine große Sache, aber ja. Es gibt bestimmte Dinge, die ich nicht öffentlich sagen werde. 

35:46 

Groß. Das ist ein kluger Schachzug. 

35:49 

Ja, nur mache ich auf Konferenzen keine QR-Codes. 

35:54 

Ich weiß, dass wir auf verschiedene Weise darüber gesprochen haben, aber das eine oder andere, eine der anderen Fragen, die wir hatten, wir haben über technische Lösungen gesprochen, aber wir haben tatsächlich einige davon behandelt Dies. 

36:07 

Aber gibt es andere Schutzmaßnahmen, die Distrikte implementieren können, um ihre Systeme zu schützen, und vielleicht geht es darum, einige Dinge nicht öffentlich zu teilen? 

36:18 

Ja. Ich meine, sagen wir, intern. Wir sollten auf jeden Fall teilen. 

36:23 

Ja. Denn, ich meine, zurück zu, wir sollten mit unseren benachbarten Schulbezirken teilen, was wir tun. Weil wir uns im selben Kampf befinden und voneinander lernen können. Da ist also dieser Teil davon. Ich meine, es geht zurück zu, was ist Ihre Roadmap? Wohin willst du gehen. Denn Zero Trust ist unser nächstes Ding. Und wie kommen wir dorthin? 

36:39 

 Wir haben einige Tools für uns bereit. Seine Anfälligkeit, wie wir unsere Systeme patchen, war gewissenhaft, aber wir müssen feststellen, dass wir interne Tools bekommen haben und dabei helfen, alle Schwachstellen zu identifizieren. Und dann zurück zu John erwähnt, Cyber Hygiene hat kostenlose Dienste, wir bekommen ihren wöchentlichen Bericht über unsere externen IP-Scans, wir machen ihre NDBR. Also, es ist ein offener Block, beobachten Sie Systemanfragen, obwohl wir unseren internen Tool-Assistenten haben; zurück die Schichten. 

37:08 

Also, es gibt erste kostenlose Ressourcen, weißt du, es gibt so viele Tools da draußen, es ist nur, was ist deine Priorität? Niedrig hängende Früchte im Vergleich zu den komplexen technischen Dingen und dem Weg dorthin. Mit denen musst du anfangen. Denn sonst könnten Sie versuchen, ein Problem zu lösen und ein anderes Problem verursachen. 

37:29 

Ich denke auch, dass mehrere Staaten tatsächlich Anforderungen haben. Distrikte müssen alle ihre Anbieter in ihren Apps auf ihren Websites veröffentlichen. Das ist eine Goldgrube für die schlechten Schauspieler. Weil sie genau wissen, was Sie verwenden, und das ist ein schwieriger Ort, verstehe ich, warum die Gesetze so sind, wie sie sind. Wir möchten unseren Eltern auf jeden Fall diese Sichtbarkeit geben. 

37:50 

Teilen Sie also so viele Informationen, wie Sie teilen müssen, um gesetzeskonform zu bleiben, aber auch zu verstehen, welche Informationen Sie möglicherweise dort ablegen könnten, die in den Händen der falschen Personen sehr schädlich sein können, und dann diese Nachricht auf dieser Website zu erstellen . 

38:07 

Es informiert also die Community so, wie sie informiert werden muss, gibt aber nicht mehr Informationen preis, als Sie preisgeben müssen. 

38:21 

Noch etwas ganz schnell herum, und es ist kein Werkzeug, es sind Menschen. Investieren Sie in die Schulung Ihrer Mitarbeiter, bringen Sie alle an einen Tisch, alle sind beteiligt. 

38:30 

Holen Sie dort Schüler mit ein, die Kinder, die Interesse wecken, Kinder denken anders als wir. 

38:35 

Praktikumsprogramme, profitieren Sie von ihrer Intelligenz. Weil sie sagen, definitiv, dass wir als Erwachsene sie zu Ihrem Vorteil nutzen. Erstellen Sie diese, diese Pipeline interner Talente. Geben Sie ihnen ihre nächste, Sie, wissen Sie, Gelegenheit, geben Sie den Menschen die Chance zu lernen, und was ich meinem Team immer sage, meine Aufgabe ist es, zu ermöglichen, zu befähigen und aus dem Weg zu gehen. 

38:58 

Ich liebe es. 

39:00 

Ja. Das ist großartig. Ich werde jeden von Ihnen um eine Ihrer Lieblingsressourcen bitten. Aus Sicht der Cybersicherheit. Es könnte eine Konferenz sein, an der Sie teilnehmen. Es könnte eine Website oder ein Framework sein, das Sie dem Publikum empfehlen. 

39:26 

Ich meine, ich verbringe den größten Teil meiner Nacht und Wochenenden damit, LinkedIn-Artikel zu lesen, weil es da draußen ein riesiges Netzwerk an Ressourcen gibt. 

39:36 

Ich meine, nur lesen und hören, es gibt jede Menge Abonnements. MISAC. Sie müssen diese einfachen Materialien abonnieren, Referenzmaterial, Konferenzen, wir werden nächstes Jahr als Gruppe dorthin gehen. 

39:49 

Es gibt einige Dinge über diesen Teil, aber es ist auch was lokales? Veranstalten Sie Ihre eigene Veranstaltung. Arbeiten Sie mit den Schulen und internen Lernmöglichkeiten zusammen, aber ich habe keinen Top-Favoriten, ich bin einfach jede Ressource oder Information, die es da draußen gibt, die ich finden und lesen kann. Ich verbringe viel Zeit. 

40:07 

Ja. 

40:08 

Ich denke, eine großartige Wahl, LinkedIn, ist diese fabelhafte Ressource. Es ist einfach, den Cybersicherheitsgruppen beizutreten, die am besten zu dem passen, was Sie wollen, und dann schieben sie Ihnen Informationen zu, und Sie können diese regelmäßig abrufen und dann verwenden, um woanders hinzugehen. Ich denke, wenn jemand seine Reise beginnt, sind meine Lieblingsressourcen wahrscheinlich CISA und die Cybersecurity and Privacy Frameworks. 

40:35 

Weil dies eine große Gemeinschaft ist, die zusammengekommen ist und versucht, einen Plan aufzustellen, dem fast jede Organisation folgen kann, und der eine Art Fahrplan darstellt, wo man anfangen und wie man ihn durchgehen soll. Also, für jeden, der neu ist, empfehle ich dringend, sich CISA anzusehen. Sie leisten auch hervorragende Arbeit, um Schwachstellen und Patches auf dem neuesten Stand zu halten. 

41:03 

Groß. Vielen Dank. dass die gut waren. Das sind gute Quellen. Und Troy hat da, Sie müssen sich das vielleicht noch einmal anhören. Aber es ist eine letzte Frage, und ich werde sagen, wenn es irgendwelche letzten Fragen gibt, geben Sie sie einfach ein. Aber vielen Dank für diejenigen von Ihnen, die heute eine Reihe von Fragen gestellt haben. Es war großartig. 

41:25 

Aber haben Sie irgendwelche Vorhersagen zu Trends, zur Cybersicherheit für die Bildung? 

41:30 

Alles, was Sie in den nächsten Jahren in der Zukunft sehen, oder Dinge, von denen Sie gehört haben, dass Sie anfangen, darüber nachzudenken. 

Das Cybersicherheitsgesetz hat Biden erst kürzlich auf Bundesebene verabschiedet. Und es macht die staatliche Ebene, dann machen sie die Schulbezirksebene. 

41:53 

Sie wissen natürlich, dass diese Dinge kommen, wenn sie bei uns veraltet sind, aber ich meine, das ganze Datenschutzzeug, Staaten sind leidenschaftlich. Die gesamte DSGVO, sie kommt, also wie kommen Sie ihr einen Schritt voraus? Man muss sich diese Dinge ansehen, das sind Trends, die kommen. 

42:10 

Und es ist, Privatsphäre, Privatsphäre, Privatsphäre. Das ist immer ein sich entwickelndes Ziel, aber, sagte ich. Und was macht dann dein Staat? Da Sie nicht wissen, was der Staat tut, müssen Sie sich mit ihnen in Verbindung setzen und diese Interaktionen haben. Aber die gesamte DSGVO, die für die USA relevant ist, ist auf dem Weg. 

42:26 

Und dann, das obligatorische Werkzeug all dieser Teile, hängt davon ab, welche Organisation und Einheit auf Regierungsebene beteiligt ist. Wie schlecht es geht. 

42:35 

Warten Sie also nicht darauf, dass sie Dinge tun, Sie müssen nur selbst innovativ sein, was für Ihren Distrikt am besten ist. 

42:42 

Ja, großartig. John, gibt es noch etwas Letztes hinzuzufügen? 

42:47 

Damit die Leute hier über Sicherheit nachdenken, möchte ich den Leuten nur eins zum Nachdenken überlassen: Wir haben dieses Bild des schwarzen Kapuzenpullovers, der das Gesicht nicht wirklich sehen kann, wie er hinter einem Computer sitzt und hackt. Und während das ein gutes Bild ist und sich wirklich gut auf ein T-Shirt drucken lässt, ist die Realität heute, dass sich Cyberkriminelle sehr effizient organisiert haben. Und sie haben einen Level-1-Support, der versucht, die Ressourcen zu bekommen, und dann eskalieren sie es zu einem Level-2, der mehr Fähigkeiten hat, um zum nächsten Level zu gelangen. Und dann eskalieren sie zu einem Level drei, der wirklich weiß, wie man an Dinge herankommt und in sie einbricht. 

43:26 

Ich denke also, der Schlüssel hier ist, dass die Leute erkennen, dass Cyberangriffe auf Schulen in den nächsten Jahren wahrscheinlich exponentiell zunehmen werden, nur weil sie wertvolle Ziele sind und sie sich wirklich organisiert haben ausnutzen. 

43:49 

Absolut. 

43:50 

Alle, also, arbeiten Sie weiter, arbeiten Sie weiter an einem besseren Cybersicherheitsprofil. 

43:56 

OK, nun, wir werden hier enden, Troy und John, vielen Dank für Ihre Zeit heute, wir wissen das zu schätzen. Und an die Zuschauer, vielen Dank, dass Sie sich uns angeschlossen haben. 

44:08 

Wir bei Lightspeed Systems haben Möglichkeiten, wie Sie helfen können, dass wir Sie auf diesem Weg unterstützen können, und wir würden uns freuen, wenn Sie an der anschließend erscheinenden Umfrage teilnehmen würden. Sie erhalten auch eine Aufzeichnung davon, sodass Sie dies mit anderen in Ihren Teams teilen können, wenn Sie es wertvoll fanden. Außerdem würde ich sagen, dass Sie gerne unseren Leitfaden zur Cybersicherheit herunterladen können. Es ist eine wirklich gute exemplarische Vorgehensweise für die verschiedenen Verteidigungsebenen und Dinge, die man sich ansehen sollte. Aber noch einmal vielen Dank für Ihre Zeit und einen schönen, großartigen Tag.