Harvey Ewing: Cuando dices que la seguridad es un deporte de equipo, das en el clavo. Esto es algo en lo que tenemos que dar en el clavo con nuestros operadores, nuestros médicos, las personas que apoyan el proceso, delante, medio y atrás, además de nuestros tecnólogos. Nos enfocamos en todo ese espectro. No creo que haya una mejor manera de decirlo hoy en día en el sentido de que tiene que ser un deporte de equipo porque, como bien sabes, el perímetro esencialmente ha desaparecido en la época actual. Tenemos que centrarnos desde un aspecto humano hasta el nivel más bajo de la pila tecnológica que tenemos.
Locutor 1: Hola y bienvenidos a Security Visionaries. Trabajar en el sector de la salud tiene muchos desafíos, pero el paciente Datos es una prioridad absoluta. Desde médicos hasta operadores y técnicos, ese Datos tiene que permanecer seguro y privado. Harvey Ewing, Director de Información de R1 RCM, se asegura de que todos en su Organización actúen como un cortafuegos humano. Harvey tiene más de 25 años de experiencia en ciberseguridad y gobernanza, riesgo y cumplimiento. En R1 RCM, es responsable de la seguridad, la entrega y la mejora de la tecnología empresarial. El podcast Security Visionaries está impulsado por el equipo de Netskope. En Netskope, estamos redefiniendo la seguridad en la nube, los datos y la red con una plataforma que proporciona acceso optimizado y seguridad de confianza cero para las personas, el dispositivo y los datos dondequiera que vayan. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar listos para lo que sea en su viaje descarado, visite N-E-T-S-K-O-P-E.com. Disfrute de esta entrevista entre Harvey Ewing y su anfitrión Mike Anderson.
Mike Anderson: Bienvenidos al episodio de hoy de Security Visionaries. Soy su anfitrión Mike Anderson. Soy nuestro Director Digital y de Información en Netskope. Hoy nos acompaña Harvey Ewing y Harvey tiene una historia increíble porque comenzó su carrera como líder de seguridad, hasta el final y luego se convirtió en CIO. Entonces, mientras hablamos de nuestro tema, la seguridad como deporte de equipo, siento que Harvey sería el mejor invitado para hablar con nosotros sobre ese viaje. Entonces, Harvey, ¿cómo estás? Cuéntenos un poco sobre su experiencia y ese viaje y ese giro de CISO a CIO.
Harvey Ewing: Absolutamente. Lo estoy haciendo bien, Mike. Es genial estar aquí. Gracias por invitarme. Una historia muy interesante. De hecho, comencé hace muchos años en el lado comercial de las cosas, así que en realidad tengo un título en negocios. Eso se convirtió muy rápidamente a mediados de los noventa en la seguridad de la información, que ha sido algo que me apasiona hasta el día de hoy. En mi último puesto en MoneyGram International, en realidad me contrataron como director de seguridad de la información allí. Aproximadamente ocho meses después de mi mandato, mi jefa en ese momento, Camilla Chittle, se acercó a mí y me dijo: "Oye, nos gustaría moverte al rol de CIO, que creo que es una excelente oportunidad para unir a los equipos". Al principio era un poco reticente y pensé que este era un cambio significativo. Sin embargo, una cosa que se me quedó grabada en la mente fue que puedo reunir a un par de grupos de tecnólogos que tradicionalmente no funcionan bien juntos. Ese fue realmente el motivo por el que asumí el cargo de CIO de MoneyGram. También mantuve el rol de CISO al mismo tiempo, lo cual fue una experiencia única. Obviamente, hacer dos trabajos por el precio de uno fue genial para MoneyGram, pero también beneficioso para mí.
Mike Anderson: Eso es genial. Ahora ha pasado a R1, por lo que dejó el espacio de servicios financieros. Sé que pasaste tiempo en energía y en varios sectores. Mucha de nuestra gente escucha, tal vez no esté familiarizado con R1, así que tal vez nos dé una historia sobre R1, el negocio en el que se encuentra hoy. Nos sumergiremos más en el deporte de equipo.
Harvey Ewing: Sí, absolutamente. Así que tienes razón, gran transición de los servicios financieros a la atención médica. R1 es una empresa de gestión del ciclo de ingresos y lo que eso significa es que R1 ayudará a la Organización de atención médica a optimizar la forma en que cuidan el flujo de ingresos para sus pacientes. Entonces, esencialmente, permitiremos que los proveedores de atención médica se concentren en lo que más les importa, sus pacientes y la atención que brindan. R1 ayudará con la admisión de pacientes, la gestión de los pacientes durante todo el proceso de pago y reclamos, hasta la atención posterior en algunos casos también. Así que también hemos adquirido recientemente una empresa que también se centrará en la inteligencia de ingresos. Entonces, R1, las entidades combinadas, realmente se enfocan en brindar la capacidad a los proveedores de atención médica para recibir un pago por los servicios que se han prestado, lo que a su vez les permite concentrarse en lo que más importa y eso es la atención médica en sus pacientes.
Mike Anderson: Entonces, si te escucho bien, cuando entro y pago mi factura médica, pongo mi tarjeta de crédito, en realidad eres tú quien procesa mi tarjeta de crédito y toma las cobros por ellos.
Harvey Ewing: Eso es exactamente correcto. Así que R1 ayuda de esa manera. Eso es correcto.
Mike Anderson: Eso es genial. Entonces, imagino que la seguridad será de suma importancia cuando se hable de atención médica y luego se reciba el pago de los pacientes que ingresan. Conozco a su CISO Cecil y tenemos muchas buenas conversaciones. Háblenos de la seguridad y del enfoque que tiene en eso al observar el negocio de R1 y cómo prioriza eso en relación con otras áreas de inversión que está haciendo como organización.
Harvey Ewing: Sí, esa es una gran pregunta y algo en lo que R1 está increíblemente enfocado. Teniendo en cuenta la cantidad de información a la que R1 tiene acceso en función de los servicios que brindamos a nuestros clientes, es cada pieza de información privada en la que pueda pensar, desde PII hasta información de salud privada e información de pago cuando se prestan servicios. Así que la seguridad es algo que está a la vanguardia, lo cual es una gran cosa. Hay una gran cantidad de apoyo en R01 para Cecil y el aspecto de seguridad cibernética. Obviamente, HIPAA es una parte muy importante de todo lo que hacemos. Tanto el rol de seguridad como el de privacidad impulsan gran parte de nuestra respuesta. Pero diré que es algo que no podemos hacer solos. Entonces, cuando dices que la seguridad es un deporte de equipo, das en el clavo. Esto es algo en lo que tenemos que dar en el clavo con nuestros operadores, nuestros médicos, las personas que apoyan el proceso, delante, medio y atrás, además de nuestros tecnólogos. Nos enfocamos en todo ese espectro y no creo que haya una mejor manera de decirlo hoy en día en el sentido de que tiene que ser un deporte de equipo porque, como bien saben, el perímetro esencialmente ha desaparecido en la época actual y tenemos que enfocarnos desde un aspecto humano hasta el nivel más bajo de la pila de tecnología que tenemos.
Mike Anderson: No, absolutamente. Mencionaste anteriormente que los equipos de seguridad y quizás los otros equipos con los que tienen que trabajar, puede haber un poco de fricción entre esos dos. Tienes a Cecil como dueño de la seguridad, tienes al equipo de infraestructura que posee gran parte de ese lado de la red y luego también a tus equipos de aplicaciones, obviamente, que tienen que ser parte integral de eso. ¿Cómo está ayudando a unir a esos equipos para asegurarse de que estén colaborando bien juntos para que pueda lograr algunos de los resultados seguros que está tratando de impulsar?
Harvey Ewing: Absolutamente, y esa es otra buena pregunta, Mike. El primer paso, al igual que MoneyGram, fue poner la infraestructura, la seguridad y la red adecuadas en la misma sala para asegurarnos de que estamos colaborando y compartiendo información y eliminar la emoción de muchas cosas que ocurren obviamente en la infraestructura tradicional y realmente asegurarnos de que esos equipos actúen como un equipo. Entonces, una de las cosas de las que hablo dentro de TI es realmente algo que llamo conflicto saludable. Lo que eso significa es impulsar ser lo mejor que podamos ser de una manera positiva. Quiero asegurarme de que todos en el equipo, sin importar en qué nivel de la Organización se encuentren, sepan que deben desafiar el status quo, asegurarse de que entiendan que su voz importa y hacerlo de una manera positiva, lo que a veces puede ser difícil. Todos los tecnólogos parecen querer pensar que son los mejores y más inteligentes de la sala, lo que no siempre es malo. Pero a veces tenemos que asegurarnos de que estamos haciendo esto de manera no emocional y la gente no está preocupada por alguien que desafía lo que ha hecho o cómo siempre lo hemos hecho. Creo que eso es algo bueno y odio la frase: "Bueno, así es como siempre lo hemos hecho" y desafiar esa frase es algo que está en la base de lo que hacemos. El otro aspecto que también mencionaste es reunir a los desarrolladores de aplicaciones. Mucha gente habla de girar a la izquierda, pero en realidad no está hablando de cambiar a la izquierda, en realidad es cambiar a la izquierda. Eso puede ser difícil porque a medida que avanzamos en el proceso de CICD, a medida que las personas se mueven hacia la nube, a medida que la infraestructura se vuelve menos desafiante en toda la Organización y ya no es un camino crítico, podemos enfocarnos en cómo realmente creamos código que sea seguro. Reunir a los desarrolladores de aplicaciones y a los ingenieros de seguridad de aplicaciones en el mismo equipo es algo en lo que también me he centrado. Incluso esos dos grupos informarán a diferentes personas. Hacer que colaboren, asegurarse de que estén trabajando juntos y, en lugar de que los ingenieros de seguridad de aplicaciones simplemente sean personas que encontrarán vulnerabilidades o problemas con el código y se lo devolverán al desarrollador para que diga: "Oye, tienes que arreglar esto", lo que puede ser difícil. Realmente se trata de asegurarse de que los ingenieros de seguridad de aplicaciones sean vistos como un socio. Así que contratar programadores y ponerlos en el equipo desde un aspecto de seguridad y luego proporcionar la solución a los desarrolladores. Así que realmente mueves esa iteración al lado izquierdo de la ecuación. Ahora, una vez que los desarrolladores saben que los ingenieros de seguridad de aplicaciones están allí para asociarse en la creación del código y la producción e implementación de un buen código juntos, se itera un poco más en el lado izquierdo, pero realmente se pisa el acelerador en el lado derecho. Una vez que el equipo se solidifique y entienda que no estamos allí para señalar con el dedo, no estamos allí para señalar que han hecho un mal trabajo. Estamos allí solo para solucionar el problema para que la empresa pueda estar segura de que estamos implementando el mejor código que podemos, las cosas parecen funcionar muy, muy bien. Por lo tanto, realmente es un enfoque combinado colaborativo y ambos equipos se esfuerzan por entregar el mejor código que podamos. Entonces, si juntas todos esos aspectos, Mike, y sé que es una respuesta muy larga a tu pregunta, pero realmente está desglosando el aspecto emocional de la misma. También está formulando ese equipo que sabe que realmente vamos a trabajar juntos para tener éxito internamente para que la empresa pueda tener éxito externamente.
Mike Anderson: Tengo un amigo llamado Matt LeMay que escribió un libro llamado Agile for Everybody y hablaba sobre romper los silos, y la gente se siente cómoda trabajando en el silo en el que se encuentra y muchas veces se concentra allí. A menos que alguien diga "tienes que levantar la cabeza y trabajar con otras personas", no obtienes la agilidad que realmente estás buscando. Así que es genial que estés conduciendo eso y parece que realmente obtuviste, lo que aprendí cuando dijiste que es realmente acelerar la velocidad de la rapidez con la que puedes sacar los lanzamientos. Porque tendría que imaginar que ha visto una reducción en la seguridad que impide que las cosas entren en producción porque se está incorporando por diseño en lugar de ser una puerta al final que a menudo envía las cosas de regreso, a veces al punto de partida para ser rediseñadas o rediseñadas.
Harvey Ewing: Eso es exactamente, Mike. Lo clavaste en unos cinco párrafos menos que yo. Pero esa es la intención y exactamente lo que queremos hacer, y tienes razón. En lugar de iterar e ir hasta el principio y tratar de obtener una velocidad dedicada para manejar las vulnerabilidades, cuando lo haces como parte del proceso de desarrollo, realmente te acelerará a medida que avanzas a través de las pruebas y en los entornos superiores y luego en la producción.
Mike Anderson: Tengo que imaginar que es interesante, porque tienes ambas perspectivas. Cuando hablo con los CISO, siempre hablan de, bueno, seguridad, es así, continuamente estás invirtiendo más dinero en ello y estás tratando de averiguar: "Está bien, ¿cuándo se nivela esto a un porcentaje que pueda predecir la opinión del CFO?", ¿verdad? Pero al mismo tiempo tienes el, creo que fue el CISO de McKesson dijo, estoy generando ingresos porque si no tenemos un buen programa de seguridad, no podemos ganar nuevos negocios porque la gente no nos confiará sus datos. Tengo que imaginar que eso tiene una gran jugada para ti. ¿Cómo has visto que se desarrolla eso? Porque pienso en el deporte de equipo, no es solo dentro de TI y seguridad, es que toda la Organización tiene esa mentalidad de seguridad porque alguien más te va a confiar sus Datos. Tienen que sentir que tienes al menos tan buenos controles de seguridad como ellos o incluso mejores.
Harvey Ewing: Sí, absolutamente. De nuevo, otro buen punto Mike, y es importante y nos traen al lado comercial y de ventas de esos equipos para abordar esas preguntas exactas. Obviamente, la información con la que estamos lidiando es el tipo de información más sensible que vamos a manejar para usted y quieren asegurarse de que la manejemos de manera adecuada y ciertamente puedo entender por qué. Entonces, lo importante es sentarse y asegurarles a los clientes que estamos haciendo lo correcto, estamos teniendo conversaciones difíciles sobre cómo estamos abordando los riesgos hoy. Estamos mirando hacia el horizonte estratégico. Nos aseguramos de evolucionar con las amenazas y los riesgos que existen. Creo que una vez que superemos ese obstáculo desde una perspectiva tecnológica, también es para asegurarnos de que los líderes empresariales con los que estamos trabajando se sientan cómodos con la forma en que abordamos sus datos, cómo controlamos sus datos, cómo monitoreamos el acceso a los datos, quién tiene acceso, cuándo tienen acceso, hacia dónde fluye. Todos estos son aspectos muy importantes y cuando podemos hacerlo, nos convertimos en una ventaja competitiva para el equipo de ventas. El equipo de seguridad puede entrar y asegurarse de que abordemos las preguntas que el cliente pueda tener y luego le hacemos saber a la empresa que somos un facilitador para el proceso general y que estamos combinando nuestros esfuerzos con los otros equipos dentro de la empresa y especialmente con los equipos de ventas para cumplir con lo que prometen y que podemos hacerlo de manera efectiva y asegurarnos de proteger los datos que están prometiendo. tienen que mantenerse protegidos para servir a sus clientes. Podemos acceder a esos Datos de manera adecuada. Podemos hacer nuestro trabajo para que puedan hacer mejor su trabajo y eso es cuidar a sus pacientes.
Mike Anderson: Eso es genial. Tengo que imaginar que cuando miras tu junta, ¿cómo estás manejando eso de regreso a la junta? Porque también son parte de ese deporte de equipo. Tienes que hacer que la junta esté de acuerdo con el nivel de riesgo que están dispuestos a aceptar. Si está hablando con sus compañeros, dada su experiencia como líder de seguridad y TI, ¿qué tipo de consejo le daría? A, ¿cómo manejas esa conversación en la junta? Luego, dos, ¿qué consejo le daría a un compañero cuando piensa en cómo aborda la seguridad y también en las preguntas que hará la junta? Esas son dos preguntas. Tal vez tome ambos en parte.
Harvey Ewing: Sí, absolutamente. Creo que es muy, muy importante. Cualquier tecnólogo que vaya a presentar a la junta tiene que hacer una cosa que es imperativa en mi opinión. Eso no es hablar jerga técnica, sino hablar un lenguaje comercial. Cuando se habla de riesgo, el riesgo es el factor clave. Todas las empresas del planeta asumen algún nivel de riesgo. R1 no es diferente. Por lo tanto, entrar y hablar con la junta directiva se trata más de cuál es el nivel de riesgo que la empresa está dispuesta a aceptar. Lo que puede ser importante desde mi perspectiva sobre el lado cibernético puede no ser tan importante para la junta en términos de hacia dónde vamos, cuánto riesgo están dispuestos a aceptar. Por lo tanto, realmente se trata de crear una ecuación simple que indique el nivel de riesgo que tenemos y podemos tener en un área en particular, comprender cuánto costará mitigar un nivel específico de riesgo al conducir a la cantidad de riesgo que la junta quiere asumir. No van a querer gastar un millón de dólares para reducir cien mil dólares de riesgo. Creo que una vez que haya tenido la oportunidad de armar ese algoritmo y realmente tener en cuenta los factores comerciales y presente una ecuación que le importará a la junta para permitirle tomar una decisión sobre: "Está bien, aquí está nuestro nivel cuantificable de riesgo, esto es lo que creemos que debemos gastar para mitigar ese nivel de riesgo para llegar a un nivel X de riesgo residual, " con las que están contentos o no. Si no están contentos con él y quieren mitigar más riesgos, es posible que le den más dinero. Pueden decir "No, queremos reducir ese riesgo". Genial. También pueden decir: "No, estamos dispuestos a aceptar riesgos en estas áreas en particular, por lo que queremos que gasten menos en Ahora y tal vez regresemos y abordemos niveles adicionales de riesgo con más dinero más adelante". Pero realmente se trata de desarrollar esa relación con los miembros de la junta. La junta directiva de R1 está muy decidida a comprender cuáles son los diversos niveles de riesgo cibernético, cómo los estamos abordando, cómo estamos evolucionando con ellos, qué significan realmente para el negocio. La marca y la reputación en este sector es muy, muy importante. Todos hemos tenido desafíos, incluido R1. Hemos abordado esos desafíos, hemos hecho pivotes, tenemos que volver atrás y reevaluar algunos de los riesgos que tenemos en función de los cambios en el panorama de amenazas y tener esas conversaciones y ser transparentes, no es necesario saber todas las respuestas a todas las preguntas. Está bien decir: "No, no sé, déjame traerte esa información". Pero es imperativo que no entres y abrumes a la gente con el viejo miedo, la incertidumbre y la duda. Se trata de entrar con información cuantificable basada en el riesgo que preocupa a la empresa o enumerar el riesgo que deben conocer de la manera adecuada y luego armar un enfoque pragmático para esto es lo que creemos que es el riesgo, esto es lo que creemos que será el costo para mitigar ese riesgo. ¿Es esto aceptable? ¿Estás dispuesto a aceptar más o menos riesgo? Cualquiera que sea esa respuesta, podemos adaptar nuestra solución en función de la cantidad de riesgo que la empresa esté dispuesta a aceptar y eso impulsa hacia dónde vamos a ir desde una perspectiva de inversión.
Mike Anderson: No, eso tiene mucho sentido. Dada esa perspectiva única, nuevamente en su Antecedentes, obviamente está muy involucrado en el tema de seguridad dentro de R1. ¿Crees que otros CIO y otros sectores deberían tener el mismo nivel de participación? ¿Qué consejo le darías a tus compañeros sobre el nivel de participación que deben tener y lo que deben hacer para ayudar a sus equipos a estar más seguros en su Organización y ser parte de ese deporte de equipo?
Harvey Ewing: Sí, es una pregunta realmente interesante que le haces a Mike porque creo que especialmente más CIO están obteniendo un asiento en la mesa, más CSO están obteniendo un asiento en la mesa y eso es realmente importante porque el éxito de la seguridad desde una perspectiva tecnológica siempre es de arriba hacia abajo. No es de abajo hacia arriba. Por lo tanto, debe comenzar a nivel de la junta para asegurarse de que tenga el apoyo que necesita. Los errores fatales que cometí al principio de mi carrera son simplemente ir con armas encendidas con tanta jerga técnica que la junta dice: "Realmente no entiendo lo que estamos tratando de resolver aquí". Así que creo que una de las mejores cosas que me ha ayudado es mirar realmente la tecnología y la seguridad a través de la lente de un miembro de la junta. ¿Cuál es su enfoque? Conocer a su audiencia, realmente digerir los problemas relacionados con la tecnología en una presentación comercial, algo que sea digerible, fácil de entender y, lo que es más importante, que tenga un impacto directo en el negocio. Eso es algo que me tomó un tiempo aprender, honestamente, al principio de mi carrera. Cuando lo haces desde la perspectiva de un tecnólogo, obtienes menos rendimiento de la junta. Te agradecerán tu presentación, es posible que no puedan asimilar realmente los Datos que estás presentando. Es importante entrar realmente y mirar estos desafíos particulares a través de la visión del negocio, presentarse a los miembros de la junta si no está en la junta. Pida tiempo con esos miembros de la junta si puede. Cuando tenga un asiento en la mesa, desarrolle esa relación con esos miembros de la junta. No espere hasta que ocurra la reunión de la junta para intentar definir su relación en esa breve presentación. Comuníquese con nosotros, establezca una cadencia recurrente de reuniones cortas con los miembros de la junta que son responsables de evaluar sus solicitudes y las inversiones en tecnología y seguridad que está realizando la empresa. Una vez que desarrolles esa relación, una vez que seas transparente y presentes información relevante para las decisiones que están tratando de tomar, te buscarán. En mi experiencia en el pasado, cuando lo hice, si no tenía un asiento directamente en la mesa, los miembros de la junta se comunicaban conmigo directamente fuera de esas reuniones para pedirme información y hablar sobre desafíos específicos. Una vez que se les da un asiento en la mesa y desarrollas esa relación y desarrollas esa confianza y tienes esa transparencia, lo valorarán enormemente. Hay todo tipo de cambios que están ocurriendo a nivel ejecutivo. El SCC está impulsando el hecho de que las juntas deben ser más conscientes de los problemas relacionados con la cibernética y que los miembros de la junta deben tener experiencia y conocimientos específicos en cibernética. Así que las oportunidades van a crecer. Creo que ahora es el momento de aprovecharlos y hacerlo de una manera pragmática que ayude al negocio y permita a los miembros de la junta tomar las decisiones que necesitan tomar con las que se sientan cómodos, sabiendo que están dirigiendo la empresa de la manera correcta que reduce su riesgo es imperativo para usted e increíblemente beneficioso para ellos.
Mike Anderson: Así que voy a pivotar por un segundo. Siempre están las ideas en el tablero y decir, quiero decir, eso es súper valioso. Entonces, como CIO, siempre sabes que hay áreas favoritas a las que te encanta ir que es como si fuera un tipo de aplicación de Background. Así que es como si siempre se sintiera atraído por el lado de la aplicación. Eres una persona de seguridad de Background, así que imagina que tiene muchas llamadas para ti. Así que, obviamente, la seguridad está ahí. Cuando piensas en tu pila tecnológica o en los lugares en los que te estás enfocando, ¿cuál es tu área en la que te encanta pasar el tiempo?
Harvey Ewing: Oh, Dios mío, otra gran pregunta y tienes razón. Me encanta volver a sumergirme cuando tengo la oportunidad de hacerlo. No es frecuente en estos días y el equipo da bastante miedo cuando lo hago y realmente tiene herramientas que brindan una buena visibilidad. La prevención no siempre es, será el objetivo. Sabemos que vamos a fallar, así que tenemos que tener herramientas que no solo puedan proteger al ser humano, obviamente esa es una gran área que está creciendo con el perímetro que se está rompiendo debido a tantos factores en la Organización. Pero debe tener herramientas que le brinden visibilidad para comprender y reaccionar a lo que está sucediendo. Si no tienes esa visibilidad, realmente no puedes abordar lo que no puedes ver. Así que son realmente las herramientas que han evolucionado a lo largo de los años a las que realmente vuelvo y me están dando esa capacidad profunda para incluso rastrear paquetes. A medida que las cosas evolucionan, Mike, realmente estoy aprovechando las herramientas que también me ayudarán a asimilar Datos. Hay tantos datos por ahí, herramientas que me permiten comprender cuáles son las anomalías que están ocurriendo. Entonces, si echamos un vistazo a algunas de las infracciones que están ocurriendo y si echamos un vistazo a la forma en que algunas de las amenazas están evolucionando, tenemos que saber cuándo los usuarios están haciendo cosas que están fuera de su comportamiento normal. Creo que es bastante interesante, de hecho, cuando lees algunos de los artículos y escuchas sobre la consternación que está ocurriendo con las empresas relacionadas con China que están comprando tierras agrícolas. Recientemente leí un artículo en el que una de estas compañías en particular colocó antenas 5G en esa tierra de cultivo porque estaba al lado o al alcance de algún otro gran proveedor. Si alguien es capaz de tomar esa información y realmente obtener incursiones en corporaciones para usuarios autorizados, ¿cómo sabemos que lo están haciendo? Realmente es tener la visibilidad y la capacidad de diseccionar lo que está sucediendo en su entorno y saber qué está fuera de lo normal. Esas herramientas que me dan esa habilidad son realmente las que me gusta echarle un vistazo. ¿Cómo armo todo el rompecabezas? ¿Qué busco? ¿Cómo determino cuándo alguien se hace pasar por un usuario avanzado en el entorno? Quiero decir, es simplemente fascinante. Hay tantas áreas diferentes por recorrer. Siempre hay algo que puedes encontrar y buscar que es algo que me apasiona y que he estado haciendo con varias herramientas a lo largo de toda mi carrera.
Mike Anderson: Esa visibilidad, ¿hacia dónde fluye el Datos? Hemos tenido esa pregunta mucho internamente debido a lo que está sucediendo en Rusia y Ucrania y en todo el entorno geopolítico actual. Es como, "¿A dónde van mis Datos? ¿Quién lo tiene? No quiero ir a los lugares equivocados". Entonces, eso es perfecto. Si miramos la pila tecnológica, obviamente parte del, cuando piensas en el proceso de negocio, muchas veces también es cómo reducir la fricción en el proceso. Porque cuanto más fricción se pone en la seguridad, si la seguridad no está instrumentada correctamente, impide que las personas hagan su trabajo y eso puede crear fricción en el proceso. ¿Cuáles son algunos ejemplos en los que está usando tecnología para reducir la fricción en su negocio, ya sea en seguridad o en un proceso comercial o aplicación que está construyendo? ¿Cuál es un ejemplo de eso de una reducción de la fricción en su negocio?
Harvey Ewing: Sí, también es una muy buena pregunta, Mike. Creo que esto realmente se ha acelerado debido a COVID y al trabajo remoto y al trabajo desde casa. Creo que COVID realmente ha cambiado el mundo. Así que creo que la reducción de la fricción es doble en este caso. Eso realmente permite a los usuarios trabajar de forma segura desde cualquier lugar. Ese es un gran beneficio para las empresas. Obviamente, retener el talento realmente se está moldeando por la forma en que brindamos la capacidad de trabajar a los usuarios. Por el contrario, se trata de asegurarse de que las empresas puedan confiar en el trabajo que se está realizando independientemente del dispositivo o independientemente de la ubicación. Eso es un desafío. Obviamente, esto es algo en lo que usted y su empresa se enfocan todos los días y es importante. Por lo tanto, proporcionar conectividad desde cualquier lugar de forma segura a los sistemas a los que necesita acceso las 24 horas del día, los 7 días de la semana, es realmente una de las formas en que estamos reduciendo esa fricción. Nuevamente, funciona en ambos lados de la ecuación para nuestros empleados y para la empresa. Creo firmemente que vamos a seguir necesitando poder hacer esto a medida que el perímetro continúe erosionándose. Encontramos talento en todo el mundo en muchos Caso. Cuando podamos proporcionar a los usuarios esa flexibilidad, van a ser más felices, van a ser más productivos, van a querer trabajar para la empresa, van a ser menos propensos a cambiar de empresa si están contentos y encuentran ese nivel de equilibrio, pudiendo trabajar desde cualquier lugar que esté aprobado, obviamente desde una perspectiva R1 en mi Caso. Pero también asegurarse de que están haciendo lo que deberían estar haciendo. Solo tienen acceso a los sistemas a los que deberían tener acceso y no pueden salirse de esos límites. Eso tiene que ser transparente. No podemos tener usuarios que estén pasando por un montón de obstáculos. La seguridad debe ser lo más transparente posible, siempre presente, pero no debe ser algo de lo que el usuario sea consciente en un mundo perfecto. Por lo tanto, cuanto más hagamos que la seguridad y el acceso sean transparentes, pero seguros, mejor lo haremos como equipo.
Mike Anderson: Eso es genial. Es interesante, me lleva de vuelta a un comentario que hiciste antes sobre las personas y una de las cosas que publicamos internamente que fue emocionante es que hicimos estas camisetas y dijimos: "Eres el cortafuegos humano" para nuestra gente. Creo que nosotros, es así que si miras a tu organización, también hablaste de capacitar a las personas a través de la seguridad antes, ¿verdad? TI como facilitador, la seguridad como habilitador, no como un obstáculo. ¿Cuáles son algunas de las cosas que está haciendo para activar a su gente dentro de R1 para que sean firewalls humanos para que su negocio sea habilitador? ¿Cuáles son algunos ejemplos de cómo lo está haciendo?
Harvey Ewing: Realmente nos estamos enfocando en ese cortafuegos humano y creo que esa es una excelente manera de decirlo. Los usuarios deben ser entrenados como cualquier otra persona, para buscar amenazas potenciales, para comprender que una parte significativa de los puntos de apoyo en Organización provienen de los ataques de Correo electrónico. ¿Por qué no debería hacer clic en ese enlace? ¿Qué debo buscar? ¿Por qué es esto importante para la empresa? Realmente se trata de involucrar a los usuarios de una manera positiva para comprender que están en la primera línea de la seguridad de la empresa y que realmente son un objetivo valioso para cualquiera que quiera atacar a R1 o a cualquier empresa para la que puedan estar trabajando. Me gusta involucrar a los usuarios tanto como sea posible y realmente asegurarme de que entiendan por qué estamos haciendo esto. ¿Por qué importa todo esto de la seguridad? ¿Qué tiene que ver realmente conmigo? Solo quiero hacer mi trabajo. Por lo tanto, no está presionando a los usuarios para que entrenen mucho al mismo tiempo. En mi opinión, es más un método ligero que funciona mejor. Cuando lo entregamos a los usuarios, haciéndolo de una manera atractiva, me gusta brindar capacitación en concientización sobre seguridad a través de la comedia. Hay muchas herramientas en las que puedes hacer eso y creo que realmente llega a casa. Si podemos burlarnos un poco de nosotros mismos mientras lo hacemos y la gente entiende que normalmente lo disfrutan, se involucran. Había una herramienta en particular que usé en una empresa anterior que eran dos personajes. Uno se llamaba Error Humano, el otro se llamaba Buen Juicio. La capacitación fue muy, muy efectiva hasta el punto en que me gustaría imprimir camisetas de Buen Juicio y Error Humano y a la gente le encanta la camiseta de Error Humano. Les encantaba usar la camiseta de error humano en la empresa y ahí es cuando se puede decir que las cosas están llegando a casa y lo están disfrutando. Cuando puedes reírte de eso, pero el entrenamiento tiene sentido. ¿Por qué no quiero usar la misma contraseña en todos los sitios que tengo? ¿Por qué no quiero dejar mi sistema desbloqueado y alejarme de él durante un período prolongado de tiempo? Una vez más, burlarse de algunas de estas situaciones y hacerlas menos dramáticas, creo que ha sido un gran éxito. Es lo mismo que estamos haciendo en R1 y realmente está involucrando a la gente para que entienda que sí importa. No queremos asustarlos hasta la muerte, solo queremos que midan y entiendan lo importante que es esto y vamos a burlarnos un poco de nosotros mismos. Creo que a los usuarios normales les gusta mucho eso. Mike Anderson: Sí, acabo de tener esta visión en mi cabeza de esa época antes de que tuvieras un código de acceso en tu teléfono, dejabas tu teléfono sobre la mesa y regresabas y enviaban mensajes de texto a tus amigos que realmente no querías que enviaran eso. Solo tenía esa visión en mi cabeza.
Harvey Ewing: Absolutamente.
Mike Anderson: Eso siempre lo hace divertido.
Harvey Ewing: Absolutamente.
Mike Anderson: Una de las cosas que he estado tratando de defender es todo este concepto de una mejor ciudadanía digital. Es como si al final del día, la gente no hiciera clic en las cosas en las que no queremos que hagan clic. No comprarían las cosas que no queremos que compren. Luego, cuando tienen ideas sobre TI, tecnología y seguridad, nos las traen. Colaboramos juntos. Ese sería el ciudadano digital perfecto. Obviamente estamos un poco lejos de eso. ¿Cuáles son algunas de las cosas de seguridad, tal vez incluso no de seguridad, que está haciendo para promover una mejor ciudadanía digital dentro de R1?
Harvey Ewing: Mencionas otro punto realmente bueno en la ciudadanía digital, y creo que es una muy buena manera de decirlo. Porque Datos es omnipresente y se asegura de que las personas que tienen acceso autorizado a Datos hagan lo correcto con los Datos. Asegurándose de que lo usen para lo que necesitan usarlo y solo para lo que necesitan usarlo. No intente almacenarlo fuera de las áreas aprobadas, entendiendo cómo estamos manejando a ese paciente. R1 es una empresa que se mueve muy, muy rápido. Evolucionamos muy rápidamente, tenemos miles de usuarios internos, por lo que es imperativo que nuestros usuarios entiendan que tenemos acceso a algunos de los datos más sensibles a los que podemos tener acceso y que realmente los traten adecuadamente. Estamos trabajando muy diligentemente para hacer eso. La gobernanza de datos es un universo en sí mismo. Es algo que R1 se toma en serio. La forma en que estamos construyendo realmente la cultura empresarial en torno a ser un buen administrador de Datos es hacer realmente lo que acabo de decir. Estamos creando administradores de Datos en toda la Organización. Estamos capacitando a esos administradores de Datos. Esos administradores de Datos son responsables de seleccionar Datos en su área de control y responsabilidad. Cuando capacitas a las personas para que lo hagan y educas a las personas sobre por qué eso es importante, los empleados lo entienden. Ellos entienden. Quieren hacer lo correcto y lo alentamos, lo celebramos. Cuando hacemos lo correcto, reconocemos a las personas que cuidan bien los Datos que los clientes y pacientes nos han confiado. Cuando lo celebramos, la gente se sube a bordo. Así que no nos enojamos con las personas cuando cometen errores. Diría que la gran cantidad de problemas que abordamos desde la perspectiva de Datos no son personas que intentan hacer cosas maliciosas o que intentan ser convenientes y hacer su trabajo. Realmente trabajamos con las personas para educar y ayudar a corregir algunos de los comportamientos que pueden estar exhibiendo y que pueden no estar alineados con la forma en que en última instancia debemos proteger esos datos. Pero cuando lo hacen, lo celebramos y recompensamos a las personas por hacerlo. Eso genera realmente confianza en el entorno y compromiso con nosotros porque no vamos a venir y no vamos a decir que estás en problemas o hacer algo para dificultar tu trabajo. Lo celebraremos cuando tengamos esas victorias y luego la gente se sentirá alentada por eso y continuará tratando a Datos de la manera en que debería. Así que es realmente de nuevo, ese compromiso, hacer que la gente entienda por qué hacemos lo que estamos haciendo, cómo es importante, y luego recompensar ese éxito y luego el impulso construido a partir de ahí.
Mike Anderson: Sí, definitivamente la zanahoria siempre funciona mucho mejor que el palo de esa manera. Cuando puedes reconocer los comportamientos que quieres que tengan las personas y señalarlos, eso hace que otras personas quieran hacer lo mismo. Así que quiero decir que es genial que estés haciendo eso. Esa es una excelente manera de hacerlo. Eso funciona en todas las facetas de la vida. Intento que mis hijos también hagan eso. "Oye, ese es un gran trabajo. Te voy a incentivar por ese buen comportamiento", versus "No deberías haber hecho eso" y eso nunca funciona de la misma manera. Esa misma psicología trabaja con nuestra gente. Voy a pasar un segundo a otro tema. Es interesante. Había escuchado algunos, pero al comienzo de la pandemia, al principio de la pandemia, cuando estaba en Schneider Electric allí, nuestro presidente dijo: "Mi bola de cristal está rota y realmente no puedo entender qué, no me dice muy claramente lo que me deparará el futuro". Entonces, si fuéramos a avanzar en el tiempo como lo hacemos ahora, si miramos hacia el futuro, ¿en qué áreas cree que los CIO y los líderes tecnológicos deberían invertir hoy para estar preparados para el futuro?
Harvey Ewing: Guau. Esa es una pregunta tan difícil, Mike. Estoy seguro de que cuando regrese y revise este programa en un par de años, me reiré de mí mismo y diré: "Wow, estaba tan equivocado". Pero voy a darle lo mejor de mí. Creo que se remonta a poder normalizar el comportamiento. ¿Harvey está haciendo lo que Harvey debería estar haciendo de manera normal? ¿Se está saliendo de los límites de lo que normalmente hace, cómo lo hace cuando está trabajando? Creo que eso va a ser realmente importante. También creo que la IA y el ML van a ser un desafío realmente interesante y creo que la pila tecnológica tradicional que tenemos hoy en día realmente va a ser impulsada no solo por tecnologías emergentes como Quantum, sino también por los avances en IA y ML. Cuando eres un humano que lucha contra un algoritmo realmente complejo que va a pensar un poco más rápido que tú, ¿cómo te mantienes al día? Así que vamos a necesitar herramientas, Encriptación que van a ser capaces de ser resistentes a la cuántica. Vamos a necesitar herramientas que puedan evolucionar con estrategias de IA y ML. ¿Cómo nos mantenemos a la par con la IA y el ML que están destinados a la naturaleza maliciosa? Creo que eso va a ser fascinante. Entonces, si pudiera saltar hacia el futuro sería entender: "Está bien, ¿cómo me mantengo al día con los avances en el lado malicioso de la tecnología? ¿Cómo protejo los sistemas que se romperán fácilmente en el futuro?" Así que creo que sería en esas áreas donde realmente me gustaría tener las herramientas y el enfoque.
Mike Anderson: Creo que también tienes razón, y es solo que eso también se convierte en una parte en evolución de nuestro panorama de amenazas. Un tema que está surgiendo mucho. Es algo que la prensa ha hecho en todas partes. Sé que tú y yo hemos hablado de esto antes, A Zero Trust surge todo el tiempo. ¿Será Zero Trust algo de lo que seguiremos hablando dentro de tres, cinco años? ¿Cómo se cruza eso con la forma en que las empresas están construyendo estrategias de protección de datos? ¿Qué opinas sobre todo el tema de Zero Trust en general y cómo crees que va a evolucionar a medida que pensemos en proteger Datos?
Harvey Ewing: Sí, creo que es imperativo, Mike. Zero Trust es algo que absolutamente tiene que hacerse en el futuro por muchas de las razones de las que hemos hablado aquí en los últimos minutos. Las personas seguirán necesitando acceso a información confidencial para hacer su trabajo, pero ¿cómo sabemos que hemos autorizado a la persona adecuada, si estamos en una fuerza laboral remota o en alguna parte híbrida de eso, cómo sé realmente que estoy dando autoridad a las personas adecuadas? Zero Trust es genial y es fácil de decir y es realmente difícil de hacer. Creo que se necesitará un ecosistema de herramientas para ayudarnos a llegar allí. Creo que muchas de las protecciones en las que está trabajando Netskope van a ser realmente imperativas. Creo que realmente se necesitará una estrategia para permitir la confianza cero a largo plazo. Vamos a seguir teniendo que pivotar para entender cómo autorizamos adecuadamente. Creo que esa es la única forma en que vamos a poder dar acceso a datos confidenciales o propiedad intelectual u otro tipo de sistemas que requieren autorización. Realmente no hay otra forma de hacerlo, ya que el perímetro desaparece en última instancia en el futuro.
Mike Anderson: Estas han sido ideas increíbles y realmente aprecio tomarme el tiempo. Así que tengo algunos éxitos rápidos para ti aquí mientras terminamos el segmento. Así que esto va a ser divertido. Tomé esto de Brene Brown porque soy un gran admirador de su podcast. Así que vamos a intentar repasar esto. Así que preguntas rápidas para ti. ¿Cuál es el mejor consejo de liderazgo que has recibido?
Harvey Ewing: Oh, Dios mío. Es algo que intento y agrego todos los días. Fallo casi todos los días, pero está quitando la emoción. Intenta abordar los desafíos difíciles con la menor cantidad de emoción y la mayor cantidad de pragmatismo que puedas.
Mike Anderson: Ese es un gran consejo. ¿Cuál te gustaría que fuera tu última comida?
Harvey Ewing: Oh, Dios mío. Creo que voy a tener que decir el bistec más grande que pude encontrar.
Mike Anderson: Oye, ¿sabes qué? Tendremos que ir a buscar bistec en algún momento. Así que gracias por unirse a nuestro podcast hoy. Eso será un amor.
Harvey Ewing: Suena bien.
Mike Anderson: Tendremos sudores de carne durante días. Será genial.
Harvey Ewing: Eso suena genial.
Mike Anderson: Este te va a sorprender. ¿Canción favorita y qué nos dice eso sobre ti?
Harvey Ewing: Creo que tengo dos. Uno es de The Youth, Hank Williams Jr, Cowboy Can Survive. El otro es Lágrimas por miedos, todos quieren gobernar el mundo. Así que Country Boy Can Survive es indicativo de mi juventud. Puedo superar cualquier cosa porque soy a prueba de balas. Luego, cuando hice la transición a la cibernética, la infraestructura y la entrega, todos quieren gobernar el mundo.
Mike Anderson: Eso es genial. Muy bien. ¿Cuál es el último libro que lees?
Harvey Ewing: Really Servant Leadership es realmente el último libro de negocios que leo. La mayoría de las otras cosas son simplemente mantenerse al día con las cosas que evolucionan mucho más rápidamente en el lado cibernético. Así que no es un gran lector de libros, sino más bien un consumidor de información que cambia rápidamente. Así que esa es una pregunta difícil de responder para mí en el lado corporativo. Sin embargo, el liderazgo de servicio es importante para mí.
Mike Anderson: Eso es genial. Muy bien, última pregunta. ¿A quién admiras más y por qué?
Harvey Ewing: Muchas respuestas a esa pregunta. Esta, voy a tener que ir con mi esposa. Sin ella, no estaría donde estoy hoy. Ella es mi mayor apoyo, la que me mantiene recta y estrecha y realmente me permite hacer todo lo que hago todos los días. Así que no podría hacerlo sin ella.
Mike Anderson: Oh, eso es genial. Bueno, Harvey, realmente aprecio que te tomes el tiempo para hablar con nuestros oyentes hoy. Antes de irnos, ¿hay algo, algún último pensamiento o cosa que le gustaría compartir con nuestros oyentes antes de terminar?
Harvey Ewing: Aprecio a todos, aprecio el tiempo, Mike. Creo que desde el punto de vista de la seguridad, hay que mantener la fe y seguir adelante porque si no fuera por todos los profesionales de la tecnología y la seguridad, los negocios no se producirían hoy en día. Así que todo lo que hacen es importante y aprecio sus esfuerzos.
Mike Anderson: Bueno, gracias a siempre. Ese es un gran consejo y apreciamos que seas un invitado.
Harvey Ewing: Gracias, Mike. Lo aprecio.
Mike Anderson: Gracias por sintonizar el podcast Security Visionaries de hoy con mi invitado especial Harvey Ewing. Siempre me gusta dejarlos con algunas conclusiones clave de nuestra conversación. Entonces, las tres cosas que obtuve de la conversación con Harvey hoy, en primer lugar, es cambiar a la izquierda y nosotros a la izquierda, realmente está trayendo seguridad al proceso de diseño, al proceso de desarrollo en torno a cómo creamos aplicaciones. Porque no queremos que la seguridad sea una puerta al final que frene la innovación y el ritmo al que podemos implementar las capacidades de Nuevo para nuestros usuarios y clientes. En segundo lugar, tenemos que poner el tablero en línea con seguridad. Tenemos que asegurarnos de que entiendan por qué la seguridad es importante y tenemos que hacerlo de manera que puedan entender. Tenemos que hablar en términos sencillos. En el mejor de los casos, siempre es bueno usar analogías. ¿Cómo presentamos la seguridad en términos que la junta va a entender, que es en torno a cuál es mi apetito por el riesgo? La última conclusión es la transparencia, honestamente todo es clave. Tenemos que ser transparentes con nuestros empleados sobre cómo esperamos que trabajen. ¿Es híbrido? ¿Cómo esperamos que funcionen desde el punto de vista de la seguridad? Tenemos que establecer expectativas y tenemos que ser transparentes sobre esas cosas para nuestros empleados. Así que espero que haya obtenido valor de nuestra conversación de hoy con Harvey Ewing. Sé que lo hice, y espero que se una a nosotros y escuche nuestro próximo episodio del podcast Security Visionaries.
Locutor 2: El podcast Security Visionaries está impulsado por el equipo de Netskope, rápido y fácil de usar. La Plataforma Netskope proporciona acceso optimizado y seguridad Zero Trust para personas, dispositivos y datos dondequiera que vayan. Ayudamos a los clientes a reducir el riesgo, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad en la nube, web o de aplicaciones privadas. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar listos para lo que sea en su viaje descarado, visite N-E-T-S-K-O-P-E.com.
Locutor 3: Gracias por escuchar a los visionarios de la seguridad. Tómese un momento para calificar y revisar el programa y compártalo con alguien que conozca que pueda disfrutarlo. Estén atentos a los episodios que se lanzan cada dos semanas, y nos vemos en la próxima.
){kind=icon}
