Netskope consigue la autorización FedRAMP High. Netskope GovCloud.

cerrar
cerrar
  • Servicio de seguridad Productos Edge chevron

    Protéjase contra las amenazas avanzadas y en la nube y salvaguarde los datos en todos los vectores.

  • Borderless SD-WAN chevron

    Proporcione con confianza un acceso seguro y de alto rendimiento a cada usuario remoto, dispositivo, sitio y nube.

  • Secure Access Service Edge chevron

    Netskope SASE proporciona una solución SASE nativa en la nube, totalmente convergente y de un único proveedor.

La plataforma del futuro es Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) y Private Access for ZTNA integrados de forma nativa en una única solución para ayudar a todas las empresas en su camino hacia el Servicio de acceso seguro Arquitectura perimetral (SASE).

Todos los productos
Vídeo de Netskope
Next Gen SASE Branch es híbrida: conectada, segura y automatizada

Netskope Next Gen SASE Branch converge Context-Aware SASE Fabric, Zero-Trust Hybrid Security y SkopeAI-Powered Cloud Orchestrator en una oferta de nube unificada, marcando el comienzo de una experiencia de sucursal completamente modernizada para la empresa sin fronteras.

Obtenga más información sobre Next Gen SASE Branch
Personas en la oficina de espacios abiertos.
Diseño de una arquitectura SASE para Dummies

Obtenga un ejemplar gratuito del único manual que necesitará sobre diseño de una arquitectura SASE.

Obtenga el eBook
Adopte una arquitectura de borde de servicio de acceso seguro (SASE)

Netskope NewEdge es la nube privada de seguridad más grande y de mayor rendimiento del mundo y ofrece a los clientes una cobertura de servicio, un rendimiento y una resiliencia incomparables.

Más información sobre NewEdge
NewEdge
Tu red del mañana

Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.

Obtenga el whitepaper
Tu red del mañana
Netskope Cloud Exchange

Cloud Exchange (CE) de Netskope ofrece a sus clientes herramientas de integración eficaces para que saquen partido a su inversión en estrategias de seguridad.

Más información sobre Cloud Exchange
Vídeo de Netskope
Cambie a los servicios de seguridad en la nube líderes del mercado con una latencia mínima y una alta fiabilidad.

Más información sobre NewEdge
Lighted highway through mountainside switchbacks
Habilite de forma segura el uso de aplicaciones de IA generativa con control de acceso a aplicaciones, capacitación de usuarios en tiempo real y la mejor protección de datos de su clase.

Descubra cómo aseguramos el uso generativo de IA
Habilite de forma segura ChatGPT y IA generativa
Soluciones de confianza cero para implementaciones de SSE y SASE

Más información sobre Confianza Cero
Boat driving through open sea
Netskope logra la alta autorización FedRAMP

Elija Netskope GovCloud para acelerar la transformación de su agencia.

Más información sobre Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Obtenga más información sobre cómo Netskope puede ayudarle a proteger su viaje hacia la nube.

  • Blog chevron

    Descubra cómo Netskope permite la transformación de la seguridad y las redes a través del servicio de seguridad (SSE).

  • Eventos & Workshops chevron

    Manténgase a la vanguardia de las últimas tendencias de seguridad y conéctese con sus pares.

  • Seguridad definida chevron

    Todo lo que necesitas saber en nuestra enciclopedia de ciberseguridad.

Podcast Security Visionaries

Cookies, Not Biscuits
Host Emily Wearmouthas sits down with experts David Fairman and Zohar Hod to discuss the past, present, and future of internet cookies.

Reproducir el pódcast
Podcast: Cookies, Not Biscuits
Últimos blogs

Cómo Netskope puede habilitar el viaje de Zero Trust y SASE a través de las capacidades del borde del servicio de seguridad (SSE).

Lea el blog
Sunrise and cloudy sky
SASE Week 2023: ¡Su viaje SASE comienza ahora!

Sesiones de repetición de la cuarta SASE Week.

Explorar sesiones
SASE Week 2023
¿Qué es Security Service Edge (SSE)?

Explore el lado de la seguridad de SASE, el futuro de la red y la protección en la nube.

Más información sobre el servicio de seguridad perimetral
Four-way roundabout
Ayudamos a nuestros clientes a estar preparados para cualquier situación

Ver nuestros clientes
Woman smiling with glasses looking out window
El talentoso y experimentado equipo de servicios profesionales de Netskope proporciona un enfoque prescriptivo para su exitosa implementación.

Más información sobre servicios profesionales
Servicios profesionales de Netskope
La comunidad de Netskope puede ayudarlo a usted y a su equipo a obtener más valor de los productos y las prácticas.

Acceder a la Netskope Community
La comunidad de Netskope
Asegure su viaje de transformación digital y aproveche al máximo sus aplicaciones en la nube, web y privadas con la capacitación de Netskope.

Infórmese sobre Capacitaciones y Certificaciones
Group of young professionals working
  • Empresa chevron

    Le ayudamos a mantenerse a la vanguardia de los desafíos de seguridad de la nube, los datos y la red.

  • Por qué Netskope chevron

    La transformación de la nube y el trabajo desde cualquier lugar han cambiado la forma en que debe funcionar la seguridad.

  • Liderazgo chevron

    Nuestro equipo de liderazgo está firmemente comprometido a hacer todo lo necesario para que nuestros clientes tengan éxito.

  • Partners chevron

    Nos asociamos con líderes en seguridad para ayudarlo a asegurar su viaje a la nube.

Apoyar la sostenibilidad a través de la seguridad de los datos

Netskope se enorgullece de participar en Vision 2045: una iniciativa destinada a crear conciencia sobre el papel de la industria privada en la sostenibilidad.

Descubra más
Apoyando la sustentabilidad a través de la seguridad de los datos
La más Alta en Ejecución. Más Avanzada en Visión.

Netskope ha sido reconocido como Líder en el Gartner® Magic Quadrant™ de 2023 en SSE.

Obtenga el informe
Netskope ha sido reconocido como Líder en el Gartner® Magic Quadrant™ de 2023 en SSE.
Pensadores, constructores, soñadores, innovadores. Juntos, ofrecemos soluciones de seguridad en la nube de vanguardia para ayudar a nuestros clientes a proteger sus datos y usuarios.

Conozca a nuestro equipo
Group of hikers scaling a snowy mountain
La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.

Más información sobre los socios de Netskope
Group of diverse young professionals smiling
Publicar miniatura

Este episodio presenta una entrevista con Matthew McCormack, vicepresidente sénior y director de seguridad de la información de GlaxoSmithKline. GSK es una de las compañías farmacéuticas y de atención médica de consumo más grandes del mundo, con una capitalización de mercado superior a $ 115 mil millones. Matthew es responsable de la seguridad cibernética y la gestión de riesgos de la red global de GSK de 100 000 empleados y más de 100 instalaciones de fabricación.

En este episodio, Matthew analiza por qué la seguridad es una disciplina intrínsecamente colaborativa, cómo mantenerse al día con la naturaleza en constante cambio de la industria y cómo todos podemos ayudar a crear la fuente de futuros líderes cibernéticos.

¿Cómo ayudamos a crear una fuente de futuros líderes cibernéticos... cómo hacemos que millones de personas más se unan a la disciplina?
Si eres alguien que mira algo y dice: 'No entiendo por qué se ve así, pero voy a averiguar por qué', entonces eres el indicado para este campo.

—Matthew McCormack, vicepresidente sénior y director de seguridad de la información en GlaxoSmithKline

 

Marcas de tiempo

*(0:50) - El primer trabajo de Matthew en seguridad
*(3:30) - El papel de Matthew en GSK
*(5:20) - Cómo Matthew se mantiene al día con la cambiante industria de la seguridad
*(6:45) - Cómo fue pasar de la seguridad federal a la seguridad comercial
*(11:17) - El riesgo de más rápido crecimiento en seguridad en la actualidad
*(22:00) - Vista panorámica del estado actual de los marcos
*(27:52) - Qué pueden hacer los líderes de seguridad sobre la brecha de talento
*(33:10) - El dominio favorito de Matthew en seguridad
*(35:52) - Segmento: Aciertos rápidos

 

Otras formas de escuchar:

verde más

en este episodio

Mateo McCormack
Vicepresidente sénior y director de seguridad de la información en GlaxoSmithKline

chevron

Mateo McCormack

Matthew McCormack es vicepresidente sénior y director de seguridad de la información en GlaxoSmithKline, una de las compañías farmacéuticas y de atención médica al consumidor más grandes del mundo. Es responsable de la ciberseguridad y la gestión de riesgos de la red global de GSK de 100 000 empleados y más de 100 instalaciones de fabricación. Con 20 años de experiencia en la industria, anteriormente fue CISO de EMC y CTO global de RSA. Matthew se unió al sector privado después de una carrera en el Gobierno Federal y la Marina de los Estados Unidos. Durante su servicio, fue Director de Seguridad de la Información de la Agencia de Inteligencia de Defensa, Director de Operaciones de Ciberseguridad en el Servicio de Impuestos Internos (IRS), así como Director de Ingeniería de Seguridad y Arquitecto Jefe de Seguridad del IRS. Matthew fue oficial criptológico en la Marina de los Estados Unidos y es un veterano de combate tanto en Irak como en Afganistán. Obtuvo una licenciatura y una maestría en Ingeniería Industrial del Instituto Politécnico Rensselaer (RPI) y un MBA en Finanzas de la Universidad de West Florida. Actualmente cuenta con las certificaciones Certified Information System Security Professional (CISSP), Certified Secure Software Lifecycle Professional (CSSLP), ITIL V3.0 y CMMI.

jason clark
Director de Estrategia y Marketing de Netskope

chevron

Jason Clark

Jason aporta a Netskope décadas de experiencia en la creación y ejecución de programas de seguridad estratégica de éxito.

Anteriormente fue el director de seguridad y estrategia de Optiv, desarrollando un conjunto completo de soluciones para ayudar a ejecutivos CXO a mejorar sus estrategias de seguridad y acelerar la alineación de esas estrategias con el negocio. Antes de Optiv, Clark desempeñó un papel de liderazgo en Websense, donde fue el impulsor de la transformación de la compañía en un proveedor de tecnología crítica para los responsables principales de seguridad de la información (CISOs). En un puesto anterior como CISO y vicepresidente de infraestructura de Emerson Electric, Clark redujo significativamente el riesgo de la compañía al desarrollar y ejecutar un exitoso programa de seguridad para 140.000 empleados en 1.500 localidades. Anteriormente fue CISO para The New York Times, y ha ocupado cargos técnicos y de liderazgo en seguridad en EverBank, BB&T y el Ejército de los Estados Unidos.

Mateo McCormack

Matthew McCormack es vicepresidente sénior y director de seguridad de la información en GlaxoSmithKline, una de las compañías farmacéuticas y de atención médica al consumidor más grandes del mundo. Es responsable de la ciberseguridad y la gestión de riesgos de la red global de GSK de 100 000 empleados y más de 100 instalaciones de fabricación. Con 20 años de experiencia en la industria, anteriormente fue CISO de EMC y CTO global de RSA. Matthew se unió al sector privado después de una carrera en el Gobierno Federal y la Marina de los Estados Unidos. Durante su servicio, fue Director de Seguridad de la Información de la Agencia de Inteligencia de Defensa, Director de Operaciones de Ciberseguridad en el Servicio de Impuestos Internos (IRS), así como Director de Ingeniería de Seguridad y Arquitecto Jefe de Seguridad del IRS. Matthew fue oficial criptológico en la Marina de los Estados Unidos y es un veterano de combate tanto en Irak como en Afganistán. Obtuvo una licenciatura y una maestría en Ingeniería Industrial del Instituto Politécnico Rensselaer (RPI) y un MBA en Finanzas de la Universidad de West Florida. Actualmente cuenta con las certificaciones Certified Information System Security Professional (CISSP), Certified Secure Software Lifecycle Professional (CSSLP), ITIL V3.0 y CMMI.

Jason Clark

Jason aporta a Netskope décadas de experiencia en la creación y ejecución de programas de seguridad estratégica de éxito.

Anteriormente fue el director de seguridad y estrategia de Optiv, desarrollando un conjunto completo de soluciones para ayudar a ejecutivos CXO a mejorar sus estrategias de seguridad y acelerar la alineación de esas estrategias con el negocio. Antes de Optiv, Clark desempeñó un papel de liderazgo en Websense, donde fue el impulsor de la transformación de la compañía en un proveedor de tecnología crítica para los responsables principales de seguridad de la información (CISOs). En un puesto anterior como CISO y vicepresidente de infraestructura de Emerson Electric, Clark redujo significativamente el riesgo de la compañía al desarrollar y ejecutar un exitoso programa de seguridad para 140.000 empleados en 1.500 localidades. Anteriormente fue CISO para The New York Times, y ha ocupado cargos técnicos y de liderazgo en seguridad en EverBank, BB&T y el Ejército de los Estados Unidos.

Transcripción del episodio

Abierto para transcripción

Matthew McCormack: ¿Cómo ayudamos a crear una cartera de futuros líderes cibernéticos, pero también esa pirámide? ¿Cómo podemos atraer a millones de personas más a esta disciplina y simplemente convencerlos de que no es necesario ser un científico de las comunicaciones o un ingeniero para hacer esto, verdad? Todo lo que tienes que ser curioso, ¿verdad? Lo que quiero es alguien que mire algo y diga: "Bueno, eso es interesante". Eso no tiene sentido". "Déjame descubrir por qué", esa es la persona que sería una buena persona de seguridad. Si eres alguien que mira algo y dice: "No entiendo por qué se ve así, pero voy a averiguar por qué", entonces eres el indicado para este campo.

Narrador: Hola y bienvenido a Security Visionaries, organizado por Jason Clark, CISO de Netskope. Acaba de escuchar al invitado de hoy, Matthew McCormack, vicepresidente senior y director de seguridad de la información de GSK. ¿Qué sucede en un mundo donde los malos superan en número a los buenos? Si eres un CISO moderno, este pensamiento te mantiene despierto por la noche. Los ciberdelincuentes se están multiplicando a un ritmo asombroso y los CISO se apresuran a formar equipos que puedan ayudarlos a mantenerse a la vanguardia. Una parte clave de la lucha es desarrollar la próxima generación de líderes en seguridad, pero ¿cómo podemos nosotros, como industria, llenar las filas de las fuerzas de ciberseguridad del mañana? Afortunadamente, eso es precisamente lo que el invitado de hoy está aquí para ayudarnos a descubrirlo. Entonces, antes de sumergirnos en el plan de juego de Matthews, aquí hay unas breves palabras de nuestro patrocinador.

Rollo publicitario: el podcast de visionarios de la seguridad está impulsado por el equipo de Netskope. Netskope es el líder atrevido que ofrece todo lo que necesita para brindar una experiencia de usuario rápida, centrada en datos e inteligente en la nube al ritmo de los negocios actuales. Obtenga más información en Netskope.

Narrador: Sin más preámbulos, disfrute del episodio cuatro, Visionarios de la seguridad, con Matthew McCormick, vicepresidente senior y director de seguridad de la información de GSK, y su anfitrión, Jason Clark.

Jason Clark: Bienvenidos a los visionarios de la seguridad. Soy su anfitrión Jason Clark, CMO, director de estrategia y director de seguridad de Netskope. Hoy me acompaña mi amigo e invitado especial, Matt McCormack. Matt, ¿cómo estás?

Matthew McCormack: Bien. Jasón, ¿cómo estás?

Jason Clark: Soy súper fantástico, hombre. Realmente es bueno comenzar esta serie de podcasts contigo aquí. Eres nuestro segundo invitado. Estuve con Emily Heath hace dos semanas y fue muy, muy bien. Entonces, ya para empezar, ¿cuál fue tu primera inseguridad laboral?

Matthew McCormack: Entonces, mi primera inseguridad laboral, irónicamente, fue en la Marina, ¿verdad? Cuando estaba en el ROTC en la universidad en mi último año de universidad, me hicieron un examen físico antes de unirme a la Marina y me dijeron que era daltónico. Y si está familiarizado con los barcos, el rojo y el verde son colores importantes en el mar. Te indica en qué dirección va el barco. Básicamente me dijeron que no podía pilotar un avión ni conducir un barco, por lo que me convirtieron en criptólogo, lo que en los años 90 la criptología se transformó en la primera seguridad de red. Así que terminé en esto por culpa de la Marina y porque yo era daltónico.

Jason Clark: Esa es una historia interesante, ¿verdad? Creo que mi mente era similar a la tuya por unirme al ejército, no por daltonismo, ¿verdad? Pero yo estaba pilotando aviones pensando que quería ser piloto, y mientras volaba, los pilotos que me rodeaban eran pilotos profesionales de líneas aéreas, yo había dejado la Marina, y me dijeron: "Escucha, no quieres ser piloto". Piloto de línea aérea profesional. Básicamente, sólo estoy conduciendo un autobús. Elige una carrera diferente." Y yo dije: "Oh, vaya, está bien". Acabas de aplastar mis sueños."

Matthew McCormack: Sin embargo, ese es un buen consejo.

Jason Clark: Fue un gran consejo y recurrí a seguridad. Eso fue todo. Yo era analista, ¿verdad? Entonces cambió mi vida.

Matthew McCormack: El mundo ha cambiado, ¿verdad? Ahora la gente se está ocupando originalmente de la seguridad, ¿verdad? Originalistas de seguridad, donde todos nos topamos con esto hace años.

Jason Clark: Estuvo bien. Creo, Matt, debo decir que nos conocemos probablemente desde hace 15 años, ¿verdad? Yo diría que hemos ayudado a ser la base de esta industria, ¿verdad? Hemos empezado juntos desde cero. Ha sido genial verlo.

Matthew McCormack: En realidad, conozco mi primer rol de CISO. Fui el primer CISO en la organización de la Agencia de Inteligencia de Defensa. No había habido ninguno antes. La idea de que literalmente estemos creando algunas de esas primeras organizaciones es tan aterradora como suena hace casi 20 años, pero sí. Recuerdo nuestras primeras interacciones, usted estaba con Websense y Blue Coats en ese entonces y yo estaba en el IRS y luego todos estaban haciendo su primer proxy y filtrado web. Hace más de 20 años, la seguridad de la red eran solo cortafuegos de filtrado de paquetes, ¿verdad? Y eso fue todo. Y luego, aparecieron las VPN y luego todo el filtrado de contenido web y ahora aquí estamos.

Jason Clark: Honestamente, lo estábamos descubriendo, ¿verdad? Simplemente tuvimos que inventar, mientras dijimos: "Está bien, veamos si esto funciona", ¿verdad? Pienso que esto contribuye en gran medida a muchas de las formas en que todavía necesitamos hacer las cosas hoy, ¿verdad? Cuéntenos un poco sobre su papel en GSK.

Matthew McCormack: Como director de seguridad de la información, tengo todas las funciones tradicionales de un CISO, ¿verdad? Ya sea la defensa de la red de ciberseguridad, pero también tengo la función de GRC, esa gobernanza, riesgo y cumplimiento que era un producto farmacéutico regulado a nivel mundial. Hay una cantidad importante de regulaciones. Y una de las cosas interesantes cuando eres global es que no se trata sólo de las regulaciones estadounidenses, ¿verdad? Son regulaciones para cada empresa o cada país en el que fabrica y vende. Y estamos en una cantidad importante de países. Entonces, cuando nos fijamos en la gobernanza, el riesgo y el cumplimiento, vemos su importancia, ¿verdad? A diferencia de un puesto anterior en una empresa de tecnología de EE. UU., donde en general solo te preocupas por una cantidad limitada de países.

Matthew McCormack: Al trabajar con una empresa farmacéutica que fabrica y vende en casi todos los países, tener que estar consciente y prestar atención a todas estas diferentes reglas de cumplimiento es diferente, ¿verdad? En realidad, es bastante revelador porque puedes ver la manera en que los diferentes países abordan la privacidad de sus ciudadanos y cómo se guardan y mantienen los datos. Y hay una gran variedad, ¿verdad? Yo digo que, como estadounidense, generalmente tratamos la privacidad de nuestros ciudadanos en el mismo nivel que muchos otros países. Muchos países protegen mucho los datos de sus ciudadanos. Así que fue muy revelador comenzar este papel hace varios años.

Jason Clark: ¿Cómo te mantienes al día? Eso es mucho, ¿verdad? Eso es mucho cambio. Para mí, parece que está cambiando más rápido que nunca. Entonces, ¿cómo te mantienes al tanto?

Matthew McCormack: Bueno, quiero decir, para mí, mira, tienes que tener un equipo de personas que sepan cómo hacerlo y que sepan cómo hacerlo bien, pero también global. No vas a tener un equipo de personas sentadas en un solo lugar que sean capaces de gestionar este programa global. Cuando miras a GRC, tienes personas individuales. Tendré varias personas que serán la única persona de mi equipo en ese país, ¿verdad? Y su trabajo es mantener esa relación con los gobiernos locales y mantenernos al tanto de todos los cambios, pero hay muchas cosas importantes cuando se mira la ley de seguridad de China, la ley de privacidad de China, pero también hay muchas discusiones sobre privacidad. en India sobre cambiar las leyes allí.

Matthew McCormack: Entonces, cuando nos fijamos en algunos de estos países más grandes, cualquier cambio en las leyes de privacidad puede tener un impacto en nosotros a nivel mundial, ¿verdad? Porque para cumplir con algunas de estas leyes, es posible que tengas que realizar algunos cambios a nivel corporativo.

Jason Clark: Entonces, cuando estaba en DIA, usted y yo estábamos hablando mucho sobre hacer esta transición fuera del gobierno y ser CISO en la empresa. Tal vez hable un poco sobre cómo fue esa transición para usted, qué es diferente y también su consejo para cualquiera que esté haciendo ese cambio en este momento. Porque definitivamente había personas que había visto que lo habían intentado y se habían puesto demasiado duro y no me quedaba bien. ¿Cómo fue eso para ti y qué recomendarías a otros?

Matthew McCormack: Un enrutador es un enrutador y una persona es una persona, ¿verdad? Esas cosas no son fundamentalmente diferentes entre ser federal y ser comercial. Diré algunas de las diferencias, y no creo que a nadie le sorprenda ninguna de ellas, velocidad, ¿verdad? La velocidad con la que puedes hacer las cosas. Sé que ha habido algunos cambios para permitir más flexibilidad en el gobierno, pero en realidad, el proceso de elaboración de presupuestos y adquisiciones del gobierno no necesariamente se basó en hacer las cosas rápidamente, ¿verdad? Básicamente se basa en hacer las cosas de manera bastante desigual y no necesariamente en hacerlas con rapidez.

Matthew McCormack: Entonces, para mí, uno de los cambios más importantes, y para mí fue en 2012 cuando me hice comercial, fue mi capacidad para comprar y conseguir lo que necesitaba hacer, pero también la velocidad con la que, en general, no siempre, pero la rapidez con la que podía contratar, ¿no? La capacidad de identificar talentos y captarlos muy rápidamente, comercialmente, fue una gran diferencia. Ahora, por otro lado, yo diría que, en general, los empleados, cuando se trata de empleados y algunas de las acciones que toman los empleados y como CISO, siempre tenemos que estar atentos a lo que permitimos que hagan los empleados y lo que no les permitimos hacer.

Matthew McCormack: La actitud dentro del espacio federal, el espacio gubernamental, la gente se sentía más cómoda con una actitud de comando y control. Entonces, si decimos que no puedes hacer X, en tu computadora, la gente generalmente dice: "Está bien, no podemos hacer X", ¿verdad? Mientras que comercialmente es más una negociación, ¿verdad? Especialmente si trabajas en una empresa global, tendrás sindicatos y comisiones de trabajadores en Europa. Habrá diferentes leyes nacionales que permitirán a la gente hacer cosas. Hay ciertos países que permiten un uso personal mínimo de las empresas por ley, algo que no existía a nivel federal. Podría decir: "No puede utilizar su computadora federal para realizar trabajos personales". Boom, fin de la historia, ya está.

Matthew McCormack: Pero cuando algunos de estos países realmente tienen leyes que permiten que esto suceda, tenemos que gestionarlo. Entonces, desde un punto de vista personal, algunas de las reglas y requisitos sobre lo que se debe hacer y lo que no se puede hacer, a veces eso fue un poco más fácil para el lado federal porque lo deja claro, pero tomar estas decisiones por edicto era un poco más sencillo.

Jason Clark: Para ti, parece que hay muchas similitudes, ¿verdad? Y luego hay algunas diferencias claras para mí. Simplemente parece muy ancho, ¿verdad? Porque aparte del Ejército, no he trabajado en el espacio federal.

Matthew McCormack: Y el espacio federal no es todo igual, ¿verdad? Entonces he sido militar. Hice inteligencia y también pasé varios años con el IRS, esencialmente financiero. Y hay una amplia gama de diferencias entre esas diferentes áreas dentro del espacio federal. No todo es omnipresente. No todo parece exactamente igual, pero diré una de las preguntas que haría: "¿Qué consejo le daría a alguien que esté en la transición de lo federal a lo comercial?" y algo de eso estaría por ahí. Parte del nivel de comodidad que tenían, como CISO, tomas una decisión, todos lo harán. Cuando uno se adentra en el espacio comercial es entender que todo no es una negociación o es una negociación, ¿verdad?

Matthew McCormack: Si hay algo que necesita hacer desde el punto de vista de la seguridad, tendrá que sentarse y asegurarse de haberlo consultado con sus responsables de privacidad, con sus abogados laborales, dentro de Recursos Humanos, dentro de estas diferentes áreas. . No podrás hacer las cosas solo porque dijiste que las hicieras, ¿verdad? Y entender que eso no significa que no seas una persona inteligente y que la gente no te crea, simplemente significa que ese es el proceso. Mientras que creo que a nivel federal pudimos hacer más del "Porque yo lo digo". Y cuando salgas al espacio comercial, la gente no aceptará ciegamente lo que les digas.

Jason Clark: Entonces, solo una pequeña transición aquí, ¿cuál cree que es el riesgo de más rápido crecimiento en ciberseguridad? El problema es que la gente no se da cuenta de que los CISO o la mayoría de los equipos o ejecutivos de seguridad no se dan cuenta de que es el riesgo de más rápido crecimiento. ¿Qué les está acechando a todos?

Matthew McCormack: Creo que mucha gente ahora está consciente de algunas de las cosas, pero no entender el alcance completo y el impacto es de terceros. Y de terceros, hay múltiples piezas de terceros. A medida que las empresas crecieron, se alejaron de todos los empleados, obviamente, hacia un apoyo muy fuerte de contratistas o terceros para proporcionar organismos que lo ayuden, pero también software. Y el aumento del ransomware, que ha afectado a tantas empresas diferentes y a algunas empresas muy grandes, y específicamente cuando un proveedor de servicios, alguien que proporciona cuerpos a su empresa para ayudarle a completar una tarea y, tradicionalmente, les permite a esos cuerpos algo de tiempo. forma de acceso a su empresa similar a la de un mal empleado, cuando uno de esos proveedores de servicios es atacado con ransomware, en realidad el primer paso es eliminar todos los accesos de todos los empleados de esa empresa que acceden a su red, eliminando todos los accesos remotos hasta que la empresa ha determinado cuál fue el resultado del ransomware.

Matthew McCormack: Y te das cuenta del impacto cuando, de repente, 1.500 personas no pueden presentarse a trabajar el lunes porque su empresa fue atacada por ransomware. Y te das cuenta de la profunda dependencia que tienes de ese proveedor de servicios. Y luego la segunda pieza es el software, ¿verdad? Todo el mundo sabe que SolarWinds aparece en la prensa sobre todas estas cosas. La idea de que en realidad estás comprando e implementando sistemas ya comprometidos en tu propia red y no es que estas compañías vayan a proporcionarnos el código fuente, para que podamos hacer nuestro análisis de diligencia debida del código fuente, ¿verdad? No van a hacer eso.

Matthew McCormack: Por eso, dependemos mucho de las capacidades internas de seguridad del producto de estos proveedores. Y por eso cuando digo tercero, tercero en torno a proveedores y organismos de servicios y luego tercero en torno a software comprometido. Simplemente te das cuenta de esa dependencia. En GSK, obviamente, una empresa farmacéutica, nos especializamos en fabricar medicamentos, vacunas y cosas así. No piensas en el impacto que podría tener tu software de gestión de TI como SolarWinds, ¿verdad? Traes SolarWinds. SolarWinds es pirateado. Tienes que arrancarlo y, de repente, eso puede cerrar toda una empresa.

Matthew McCormack: Y comprender realmente el impacto de todos estos terceros y cómo se intenta desarrollar un plan de respuesta para lo que se hace cuando sucede algo como esto.

Jason Clark: Creo que acabas de acertar, lo que probablemente sea, estoy de acuerdo, el más grande. Creo que los dos mayores son en realidad el riesgo de terceros, pero yo diría que es el de más rápido crecimiento gracias a SaaS, ¿verdad? Es lo que la empresa simplemente está alineando con o sin TI. Y en realidad, en la mayoría de las organizaciones, sin TI, simplemente se van, ¿verdad? RRHH, marketing, etcétera y luego también el crecimiento de los datos, ¿verdad? Data, tú eres el MC, ¿verdad? Y los datos se están triplicando de 57 zettabytes a 107 zettabytes en los próximos cuatro años. No vemos que las acciones de las empresas de almacenamiento se tripliquen por las nubes, ¿verdad? Porque todo se está trasladando a la nube o al móvil. Creo que definitivamente son esos dos, pero al hacer doble clic en el riesgo de terceros que tiene el mayor índice de conteo, definitivamente es SaaS, ¿verdad? La mayoría de las empresas tienen más de mil. ¿Qué ve que hacen las organizaciones para involucrarse en eso, que los CISO se deshagan del negocio y los ayuden a habilitarlo? En comparación, históricamente siempre hemos dicho: "Oye, no, tenemos un CRM". ¿No vayas a hacer nada más"?

Matthew McCormack: Cualquier punto-punto como servicio a veces es un código para "Vamos a abordar TI", ¿verdad? Y a veces, mira, entiendo la razón por la que la gente hace esto a veces porque cuando pasas por el proceso, en general lleva más tiempo, es más caro en general, pero hay razones para eso, ¿verdad? Especialmente en una industria regulada, debes asegurarte de cumplir. Estoy viendo una gran tendencia, especialmente en el directo al consumidor, ¿verdad? Las personas que quieren poder venderle directamente a usted, Jason, lo cual suena genial en la superficie, pueden salir y encontrar un proveedor que les diga: "Oye, crearé un portal para ti y podrás vender tu producto". directamente a Jason." "Está bien, genial, y sí, eso impulsará las ventas, pero ¿tenemos una letra PCI, verdad? ¿Tenemos el cumplimiento configurado? ¿Estamos almacenando tarjetas de crédito? ¿Estamos almacenando datos personales?" algunas de estas cosas diferentes.

Matthew McCormack: Entonces, lo que tenemos que hacer es tratar de ser proactivos y acercarnos. A medida que encontramos algunas de estas capacidades internamente, no necesariamente solo en los viejos tiempos, sacamos el martillo, lo aplastamos y lo apagamos, pero decimos: "Está bien, ¿sabes qué? Si existe un requisito de acceso directo al consumidor y ya ha creado ese portal, averigüemos si podemos hacerlo legítimo, ¿verdad? Hagamos toda la parte de PCI para su portal directo al consumidor y luego asegurémonos de que otras personas dentro de la empresa en el futuro utilicen el que usted acaba de crear y no salgan a crear el suyo propio".

Matthew McCormack: Entonces, en el pasado, probablemente habríamos dicho: "No, esto es una violación. No nos dirigimos directamente al consumidor, bla, bla, bla", pero ahora tenemos que decir: "Mira, si lo estás haciendo, estadísticamente hay otras personas en la empresa que lo están haciendo o van a hacerlo". querer hacerlo, así que descubramos cómo lograrlo". Y les diré, un buen ejemplo y no estoy hablando de nadie es cuando COVID llegó aquí en los EE. UU., si tienes hijos, de repente, aparecieron en Zoom, y Zoom, dentro de GSK, Zoom no estaba. una de las herramientas de colaboración aprobadas. Y hubo una tremenda presión para permitirnos comenzar a usar esa herramienta específica en nuestros dispositivos cuando no habíamos pasado por la debida diligencia de seguridad al respecto. No teníamos un acuerdo de licencia ni de privacidad con él, todas estas cosas y mucha oposición de nuestra parte a la hora de implementar una herramienta de software gratuito en el entorno, pero aún así, mucha gente estaba acostumbrada porque todos ayudar a sus hijos con la escuela y se sintieron muy cómodos con Zoom y lo entendieron.

Matthew McCormack: Y entonces, a veces, decir no a algo, si bien puede tener sentido desde el punto de vista de la seguridad, la seguridad está en los grises. Ya no es blanco y negro. Seguridad, tienes que vivir en la gris. Y así, encontramos una manera, aunque no necesariamente pudimos implementarlo tan rápido como a mucha gente le hubiera gustado, al final nos permitimos agregarlo a las herramientas de colaboración aprobadas y luego brindar cierto nivel de soporte.

Jason Clark: Ese es un gran ejemplo. A eso me sorprende, estoy casi tantas empresas al día, ¿no? Definitivamente, probablemente cinco CISO por semana y obviamente mucha gente tratando de vender mi programa de seguridad y escuchar a los proveedores, pero cuántas personas, excepto los robots de Zoom, los robots que vienen y dicen: "Oye", esa cosa que está escondida allí, ¿Traducir toda la conversación? Cada vez que les digo a las personas que organizan la llamada, y a veces son grandes empresas, les digo: "Oye, ¿te das cuenta de que acabo de buscar esa empresa y solo tienen 18 empleados y no ¿Tenemos una sola persona con un título de seguridad y su empresa y confiamos en que toda esta conversación se realizará en la nube? Sabes que probablemente sea un compromiso, ¿verdad?"

Jason Clark: Y la gente dice: 'Oh, no, no había pensado en eso'. Y a veces son los equipos de seguridad y yo digo: "Está bien, esto es interesante, ¿verdad?

Matthew McCormack: Y creo que en uno en particular, hubo un gran impulso inicial para permitir el uso, permitir que esa aplicación se implementara en nuestros dispositivos, exponiendo la razón como: "Mira, no solo estamos siendo idiotas por ser idiotas aquí, ¿verdad? No decimos simplemente que no sin ningún motivo. Tuvimos que exponer las razones, ¿no? Esa conversación se mantiene en servidores comerciales de otra empresa. Si está hablando de datos de pacientes o dispositivos médicos o algo así, no tenemos ninguna expectativa de privacidad. Esos datos podrían recolectarse, extraerse y venderse a quien sea porque no tenemos un acuerdo de privacidad".

Matthew McCormack: Nosotros, dentro de seguridad, a veces tenemos que hacer un mejor trabajo al explicar las razones. La gente se ha vuelto más inteligente con respecto a la tecnología y no acepta ciegamente: "Bueno, el tipo de seguridad dijo que eso es malo, así que no lo vamos a hacer". Quieren esto. Son solo familias y niños, ¿verdad? A medida que mis hijos crecen, necesito empezar a explicarles un poco más por qué. No es sólo un "No, no puedes hacer eso". Es como, "No puedes hacer eso porque XYZ" o "Mira, cuando empiezas a conducir, necesitas arrancar... Es por eso que tienes que doblar esa esquina lentamente porque no puedes ver esta cosa". por aquí y hay una curva ciega." Lo mismo, ¿verdad?

Matthew McCormack: Cuando las personas están acostumbradas a una tecnología y les dicen que no pueden usarla en este entorno, quieren saber por qué. Y creo que esa es una pregunta legítima, ¿verdad? No significa que estén cuestionando si sabemos lo que estamos haciendo como profesionales de la seguridad. Simplemente significa que hay un nivel de conocimiento que tienen y, debido a eso, tienen algunas preguntas. Por eso, debemos hacer un mejor trabajo desde el punto de vista de la seguridad, siendo el principal explicador.

Jason Clark: Bueno, hay dos partes ahí, eso es realmente importante. Hay uno que traduce esto en riesgos reales en los que quiero hacer doble clic. Y luego, el segundo al que llegaremos es, y usted hizo la declaración que se publicó, que al final todos los CISO son vendedores, lo cual es cierto. Y por eso quiero golpear a los dos que están alrededor. El riesgo está cambiando, está sucediendo rápido. De hecho, digo que estamos en este mundo al revés de la seguridad donde todo lo que protegíamos ahora está fuera y ahora nuestros controles de seguridad tienen que seguir a esos usuarios y esos datos a donde quiera que vayan y todavía tenemos que proteger lo antiguo, ¿verdad?

Jason Clark: Entonces es como habilitar lo nuevo, proteger lo viejo, pero en este nuevo modelo, una de las cosas de las que habló en el pasado son los marcos, pero ¿están los marcos realmente ahí y actualizados para comprender realmente cuál es mi riesgo? en este nuevo mundo en lugar de, digamos, más modelado de amenazas y pensar realmente en el riesgo de cada etapa y cuál es mi control y trasladarlo al tiempo real. ¿Cómo cree que somos como industria en ese pensamiento y qué sugerencias tiene?

Matthew McCormack: ¿Están ahí los marcos? Sí. ¿Están tan actualizados como los necesitamos? No. ¿Verdad? Creo que todos hemos dependido mucho de los marcos de bondad durante varios años. Como mencionaste al principio, a medida que el mundo se está convirtiendo en un servicio punto-punto y cosas así, esos marcos han tenido dificultades para mantener el ritmo, ¿verdad? Pero eso no significa que no sigan siendo buenos fundamentos. Pero creo que para nosotros, su capacidad para calificar qué tan bien lo está haciendo y si realmente está cumpliendo con el compromiso que está asumiendo con su junta directiva, debe tener algún tipo de marco, ¿verdad?

Matthew McCormack: Tenemos nuestro ICF, nuestro marco de control interno y, como la mayoría de las personas, utilizamos NIST como base, pero luego lo personalizamos y hay razones para hacerlo. Si observa su capacidad de auditoría interna, querrá que su marco coincida con el de ellos, de modo que si identifican un problema, se corresponda con el suyo. Y si observa su organización de privacidad, si observa algunas de estas diferentes, su equipo de cumplimiento general, no solo su cumplimiento de seguridad, sino las personas que son responsables de nosotros, su HIPAA, su Sarbanes-Oxley, Todos estos otros estándares de cumplimiento nacionales y GDPR, ¿verdad? Hay tantos marcos y cumplimiento por ahí.

Matthew McCormack: Podrías caer en un agujero negro al intentar perpetuamente crear el marco perfecto. Y creo que para nosotros decidimos que NIST es nuestro marco y haremos una pequeña cantidad de personalización debido a nuestra industria única y trazaremos la línea allí. Creo que siempre estarás actualizándote porque cuando estás en 130 países, siempre hay nuevos marcos y nuevos estándares, y cosas nuevas como esas con las que nunca podrás ponerte al día. Intentamos revisar nuestro marco anualmente, hacer cambios, pero creo que los marcos son geniales, los marcos son importantes. El modelado de amenazas también es muy importante y tratar de superar...

Matthew McCormack: Si tienes 130 fábricas, no todas ellas tienen el mismo nivel de importancia. Tal vez uno fabrique el producto que más vende y genera mayores ingresos. Quizás otro simplemente esté empaquetando el cartón en el que necesitas poner ese producto. Ambos son importantes, pero ¿cuál es el más crítico, verdad? ¿Puedes conseguir cartón de otra persona? Más probable. ¿Alguien más puede preparar ese medicamento específico para usted? Menos probable. Entonces, hay que seguir el modelo de amenazas y estamos en un estado constante de eso, no solo para nuestras instalaciones de fabricación, sino también para nuestros almacenes y repositorios de datos, ¿verdad? ¿Dónde permitimos que se repliquen? ¿A quién pertenecen? ¿Están en la nube? ¿No están en la nube?

Matthew McCormack: Quizás tenga sentido económico poner algo en la nube y convertirlo en una especie de modelo SaaS. Sin embargo, el riesgo de sacar esos datos de su entorno y colocarlos en la nube supera la economía. Estamos en un estado constante de modelado de amenazas y rentabilidad del riesgo, ¿verdad? Para nosotros, el riesgo de hacer eso vale la pena y les diré, es por eso y es un tema, está dentro de cualquier buena organización de seguridad, algo con lo que todos tratan, pero a la hora de contratar, no siempre vayan a buscar. gente de informática para su organización de seguridad, ¿verdad? Si estás haciendo este tipo de modelado de amenazas, será mejor que busques un contador, ¿verdad? Será mejor que busques a alguien que entienda de dinero.

Matthew McCormack: Y cuando analiza su póliza de seguro, sus pólizas de seguro cibernético, los informáticos no son las mejores personas para evaluar los niveles de riesgo de su seguro. Entonces, cuando observe su organización de seguridad, cuando esté modelando amenazas, no acepte ciegamente que tendrá personas internas que sabrán cómo hacerlo. O vas a tener gente realmente especializada en boutiques y tenemos suerte de tener un par de personas realmente inteligentes que nos ayuden con eso o salir a buscarlo. Porque si intentas hacer algunos de esos modelos de amenazas con personas que no son especialistas en eso, tus prioridades para ese año serán bastante confusas.

Jason Clark: Sinceramente, llegamos a las ventas, ¿verdad? Dijimos: "Oh, bueno, tienes que ser vendedor", ¿verdad? Bueno, no creo que ningún estudiante de informática sea necesariamente tu mejor vendedor, ¿verdad? Así que creo que depender de tu dominio y de lo que estás tratando de hacer crecer ayuda a nutrir la brecha de talento que tenemos. Lo que diría es que he tenido un éxito tremendo al sacar a los niños de la escuela secundaria. Entonces, con una Alianza de Asesores de Seguridad, voy a las escuelas secundarias y medias y les enseñamos: "Oye, esto es cibernético". Y todos dicen: "Oh, pensé que era como ciencia espacial. No me di cuenta de que era tan fácil. No me di cuenta de que tenía que ser un tipo en el sótano sin luces encendidas y simplemente deslizando pizzas debajo de la puerta", ¿verdad?

Jason Clark: Y verás grupos de chicas casi siempre venciendo a los chicos en un evento de captura de la bandera. Y ellos dicen: "Oh, vaya, ni siquiera sabía que esta era una opción para mí, ¿verdad? Soy bueno en esto." Y entonces he estado reclutando personas que salieron de la escuela secundaria y ya no es como... La universidad no es para todos de inmediato, ¿verdad? Al principio entré en el ejército en lugar de ir a la universidad. De hecho, no obtuve mi título hasta los 25 años. Y la única razón por la que obtuve mi título fue que me dijeron: "Oye, queremos convertirte en CISO, pero no podemos a menos que tengas tu título". Entonces, ¿cuál es su opinión sobre los lugares a los que va? ¿Ha estado sacando niños de la escuela secundaria? Y, en general, ¿cuál es su opinión sobre las cosas que otros líderes de seguridad y TI pueden hacer para solucionar esta brecha de talento?

Matthew McCormack: 100% correcto. Así que sí, lo hablo en las escuelas secundarias y me deja boquiabierto. En realidad... A una ahijada mía, le hice una entrevista porque su escuela secundaria tiene un programa de ciberseguridad y ella en realidad estaba haciendo un programa en el que tiene que codificar, pero luego también tiene que bajar algunos productos y mirar. mirarlos y evaluar el riesgo. Y me sorprendió que estuvieran haciendo eso en su tercer año de secundaria. Me quedé realmente impresionado, pero también dije: "Gracias a Dios", ¿verdad? Porque según tu punto, la cantidad, con quien hables, ya sean tres, cinco o siete, ¿verdad? La brecha de millones, 3, 5, 7 millones de personas que tenemos en el ciberespacio, esperar que podamos esperar a que estas personas se gradúen de la universidad antes de poder ingresar al campo es una locura, ¿verdad?

Matthew McCormack: Simplemente hay demasiada demanda. Y también dependiendo de esa disciplina, como dije, estoy contigo. Básicamente no necesitas ese título universitario. Te enseñé durante años en un colegio comunitario local y tenían un título asociado en ciberseguridad donde estaba hace varios años, pero literalmente les estaban enseñando a estas personas cómo usar, voy a salir conmigo mismo, NetWitness y ArcSight y algunos de estas herramientas, ¿verdad? Les estaban enseñando cómo usarlos. Y cuando todavía estaba en el gobierno en ese momento, contrataba a esas personas de izquierda a derecha porque literalmente puedes meterlas en tu calcetín.

Matthew McCormack: Entonces creo que la idea de que hay tantas piezas en la ciberseguridad y luego no estoy diciendo que quieras que te operemos, pero se ha vuelto muy parecido a la medicina, ¿verdad? De la misma manera no todos los médicos son médicos, ¿verdad? Algunos médicos son buenos en articulaciones, otros son buenos en dermatología. Tienes todos estos diferentes especialistas que son buenos en sus diferentes cosas. La seguridad se ha convertido en eso, ¿verdad? Tienes tus probadores de penetración, tienes tus especialistas en capacitación. Si está en una empresa del tamaño de la nuestra, necesita gerentes de programas y proyectos que puedan gestionar estos proyectos multimillonarios.

Matthew McCormack: Entonces, cuando miro a mi equipo de 300 a 400 personas, todos tienen orígenes diferentes, franjas de colores diferentes y diré que algunas de las mejores personas en seguridad son personas de psicología. Y cuando hablo en las universidades, habitualmente la gente dice: "Oh, estoy estudiando psicología o sociología, pero estoy realmente interesado en la ciberseguridad". "Genial porque una gran parte de la ciberseguridad es lo que hace el usuario". Y las personas que entienden cómo influir en los usuarios, cuando intentas que los usuarios no hagan clic en un phishing, no puedo simplemente enviar un correo electrónico diciendo: "No seas tonto y haz clic en este enlace". tener que descubrir cómo influir en las personas y esas son personas con experiencia en psicología. Y entonces hay todos los tipos diferentes.

Jason Clark: Conozco un par de CISO que obtuvieron una licenciatura en psicología, ¿verdad? Algunos CISO realmente buenos y de hecho comenzaron como psicólogos y luego hicieron la transición. No hablan demasiado de eso, pero ese es uno de los secretos de su éxito. En cierto modo, creo que se trata de ser diferente, ¿verdad? Ser único. No sigas simplemente el camino principal que todos los demás han seguido. ¿Qué puedes aportar tú a la mesa que nadie más tenga?

Matthew McCormack: Y en realidad es una de mis cosas que me molestan y, obviamente, no soy rector de una universidad ni pretendo serlo. Una de mis cosas que me molestan son las universidades que ponen sus programas de ciberseguridad en sus escuelas de ingeniería o ciencias de la comunicación. Ese es 100% el lugar equivocado para ponerlo, ¿verdad? La ciberseguridad no es una disciplina de la informática y ni siquiera es una disciplina de ingeniería. Sí, soy ingeniero. Sí, crecí de esa manera. ¿Y eso ha influido en cómo me convertí en CISO? Sí, absolutamente y tengo 100 compañeros que no son ingenieros, ¿verdad? Es un negocio ¿no? La ciberseguridad es una disciplina de riesgo empresarial. Y cuando miras una escuela de negocios, "Oye, vas a tener una clase sobre riesgo, una clase sobre seguros, una clase sobre finanzas, una clase sobre psicología, una clase sobre comportamiento organizacional", cuando obtuve mi MBA. , las clases que tomé en la escuela de negocios estaban infinitamente más relacionadas con lo que hago día a día que las clases que tomé en la escuela de ingeniería. Y por eso me mata cuando veo que las universidades ponen sus programas de informática o seguridad en sus escuelas de ciencias de la comunicación o ingeniería. 100% el lugar equivocado.

Jason Clark: Estoy de acuerdo. Para mí, el MBA tuvo un impacto significativo en la forma en que veía a mi organización, a mí mismo y a mi función. Honestamente, obtener mi licenciatura fue insignificante para mí, ¿verdad? Realmente no cambió mi vida aparte de que obtuve la casilla de verificación que me apetece, pero obtener mi MBA cambió mi forma de pensar. Entonces eso fue significativo. Si volvemos atrás, mencionaste algo sobre las diferentes funciones, si tuvieras que reducir tu carrera y aceptar un puesto de nivel gerencial, por cualquier motivo, ¿en qué dominio te gustaría estar? ¿Cuál es su dominio de seguridad favorito en el que le gustaría operar a ese nivel?

Matthew McCormack: Entrenamiento, ¿verdad? Porque creo que para mí es una de las áreas absolutamente más críticas, ¿verdad? 100%, porque sigue siendo el 90% del usuario, ¿no? ¿Qué hace el individuo que expone? Gastamos millones y millones y millones en herramientas para evitar que alguien haga algo y luego miro el porcentaje de mi presupuesto, eso es capacitación y es minúsculo, pero así son las cosas. Y hay una tendencia dentro de la industria de la capacitación en seguridad que intenta ser más interactiva, más actual y arrancada de los titulares. Todavía es realmente difícil. Pero diré que una de las áreas que todavía está en el espacio de la ciberseguridad, que todavía está tan abierta para un pensamiento diferente de próxima generación, es la capacitación, ¿verdad? Porque así es como interactúas con la gente.

Jason Clark: Eso es acertado. Y puedes medirlo. Puedes medir las diferencias en los cambios, ¿verdad? Me encanta esa respuesta, Matt, porque te lo diré en muchas entrevistas, hago esta pregunta todo el tiempo. Como sabes, he contratado a más de 50 CISO en mi carrera, ¿verdad? Tengo 30 trabajando para mí en el pasado y tengo 10 aquí en Netskope, pero también hago muchas entrevistas para CISO y CIO en su nombre, ¿verdad? Tres CIO me están pidiendo que sea parte de su proceso de entrevistas que se encuentran en diferentes empresas en este momento solo desde el punto de vista de la amistad. Entonces, diría que he entrevistado a cientos de CISO en este momento y siempre hice esta pregunta: usted es el primer CISO que ha respondido a la capacitación.

Matthew McCormack: Probablemente porque soy un programador terrible. Probablemente sea por eso. Nunca querrás que codifique nada para ti.

Jason Clark: Generalmente es [inaudible 00:37:07] o "Oh, quiero estar cerca del negocio" y, más comúnmente, es "Quiero ser arquitecto". Quiero jugar con la tecnología", o me encanta el SOC. Me encanta pelear la pelea, ¿verdad?" Pero de vez en cuando, hay una persona que simplemente dice: "Me encantan las IR" y yo digo: "Oh, hay algo mal en eso". Ahí va tu vida. Estás bien con no tener nunca vacaciones y trabajar todos los viernes por la noche. Eso es genial." Eso es lo que es realmente único, Matt. Creo que eso es importante y creo que cualquiera que esté escuchando. En realidad, eso es algo en lo que pensar. Puedes hacer mucho con el entrenamiento. Hay muchas oportunidades ahí, especialmente pensando en inventar tecnología. Y sé que usted y yo en realidad estamos entrenando a una empresa que quiere hacer algo en este espacio. Así que deberíamos dedicar más tiempo a hablar de eso.

Jason Clark: Continuando, un poco más de tiempo aquí, algunas preguntas rápidas para usted, ¿verdad? Si pudieras hacer algo diferente en tu carrera o regresar a tus últimos roles de CISO, ¿qué harías diferente?

Matthew McCormack: Honestamente, creo que la retrospectiva es genial, ¿verdad? Creo que hubiera esperado que SaaS... No pensé que llegaría tan rápido como lo hizo. Pensé que tendría un poco más de tiempo para preparar mi infraestructura para el punto-punto como servicio. Llegó más rápido de lo que pensaba.

Jason Clark: Eso es común, ¿verdad? En realidad, lo curioso es que sabes que Netskope está en ese espacio, ¿verdad? Y por eso realizamos informes para las personas. Llegamos y la gente piensa que tiene como 100 SaaS y luego, cuando les mostramos, tienen 1000 o 2000 y les mostramos que el recuento de tráfico y que su tráfico SaaS es más de la mitad del tráfico que su tráfico web. Y simplemente entiendes esto: "Oh, guau". Y luego la siguiente oración dice: "Eso pasó rápido", ¿verdad? Es perfecto. Por eso hablamos de que usted dijo que el riesgo de terceros es el riesgo de más rápido crecimiento. Y creo que eso está impulsado por SaaS o la tecnología incorporada, como usted dijo, el ejemplo de SolarWinds. Entonces otro golpe rápido, ¿verdad? ¿Cómo es para usted la jubilación?

Matthew McCormack: No tengo idea. No creo que esté ni cerca de eso, ¿verdad? Estuve en el gobierno demasiado tiempo. Debo seguir trabajando. Creo que lo que realmente disfruto hacer fuera de las tareas operativas diarias de un CISO es ser mentor de muchos CISO, dar conferencias en universidades y asistir a escuelas secundarias. Pienso simplemente en promoción, y para mí, no se trata de promoción, "Así es como se protegen las redes". Esta es la razón por la que la PlayStation de su hijo está en riesgo". Promoción de simplemente alentar a las personas a ingresar en la disciplina. Caray, Jason, si miras hacia atrás en la UMA, es literalmente una suerte ciega, pero ciega, que caigamos en lo que creo que acaba de ser bendecido, ¿verdad?

Matthew McCormack: Si me hubieran dicho en 1997, cuando comencé a hacer esto, que la ciberseguridad se convertiría en la industria que es, nunca lo habría creído. Es sólo un aspecto de la suerte ciega y tonta. Pero ahora necesitamos más CISO, obviamente, ¿verdad? Porque hay millones de empresas, no hay millones de CISO. ¿Cómo ayudamos a crear una cartera de futuros líderes cibernéticos y también esa pirámide? ¿Cómo podemos incorporar a millones de personas más a esta disciplina y simplemente convencerlos de que no es necesario ser un científico de las comunicaciones o un ingeniero para hacer esto, verdad? Todo lo que tienes que ser curioso, ¿verdad?

Matthew McCormack: Lo que quiero es alguien que mire algo y diga: "Bueno, eso es interesante". Eso no tiene sentido. Déjame descubrir por qué." Esa es la persona que sería una buena persona de seguridad. Si eres alguien que mira algo y dice: "No entiendo por qué se ve así, pero voy a averiguar por qué", entonces eres el indicado para este campo, ¿verdad? Entonces, ¿cómo conseguimos que entre más gente? Cuando termine de operar, cuando esté listo para apagar mi teléfono los fines de semana y hacer cosas así, me imagino que pasaré mucho tiempo tratando de convencer o educar a los más jóvenes para que entren en el disciplina.

Jason Clark: Me encanta. En realidad, obviamente, ya estás empezando, lo estás haciendo ahora, ¿no? Simplemente lo vas a hacer más. Creo que hablaste sobre el espacio y cómo caímos en él. Sinceramente, pensé en dejar la seguridad en el año 2000, ¿no? Cada vez que aparecía el virus ILOVEYOU, pensaba: "Ya hemos resuelto esto". Le dije: "Es AV. Tenemos filtros de spam, ¿verdad?" Literalmente estaba empezando a aburrirme un poco y comencé a obtener mi CCIE. Pasé el escrito. Dije: "Oh, la voz es el futuro, ¿verdad? La voz sobre IP podría ser mi carrera". Literalmente me preocupaba que hubiera un callejón sin salida en materia de seguridad y luego el mundo entero cambiara, ¿verdad?

Matthew McCormack: Bueno, mire ahora después de COVID, cuando las empresas pasan del 2% de remotas al 98% de remotas en el transcurso de un mes, y aquí estamos, por muy loco que parezca, vamos a terminar impulsando dos años de COVID y empleo remoto. Obviamente, eso ha cambiado fundamentalmente el mundo. Basta mirar el valor de mercado de las empresas que ofrecen herramientas de colaboración en línea, ¿verdad? A través del techo. Entonces, ¿qué haces cuando no tienes gente en las oficinas? Y no se trata sólo de "¿Cómo puedo asegurar sus transacciones?" Ahora vuelves a entrenarlos. ¿Cómo los entrenas cuando no vienen a la oficina? ¿Cómo les haces...? Es más complicado entregar el portátil cuando te vas que no estás en una oficina.

Matthew McCormack: De repente, la seguridad ha sufrido otra curva y la industria ha cambiado, como usted dice: "Está bien, salió el virus ILOVEYOU". Sí, lo resolvimos. Tenemos AV. ¿Qué sigue?" Dios, si cada año nuestra industria no cambia, ¿verdad? El móvil lo cambió. Cloud lo cambió. Ahora el empleo remoto cambió la situación. Y habrá otro cambio en dos años. Creo que esa es una de las razones por las que nos hemos mantenido en seguridad: cada año es algo diferente.

Jason Clark: Las últimas tres preguntas aquí, pero son respuestas rápidas, son respuestas de 15 a 20 segundos, ¿verdad? Tres preguntas. Entonces, la primera es, ¿qué talento o habilidad no está en tu currículum?

Matthew McCormack: Eso no está en mi currículum. ¿Quieres decir que sí, pero no lo pongo en mi currículum?

Jason Clark: Eso que tienes, podría ser un hobby, ¿verdad?

Matthew McCormack: Sí, me encanta construir, ¿verdad? Ya sea un muro de contención. Cuando llegó el COVID, construí una casa en el árbol para mis hijos y no llegó a tener electricidad ni agua, pero aparte de eso, probablemente sea esencialmente una casita.

Jason Clark: Eso es genial. Muy bien, segundo, si no estuvieras en redes y seguridad, si no estuvieras haciendo lo que estás haciendo, ¿en qué otra industria estarías?

Matthew McCormack: En realidad, en la escuela, yo era ingeniero industrial, que diseñaba fábricas e investigaba operaciones y estadísticas. Me encanta porque se trata de tomar material no estructurado y limpiarlo en nuestro quirófano. Puf, esto es lo que... Me encanta ir a las fábricas y ver cómo se pueden modernizar las máquinas, mover todas las cosas. Eso fue fascinante para mí, pero la Marina dijo: "Puf, serías un mejor criptólogo", y aquí estoy, pero realmente disfrutaría o disfruté significativamente el diseño y las estadísticas de la fábrica.

Jason Clark: Parece que sabes cómo saberlo con tus hijos, ¿verdad? Puedes empezar a verlos y ya puedes ver sus talentos y habilidades. Entonces tengo a mi hijo de cuatro años, él es el constructor, ¿no? Él es el único que simplemente construye estos enormes sets de LEGO, de cuatro, y solo por su cuenta, simplemente se concentra en ellos y construye cosas en el jardín.

Matthew McCormack: Yo también tengo uno que es igual. Es curioso que a una edad muy temprana puedas ver exactamente esos mismos rasgos que mis padres me dijeron: "Lo hicimos, ¿verdad?" Y sí, también es interesante. Lo sé desde los 13 años, pero supe desde que él era joven que iba a ser ingeniero. Simplemente lo sabía.

Jason Clark: Lo mismo, ¿verdad? Mecánico, práctico, algún tipo de ingeniero también. El otro es más bien un científico. Quiere mezclar productos químicos y otras cosas, ¿verdad? Y luego, la última pregunta rápida es el mejor consejo si alguien lo llama y es CISO por primera vez.

Matthew McCormack: Y este es un consejo que doy, al igual que usted, me enorgullezco de haber ayudado a hacer crecer a muchas personas que ahora ocupan puestos de CISO. Y una de las cosas que siempre les doy es: "Estás en tu trabajo porque eres inteligente". Las personas con las que estás sentado en esa sala para reunirte están en sus trabajos porque son inteligentes. No eres la persona más inteligente de la sala. Siga los consejos de otras personas en la sala. Y la seguridad es una disciplina colaborativa, ¿verdad? Necesitará trabajar con el CTO, el CIO, el CFO, el asesor general y todas estas diferentes disciplinas.

Matthew McCormack: Entonces aprende a hablar sus idiomas, ¿verdad? Aprende a hablar abogado. Aprenda a redactar un caso de negocio porque si va a pedir millones de dólares para una iniciativa, el director financiero querrá saber cuál es su retorno. Comprenda que todas las personas con las que va a interactuar, todos sus compañeros, están en sus trabajos porque también son muy inteligentes. Así que hazlo sabiendo que eres una de muchas personas inteligentes, no eres la única persona inteligente".

Jason Clark: Me encanta. Creo que es un buen consejo. Una vez, en mi primera reunión de la junta directiva a los 26 años como CISO, entré y estaba nervioso. Yo estaba temblando. Y el presidente de esta compañía dijo: "Hijo, ven aquí" y dijo: "Escucha, aquí eres el experto, ¿verdad? Son tipos inteligentes, sí, pero están en los foros, pero no conocen lo cibernético como tú lo sabes. Eres el experto. Sea dueño de sus cosas, ¿verdad?" Y luego se volvió y dijo: "Y tengo otra cosa para ti". Y él dijo: "Aquí hay dos tomas de Johnnie Blue". Y él dijo: "Él será tu amigo". Vamos a volver. Empezarás en 15 minutos." Yo estaba como, "Está bien, eso funcionó". Y por cierto, nunca antes lo había tenido en mi vida.

Matthew McCormack: Y creo que todos tenemos historias. Y lo que descubrí es que normalmente tengo uno similar de cuando estaba en el IRS, donde estaba tratando de abogar por una nueva iniciativa cibernética y el jefe de la unidad de negocios con 26,000 personas, y dijo: "Oye, "Comencé la discusión con "Hijo", y lo que he descubierto en mi carrera es que cada vez que alguien comienza una discusión con "Hijo", generalmente va seguido de algún consejo, ¿verdad? Te dice algo que no sabes actualmente. Así que definitivamente he escuchado eso. Cada vez que alguien empieza, se acabó. Sucede menos ahora que me he hecho mayor. Pero cada vez que alguien iniciaba algo con "Hijo", sabía que lo que iba a seguir era algo que debía escuchar.

Jason Clark: Exactamente. Desde que eras niño, ¿verdad? Bueno, de todos modos, se nos acabó el tiempo, pero Matt, esto fue increíble. Muchas gracias. Esto fue divertido. Creo que hay muchas ideas geniales para todos y llegaron a conocerte aún mejor. Hagamos esto de nuevo y definitivamente volvamos y hablemos más sobre las cosas que podemos hacer juntos por la industria.

Matthew McCormack: Suena bien. Gracias, Jasón. Realmente lo aprecio. Fue muy divertido.

Rollo publicitario: el podcast de visionarios de la seguridad está impulsado por el equipo de Netskope. ¿Busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital? Netskope Security Cloud le ayuda a conectar a los usuarios de forma segura y rápida directamente a Internet desde cualquier dispositivo a cualquier aplicación. Obtenga más información en Netskope.

Narrador: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa y compartirlo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos vemos en la próxima.