0:00:00 Emily Wearmouth: Hola y bienvenidos a otra edición del pódcast Security Visionaries. Soy vuestra presentadora, Emily Wearmouth, y hoy me acompaña nuestra primera invitada de Brasil. Así que bienvenidos al programa, Nycholas Szucko. ¿Lo he dicho bien?
0:00:14 Nycholas Szucko: Así es. Acabas de clavar. Muchas gracias. Estamos muy lejos, pero podemos conectar y comunicarnos. Me alegro mucho de estar aquí hoy.
0:00:23 Emily Wearmouth: Así que déjame presentarte a los oyentes para que sepan por qué te hemos invitado. Nycholas está en seis tablas en este momento. Su currículum tiene mucho más, pero actualmente tiene seis años y también está muy implicado en la diversidad en los Consejos de Administración, que es la organización más grande del mundo para profesionales de nivel C y está activa en 15 países. Y los oyentes habituales lo sabrán. Siempre me gusta descubrir la historia de origen de nuestros invitados, de dónde vienen y por qué deberíamos escuchar sus consejos. ¿Por qué son visionarios de la seguridad? Y Nicholas, aunque tu carrera ha sido en el ámbito empresarial profesional, tus primeros días como analista de sistemas. ¿Es así?
0:00:59 Nycholas Szucko: Necesito decirte algo. Antes de que dos años me convirtiera en analista, yo era músico. Pensaba que iba a ser violonchelista. Uso para pagar al violonchelo durante 10 años. Yo uso para pagar la filarmónica menor aquí en São Paulo. Desafortunadamente, sabemos el reto de ser músico, especialmente por la música clásica y mi forma de tener éxito en mi carrera y ganar dinero para mi familia. Era ser programador informático, pero la música me ayudó mucho a tener éxito en mi carrera, como el jugador de equipo, cómo comunicarme con los otros instrumentos de la orquesta, tu grupo, cómo todos estudiaran y tocaran también. Bueno, al final eres parte de que solo te conviertes en una música. Toda esta experiencia increíble me ayudó mucho y leer lo que necesito aprender a jugar me ayudó a hacer la programación lógica de computación. Fue increíble cómo hacerlo, las cosas en nuestra vida han estado conectadas a lo largo del tiempo.
0:02:01 Emily Wearmouth: Sí. ¿Sabes? He oído antes y nos hemos desviado completamente de la obra inmediatamente, pero he oído que la gente que es muy buena en música suele ser muy buena en matemáticas. Así que esa relación entre leer música y escribir código, eso tiene sentido para mí. No tengo ni idea de por qué, pero tiene sentido.
0:02:16 Nycholas Szucko: Totalmente sensato, sí. Y después de eso fui a la universidad, empecé a estudiar informática, pero en ese momento era demasiado técnico y decidí convertirme en emprendedor a una edad temprana, como colega de la universidad. Unimos fuerzas para construir nuestra primera empresa. En ese momento no era ciberseguridad porque hace más de 20 años la ciberseguridad no era tan importante. Cuando abrí mi discurso, dije que desde la época en que el mayor desafío que teníamos en ciberseguridad era como una bandeja de entrada llena de spam o un ordenador con un virus que simplemente dejaba los ordenadores bajos, no más que estos. Y, desde luego, después de eso la ciberseguridad evoluciona mucho. El reto también. Y yo inicio haciendo este tipo de iniciativas para conectar no solo el lado técnico sino también el de negocio. Y cuando miro atrás, creo que esa es la gran razón. Es porque inicio interpretándolo al principio de mi carrera.
0:03:15 Emily Wearmouth: Bueno, has dado en el clavo en algo que me encanta en el momento en que volvimos a los días dorados, cuando había muy pocas amenazas, pero la ciberseguridad Ahora es absolutamente más grande, más importante. Hay riesgos mucho mayores ahí fuera. Y eso significa que los líderes de seguridad dentro de la Organización se están encontrando, incluso como un cambio en la última década, mucho más expuestos a conversaciones empresariales, la alta dirección y la junta quieren saber lo que están haciendo. Los riesgos que están gestionando están en el radar de la junta. Y creo que es interesante, y de lo que vamos a hablar hoy es cómo es que personas que quizá han surgido por una formación técnica o incluso un departamento que, en cierta medida, pudo hacer su trabajo de forma relativamente discreta, están ahora en el centro de atención de la junta. ¿Qué habilidades adicionales necesitan las personas para navegar esas relaciones y alcanzar los éxitos que saben que están persigo? Y voy a centrar gran parte de la conversación hoy en una investigación que salió a finales del año pasado, los oyentes pueden ir a buscarla. Se llama Conversaciones Cruciales. Y los investigadores hicieron un trabajo realmente extenso. Hablaron con CEOs de todo el mundo y les preguntaron cómo están trabajando con sus líderes tecnológicos dentro de su organización. ¿Qué quieren de ellos, qué no funciona? Luego fueron y hablaron con el CIO y les devolvieron eso y entonces obtuvieron la perspectiva del CIO. Luego hicieron otra ronda en la que entraron en el equipo del CIO y hablaron con un nivel de VP, personas muy involucradas en la infraestructura de Intentar, para entender cuán visibles son estas conversaciones y hasta qué punto son capaces de aplicar lo que quieren los líderes empresariales a las decisiones que toman día a día. Así que esa es la investigación de fondo y hay un montón de puntos de datos y hoy os voy a lanzar algunos de ellos, Nycholas, para escuchar vuestras opiniones, consejos y opiniones sobre cómo deberíamos avanzar. Así que la primera pregunta que quiero hacerte está relacionada con un punto de Datos que me sorprendió. El 39% de los líderes tecnológicos informan completamente desalineados con su CEO en decisiones clave, completamente desalineados, 39% y 31%. Así que casi un tercio ni siquiera está seguro de poder decirte lo que quiere su CEO. Entonces, ¿cómo debería un líder de seguridad, cómo debería un CISO Inicio para cerrar esta brecha de alineación y entender lo que quiere el CEO, y luego aplicar eso a lo que hace?
0:05:40 Nycholas Szucko: Desde mi punto de vista, todo se basa en la comunicación. Por mucho que queramos que el nivel del consejo, el nivel C, entienda el lenguaje de ciberseguridad, y aunque el lenguaje tecnológico del CIO, el CTO, necesitamos entender que el nivel del consejo y el nivel C tienen muchas responsabilidades y una agenda completa para diferentes materias completas. Tienen lo fiscal, la macroeconomía, lo tienen todo en su plato, necesitan encontrar la manera de priorizar. Y sí, la ciberseguridad puede generar un gran impacto, pero un contrato desalineado, este tipo de cosas tan importantes que ocurren en todo el mundo pueden romper realmente a una empresa. Y cuando entendamos que es nuestro trabajo, aprendemos más sobre el negocio, aprendemos el lenguaje que hablan, que esté completamente alineado con el riesgo, la exposición y el impacto empresarial. Y tenemos que decirles que somos una parte clave de la estrategia para garantizar la continuidad del negocio. No, reducir el impacto, aumentar el nivel de madurez de nuestra operación y proteger la sucursal. Somos los guardianes de proteger la marca, pero como CISO, CIO, CTO técnico, tenemos que dar un paso adelante, aprender del negocio y hacer la traducción para ellos porque, como os dije, la placa está llena de temas diferentes y es difícil de entender. Y cuando Inicio decimos cosas técnicas, generamos una desconexión, un desalineamiento, y creamos esa distancia entre la placa, el nivel C y el CISO y el CIO.
0:07:17 Emily Wearmouth: Hay algo interesante cuando hablamos de comunicación o de estas habilidades Nuevo que los líderes necesitan adquirir. Hay mucho énfasis en la parte de hablar en la comunicación, pero la comunicación implica muchísima escucha. Si no, no es comunicación, es solo hablar. Y ese punto de Datos va muy al fondo para mí, que no se trata solo de si el CEO entiende la tecnología. Ya hablaremos de eso en un momento, pero se trata de si el líder de seguridad entiende al CEO y escucha lo que quiere la empresa. Y me pregunto si existen foros o entornos en los que los líderes de seguridad puedan situarse para escuchar y absorber mejor lo que la empresa quiere para ayudarles cuando están reproduciendo cosas.
0:08:02 Nycholas Szucko: Sí, aprendemos mucho a hablar pero muy poco a escuchar. Y para una comunicación exitosa, necesitamos asegurarnos de que las demás partes lo entiendan porque debemos recordar el nivel C y la placa. Tienen mucha experiencia. Tienen una carrera llena de diferentes escenarios. Ellos pueden tomar decisiones, pero necesitamos informar los indicadores, el riesgo en el que estamos en este escenario y compartir con ellos toda la información posible para una mejor decisión. Porque tenemos que recordar que, al final del día, es una decisión empresarial, va a invertir o no. Va a reducir el riesgo o no depender del apetito del riesgo. A veces, debido a que la empresa necesita adquirir más mercado en este periodo, va a asumir más riesgos. Es natural que la empresa tenga este periodo de tiempo. Pero ahora mismo que soy dueño del mercado, necesito proteger mi negocio, voy a invertir más en ciberseguridad y cuando haga mi discurso para los CISOs o los CIO, intento aportar algunas técnicas que necesitan aprender para ser más eficientes en este tipo de conversación. El pódcast que tengo con ese nombre es Board and Board Members con el CSO de Bradesco Bank. Es un profesional increíble, Glauco Sampaio. Es otro tipo que está centrado en el miembro de la junta, ahora estamos hablando de eso. ¿Cómo son esas habilidades Nuevo que necesitan tener el CSO y los CIOs? Es comunicación, sin duda. Contar historias. Tenemos que encontrar una forma de contar la historia de la manera que conecte y tenga sentido. Al final del día, necesitamos tener algún tipo de habilidad para vender. Sí, tenemos que vendernos a un profesional. Tenemos que vender el proyecto a la junta para que lo aprueben. Eso es muy importante. La parte financiera también es muy importante porque, cuando presentamos de forma en medio, es muy difícil decir que la ciberseguridad va a generar retorno de la inversión. Pero sí, podemos proteger el precio de la opción sobre acciones. Sí, podemos ayudar a reducir el riesgo porque el impacto va a ser, ahora son 20 millones pero podemos reducirlo a 10 millones. Este tipo de conversación, o la forma en que presentamos el presupuesto anual, es importante aumentar la probabilidad de aprobarlo y hacer que tu proyecto se haga realidad. Comunicación, narración de historias, habilidades de venta. Y sí, aprende un poco sobre finanzas que te ayudarán en tu carrera y harán que la tuya tenga éxito.
0:10:37 Emily Wearmouth: Algo más que se ha reflejado en la investigación, y voy a dar aquí tanto la pronunciación del Reino Unido como de Estados Unidos. Los CEOs querían un teniente de confianza para el oyente estadounidense, quieren un teniente de confianza. Hablaban de alguien que habla el lenguaje de los negocios, alguien con quien puedan trabajar. Pero esa palabra de confianza me parecía muy importante. Y me pregunto, ¿cómo se pasa de ser teniente a ser un teniente de confianza? ¿Cómo se da un paso adelante ante los ojos del CEO y se construye esa confianza?
0:11:04 Nycholas Szucko: Por mi experiencia, tienes que ponerte en un puesto al que vayas a servir. Sí, vamos a encargarnos de las tuberías, sí, vamos a encargarnos de los trabajos sucios para la ciberseguridad, no solo para la tecnología, sino para Intentar para educar a todos. Colócate como comunicador, aumentando el alcance entre otras áreas. Y en cuanto estés disponible para alguien de nivel superior, seguro que construyes esa conexión con un asesor de confianza. Va a contar cosas buenas de ti en el próximo. Y la cantidad de tiempo y energía que invertamos en esta primera se va a reducir durante el próximo, quizá después de un año o dos años. El tiempo no es de un día para otro. Presta servicios, comunica en su idioma y sé proactivo. A veces, cuando surge algo en las noticias, traducir su idioma, el idioma de tu empresa y compartirlo como parte de la formación, una formación para esos niveles de aprobación. Y después de uno o dos años, tendrás la oportunidad de hacer una presentación de 10 minutos ante la junta. Eso va a ser increíble. Necesitas entrenar mucho porque presentar ante la junta, tienes que estar concentrado, necesitas obtener números, referencias, y hacerlo en solo 10 minutos. Es un gran desafío. Inicias con vigilancia, servicio, ayuda, apoyo a la operación, y seguro que encontrarán tu lugar en el escenario y tendrán la oportunidad de presentarlo ante la junta.
0:12:38 Emily Wearmouth: Antes de hacer la siguiente pregunta, solo quiero reconocer lo obvio. El sol ha salido aquí en el Reino Unido, Ahora. No ha sido algo desde que empecemos a grabar vídeo para nuestros episodios hace mucho tiempo en otoño. Así que no habíamos previsto lo que podría pasar cuando llegara el inicio de verano al Reino Unido. Así que pido disculpas si me pongo realmente, realmente brillante mientras el sol se asoma entre las nubes en este precioso día de primavera. Otra cosa que quería captar de la investigación fue el amplio espectro que los directores generales recibieron en cuanto a su comodidad con el riesgo. Y antes lo insinuaste en que el mundo ha cambiado bastante. Y aunque incluso hace cinco años pensábamos que el riesgo es malo, queremos evitarlo. Pero en realidad, en los negocios actuales, no se puede evitar el riesgo y a través del riesgo residen las recompensas. Así que algunos CEOs se sienten mucho más cómodos asumiendo riesgos que otros. Y me pregunto, ¿tiene algún consejo para ayudar a los líderes de seguridad a determinar qué nivel de comodidad en cuanto a riesgo tiene su CEO? Porque no es algo uniforme en todos los ámbitos. Cada CEO va a ser diferente. ¿Cómo psicoanalizas a tu CEO para determinar su comodidad con el riesgo?
0:13:48 Nycholas Szucko: Tenemos que estudiar mucho incluso antes de la primera reunión. Estudiamos de la experiencia previa de este CEO o de los miembros del consejo. Algo que hago últimamente es que, cuando tengo a los miembros de la junta que tengo que estar al frente durante una presentación, hago algunos juegos de rol con la IA. Creo las personalidades de cada miembro de la junta y hago algún tipo de interacción para entender la reacción y estar bien preparado para la siguiente reunión. Es una pieza de Dispositivo realmente buena que puedes hacer que todos estén bien, ahora tuviste la oportunidad de hacerlo y te preparaste bien.
0:14:29 Emily Wearmouth: ¿Cómo haces eso, Nicola? ¿En esa? ¿Estás construyendo pequeñas versiones de IA de ejecutivos individuales con los que trabajas o buscas una especie de comprensión genérica de sistemas de IA de un CEO o CFO?
0:14:42 Nycholas Szucko: Exacto. Y pueden guiarme sobre la mejor forma de comunicarme o una palabra específica que vaya a captar la atención o el enfoque que necesito desde el principio para asegurarme de tener éxito. Cuando hago este tipo de preparación, me siento más cómodo delante de los miembros de la junta porque necesito deciros que, incluso teniendo mucha experiencia, tengo mariposas en el estómago cuando participo en una reunión importante, por lo que mi presentación va a ser prepararme mejor. Mi reunión. Y voy a sentirme más cómodo con eso. Y nos ayudo a entender primero el perfil de esta participación y el sector en el que trabaja esta empresa. Solo un ejemplo: cuando hablamos con startups, son ágiles, pueden asumir más riesgos. No, y están, ¿cómo decirlo?, dispuestos a hacerlo por el perfil de la empresa o quizá por la edad de los directivos. Pero cuando vas al Sector, es un escenario completamente diferente. Pero sí, ahora sí, no. Los ciberataques pueden afectar a las plantas con ataques y generar un gran impacto en el proceso de producción de la planta. No, pero entendemos que son más adversos al riesgo. No. ¿Cómo posicionarás tu pitch con alguien que sea más averso al riesgo? Mi sugerencia sería primero entender la mirada profesional hacia atrás sobre su carrera. Podemos ver que esos niveles de entrevista en podcast hacen esos niveles para que tengas una mejor comunicación. Y segundo, entiende el vertical, entender el vertical, cuánto riesgo está dispuesto a asumir. Vas a tener mucho éxito en la comunicación y en la reunión.
0:16:31 Emily Wearmouth: Así que quiero entrar un poco en detalle con vosotros, Ahora, porque sabemos que los CEOs no quieren saber demasiado sobre lo que ocurre en su pila tecnológica y quieren que sus líderes puedan resumir las cosas y aportar las métricas clave que les son pertinentes. Pero lo que resultó constante a través de la investigación fue que los CEOs expresaron una frustración en esta caja negra de tecnología, donde quizá en el pasado usaban usar para poder ver racks físicos en un centro de datos y les parecía más lógico. Ahora todo está en la nube, todo es un poco más virtual y están realmente luchando, y buscan a sus líderes de seguridad que les ayuden a explicar un poco más lo que está pasando. Y también se retomó con la investigación realizada a nivel de vicepresidente, donde el 61% de los vicepresidentes tecnológicos informaron que su CEO está frustrado por esta falta de transparencia en infraestructura. Y me pregunto, ¿qué opinas tú al respecto? ¿Y hasta dónde deberían llegar los líderes de seguridad y tecnología para intentar explicar lo que ocurre dentro de la caja negra?
0:17:27 Nycholas Szucko: Creo que necesitamos un enfoque diferente, incluso con tanta tecnología que tenemos, ahora mismo. Muchas veces uso usar la pizarra para hacer explicaciones genéricas, muy básicas de la arquitectura, solo las cosas principales. Y siempre uso usar a diario. Por ejemplo, solo un ejemplo, doble factor de autenticación, doble factor de autenticación. Es una taquilla, dos taquillas. Y cuando hablamos de proteger capas, tienes tu muro y el muro de la calle dentro de tu puerta y la caja fuerte dentro de la casa. Intentar traer ese tipo de ejemplos. No va a ser demasiado de la cola, pero haz la pizarra blanca, haz estos ejemplos correlacionados porque les va a dejar claro qué tipo de arquitectura e incluso los escenarios Intentar deben traducirse para el lado empresarial. Solo un ejemplo: cuando trabajaba para el Sector, tenían todo el equipo necesario para entrar en la planta, el casco y todo lo demás. Esto es lo que necesitamos hacer para nuestros datos, pero el lenguaje del sector es completamente diferente al del área financiera. Ahora Intentar para correlacionar esos escenarios porque será más fácil de explicar para que el público te entienda. Y cuando te das cuenta de que están aumentando, el número de preguntas o preguntas está más relacionado. Lo que intentas explicar es cuando te das cuenta de que estás teniendo éxito en esta comunicación. Cuando llegas a una reunión, simplemente hablas y sales sin preguntas ni interacciones, no va a ser una buena reunión y quizá no te inviten a estar en la sala de nuevo.
0:19:14 Emily Wearmouth: Sí, puede que salgas corriendo de la sala pensando uf. Me salí con la mía. Nadie tenía preguntas. Pero en realidad es una pista de que posiblemente no estaban interactuando con lo que decías y las preguntas suelen ser algo positivo.
0:19:25 Nycholas Szucko: Exacto.
0:19:26 Emily Wearmouth: Quiero hablar sobre la IA agente. Creo que hubo una estadística de Gartner, la tengo aquí para 2028, que calcula que el 15% de las decisiones empresariales diarias se tomarán de forma autónoma mediante IA agente Usar. Así que, en 2028, solo dos años, el 15% es bastantes decisiones empresariales tomadas por máquinas en lugar de por humanos. Y me preguntaba si este auge de la fuerza laboral agente, si están viendo que cambia la forma en que los consejos de administración ven a los líderes de TI, ¿los están viendo más parecido a los líderes de RRHH? ¿Está cambiando su papel de alguna manera porque ahora son vistos como los amos de esta fuerza laboral de Nuevo de alguna manera?
0:20:04 Nycholas Szucko: Sí. Un ejemplo que le estaba dando a una empresa minorista: ¿puedes imaginar que tu departamento de compras sea solo agente de IA y que cada agente de IA tenga su propia identidad, su propia tarjeta de crédito para poder tomar la decisión y finalizar las transacciones? Y cuando hablamos de eso en el primero, dicen que no, que es imposible. No, es posible justo ahora. Y vas a reducir el coste de demasiados en la adquisición. Sí, al principio hay que recordar que hay que aumentar la inversión para el primer año es más inversión que retorno porque necesitamos invertir en ciberseguridad, protección de datos y el proyecto para implementar este tipo de departamento de IA para ti. Pero después de eso será increíble lo productivo y las ideas que este departamento va a aportar a tu negocio. Y cuando hablamos de este tipo de enfoque, el CISO, el CIO, pueden desempeñar un papel muy importante para ayudar a entender en profundidad la tecnología que se traslada al negocio, pero ser quienes lideren el proyecto tomando la mano del líder de compras. Porque el responsable de compras lo sabe todo sobre el departamento, el proceso y todo lo demás. Y el CIO puede enseñar cómo la tecnología puede ayudar en esos procesos en las tareas diarias y puede ser un trabajo en equipo realmente bueno, por así decirlo, alineado con el negocio.
0:21:35 Emily Wearmouth: Sí, trabajo en equipo como la orquesta de la que hablabas al principio.
0:21:38 Nycholas Szucko: Buena idea.
0:21:43 Emily Wearmouth: Muy bien. ¿Qué más quería interrogarte hoy? Oh, aquí hay una. Así que una frustración que surgió de los equipos técnicos dentro de la investigación fue que se incorporaban demasiado tarde al ciclo de planificación estratégica, ya que las decisiones ya se habían tomado, incluso dentro de las unidades de negocio de grandes iniciativas de IA o de nuevos proveedores de nube que se incorporaban a la Organización y que siempre estaban intentando ponerse al día. Y creo que el 63% de los líderes de TI dijo sentirse completamente alejado de las conversaciones estratégicas que influyen activamente en las decisiones de TI. ¿Cómo pueden las personas involucrarse mucho antes en esas conversaciones? ¿Cómo se pasa de ser reactivo a ser casi consultivo, supongo, dentro del negocio?
0:22:28 Nycholas Szucko: ¿Recuerdas nuestras conversaciones anteriores sobre prestar los servicios a la otra persona, al otro departamento? No, tenemos que ser proactivos porque no va a cambiar de noche a día. No va a ser algo forzado. Ahora tienes que involucrar la ciberseguridad para mañana. Y esto es difícil. Intenta ser proactivo, programa una reunión, la primera reunión solo para entender el departamento. Segundo, solo para entender las necesidades. Tercero, tener más conversaciones de ida y vuelta sobre las posibilidades. Y esta persona entenderá que no estás ahí para bloquear los proyectos porque, recuerda que muchos CIOs y CISOs del pasado tienen este tipo de enfoque. No vas a lanzar el producto, no puedes hacerlo. Que necesitas estar alineado como socio que permita al negocio, al producto Nuevo, pero siempre compartiendo el riesgo y el posible impacto. Y la decisión final, debes recordarla, no es tu decisión, es una decisión empresarial. ¿De quién es el propietario del producto? El CEO que dirige la empresa. Vas a ser un muy buen alineado si puedes aportar toda la información posible. Ayuda en este proceso educativo para poder participar desde el principio. Va a llevar tiempo, pero tienes que empezar a hacerlo bien ahora. Y recuerdo a un Caso de una gran empresa financiera aquí en Brasil que pudo, ¿cómo decirlo?, infiltrar a una persona del equipo de ciberseguridad en cada escuadrón de la empresa. Pero sí, las habilidades de esta persona infiltrada en ciberseguridad no eran las más técnicas, eran las que tenían mejor comunicación y negociación. La negociación es otra habilidad muy importante para todos.
0:24:24 Emily Wearmouth: Es interesante porque, si piensas en lo grande que está la organización organizada, muy a menudo su equipo de RRHH tiene dentro del departamento, su socio de negocio alineado con otras unidades de negocio y el equipo financiero tiene socios de negocio alineados con marketing, por ejemplo. Pero el equipo técnico no suele hacer de socio comercial, quizá en la organización más grande, pero tampoco suele hacer socios de la misma manera de infiltrarse en todos los demás equipos y tener a alguien trabajando directamente con ellos para anticipar estos proyectos de antemano o cuando inician y Inicio los influye inmediatamente.
0:25:01 Nycholas Szucko: Exacto. Creo que es un enfoque realmente, realmente bueno para tenerlo. Y la segunda es que el proceso educativo se extiende a la empresa. No es solo en el mes de ciberseguridad en noviembre cuando vas a tener los seminarios, los ponentes, necesitas encontrar la manera de poder hablar sobre el tema mensualmente. No, solo un ejemplo. Cuando trabajamos en un sector, tienen un minuto para la seguridad. Cuando el gerente general de la planta inició la reunión, dijeron algo. Desgraciadamente, cuando ocurre un incidente, ocurre un incidente. Por eso, el proceso o procedimiento de Nuevo es este de Nuevo. Va a tener un entrenamiento las próximas semanas. Todos deben estar atentos por la seguridad de todos aquí. Por qué no puedes dedicar ni un minuto a la ciberseguridad. No hay que tener por seguridad, que tengamos también por la seguridad. pero necesitas entender esas dinámicas y que el Intentar forme parte o mitige. Replica el mismo enfoque porque ya está funcionando. No necesitas reinventarlo todo.
0:26:07 Emily Wearmouth: Quiero hablar de, bueno, aquí los llamamos tiritas, tiritas. No sé qué portugués es para la tirita o para el yeso, pero de eso vamos a hablar a continuación.
0:26:16 Nycholas Szucko: Tirita nos resulta muy interesante.
0:26:18 Emily Wearmouth: La tirita funciona. Vale, vamos a hablar de tiritas. La investigación encontró que a menudo se dan tiritas en las compras tecnológicas precisamente porque falta apoyo en los niveles superiores para hacer que sean cambios más estratégicos que todo el mundo sabe que deben ocurrir. Todo el mundo sabe que estas tiritas son soluciones a corto plazo que intentan solucionar un problema pero que posiblemente acaban creando otro más adelante. Y la investigación del CIO encontró que el 36% de ellos, por lo que un tercio, pensaba que su negocio estaba invirtiendo en infraestructura de TI pero aún así llevaba a parches en lugar de a más soluciones arquitectónicas. Y me preguntaba si tenías algún consejo sobre cómo un líder ayuda a mover esa inversión desde que, aquí va un problema, y vamos a solucionarlo, a que te voy a guiar por lo que puede parecer bastante aterrador, pero vamos a hacer una modernización grande y adulta para poder usar menos tiritas en el futuro. ¿Cómo cambias esa conversación?
0:27:18 Nycholas Szucko: Solo un ejemplo de mi carrera: trabajaba en un gran proveedor de nube. Empecé a trabajar un año antes de la pandemia y cuando llegara la pandemia, todos tendrían que pasar a la nube al día siguiente. Y cuando deciden pasar a la nube, hacen el movimiento tal cual. De la misma manera que hay aviones dentro de mi centro de datos, yo me muevo a la nube. No es solo un desastre desde la perspectiva de la ciberseguridad porque la superficie del ataque es mucho más grande. Un pequeño problema se convirtió en un gran problema. Pero el consumo, porque si operas igual que en nuestro centro de datos, la facturación a final de mes será enorme. Era la primera vez que intentaba lidiar con este tipo de situación. Cuando eres una empresa nativa en la nube, creo que es fácil porque puedes obtener todos los beneficios. Iniciamos la programación de la nube, los contenedores y todo lo demás. Pero debemos recordar que muchas empresas que son del negocio tradicional. Sí, tienen parte del negocio en la nube, pero tienen mucho legado. Esta sugerencia es que tenemos que cortar en pedazos porque no van a resolverlo todo de un día para otro. No, lo primero que sugiero es incluir un plan de las capas de ciberseguridad que tienes en toda la empresa. El número que vi en el pasado es que para las grandes empresas tienen al menos 70 productos para proteger a la empresa y alrededor de 30 proveedores para apoyar este proceso. Ahora tenemos la tecnología que exactamente por eso no podemos tener un enfoque Plataforma de los setenta actores en ciberseguridad. Quizá tengas 30 buenos, quizá 20.
0:29:06 Nycholas Szucko: Y con este enfoque de Plataforma, puedes iniciar la incorporación en esta arquitectura Nuevo, todo el proceso, los productos. Y por favor, entiende que vas a tener quizá un 5% de la tecnología que estará en tu centro de datos en un ordenador pequeño que no podrás actualizar. Pero será en una habitación oscura con mucha vigilancia para evitar que alguien entre, sin exposición a internet. Pero es un proyecto que tienes que decir, estamos aquí. El proyecto en tres años debe estar ahí para reducir el riesgo, aumentar la eficiencia y Intentar para hacer alguna consolidación. Porque recuerda, si tienes 70 productos para ciberseguridad, vas a tener muchos compartimentos silos y es imposible conectar todo igual y encontrar un incidente con demasiados eventos.
0:29:58 Emily Wearmouth: Sí. Y supongo que es cuando te encuentras con una crisis de habilidades porque necesitas especialistas para cada elemento dentro de tu stack. Vas a tener problemas de equipo. Sí, exactamente. Así que supongo que lo que dices es construir una estrategia de Plataforma, pero luego puedes adoptar un enfoque paso a paso moviendo diferentes partes del negocio hacia ella. Pero si tienes la Plataforma adecuada, con el tiempo puedes añadir cosas para avanzar en la dirección correcta sin que sea un gran shock para el sistema.
0:30:26 Nycholas Szucko: Así es. Y el último consejo sobre eso sería centrarse en lo más fácil. Porque, ¿te imaginas después de tres meses? No. En la siguiente reunión de la junta, ya se muestra mucha consolidación, quizá reduciendo el coste del contrato principal o haciendo un mejor contrato porque podemos consolidar más tecnología por el mismo precio. Cuando das esta victoria para la próxima reunión, vas a ganar puntos. Esto es un juego de ganar puntos para conseguir más espacio en la reunión y más, cómo decirlo, responsabilidad en este proceso también.
0:31:00 Emily Wearmouth: En el Reino Unido los llamaríamos puntos extra que ganas puntos con un equipo de liderazgo ideal para la alta dirección.
0:31:05 Nycholas Szucko: Mucho mejor.
0:31:08 Emily Wearmouth: Nycholas, ha sido una conversación enormemente interesante y lo agradezco mucho, básicamente os he lanzado puntos de Datos y habéis dado sentido a las cosas y nos habéis dado enfoques realmente constructivos y muy prácticos que nuestros oyentes pueden tomar a Usar, la motivación de quizás algún mal comportamiento que el punto de Datos nos está mostrando y cómo pueden mejorar y mejorar las cosas dentro de su propia Organización. Así que realmente agradezco toda la perspectiva y conocimiento que nos habéis aportado hoy.
0:31:35 Nycholas Szucko: No, es un placer para mí estar aquí. Espero que el público pueda entender mi inglés. Quizá puedas poner algún subtítulo aquí para que todo el mundo lo entienda, pero fue increíble tenerlo.
0:31:46 Emily Wearmouth: Brillante.
0:31:47 Nycholas Szucko: Gracias. Y estoy aquí básicamente en Brasil. Toda mi experiencia vino de América Latina gestionando el negocio aquí. Debemos recordar que somos una región emergente. Quizá las cosas que, solo para aclarar, las cosas que comparto aquí para una región más madura, no van a resonar. Pero siempre podemos sacar buenas ideas para esta conversación increíble. Y gracias por la oportunidad, Emily.
0:32:12 Emily Wearmouth: Creo que mucho de lo que has dicho realmente resonará y será muy útil para empresas de todo el mundo. Has estado escuchando el podcast Security Visionaries y yo he sido tu presentadora, Emily Wearmouth. Echa un vistazo a nuestro catálogo en Spotify, podcasts de Apple o YouTube para otros episodios brillantes con excelentes expertos que ofrecen información muy útil. Todos son presentados por mí o por mis copresentadores, Max Havey y Bailey Popp. Y te veré la próxima vez.
){kind=icon}
