0:00:01.5 Bailey Harmon: Hola, y bienvenidos a otro episodio del podcast Security Visionaries, un programa en el que hablamos con líderes en el espacio de la seguridad y las redes sobre cómo están navegando con éxito el panorama cambiante actual en su respectiva Organización. Soy su anfitrión, Bailey Harmon, y hoy me acompaña Dan Whittingham, arquitecto de seguridad empresarial para herramientas cibernéticas en Rolls-Royce. Dan compartirá un poco más adelante, pero para aquellos que no lo saben, Rolls-Royce desarrolla y ofrece soluciones complejas de potencia y propulsión para aplicaciones críticas de seguridad en el aire, en el mar y en tierra. Hoy, Dan se une a mí para compartir sus perspectivas sobre las tendencias del sector y las observaciones que ha estado experimentando en relación con muchos estándares de cumplimiento globales que están en constante evolución. Así que bienvenido, Dan, entremos en materia. Cuéntame un poco sobre ti y tus antecedentes.
0:00:56.1 Dan Whittingham: Sí, gracias Bailey. Sí, soy Dan Whittingham. Llevo 12 años trabajando en Rolls-Royce. Y una de las primeras preguntas comunes que recibo es si tienes un auto de empresa, pero ya lo has cubierto con la introducción. Quiero decir, el hecho de que seamos una empresa de defensa opera a nivel mundial, la defensa y la aeroespacial civil, junto con los sistemas de energía, fabricaremos grandes motores de gasolina y diésel para la tierra y el mar. Así que, como dije, empecé a salir de Rolls-Royce hace 12 años. Así que sí, Inicio, como administrador de seguridad informática, se convirtió en especialista en seguridad informática, trabajando con proyectos y eso. Y luego pasé a la función de aseguramiento de la información, analizando la gobernanza de los datos y eso. Y luego salí de eso y me dediqué a la arquitectura de soluciones. Y luego, recientemente, asumí el papel de arquitecto empresarial para herramientas cibernéticas.
0:01:41.0 Bailey Harmon: Uau. Por lo tanto, en el ámbito de la seguridad y la arquitectura, ha desempeñado muchos roles diferentes. Estoy seguro de que con todos esos sombreros diferentes han venido muchas regulaciones diferentes que has tenido que sortear y gestionar a lo largo de los años. Sé que, personalmente, me da un dolor de cabeza pensar en el creciente número de acrónimos de cumplimiento, por ejemplo, que parecen estar aumentando. Sé que están establecidos por una buena razón, pero están causando un poco de dolor para los equipos de seguridad como tú. Así que tal vez me expliques, ¿cuáles son algunas de esas principales regulaciones globales que realmente estás tramitando ahora mismo?
0:02:14.1 Dan Whittingham: Sí, estoy totalmente de acuerdo con esa afirmación sobre dar dolor de cabeza, definitivamente es diferente todos los días. Así que para mí, trabajar en una organización de defensa es todo un reto. Y lo que quiero decir con desafiar es que trabajo en una organización global, trabajamos con diferentes gobiernos, lo que significa que tenemos diferentes leyes locales y regionales, además de trabajar en la obtención de acreditaciones para garantizar que podamos presentar ofertas para futuros trabajos. Y, obviamente, el objetivo final es garantizar que seamos un negocio sostenible en crecimiento en los próximos años. Así que vamos a volver a su pregunta sobre las regulaciones clave que estamos analizando y estamos abordando Ahora. Para el Reino Unido, tenemos Cyber Essentials Plus, que es el gobierno del Reino Unido, tenemos NIST 2, ERSA, CMMC, por lo que es una certificación de modelo de madurez de seguridad cibernética, y hay tres niveles de los que puedo hablar más adelante. Pero para el marco CMMC, se basa en el estándar NIST 800-171. Así que, de todos modos, es un buen conjunto de directrices, y se están basando en ellas. Y luego tienes tres niveles, nivel uno, nivel dos, nivel tres. Y para nosotros, estamos trabajando hacia el nivel tres, perdón, el nivel dos, que es toda la información controlada e identificada porque operamos y trabajamos con el Ejército de los EE. UU. y la Defensa de los EE. UU.
0:03:27.1 Bailey Harmon: Sí. Hablando de CMMC, la otra semana asististe a un taller bastante pesado e intenso, ¿verdad? Cuéntame un poco sobre eso. ¿Cómo influyó eso en lo que estás haciendo bien ahora y también tal vez ayudó a levantar algo de la moral del equipo mientras trabajas en estas regulaciones?
0:03:42.7 Dan Whittingham: Hay muchos, muchos desafíos, pero para elegir un par de ejemplos, diría que estamos tratando de cumplir con los requisitos de cumplimiento. Así que tenemos soluciones existentes. Ya tenemos una gran presencia en los EE. UU. e Indianápolis, pero debido a que tenemos soluciones existentes, realmente tenemos que reevaluar cómo operamos y qué funciona. Y también lo que funciona para un gobierno puede no funcionar para el otro. Y eso es lo que estamos encontrando. Y entonces es ese equilibrio y comprensión de lo que realmente necesitamos cumplir desde una perspectiva de requisitos, como mencioné, nosotros, CMMC nivel dos. Y también cuál es el compromiso. Tenemos que segregar los sistemas. Contamos con apoyo adicional. Tenemos costos adicionales. En algunos casos, tenemos productos y soluciones de Nuevo que necesitan más inversión. Y luego tenemos que tener esas conversaciones con los líderes de TI, con los consejos de inversión. Así que sí, es un equilibrio fino y es muy desafiante. Y como digo, volviendo a tu analogía sobre el dolor de cabeza, hay semanas en las que simplemente te alegras de dejar el teléfono y pasar a otra cosa, porque si fuera fácil, todo el mundo lo estaría haciendo, claramente. Pero obviamente esto tiene un efecto dominó en los costos operativos y sus ejecutivos de TI quieren obtener más beneficios financieros que eso. Obviamente, la inversión en TI es necesaria para asegurarnos de que tengamos ese crecimiento futuro.
0:05:00.5 Bailey Harmon: Sí, siempre es un equilibrio. Y me encanta que digas compromiso porque sé que personalmente el compromiso es realmente difícil de hacer en mi propia vida y es aún más difícil en el mundo profesional. Por lo tanto, tienes que tener muchas de las habilidades técnicas de las que estás hablando, pero también tienes que tener esa empatía y también una mentalidad estratégica para lo que necesita el negocio. Así que creo que en ese sentido, ya sabes, desde el punto de vista interno, ¿cuál podría ser un consejo que le darías a otro líder de seguridad que está en este viaje de cumplimiento global como tú?
0:05:30.0 Dan Whittingham: Me resulta muy difícil mantenerlo en una sola pieza, pero puedo aportar tres puntos que me han ayudado en mi carrera y en los programas de trabajo que hemos debatido hoy en torno a CMMC. Así que la primera diría que es que el conocimiento es poder. Tienes que entender realmente para qué estás trabajando y con qué estás trabajando. Así que mencioné NIST 800-171, lea. Tienes que entender la interpretación de ello porque tu interpretación y la interpretación de otra persona pueden estar a kilómetros de distancia. Así que entiende con qué estás trabajando y hacia dónde estás trabajando y el alcance de cuán grande es el proyecto real con el que estás trabajando. Y número dos, de alguna manera nos lleva a esto. Tengo que decir, equípate con los hechos. Y la confianza que obtienes al entenderlo tú mismo y hablar con tus compañeros y hablar con colegas y simplemente decir, ¿qué piensas de esto? ¿Es esto correcto? O simplemente rebotar ideas. Una vez más, se trata de construirse a sí mismo con esa confianza de que cuando puede entrar en una habitación o camina con asesores o cualquier otro compañero, tiene la confianza de que lo que está diciendo es realmente fáctico y correcto.
0:06:33.2 Dan Whittingham: Y la tercera que yo diría es que te rodees de las personas adecuadas en tu organización, con ideas afines, pero con las que puedas ser honesto. Mucha gente y mucha organización está pasando por el nivel dos de CMMC o todo el proceso de acreditación. Así que se van a cometer errores. Entonces, si podemos hablar con empresas de ideas afines y simplemente presentar algunas ideas de cómo han abordado esto y, solo para tener una idea de si estamos tratando de tomar prestado el océano aquí o deberíamos adoptar un enfoque diferente. Simplemente te da la tranquilidad de que, en realidad, todos estamos en el otro extremo, podría ser, en realidad, estamos muy por delante o más de lo que pensábamos inicialmente, y definitivamente es útil hacer que las personas que te rodean te apoyen en eso. Pero si desglosamos el conocimiento es poder, y vamos un poco más allá en los tres puntos que acabo de decir. Así que he dicho Lea los marcos. Entonces, ¿cómo interpreta los requisitos? Y habrá partes de su documento que no entenderán completamente. Y ahí es donde tienes que confiar en el 0,2, que está por ahí, equiparte con los hechos y también en el 0,3 para rodearte de las personas adecuadas.
0:07:43.9 Dan Whittingham: Un ejemplo, lo siento, de esto es que no quieres entrar en una reunión y que te digan algo y te pongas en la lana que te tapes los ojos. Eso no es bueno para nadie. Tienes que ser comprensivo y tener claro cuáles son tus objetivos en esa reunión para que puedas llamar la atención de la gente si es incorrecto. Y luego, volviendo al 0.2, equípate con los hechos. He dicho Lea, Lea, Lea. Desafortunadamente, no hay forma de evitar esto. Solo tienes que hacer Lea, Lea, Lea y entenderlo. Y si alguien puede hacer, si alguien está escuchando esto y puede convertirlo en un audiolibro, estoy seguro de que hay un nicho de mercado en esto. Porque no es una lectura entretenida, es bastante aburrida. Pero con toda seriedad, tienes que conocer el material, entenderlo de principio a fin, ya que te proporciona la confianza para hablar de él como he mencionado anteriormente. Y luego la tercera, como acabo de terminar con esto, es que te rodees de las personas adecuadas.
0:08:43.5 Dan Whittingham: Y a veces creo que lo damos por sentado porque he tenido mucha suerte en mi carrera de tener gerentes y compañeros que han creído en mí y también me han empujado a alcanzar mis niveles de Nuevo, pero también no me dejan estancarme en lo que estoy haciendo. Así que al principio de la llamada, mencioné los títulos y los roles que desempeñé dentro de Rolls-Royce durante los últimos 12 años. Y eso es solo por las personas que me rodean y me empujan a asegurarme de que no solo estoy cumpliendo con lo que estoy empleado, sino que también estoy persiguiendo mis objetivos profesionales y todo. Así que sé que algunas personas no tendrán ese lujo en sus carreras, pero tener a las personas de apoyo adecuadas y al sistema que te rodea es clave, diría yo, para el éxito.
0:09:28.1 Bailey Harmon: Estoy completamente de acuerdo contigo en el ángulo de la mentoría. Creo que hace una gran diferencia cuando puedes tener un sistema de apoyo o incluso durante el tiempo que has estado en la empresa, una especie de familia que te ayuda a respaldar tus metas, que ayuda a apoyar el negocio, pero que también te permite fallar y fallar rápido y aprender y empoderarte para volver a levantarte y volver a intentar cosas nuevas. Probablemente podríamos hacer un segmento completo sobre eso. Siento muy fuertemente que también he tenido líderes que me han empoderado. Así que me encanta escuchar eso. Sin embargo, es difícil cuando intentas comunicar al nivel C lo que estás haciendo, el progreso que estás logrando, todos los estándares de cumplimiento con los que estás trabajando en todo el mundo, ¿cuáles son algunas conversaciones importantes que crees que las personas en tu rol deberían tener o tal vez estén teniendo actualmente con su C-suite?
0:10:16.6 Dan Whittingham: Como digo, muchas organizaciones del tamaño de Rolls-Royce están pasando por lo mismo. Entonces, como Organización está invirtiendo en estas grandes empresas de tecnología para brindar soluciones de seguridad, no estamos hablando de centavos o miles de dólares o literalmente cientos de miles de dólares. Y para mí, la conversación gira en torno al valor de los productos. Entonces, ¿cuál es ese retorno de la inversión? ¿Tiene una buena relación calidad-precio? Así que, como arquitecto, este es tu pan de cada día. Esto es para lo que está empleado, para hablar con los proveedores, comprender el producto de principio a fin y, básicamente, enjuagarlo para todo. Tiene todas las características y todo. Debido a lo personal, he visto un cambio en el enfoque de algunos proveedores donde no siempre se trata de la próxima venta. Es literalmente el enfoque en, ¿tienes esta inversión y cómo podemos ayudarte a sacar el máximo provecho del producto? Y así es hablar con gente como Netskope y otros y hacer la investigación y entender cuál es la hoja de ruta.
0:11:15.7 Dan Whittingham: Y para mí y para otros arquitectos, es esa exploración del horizonte de lo que se avecina para el negocio, cualquier inversión o cualquier cosa nueva en la que están trabajando en IA. Lo sentimos, no podíamos pasar por un podcast sin mencionar la IA. Así que es lo final en este momento, pero hasta ese punto, es literalmente entender qué, qué hay ahí fuera y solo tienes que salir y construir esas relaciones. Creo que las relaciones son clave en cualquier negocio, pero la relación cliente-proveedor es definitivamente fundamental en esto.
0:11:49.0 Bailey Harmon: Sí, estoy absolutamente de acuerdo. Esa relación es tan crítica.
0:11:53.2 Dan Whittingham: Sí, definitivamente. En segundo lugar, diría que, ¿la solución cumple con los requisitos del negocio y satisface las necesidades de cumplimiento para aprobar? Estamos hablando mucho de la CMMC. Así que estamos hablando de la acreditación de terceros. Así que la pregunta es, ¿lo hace? Ha hecho todo el trabajo preliminar y el trabajo preliminar para comprender lo que quiere la empresa real, cuáles son los requisitos reales. ¿Cuál es el panorama general? ¿Cuáles son los objetivos de negocio a corto y largo plazo? Y realmente necesitamos entender cuáles son las aspiraciones del negocio. Por lo tanto, no tiene sentido ofrecer una solución en la que el proveedor no desea ir a la nube, pero la empresa quiere ir a la nube el próximo año o lo que sea.
0:12:31.8 Bailey Harmon: Es como ir al supermercado y si quieres comprar manzanas, pero el vendedor se te acerca y te dice, oh, tenemos las naranjas en oferta. No es lo mismo. Necesitas a alguien que te dé lo que estás buscando. También me encantó lo que dijiste sobre ser un defensor de ti mismo y de tu programa, para asegurarte de que estás mapeando las soluciones correctas para lo que el negocio realmente necesita y ser ese experto en tu rol específico para que puedas volver al negocio y decir, así es como estamos impulsando el valor. Y eres capaz de comunicarte, como mencionamos antes, ya sabes, con tu equipo de liderazgo. Cuando estés en esa habitación, ¿cuáles son algunos consejos que tienes, o tal vez una historia de cómo has podido mostrar con éxito todo el gran trabajo que estás haciendo, pero de una manera digerible? Porque es mucho.
0:13:18.3 Dan Whittingham: Sí, es mucho. Y mi respuesta a eso es mantenerlo simple. Así que tengo una historia para ti. Así que fui a una jornada de puertas abiertas para aprendices hace dos años, en la que me pidieron que hablara, que fue la primera para mí. Así que los nervios estaban a flor de piel, pero fue increíble. Lo disfruté mucho. Realmente me sacó de nuevo, de mi zona de confort y me empujó en esa área. Así que empiezo a hablar un poco similar a esto. Me abrí y hablé sobre mi carrera en seguridad informática. Y fue bueno. Fue muy bueno. Las personas en la sala fueron muy receptivas. Tienen bastantes preguntas, pero no eran necesariamente las preguntas que me hacían a mí. Fue cuando me volví a sentar a escuchar a los otros altavoces y a uno de los otros altavoces, no recuerdo el nombre del tipo. Pero he aprendido muchísimo en esa sesión de un par de horas con solo observar. Y así es como lo presentamos. Iba al grano, aportaba claridad, los gráficos pintaban mil palabras, pero era muy sencillo. Después de ese día, me propuse mejorar la forma en que comunicaba la solución o un escenario que tenía que informar a la dirección.
0:14:24.1 Dan Whittingham: Así que hablé con mis compañeros y nos pusimos un poco como un espectáculo de actuación, eso suena un poco raro, pero un poco como un escenario de He venido a presentar esto, ¿me pueden dar algunos comentarios? Y eso es tan extraño como suena, pero por muy productivo que sea, fue realmente beneficioso simplemente seguir los pasos de hacer algunos tweets y criticar algunas áreas de no decir esto o agregar esto. Y si estás hablando cara a cara, ¿dónde pones tus manos y cosas así? Así que volviendo al punto de nuevo, es simplemente, es bueno estar incómodo, especialmente en este negocio porque la seguridad de TI, todo se mueve a un ritmo muy rápido. Así que es muy difícil estar al tanto de todo y conseguir eso. Pero nunca dejes de aprender.
0:15:11.9 Bailey Harmon: Nunca dejes de aprender. Y es como si estuvieras en el campo de fútbol y tuvieras ese iPad frente a ti y estuvieras viendo la cinta para averiguar cómo vas a presentar o cómo vas a hacer esto o cómo vas a comunicar la historia. Y parece que es un pequeño tipo de táctica en la que estás trabajando en la parte de atrás, pero luego, cuando se trata de presentar la imagen completa, realmente marca la diferencia en cómo aterriza. Y simplemente, no puedo enfatizar lo suficiente que nunca dejes de aprender. Me encanta ese punto. Obviamente, tienes una gran demanda comercial en Rolls-Royce que se te encomienda, pero algunos de estos requisitos de los que estamos hablando son bastante confusos. Por lo tanto, no solo tiene que centrarse en los requisitos, sino que también debe pensar en su estrategia general de protección de datos. ¿Qué le gustaría que más reguladores entendieran sobre la posición en la que se encuentra con el equilibrio de todos estos diferentes aspectos?
0:16:00.5 Dan Whittingham: Sí, conmigo viviendo y respirando este trabajo de cumplimiento global, diría que durante los últimos 18 meses, desearía que los reguladores demostraran mejor su comprensión. Y un ejemplo es en el caso específico de lo que realmente están pidiendo, no es realmente factible porque depende del entorno y del contexto de cómo se está aplicando el control. Así que no es, para ser obvio, demasiado estricto, como poner una clavija cuadrada en un agujero redondo. Entonces, el segundo punto que diría es la terminología. Así que a medida que lees a través de los marcos, me encuentro sintiéndome bastante poco calificado. Solo con leerlos. Es como si tuvieras que ser literalmente un abogado o alguien con un alto grado para entender realmente cómo e interpretar a, supongo, el lenguaje común de lo que realmente significa. Así que no estoy diciendo que lo escriban con acento de las Midlands del Reino Unido, pero parece que se esconden detrás de un texto que invita a esas diferentes interpretaciones y no son 100% claros en lo que realmente están preguntando. Y porque, como dije antes, dependiendo de quién lea, podrían obtener una interpretación diferente. Y creo que ahí es donde entramos en las áreas grises de lo que realmente significa. Porque, sí, una empresa podría decir, bueno, hemos interpretado de esta manera y así es como lo hemos hecho.
0:17:14.5 Dan Whittingham: Y para una organización de defensa como la nuestra, nuestro riesgo es realmente alto. Así que vamos por el camino opuesto y decimos, bueno, sí, hemos puesto cortafuegos adicionales o lo que sea. A medida que avanzamos en este viaje, creo que sería bueno que los reguladores salieran al mundo real. Y no estoy aquí para molestar a nadie, pero es solo desde mi experiencia personal de salir y usar eso como una oportunidad para hablar con empresas como nosotros y estamos pasando por estos procesos de cumplimiento. Personalmente, creo que ayudaría a las empresas y a los órganos de gobierno y a toda la relación, lo que a su vez proporciona esa confianza a las empresas para que no tengan miedo mientras estamos pasando por esto, porque obviamente hay un miedo a fracasar y a la acreditación real, pero también a perder el negocio. Así que no es, no es minúsculo, este tema. Yo diría que es muy grande solo por incumplimiento. Pero solo ayude a las empresas y tranquilícese en eso. Está bien, no es genial, pero este es un camino y este es tu plan para remediar lo que necesitas hacer. Obviamente, el estado final para todos es operar de manera segura y tener éxito.
0:18:19.8 Bailey Harmon: Definitivamente. No sé, estabas hablando de escribirlo con acento de las Midlands del Reino Unido, pero eso se remonta al audiolibro. Podrías ponerlo todo junto. Sin embargo, antes mencionaste un punto interesante que quería volver a mencionar. Hablabas de la IA y me hizo pensar, ¿cómo equilibras la necesidad de cumplimiento, pero también te aseguras de que estás innovando con herramientas como GenAI?
0:18:43.3 Dan Whittingham: Sí. Así que la IA es difícil. Obviamente es una palabra de moda y está aquí, es Ahora, todo el mundo quiere usarla. Así que la presión está en marcha. Usaré la analogía de que es apagarnos, cerrar las puertas, cerrar las puertas hasta que nos familiaricemos con él y lo entendamos por lo que realmente es. Obviamente, las empresas claramente quieren participar y usar esto porque hay beneficios. Obviamente, está el beneficio bueno y el beneficio malo desde la perspectiva del actor de amenazas. Desde nuestro punto de vista, todo gira en torno a los Datos y ahí es donde está el riesgo y ahí es donde tenemos un riesgo de alto nivel en torno a dónde van nuestros Datos, porque sí, los esquemas del motor y cosas así. Así que volviendo a la pregunta, es un desafío porque no es tan simple como que sí, puedes tenerlo. Aquí tienes. Llena tus botas. Tenemos que tener mucho cuidado con esto y entenderlo realmente por lo que es y hacia dónde va el Datos.
0:19:37.9 Bailey Harmon: Sí. Quiero decir, termine con eso. Comprenda qué es y hacia dónde se dirigen los datos, y luego podrá operar con éxito y seguridad para volver a su otro punto. Así que creo que fue un resumen de las preguntas que tenía para el día. Dan, muchas gracias por unirse a nosotros y compartir sus perspectivas e historias. Realmente apreciamos tenerte. Has estado escuchando el podcast Security Visionaries. He sido tu anfitriona, Bailey Harmon. Si te gusta este episodio, compártelo con un amigo y suscríbete para no perderte otro. Hasta la próxima.