Discutiendo el futuro de la transformación de la seguridad con Emily Heath

Emily Heath (00:00): Este panorama está cambiando y llega un punto en el que, honestamente, creo que las OSC serán algunos de los profesionales mejor pagados en el futuro, y ya va en esa dirección en los últimos años. Ya hemos visto muchos cambios, pero este será uno de los trabajos mejor pagados en los negocios porque llegará un punto en el que no podrás pagarle a la gente suficiente dinero para que se haga cargo de esto. cantidad de riesgo.

Productor (00:25): Hola y bienvenido a Security Visionaries, presentado por Jason Clark, director de seguridad y director de estrategia de Netskope. Acaba de escuchar a la invitada de hoy Emily Heath, vicepresidenta senior y directora de confianza y seguridad de DocuSign. Se ha dicho que no te pagan por cuánto trabajas, sino por cuánta responsabilidad tienes. Y en el mundo empresarial moderno de hoy, gestionar el riesgo es una enorme responsabilidad. A medida que las amenazas a la ciberseguridad dominan los titulares, el papel de los responsables de seguridad, ya sean directores de seguridad o directores de seguridad de la información, se convierte en una de las funciones más importantes de la alta dirección.

Productor (01:06): Son responsables de salvaguardar los datos, el dinero y todo lo demás vital para el negocio. El papel no es nada fácil y, como señala Emily, las personas capaces de soportar esta carga se convertirán en algunos de los ejecutivos más buscados del mundo. Y Emily no se echa atrás ante el desafío. De hecho, está animando a sus colegas de las OSC a no hacerlo. Antes de ocupar el cargo de directora de confianza y seguridad de DocuSign, Emily se desempeñó como CSO para United Airlines y AECOM, ocupó otros puestos de liderazgo en tecnología y estrategia y comenzó su carrera como detective de la brigada antifraude en la policía del Reino Unido. Pero antes de sumergirnos y escuchar más de Emily, aquí tiene unas palabras de nuestro patrocinador.

Patrocinador (01:50): El podcast Security Visionaries está impulsado por el equipo de Netskope. Netskope es el líder atrevido que ofrece todo lo que necesita para brindar una experiencia de usuario rápida, centrada en los datos e inteligente en la nube al ritmo de los negocios actuales. Obtenga más información en Netskope.

Productor (02:08): Sin más preámbulos, disfrute del episodio tres de Security Visionaries con su presentador Jason Clark y Emily Heath, vicepresidenta senior y directora de confianza y seguridad de DocuSign.

Jason Clark (02:21): Bienvenido a Security Visionaries. Soy su CSO en Netskope. Hoy me acompaña una invitada muy especial y buena amiga, Emily Heath. Emily, ¿cómo estás?

Emily Heath (02:31): Jason, siempre es un placer verte. Bien, gracias.

Jason Clark (02:34): Estaba pensando en esta conversación. Estoy pensando, ¿cuándo conocí a Emily? ¿Recuerdas cuándo fue la primera vez que nos vimos?

Emily Heath (02:42): Dios, ahora estás pasando por algunos años, amigo. Probablemente, no sé, ¿fue la Alianza de Asesores de Seguridad en Dallas?

Jason Clark (02:51): Correcto.

Emily Heath (02:51): ¿Verdad? Sí, lo fue.

Jason Clark (02:53): Sí, Advisor Alliance en Dallas y te recuerdo, recuerdo que en realidad fue en el bar y ambos estábamos ordenando, creo que fue

. Emily Heath (03:02): Sería una buena elección.

Jason Clark (03:05): Y luego pensamos, oye, y empezamos a hablar. Creo que eso fue probablemente hace seis o siete años.

Emily Heath (03:09): Sí.

Jason Clark (03:10): Para comenzar, ¿cuál fue su primer trabajo? Cuéntenos sobre su primer trabajo de seguridad.

Emily Heath (03:14): Dios mío. Bueno, mi primer trabajo de seguridad se remonta a hace 25 o 30 años aproximadamente. Yo fui policía en Inglaterra y fui detective durante muchos años. Y esto se trata de la época en la que la cibernética no existía realmente en aquel entonces, pero los delitos informáticos estaban empezando a existir. Entonces trabajé en la unidad de delitos financieros en lo que llamábamos el escuadrón de fraude, y esa era la unidad responsable de los delitos informáticos. Y era completamente extraño para mí en ese momento, me refiero a aquellos días en los que solías hacer una redada en un negocio o una casa, y salías con cientos de cajas bancarias llenas de contratos y documentos. Y es un gran momento para ver cómo todo eso ahora se traduce a lo cibernético. Pero me gusta pensar que, desde una perspectiva cibernética, ese fue probablemente el primer trabajo que intentó diseccionar computadoras.

Jason Clark (04:09): Cuéntenos un poco sobre su trabajo actual y su función actual en DocuSign.

Emily Heath (04:12): Sí, mi trabajo en DocuSign ahora es un poco variado. Soy el jefe de confianza y seguridad, así que hay un par de aspectos en eso. Están las cosas habituales relacionadas con la seguridad cibernética que se imaginarían: arquitectura de seguridad, ingeniería, operaciones de seguridad y todas esas cosas. También tengo el grupo de riesgo de gobernanza y cumplimiento. Tengo fraude, seguridad física, salud y seguridad también. Y luego, el lado de la confianza del trabajo es en realidad un lado del trabajo que está muy orientado al cliente. Entonces, DocuSign, como mucha gente sabe, es una plataforma realmente confiable porque somos parte del ecosistema de nuestros clientes, la seguridad y la confianza son muy importantes. Así que ahora paso mucho tiempo con los clientes, lo cual me encanta.

Jason Clark (04:53): Creo que eso es algo que seguirá evolucionando para todas las empresas que son una organización tecnológica [inaudible 00:05:00]. [inaudible 00:05:02] economía, es decir, que el director de confianza y seguridad esté muy comprometido con los clientes será, creo, la norma.

Emily Heath (05:11): Sí, exactamente.

Jason Clark (05:12): Entonces, nuestro primer tipo de segmento aquí son temas tabú.

Jason Clark (05:26): Bueno, este segmento trata sobre tabúes de seguridad, conceptos erróneos y controversias. Y por cierto, puedes preguntarme cualquier cosa, mencionar lo que quieras. Pero la primera pregunta que debe hacerse al respecto es cuál cree que es el riesgo de más rápido crecimiento en la seguridad cibernética en la actualidad, ¿verdad? ¿Eso afecta a la mayoría de las empresas?

Emily Heath (05:43): Sí. Dios, hay tantos que es difícil elegir uno. Creo que el ransomware es el que simplemente te viene a la mente cuando piensas en la monetización del crimen cuando se trata de cibernética, estos ataques ya no son solo para incomodar a las organizaciones o para presumir, hay mucho dinero en este crimen. Atrás quedaron los días en los que alguien entraba a un banco con una [inaudible 00:06:07] escopeta y se iba con 20.000 dólares en el mejor de los casos. Quiero decir que estás hablando de millones y decenas de millones por este tipo de delitos. Así que creo que el rescate es sólo el comienzo. Y cuanto más y más veamos que las empresas pagan rescates, el problema simplemente proliferará. Desafortunadamente, es una tendencia que no creo que vaya a desaparecer pronto.

Jason Clark (06:30): Entonces es básicamente el nuevo ladrón de bancos, ¿verdad?

Emily Heath (06:34): Sí.

Jason Clark (06:34): Entonces, ¿qué piensas sobre este tema tabú? ¿Qué sientes sobre si las empresas deberían pagar el rescate o no? ¿Cuál debería ser la legislación al respecto?

Emily Heath (06:45): Dios, es muy difícil. Ni siquiera sé dónde puede intervenir la legislación en eso. Es una pendiente realmente resbaladiza porque hacer negocios tiene un costo, y si esto se convierte en un nuevo costo de hacer negocios, quiero decir, no estoy defendiendo esto de ninguna manera, pero cada organización es diferente y hasta que te llega. y hasta que sus operaciones sean las que se vean paralizadas, es realmente difícil decir si debe o no pagar un rescate. Quiero decir, todos sabemos que, de todos modos, nunca hay ninguna garantía de que vayas a salir del otro lado. Pero si nos fijamos en algunas de las empresas que han pagado rescates recientemente, no estamos en la sala, no sabemos el impacto en su función comercial real. Y simplemente no estoy seguro de si esto terminará siendo una cuestión de legislación o una cuestión de negocios.

Jason Clark (07:34): Sí. Quiero decir que a veces puede significar vidas, ¿verdad? Me refiero a restablecer la electricidad o restablecer los sistemas médicos que necesita, eso no debería ser una decisión que se tome en base a una ley, ¿verdad? Y cuando lo miras, el rescate es obviamente un problema muy, muy difícil y obviamente necesitamos mejorar en todo. Creo que, por curiosidad, si piensas en rescates, está bien, ese es uno, pero ¿cuál crees que la gente no conoce? ¿Cuál es el riesgo de más rápido crecimiento como OSC? ¿Qué cree que está creciendo que muchas organizaciones de TI y muchas juntas directivas desconocen? Entonces, los rescates aparecen en las noticias todos los días, pero ¿hay algo más que se les ocurra que sea un riesgo en rápido crecimiento y que crean que esos líderes deberían tener en cuenta?

Emily Heath (08:24): Sí, hay un tema en este momento en el que se está viendo a muchos profesionales de seguridad experimentados abandonar la industria. Y mi miedo es que vaya a haber un gran agujero, ¿no? Este negocio existe desde hace algún tiempo, pero ciertamente no ha alcanzado la magnitud que ha tenido en los últimos cuatro o cinco años. Y muchos de los profesionales de la seguridad están abandonando la industria para pasarse al lado de los proveedores, o se están yendo al lado de los VC. El talento y la experiencia que están abandonando los puestos de seguridad son aterradores. No sé cómo se resuelve eso necesariamente, aparte de que, como líder, es nuestro trabajo asegurarnos de que estamos invirtiendo en los líderes del mañana. Y creo que, como organización, no estoy seguro de que exista una gran conciencia organizacional sobre la gran brecha de talento para los líderes sénior en el negocio de la seguridad y las personas realmente súper talentosas, que honestamente se están moviendo hacia el lado de proveedores y hacia el lado de VC porque bastante Francamente, hay más dinero en ello.

Jason Clark (09:25): Hablemos de esto un poco más tarde porque hablamos del futuro, pero creo que hay más dinero, pero también el trabajo de las CSO es extremadamente duro, muy, muy duro y muy agotador.

Emily Heath (09:37): Súper estresante.

Jason Clark (09:37): Quiero decir, hay muchos, muchos amigos que han dicho, mira Jason, renuncié a mis últimas vacaciones o fui el mejor, Dave Fairman en RBC, dijo, Jason, Fui el padrino de una boda y me dijeron que o iba a la boda o me quedaba aquí, pero si ibas a la boda no tendrías trabajo. Y eso es emocionalmente agotador. Entonces creo que estamos terminando en esto donde las amenazas están empeorando, el problema se está volviendo más difícil, hay más datos que nunca, tenemos 57 zettabytes de datos en el mundo y para 2025 habrá 175 zettabytes. Así que creo que, a medida que piensas, la superficie de ataque crece y, según tu punto, las personas son cada vez más difíciles de encontrar, es decir, me encanta que lo hayas señalado. Creo que es un gran riesgo desconocido, como acabas de decir. Así que nos sumergimos un poco más profundamente.

Jason Clark (10:46): Tal vez explique cómo pasó de la policía de Cheshire a la cibernética, háblenos sobre esa transición.

Emily Heath (10:55): Cuando era detective, tomé una pausa en mi carrera por un tiempo, y puedes tomar una pausa en tu carrera de hasta tres años. Y lo hice y el remate es que aprendí yo mismo a codificar, no se lo digas a nadie. Pero aprendí a codificar por mi cuenta y de hecho comencé mi propio negocio de diseño web durante la pausa profesional. Cuando volví a la policía me di cuenta de que había un gran mundo ahí fuera y un mundo que realmente quería explorar. Entonces, uno de mis antiguos clientes web me llamó un día y me dijo: Oye, ¿estás interesado en esta oportunidad en los estudios MGM de Londres? Y estaba trabajando para una startup en los días en que los DVD existían, era una startup que administraba toda la distribución de DVD, la cadena de suministro y la gestión de inventario para los estudios cinematográficos. Entonces dejé la fuerza, dejé la policía e hice ese trabajo. No era un trabajo de seguridad. Trabajé en muchas áreas diferentes de TI y tecnología antes de cerrar el círculo y regresar a la seguridad.

Emily Heath (11:48): Pero yo era la directora principal de programas en la implementación de software para los estudios, así es como terminé en los EE. UU. tal vez, hace casi 20 años, trabajando con MGM, que fue adquirida por Sony Pictures, así que Trabajé con Sony durante muchos años. Y finalmente, cuando apareció esa pequeña cosa llamada PCI, y yo había estado dirigiendo equipos de infraestructura, PMO, equipos de diseño web e ingenieros, mi jefe en ese momento dijo: Oye, Emily, eras policía. Eras policía, ¿no? Entiendes la ley, ¿puedes entender esto del cifrado y del PCI, estas leyes que están apareciendo? Así que fue puramente por accidente que terminé asumiendo un rol más legal, de cumplimiento y de seguridad. Pero es curioso cómo miras retrospectivamente tu carrera y tu vida y te das cuenta de que todo es un gran rompecabezas. En ese momento no te das cuenta de cómo una cosa lleva a la siguiente. Y luego, cuando miras hacia atrás, te das cuenta, Dios mío, no estaría preparado para tener éxito en este trabajo si no lo hubiera hecho.

Emily Heath (12:50): Y me sentí como si volviera a casa: mi experiencia en tecnología combinada con mi experiencia en el cumplimiento de la ley. Y son dos cosas muy diferentes, pero las habilidades que traes contigo de las fuerzas del orden, las habilidades tenían mucho que ver con las personas. Lo fue, estás tratando con personas de todos los ámbitos de la vida. Y lo traduzco a los integrantes de una organización, ¿verdad? Quiero decir, tratamos con tantas partes interesadas diferentes de tantas unidades de negocios diferentes, y lograr navegar en el mundo corporativo es muy parecido a la aplicación de la ley: solo estás manejando diferentes personajes. Así que realmente me sentí como si volviera a casa y tomé un camino muy deliberado para elegir la ruta CSO y no la ruta CIO. Hace unos años tuve oportunidades de ir en un sentido u otro y elegí este camino, y elegí el correcto para mí personalmente.

Jason Clark (13:44): Los CSO me preguntan constantemente, entreno a unos 15 CSO diferentes y me preguntan, oye, tengo esta oportunidad de convertirme en CIO o CIO interino. Y, de hecho, generalmente los entreno, no. Centrarse en las CSO, centrarse en la seguridad como una especialidad que va a tener una importancia cada vez mayor. Y básicamente les digo que financieramente creo que ganarán más o lo mismo. Hablaste un poco de tu experiencia con PCI. También agradezco a PCI el comienzo de mi carrera. Yo estaba fuera del ejército y el New York Times se vio comprometido, y conseguí el trabajo de CSO en el New York Times cuando tenía 27 años porque necesitaban tener un título de CSO y fue impulsado por la pérdida de tarjetas de crédito y por una de sus unidades de negocios y me pidieron que interviniera. Y ¿cuándo más puede hacerlo un joven de 27 años con experiencia en ciberseguridad y el hecho de que tenía experiencia en gestión porque era militar? Quiero decir, es una locura. Eso no sucedería hoy en día, cuando un joven de 27 años se convierte en CSO tan rápidamente. Así que también agradezco a PCI.

Emily Heath (14:53): Sí, lo sé. Es como si la gente preguntara por qué elegiste la cibernética como carrera. Y dije, no lo elegí, él me eligió a mí. Definitivamente giros y vueltas.

Jason Clark (15:04): Ha sido increíble. Entonces usted era el CSO, nos conocimos cuando usted era el CSO de United Airlines y tenía tremendas responsabilidades allí. ¿Cuáles son las diferencias y similitudes entre eso y su puesto actual en DocuSign?

Emily Heath (15:22): Sí. Entonces, me refiero a United Airlines. No creo que sea mucho más complicado que una enorme aerolínea global. La magnitud y complejidad de una organización como esa es increíble. Y obviamente es una empresa mucho más grande que la de DocuSign, por lo que las diferencias de escala y complejidad son muy, muy diferentes; sin embargo, los tipos de problemas que abordamos son muy similares. Y no importa a dónde vaya, o cualquier empresa, o el consejo que le dé a otras OSC amigas que se están uniendo a nuevas empresas, me hago cinco preguntas fundamentales, que realmente no importan en qué organización estés. ¿Y realmente todo se reduce a lo que es más importante para usted en primer lugar? En una empresa como United, lo más importante es la vida humana. Estáis volando gente, la seguridad es lo número uno. Una empresa como DocuSign se basa en gran medida en datos, por lo que los acuerdos que la gente nos confía son lo que más nos importa.

Emily Heath (16:19): Entonces, ¿qué es lo más importante? ¿Dónde está? ¿Cómo lo estás asegurando? ¿Dónde estás más vulnerable y en riesgo? ¿Y qué tan resiliente eres cuando todo se complica y necesitas recuperarte? Y creo que si entras en cualquier trabajo nuevo y te haces esas cinco preguntas, no importa qué empresa sea, no importa qué entidad sea, esas cinco preguntas siguen siendo muy relevantes. Porque si comprendes lo que más te importa, tienes un marco para priorizar la tarea que sin duda tienes por delante. Entonces, los desafíos son los mismos, es el mismo tipo de personas, el mismo tipo de adversarios, la escala y la complejidad son muy diferentes, pero la forma en que se ejecuta un programa de seguridad es fundamentalmente la misma.

Jason Clark (17:06): Sí, 100%. Son simplemente diferentes complejidades. La escala es una, pero cuando eres una empresa tienes un conjunto diferente, y no es más difícil ni más fácil. Cuando dijiste, cuando golpea el ventilador, me encanta cómo dijiste cuando golpea el ventilador, rápidamente me imaginé la escena de Avión, la película Avión, ¿no? Donde la mierda literalmente golpeó al ventilador, eso es lo que me imagino [inaudible 00:17:35]. Mire, me encanta su título, director de confianza y oficial de seguridad. Entonces, háblenos un poco sobre las responsabilidades adicionales que tiene y cómo esto cambia la forma en que su empresa o sus clientes lo perciben con la palabra confianza.

Emily Heath (17:53): Sí. Así que, créanme, el aspecto de la seguridad es lo que todos entendemos. Se trata de asegurar los tornillos y tuercas y asegurar la tecnología y todas esas cosas. Cuando empiezas a incorporar este concepto de confianza, se trata de eso intangible. Son las relaciones que estás construyendo con la gente. Entonces, cuando construimos relaciones con los clientes, no puedes confiar en personas que no conoces. Por lo tanto, el tiempo que paso con los clientes es para construir relaciones con ellos porque considero que es mi deber y mi obligación ser completamente transparente sobre lo que estamos haciendo. Creo que las bases para generar confianza están realmente arraigadas en eso. Así que no me refiero simplemente a la confianza cero como marco o a la confianza como en lo que tradicionalmente hemos llamado confianza dentro del ámbito de la seguridad; para mí va mucho más allá de eso. Realmente se trata mucho de que tienes que seguir tu camino. Tienes que presentarte. Tienes que ser transparente. Tienes que ser sincero y honesto.

Emily Heath (18:54): Y en realidad es más que solo seguridad. Por ejemplo, también ayudo a ejecutar nuestro programa ESG, el programa ambiental, social y de gobernanza. Debido a que, como parte del rol del director de confianza, no se trata solo de seguridad, ¿cuáles son los otros elementos de la confianza y qué significa eso para su organización? Entonces me involucro mucho en temas como DNI, soy un gran defensor de la diversidad, la inclusión y la pertenencia, como saben. Los programas de tipo ESG que ejecuta cualquier organización, todos ellos caen bajo un paraguas fiduciario. Por lo tanto, es realmente más amplio que los ámbitos tradicionales de seguridad, seguridad física y ciberseguridad porque se trata de la confianza de su organización y lo que eso significa para sus clientes, socios y empleados.

Emily Heath (19:40): Es algo que estamos evolucionando como cualquier otra empresa. Creo firmemente que no deberíamos usar palabras como confianza a menos que sepamos lo que realmente significa para nosotros y que realmente hagamos algo al respecto. Esto no es solo una palabra, es una forma de ser, no es solo lo que haces, es quién eres mientras lo haces para mí. Hay mucho que ver con las relaciones y ese espíritu de transparencia. Y como dije, no puedes confiar en personas que no conoces.

Jason Clark (20:08): Entonces, ¿cómo estás? Esto tiene mucho que ver con el propósito de la empresa, ¿verdad? Y estás tratando de evocar deliberadamente una emoción en tus clientes y empleados, ¿verdad? ¿Cómo se está asociando con marketing para que eso suceda?

Emily Heath (20:23): Sí, en realidad estamos analizando algo de marca y marketing en este momento y la confianza es uno de nuestros pilares centrales. DocuSign existe desde hace aproximadamente 18 años y la mayoría de la gente nos conoce por la firma electrónica. Y hemos evolucionado mucho más allá de eso hacia lo que llamamos la nube de acuerdos y ahora la nube de acuerdos inteligentes, la confianza es una parte fundamental de eso. Y si piensas en lo que la gente realmente nos confía, todos sus acuerdos delicados, me refiero a sus firmas, por el amor de Dios. Pensamos que si no puedes confiar en nosotros, ¿en quién puedes confiar? Hay un elemento tan integrado dentro de quiénes somos como organización que ha estado ahí desde el principio de los tiempos para DocuSign, pero ahora vemos cuán importante es eso en el hecho de que somos parte del ecosistema de nuestros clientes y Tengo que tomar eso muy en serio. Así que sí, tiene mucho que ver con la cultura y con lo que le importa a su organización. Pero como dije, también es quién eres mientras lo haces.

Jason Clark (21:25): Entonces, a medida que esta desafortunada pandemia ha ocurrido durante los últimos 18 meses, ¿cómo ha cambiado y afectado su función y, obviamente, a sus empleados en DocuSign mientras intentan participar y cumplir con su deber?

Emily Heath (21:45): Sí. Entonces, desde el comienzo de COVID, cuando eso sucedió, ya teníamos una fuerza laboral remota bastante grande, así que afortunadamente ya teníamos tecnologías como Slacks y Zooms para apoyarnos, por lo que estábamos por delante de algunas empresas en ese sentido. Sin embargo, como todos sabemos, es un cambio definitivo cuando ahora tienes una fuerza laboral completa que trabaja de forma remota en computadoras domésticas y todo ese tipo de cosas. Dejé el COVID, lo que llamamos el Grupo de Trabajo COVID 19 en ese momento, que era esencialmente una respuesta clásica a la crisis, que consiste en reunir equipos multifuncionales. Al principio nos reuníamos varias veces al día, luego fuimos a reuniones diarias y luego a reuniones semanales.

Emily Heath (22:27): Pero fue una forma de reunir a toda la organización desde cada departamento para que pudiéramos considerar todas las piezas móviles de nuestros empleados y clientes, porque, al igual que usted y muchas otras empresas, teníamos muchos eventos en vivo que luego tuvimos que hacer la transición a virtuales. Contamos con todos los empleados para asegurarnos de que tuvieran todo el equipo que necesitan, incorporando a miles de personas desde COVID. Hemos crecido mucho, hemos incorporado a miles de personas como nuevos empleados y todo eso conlleva mucha logística. Entonces creo que aquí es donde las OSC y las personas que están acostumbradas a lidiar con la respuesta a la crisis son realmente más adecuadas para este tipo de iniciativas. Porque tenemos ese músculo de respuesta a las crisis en el que estamos acostumbrados a reunir equipos multifuncionales para organizarlas. Y fue simplemente, nadie me pidió que lo hiciera. Simplemente asumí el papel, uní a la empresa y desempeñé mi parte. Y mi equipo hizo un trabajo excepcional al igual que el resto de la organización.

Emily Heath (23:32): Pero creo que ha sido difícil para muchos empleados, al igual que cualquier otra empresa. Todo el mundo tiene un poco de fatiga por agotamiento de COVID y fatiga de Zoom y todas esas cosas. Aprovechamos esta oportunidad para escuchar realmente a nuestros empleados y ver lo que quieren. Por lo tanto, es muy probable que tengamos una fuerza laboral mucho más distribuida y una fuerza laboral más remota en el futuro. Estaremos prácticamente completamente hotelizados, por lo que ya no habrá escritorios ni oficinas exclusivos. Y eso es lo que nuestros empleados quieren, quieren flexibilidad, así que aprovechamos esa oportunidad para brindarles precisamente eso.

Jason Clark (24:08): Así que no hay duda de que ha sido un desafío. He escuchado a muchas OSC, e incluso usándonos como ejemplo a mí y a Lamont, nuestro CSO, fue un momento para que él diera un paso al frente. Ha ayudado a liderar y ha sido parte de liderar nuestra comunidad COVID, también lidera DNI. Solo decir que este es nuestro momento para asegurarnos de acoger e involucrar a nuestros empleados al máximo posible. Entonces creo que tienes razón: ya tenemos este músculo. Y por eso ha sido realmente bueno, creo que al final piensas solo en TI, te olvidas de la seguridad, poder trabajar desde casa no hubiera sido realmente posible sin TI, sin lo digital, sin tecnología, sin VPN, sin nube. ¿Cómo hubiéramos hecho esto? Habríamos tenido que tomar la decisión de perder negocios o la gente tendría potencialmente más vulnerabilidad y más muertes. Por eso creo que TI ha sido una especie interesante de héroe silencioso en esto.

Emily Heath (25:19): Y es casi como si, como sociedad, nos hubiéramos visto obligados a pensar de manera diferente. Muchas empresas nunca habrían tomado las medidas que tomaron si no nos hubiéramos visto obligados a todos a estar en esta situación. Y para nosotros desde una perspectiva empresarial ha sido increíble, por supuesto. Ha sido excelente para el crecimiento de nuestra empresa, pero lo que realmente me llamó la atención al comienzo de la pandemia fue que estábamos literalmente en las trincheras con los departamentos estatales y los gobiernos federales para intentar mover el PPE, aún es necesario hacerlo con un firma. Y existe este tipo de idea errónea común: supongo que las agencias gubernamentales se mueven muy lentamente. Bueno, a veces sí, pero cuando se ven obligados a entrar en una crisis de esta manera, el trabajo que hicieron, y nosotros tuvimos un asiento en primera fila para eso, nuestra gente de atención al cliente estuvo trabajando mañana, tarde y noche en las trincheras con Les pedí que los configuraran para que pudieran digitalizar y transformar sus propios negocios y situaciones en las que teníamos que mover equipos. Y nos obligó a todos a dar un giro muy rápido. Y creo que, de alguna manera, muchas empresas han dado un salto adelante en esa transformación digital porque ahora ven que pueden hacerlo.

Jason Clark (26:39): He visto a muchos clientes adoptar DocuSign real. Esa ha sido una gran parte de su transformación. Especialmente atención médica, muy, muy importante en atención médica. Entonces, pasamos a nuestro siguiente segmento, que se llama sentirse vulnerable.

Jason Clark (27:04): Entonces, en este segmento vamos a analizar qué estamos tratando de evitar. ¿Cuáles son nuestras vulnerabilidades? Y de nuevo, sentirme vulnerable. Ser muy abierto, algo que ambos ya somos en esta conversación. Muchas veces la gente mide el riesgo de manera diferente. Como por ejemplo, tiburones en el agua. Estaba de vacaciones hace solo dos semanas con un grupo de amigos y había un tiburón en el agua. Y una de las personas con las que estaba nadó lo más rápido posible hacia los salvavidas, como, hay un tiburón, hay un tiburón, hay un tiburón, gritando hay un tiburón a todos. Y todos miran a esta persona y el salvavidas dice, sí, tenemos tiburones. No muerden a nadie. Y es como, ¿qué estás haciendo? Dios mío, tenemos que reaccionar ante esto. Y yo digo que las muertes de tiburones no son muchas por año entre seis o siete mil millones de personas.

Jason Clark (27:56): ¿Cuánto crees que estamos en seguridad o TI tomando decisiones por instinto en lugar de mirar realmente las matemáticas del riesgo? ¿O simplemente estás intentando marcar casillas de verificación? ¿Qué piensa sobre tal vez este problema de seguridad en realidad no es que compramos productos porque todos los demás están comprando productos, o hacemos esto porque todos los demás están haciendo esto en lugar de decir, ¿era ese el verdadero problema? ¿Es ese el verdadero riesgo? Por cierto, acabo de hablar por teléfono con alguien del sector financiero que dijo: estamos haciendo segmentación porque los auditores y los clientes habituales dicen que tenemos que hacerlo, y creo que es la cosa más tonta que jamás haya existido. Porque ya estoy segmentado al final, en el punto final y en la capa de red, y debería estar haciendo estos otros cinco proyectos, pero en cambio, este es mi proyecto más grande de mi año porque el auditor y los reguladores dicen que tengo que hacerlo. .

Emily Heath (28:42): Sí, puedo entenderlo absolutamente. Creo que por mucho que queramos basarnos en la ciencia y los datos todo el tiempo, ese es lo ideal, ¿verdad? Siempre quieres tener los datos y los hechos frente a ti, pero la verdad del asunto es que no siempre es tan tangible. Y creo que hay momentos en que las OSC utilizan su mejor criterio, su experiencia y sus conocimientos para tomar decisiones. A veces pienso que es apropiado porque, de lo contrario, quiero decir que en algún momento tienes que tomar una decisión y seguir adelante. Y esas son las cosas que a veces terminas mirando por el espejo retrovisor y piensas: ¿Tomé la decisión correcta en esto o podría haberlo hecho de manera diferente? Pero en ese momento no siempre tienes el beneficio, supongo, de semanas, días o meses de anticipación para recolectar todos esos datos. Y aunque quisieras, probablemente no todo exista.

Emily Heath (29:39): Entonces, hay una realidad en el trabajo que hacemos, que es un poco de arte y un poco de ciencia, y debes usar tu mejor criterio para tomar esas decisiones. Siempre soy un defensor del uso de datos porque muchas veces lo que intentamos hacer es explicar situaciones a personas que no son técnicas o explicar situaciones y traducirlas en riesgos operativos o comerciales, porque en última instancia, ese es nuestro trabajo. No siempre es tan sencillo obtener datos que le indiquen directamente una decisión A, una decisión B o una decisión C. Así que hay un poco de arte y ciencia en lo que hacemos. Y seamos realistas, si hubiera un libro que pudieras escoger del estante y que mostrara un plano y cómo hacer este trabajo, a todos nos encantaría. Pero la realidad es que eso simplemente no existe, nos enfrentamos a nuevas amenazas, nuevos adversarios y nuevas formas de operar todos los días, por lo que debes usar tu mejor criterio.

Emily Heath (30:38): Y eso viene de la experiencia. A veces, al principio de nuestras carreras, tomamos algunas decisiones que quizás no fueron las mejores, pero aprendemos de ellas. Y lo más importante para mí es que es por eso que la comunidad de seguridad es realmente especial porque compartimos cosas entre nosotros cuando nuestros abogados nos dicen que no lo hagamos. Compartimos cosas entre nosotros porque nos preocupamos unos por otros y nadie quiere ver a nadie más en los titulares. Nunca he experimentado, visto u oído hablar de una comunidad como ésta. Y realmente es especial, es algo más.

Jason Clark (31:10): Eso es asombroso. Estoy de acuerdo, no hay nada. Somos uno porque, probablemente porque tenemos un enemigo común. Y es tremendo y es al final la razón por la que creo que muchos de nosotros amamos esta industria y no hemos cambiado de industria. Entonces, mientras pensamos en esto un poco hasta su punto anterior, estamos hablando de esta industria. Hablamos de que parte de los riesgos son que los líderes de seguridad abandonen la industria, ¿a qué cree que se debe? ¿Por qué crees que dicen, está bien, sabes qué? Voy a hacer algo diferente, ya lo he hecho tres veces. Amamos esta industria, pero ¿por qué abandonan el trabajo operativo de CSO? Como paga bien, no hay duda de que pueden ganar siete cifras. Están trabajando en la cima de su juego, entonces, ¿por qué vemos que la gente deja estos trabajos para irse, la mayoría de las veces, honestamente, ganan menos dinero haciendo otra cosa?

Emily Heath (32:11): Sí, y creo que es una combinación de lo que estábamos hablando antes. Mire, este trabajo ha adquirido más visibilidad en los últimos años, sin duda, y eso es algo por lo que han escuchado a las CSO suplicar en el pasado y ahora creo que todo está llegando a buen término. Y eso tiene lados buenos y malos. Quieres toda la visibilidad, quieres que la empresa se lo tome en serio, bueno, adivina qué, se lo están tomando en serio. La otra cara de la moneda es la presión que conlleva. Este es un trabajo de muy alto riesgo. Y es un trabajo de alto riesgo porque gestionamos programas que tienen muchas facetas y componentes que no están bajo nuestro control. Dependemos de muchos, muchos electores diferentes para hacer las cosas de determinadas maneras para que todos tengan éxito. Quiero decir, si piensas en muchas empresas que tienen miles de aplicaciones, digamos que los controles de acceso no estaban a la altura en 10, 20 o 100 de ellas. No puede ser sólo culpa del CSO, es imposible. The CSO's one person, the security teams can only do so much.

Emily Heath (33:22): Y como resultado, sí, es un trabajo de mayor perfil, pero los riesgos son enormes. Creo que incluso ahora estás empezando a escuchar que las CSO están siendo demandadas. El juego está cambiando, este panorama está cambiando y llega a un punto en el que honestamente creo que las OSC van a ser algunos de los profesionales mejor pagados del futuro. Y ya se está dirigiendo en esa dirección en los últimos años, ya hemos visto muchos cambios. Pero este va a ser uno de los trabajos mejor pagados en los negocios porque llegará a un punto en el que no podrá pagar a la gente suficiente dinero para asumir esta cantidad de riesgo porque las demandas que podrían surgir él. Y empiezas a pensar en lo que eso significa para el papel, es un juego de pelota muy, muy diferente.

Emily Heath (34:12): Ahora está hablando en el ámbito de lo que la junta directiva suele ser responsable y los riesgos que conlleva, o los directores ejecutivos son responsables y el riesgo que conlleva, o los directores financieros para el caso. . Así que creo que el riesgo y la pura responsabilidad continúan aumentando y la gente sufre agotamiento. Y no todo es financiero, definitivamente hay un componente financiero, pero no todo es financiero. Llega un punto en el que es una calidad de vida y es duro, ¿no? No es una ruta fácil, no es un papel fácil. Como bien sabes, lo has hecho.

Jason Clark (34:52): No vale la pena. Sí, llega un punto en el que es como, está bien, lo he hecho varias veces, pero se está volviendo más difícil. Y está bien, he ahorrado suficiente, como acabas de decir. Y creo que las preocupaciones legales son preocupantes. Y no es como las CSO, una cosa que me sorprende es que no obtienen necesariamente el paracaídas en mis contratos. Puede que me esté poniendo genial [inaudible 00:35:20], pero también deberían estar protegidos. Tengo muchas conversaciones con CSO en las que los presionan para que decidan algo o firmen algo con lo que no están de acuerdo, pero lo miran y dicen, bueno, tengo esta casa cara y tengo una propiedad privada. escuela o lo que sea, y no puedo darme el lujo de decirle que no a mi jefe porque me iré entonces.

Jason Clark (35:41): Y eso no es bueno. Todos deberían estar protegidos de que si no está de acuerdo con su organización, quiere desafiarlos y está diciendo, no aprobaré ese riesgo, por lo que pueden estar protegidos, ¿tal vez es un estándar de ingresos de seis meses? Pero ahora mismo son dos o tres meses. Y he visto que eso sucede con demasiada frecuencia. Pero en general creo que estuve hablando con Jason Witty y es público que acaba de dejar JP Morgan. Es solo una cuestión de, podemos hacer mucho más con nuestra experiencia que podemos hacer con menos estrés potencialmente incluso, o incluso mayores ingresos cuando empiezas a hablar de lo que mencionaste, Emily, capital de riesgo. Pero lo que hacemos, hagamos lo que hagamos, debemos asegurarnos de que la próxima generación esté lista.

Emily Heath (36:44): Estoy protegida, cierto. Quiero decir que está llegando al punto de los problemas de responsabilidad, que los directores y funcionarios tienen cobertura de responsabilidad para eso, las OSC no. Entonces, se necesita tener una conversación diferente en algún momento, de lo contrario llegará a un punto en el que no podrá pagarle a la gente suficiente dinero para hacer este trabajo. Porque si el resultado final o la posible consecuencia de una acción que una OSC tomó de buena fe o una acción que otra persona no tomó, si la consecuencia podría resultar en que pierdan todo o Dios no lo quiera en la cárcel, no van a hacer que la gente en el trabajo siga haciendo eso.

Jason Clark (37:20): Exacto. Como si le dijeran que pague un rescate o si su liderazgo le dice que pague una recompensa. Así que sí, da miedo. Pero superaremos esto y, al final, creo que tú, yo y muchos otros tenemos que estar allí para ayudar a los demás. Cuando necesiten consejo, los asesoraremos, los respaldaremos. Entonces, para continuar, tenía curiosidad sobre este tema, ¿cómo es la vida de jubilación para usted?

Emily Heath (37:51): Todavía no he llegado, pero aún me queda mucho en el tanque. Pero la vida de retiro para mí es, no sé si alguna vez realmente me desconectaré de esta comunidad. Quiero decir que hoy me siento en una junta pública y en una junta privada, estoy en la junta de Norton LifeLock como una empresa que cotiza en bolsa y para Logic Gate, que es una empresa privada de plataforma GRC. Hay mucho valor para las OSC en la vida de la junta debido a la experiencia y la profundidad que tienen, y todavía es un área en la que hay una falta de comprensión, hay mucho valor para agregar. Así que estoy seguro de que eso seguirá siendo parte de mi futuro. Hago muchos consejos como tú, sin beneficio alguno, sin ningún beneficio financiero solo porque es una parte importante de, como dijiste, tenemos que ayudar a la próxima generación. Y no creo que eso desaparezca nunca. Habrá partes de eso. Un día haré la transición fuera de la vida operativa, pero aún no he llegado. Como dije, todavía tengo más en el tanque para mí. Pero me imagino que la jubilación parcial podría parecer servir en algunas juntas que imagino y hacer algún trabajo de asesoramiento y sin fines de lucro.

Jason Clark (39:07): Juntas, entrenamiento, asesoramiento, ayuda a la industria.

Emily Heath (39:10): Sí, exactamente.

Jason Clark (39:12): Sentado en una playa o en las montañas en algún lugar por un tiempo.

Emily Heath (39:15): Sí. Viajando por Europa tal vez, tal vez en Provenza o algo así. Recibir algunas llamadas de Zoom desde Provenza podría estar bien.

Jason Clark (39:21): Un poco. Sí, me gustaría, mi sueño es hacer eso todos los veranos y trabajar desde allí todos los veranos.

Emily Heath (39:29): Ahí lo tienes.

Jason Clark (39:31): Muy bien, así que estoy pensando en el futuro. Mientras hablamos de eso, si podemos avanzar en el tiempo, ¿en qué cree que las OSC desearían haber invertido que valdría la pena en el futuro? ¿Qué les sugeriría a todos, como pensar en cinco y 10 años a partir de ahora, cuáles son las inversiones más importantes que podrían estar haciendo aparte de las personas?

Emily Heath (40:04): Aparte de las personas, el seguro. Probablemente el seguro es uno de ellos bastante serio. Pero si está hablando de más tecnología, todavía hay muchas empresas que no están invirtiendo adecuadamente en seguridad en la nube. Hay bits de seguridad en la nube que tienen y personas que confían en la capacidad nativa de AWS y Azure, lo cual está bien hasta cierto punto, pero cuando el mundo se está volviendo completamente en la nube y todos se están alejando de bare metal, no puede confiar solo en el proveedores de nube establecidos, la pila de seguridad en torno a la configuración, los secretos, la administración y todo lo que viene con él. Me temo que muchas empresas solo están hablando de la boca para afuera sobre la seguridad en la nube honestamente.

Jason Clark (40:54): Creo que es, quiero decir, mi respuesta por cierto a mi propia pregunta sería creo que la seguridad de los datos. Como si se tratara de los datos, eso es lo que estamos protegiendo. DocuSign, son estas firmas, estos contratos, se trata de los datos y siento que en mis conversaciones somos muy inmaduros en el pensamiento de protección de datos porque estamos acostumbrados a los datos que se encuentran en nuestro centro de datos y tenemos este gran perímetro. Y creo que es un área muy poco invertida para comprender dónde están mis datos, ¿cómo se protegen? ¿Cuál es el riesgo allí? ¿Cuál es el impacto? ¿Qué tan sensible es? Todo eso porque prolifera.

Emily Heath (41:31): Son esas cinco preguntas otra vez, ¿verdad? Son esas cinco preguntas, ¿qué me importa más? ¿Dónde está? ¿Cómo lo estoy protegiendo? ¿Qué tan vulnerable y en riesgo estoy? ¿Y qué tan preparado estoy para cuando llegue el momento? Suena tan simple cuando se divide en eso, pero ahí están los fundamentos del programa de seguridad. Y es diferente para cada empresa. Y es difícil hacer eso, es difícil descubrir todo eso. Porque esas preguntas están completamente cargadas de suposiciones de que, oye, entiendes dónde están todos tus datos y entiendes los activos que los respaldan y, por cierto, ¿todos se están aprovisionando de la manera correcta? ¿Tienen toda la seguridad o todos los controles de acceso como deberían ser? Suena tan simple, pero no podía estar de acuerdo. Creo, y mucho de eso para nosotros lo traduzco a la nube porque obviamente es mucho de lo que van los entornos.

Jason Clark (42:19): Quiero decir, creo que la nube en cierto modo lo hace más difícil al principio porque no es donde están las soluciones, pero al final creo que nos lo pone más fácil. Como tenemos [inaudible 00:42:30], quiero decir que hay muchas cosas que puedes hacer. Así que es como un lugar extraño temporalmente, pero al final y en el futuro, creo que vamos a ser realmente buenos. Así que último segmento, accesos rápidos. Preguntas rápidas para usted y solo respuestas rápidas. ¿Entonces estas lista?

Emily Heath (42:54): Estoy lista, tráelo.

Jason Clark (42:57): Muy bien. ¿Qué talento o habilidad tienes que no está en tu currículum?

Emily Heath (43:02): Soy una sanadora de Reiki, una sanadora de Reiki entrenada.

Jason Clark (43:05): Wow, eso es genial.

Emily Heath (43:08): Algo completamente diferente.

Jason Clark (43:10): Ni siquiera sé qué es eso. ¿Qué es eso, Emilio?

Emily Heath (43:13): Es una técnica de sanación práctica, eso es lo que es.

Jason Clark (43:15): Oh, genial. Voy a investigarlo. Entonces, segundo, si no estuviera en redes y seguridad, ¿qué estaría haciendo?

Emily Heath (43:23): Sería chef. Me encanta cocinar. Simplemente, es mi atasco, es cómo me relajo. Simplemente, me encanta hacer feliz a la gente con la comida.

Jason Clark (43:34): Y sé que esta es una pregunta difícil porque yo también soy chef y es muy, pero ¿cuál es tu tipo de cocina favorita?

Emily Heath (43:43): Oh, eso es difícil. He estado perfeccionando mi receta boloñesa durante unos 15 años porque la comida italiana es simplemente la mejor. Quiero decir que a veces soy un poco amante de los carbohidratos, pero la comida italiana es lo mejor para mí.

Jason Clark (44:01): Oh hombre, el mío probablemente sea asiático. Solo asiático, muchos sabores asiáticos. Pero tenemos que reunirnos en algún momento en la costa de Amalfi en algún lugar y pasar el rato y pasar un buen-

Emily Heath (44:15): Hagámoslo.

Jason Clark (44:18): Y última pregunta, ¿cuál sería su principal consejo para un CSO primerizo?

Emily Heath (44:23): Oh, diría que pida ayuda. Como mencionamos anteriormente, esta comunidad es increíble y hay muchas personas dispuestas y capaces de ayudarlo en su viaje. Ojalá hubiera pedido más ayuda al principio y tenido un poco más de humildad para saber que no lo tengo todo resuelto. Y ese es un gran error que las personas que ingresan a esta carrera piensan que tienen que saberlo todo, que deben conocer todas estas piezas en movimiento. Es imposible hacer eso. Quiero decir, si tuviéramos que aplicar ingeniería inversa al malware, soy la peor persona del mundo para hacer eso, tengo personas muy inteligentes en mi equipo que pueden hacerlo. No hay forma de que pueda saberlo todo. Así que pides ayuda, pides orientación. Hay tantos líderes dispuestos e increíbles en esta comunidad de OSC que estarán ansiosos por ayudarlo en su camino, así que no tenga miedo de pedir ayuda.

Jason Clark (45:17): Me encanta, es increíble. Así que mira, eso es todo el tiempo que tenemos. Emily, esto ha sido increíble. Y amo cada conversación que tenemos y siento que probablemente podríamos haber ido durante cuatro horas fácilmente. Antes de que te deje ir, si la gente quiere pedir ayuda, si quiere comprometerse contigo para recibir alguna tutoría o lo que sea, ¿cuál es la mejor manera de que se comprometan contigo?

Emily Heath (45:44): Sí, hacerme ping en LinkedIn es la forma más fácil. Es la forma más rápida y fácil. Hay muchas redes en las que ya estoy involucrado y soy mentor y entrenador de mucha gente, y sé que tú también lo haces, Jason. También das mucho de tu tiempo a esta comunidad. Y aunque no podemos enfrentarnos a 100 personas, lo que me encanta es que si tienes una avenida y un lugar donde puedes ir y preguntar, oye, estoy luchando con esto, ¿qué hiciste en ¿esta situación? Por cierto, hago eso todo el tiempo con las OSC. Si hay algo con lo que estoy luchando, hago lo mismo, me comunico con mis amigos y les digo, mira, esto es algo con lo que realmente estoy luchando, ¿cómo lo hiciste? Entonces diría que se comuniquen conmigo en LinkedIn, háganme un ping en Twitter. Muchos de ustedes ya tienen mi dirección de correo electrónico y mi número de teléfono celular. Pero sí, estoy aquí por la comunidad y también quiero agradecer a la comunidad por estar ahí para mí también.

Jason Clark (46:36): Perfecto. Bueno, gracias y gracias a todos por acompañarnos.

Emily Heath (46:40): Gracias, Jason.

Patrocinador (46:43): El podcast Security Visionaries está impulsado por el equipo de Netskope. ¿Está buscando la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital? Netskope Security Cloud lo ayuda a conectar usuarios de forma segura y rápida directamente a Internet desde cualquier dispositivo a cualquier aplicación. Obtenga más información en Netskope.

Productor (47:04): Gracias por escuchar Security Visionaries, tómese un momento para calificar y revisar el programa y compartirlo con alguien que conozca. Estén atentos a los nuevos episodios que se lanzan cada dos semanas, y nos vemos en el próximo episodio.