Gary Harbison: Yo diría que, más que nada, creo que la gente mira la seguridad tal como existimos para detener las cosas. Y si bien sí queremos evitar que ocurran ataques y cosas así, pero de la misma manera que tener frenos en un automóvil te permite ir más rápido, tener un buen equipo de seguridad que evalúe y equilibre el riesgo y presente soluciones que permitan que usted tome los riesgos correctos de manera responsable, puede ayudar a que la empresa avance más rápido y ayude a alcanzar los objetivos comerciales. Entonces, mirándolo como si estuviéramos aquí para decir no o para detener las cosas, en realidad estamos aquí para ayudar a encontrar una manera de decir sí de manera responsable, y eso realmente puede ayudar a que el negocio avance más rápido.
Productor: Hola y bienvenido a Security Visionaries, presentado por Jason Clark, CSO de Netskope. Acaba de escuchar al invitado de hoy, Gary Harbison, vicepresidente y director global de seguridad de la información de Bayer. Alcanzar el nirvana de la seguridad no es una tarea fácil. El panorama de la seguridad cambia constantemente, especialmente ahora que con la nube se puede acceder a los datos desde prácticamente cualquier lugar. Un día cualquiera, usted y su equipo pueden estar al borde de la tranquilidad y del siguiente, un caos total. Pero de la misma manera que tener frenos en un automóvil le permite ir más rápido, los equipos de seguridad pueden ayudar a que las empresas crezcan. El nirvana se alcanza cuando los equipos de seguridad pueden evaluar, equilibrar el riesgo y presentar soluciones que permitan a las empresas asumir el riesgo correcto de manera responsable. Hacerlo permite a las empresas moverse de manera más fluida, más rápida y lograr los objetivos comerciales deseados y eso incluye, como lo expresa tan elocuentemente Gary, poder tener seguridad de los datos, dondequiera que vayan. Antes de sumergirnos en la entrevista de Gary, aquí hay unas breves palabras de nuestro patrocinador.
Patrocinador: El podcast Security Visionaries está impulsado por el equipo de Netskope. Netskope es el líder de SASE y ofrece todo lo que necesita para brindar una experiencia de usuario rápida, centrada en los datos y inteligente en la nube al ritmo de los negocios actuales. Obtenga más información en NETSKOPE.com.
Productor: Sin más preámbulos, disfrute del episodio cinco de Security Visionaries con Gary Harbison, vicepresidente y director global de seguridad de la información de Bayer y su anfitrión, Jason Clark.
Jason Clark: Bienvenido a Visionarios de la seguridad. Soy su anfitrión, Jason Clark. Director de estrategia y seguridad de Netskope. Hoy me acompaña un invitado y amigo muy especial, Gary Harbison. Gary, ¿cómo estás?
Gary Harbison: Estoy bien, Jason. ¿Cómo estás?
Jason Clark: Lo estoy haciendo genial, hombre. Súper fantástico. Estoy disfrutando del agradable clima otoñal que ambos tenemos hoy aquí en St. Louis. En realidad, tal vez incluso podríamos haberlo hecho en persona. Ha sido una buena idea.
Gary Harbison: Muy cierto, este es un buen momento para estar en St. Louis ahora mismo en el otoño.
Jason Clark: Sí. Y siento que la otra cosa cuando pienso en esto es que tal vez deberíamos haberlo hecho como hora feliz y haber estado bebiendo una cerveza o un bourbon juntos al mismo tiempo también. Pero bueno, lo haremos. Lo haremos la próxima vez aquí.
Gary Harbison: La próxima vez, sí.
Jason Clark: Gary, nos conocemos desde hace mucho tiempo y he hecho muchas cosas interesantes, de las que hablaremos juntos aquí, pero comencemos desde el principio. ¿Cómo llegaste a seguridad? ¿Cuál fue su primer trabajo?
Gary Harbison: Buena pregunta. Entonces, cuando iba a la universidad, creo que tenía 19 años y conseguí un puesto en una base de la Fuerza Aérea cercana al otro lado del río desde St. Louis. Y en ese momento, yo estaba en un puesto de ingeniero de redes y telecomunicaciones y desde la sede central nos dijeron que había que instalar nuevos firewalls y vinieron al equipo de redes y encontraron a dos de nosotros que conocíamos Unix y redes, y esos se convirtieron en nuestros. para instalar y poseer en el futuro. Así que esa fue mi primera introducción a la seguridad, fue instalar y administrar sus firewalls y luego eso se extendió a los sistemas operativos de servidores y otras cosas, y simplemente continuar expandiéndome desde allí. Así que no fue algo que realmente hubiera planeado, pero funcionó.
Jason Clark: Está bien. Creo que probablemente para cualquiera de nosotros que hayamos hecho esto durante más de 20 años, creo que el firewall fue probablemente la primera pregunta y la primera forma en que ingresamos al equipo de seguridad. Por casualidad ¿cuál era la marca de aquellos firewalls en aquel entonces?
Gary Harbison: Fueron los cortafuegos Sidewinder.
Jason Clark: Sí. No he visto uno de esos en mucho, mucho tiempo.
Gary Harbison: Ha pasado un tiempo, sí. Fueron adquiridos. Y creo que al final creo que lo desmantelaron al final.
Jason Clark: Ahora cuéntenos un poco sobre su papel como CISO de Bayer.
Gary Harbison: Ahora mismo soy el director global de seguridad de la información en Bayer. Responsable de todas las actividades de seguridad cibernética en todas nuestras divisiones y funciones a nivel mundial. Bayer tiene múltiples áreas de negocio. Tenemos una división de ciencia de cultivos enfocada en la agricultura e impulsando avances y continuando mejorando el suministro de alimentos y alimentando al mundo. Tenemos una división de productos farmacéuticos que está trabajando en tratamientos y medicamentos de próxima generación para ayudar a todos a seguir mejorando la salud. Y luego tenemos una división de salud del consumidor que vende más marcas de productos de venta libre también en el sector de la atención médica.
Jason Clark: Entonces les daré un montón de preguntas aquí y simplemente iremos y vendremos. Nuevamente, enciéndelo en cualquier momento. Pero la primera pregunta para usted es ¿qué cree que obtiene la gente en materia de seguridad?
Jason Clark: Correcto. En el negocio u otras partes de TI. ¿En qué se equivocan respecto a la seguridad?
Gary Harbison: Yo diría que, más que nada, creo que la gente mira la seguridad tal como existimos para detener las cosas. Y aunque sí, queremos evitar que se produzcan ataques y cosas así, pero de la misma manera que tener frenos en un automóvil te permite ir más rápido, contar con un buen equipo de seguridad que sea capaz de evaluar y equilibrar los riesgos y presentar soluciones. que le permitan asumir los riesgos correctos de manera responsable, en realidad pueden ayudar a la empresa a avanzar más rápido y ayudar a alcanzar los objetivos comerciales. Entonces, mirándolo como estamos aquí para decir no o para detener las cosas, en realidad estamos aquí para ayudar a encontrar una manera de decir sí de manera responsable y que realmente pueda ayudar a que el negocio avance más rápido.
Jason Clark: Estaba haciendo algo así con Dustin Wilcox, el CISO de Anthem, y me gusta la forma en que lo dijo. Dijo que alguien en nuestro panel dijo: "Siempre deberíamos tratar de eliminar la fricción en todos los lugares que podamos y debería ser así". sin fricciones e inseguridad." Y él dijo: "No. En realidad, necesitamos la cantidad adecuada de fricción. La fricción es importante en ciertos momentos." ¿Bien? Puedes decir que sí, pero dime el motivo. Escriba una frase por la que necesita cargar estos datos aquí y simplemente participe cuando digan: "¿Sabes qué? En realidad no lo necesito, o sí, tengo una buena razón". ¿Bien?
Gary Harbison: Absolutamente. Creo que, por supuesto, desea que los controles y demás sean lo más fluidos posible para los usuarios finales, pero la palabra que he usado a menudo es tensión. Quiere una tensión saludable en el sistema que tiene controles y equilibrios, pero estoy de acuerdo con él en eliminar en la medida de lo posible la fricción que afecta la capacidad de los empleados y usuarios para hacer su trabajo cada día.
Jason Clark: Entonces, ¿cuál cree que es el riesgo de más rápido crecimiento en ciberseguridad del que la mayoría de la gente no se da cuenta? De ahí los riesgos que se les están acercando rápidamente.
Gary Harbison: Sí. Destacaría que, en general, creo que el espacio general de gobernanza y seguridad de los datos está evolucionando muy rápidamente. Y entonces no solo se trata de proteger los datos, sino que los datos se vuelven muy portátiles. Podemos llevar terabytes de datos en nuestro bolsillo y cuando ambos entramos en seguridad, eso probablemente habría llenado los centros de datos. Entonces, el almacenamiento, la portabilidad de los datos, se puede mover y trasladar con tanta rapidez, se comparte con socios y terceros y se aloja en entornos de nube. Y así comprender cómo proteger los datos y dónde se transfieren.
Pero la otra parte que continúa cambiando y evolucionando son las leyes y regulaciones a nivel mundial sobre cómo se deben proteger los datos, dónde deben almacenarse y desde dónde se puede acceder a ellos. Entonces, especialmente para una empresa que opera globalmente en varios países, regiones y jurisdicciones, resulta complicado entender cómo proteger los datos, dónde almacenarlos y qué acceso proporcionar a los datos. Así que creo que las empresas están centradas en ello y continúan trabajando en ello, pero las regulaciones, las leyes y las amenazas están cambiando tan rápidamente que es un espacio en constante evolución.
Jason Clark: Sí. Básicamente, ¿lo resumiría porque comenzó con la gobernanza y el riesgo que lo rodea, pero luego obviamente... ¿Lo llamaría simplemente riesgo de datos? ¿Es simplemente que, en general, el riesgo de más rápido crecimiento es el riesgo de datos?
Gary Harbison: Yo diría que sí.
Jason Clark: Sí.
Gary Harbison: Creo que es una buena forma de expresarlo.
Jason Clark: Las razones por las que han perdido visibilidad serían simplemente reiterativas, ¿verdad? Primero, está en todas partes y es muy portátil. Está en la nube, está en el móvil. (cantando)
Así que creo que, saltando a ese punto, ¿diría que ese es el lugar número uno donde probablemente se necesita innovación desde una perspectiva de ciberseguridad?
Gary Harbison: Estoy de acuerdo, sí. Analizar tecnologías para detectar ataques, monitorear nuestros entornos y crear la seguridad adecuada en torno a los entornos. En el pasado, nos hemos centrado mucho en la infraestructura, los servidores, los dispositivos y demás. Hacia donde se dirige el futuro, todo irá a la nube y los empleados y usuarios trabajarán desde cualquier lugar y tal vez a veces desde diferentes tipos de dispositivos. Por eso creo que es necesario seguir innovando en cómo protegemos los datos y acercando los controles a los datos y no confiando en proteger los servidores o los dispositivos o los entornos de nube en los que se encuentran, sino cómo protegemos los datos dondequiera que vayan y dondequiera que se almacenen, en tener la detección y visibilidad adecuadas sobre el movimiento de datos y qué datos se mueven a dónde, y también en comprender y ser capaz de superponer esos requisitos sobre cómo se almacenan los datos, dónde y cómo se protegen.
Y hay capacidades que existen allí, pero que hoy en día a menudo están fragmentadas. Cuanto más podamos automatizar eso, hacerlo en tiempo real y obtener una buena visibilidad de dónde se almacenan nuestros datos, cómo están protegidos, quién accede a ellos y si los cumplimos de forma automatizada y en tiempo real. Ese será realmente el lugar al que debemos llegar y creo que todavía hay mucha innovación que es posible y necesaria para llegar allí.
Jason Clark: Dijiste que la información en tiempo real es muy importante porque yo diría que la mayoría de las personas todavía consideran el riesgo como una sola vez. Hago que los Cuatro Grandes entren y hagan una evaluación de riesgos. Estaba hablando con una institución financiera muy grande y el CISO adjunto dijo que están planificando su evaluación de riesgos de Office 365 una vez al año. Yo digo: "Pero cambiará mañana dependiendo de las nuevas vulnerabilidades o de los nuevos datos que haya". Yo digo: "¿Por qué harías eso una vez al año?" ¿Cómo ha impulsado más evaluaciones de riesgos en tiempo real de su nube o infraestructura?
Gary Harbison: Sí. Creo que, como todo el mundo, todavía estamos averiguando algo de eso. Creo que, como usted dijo, tradicionalmente consideramos las evaluaciones de riesgos como un punto en el tiempo. Tal vez haga una evaluación anual, o si está evaluando a un tercero, lo reevalúe periódicamente en función del riesgo. Pero creo que todo el mundo se esfuerza por lograr esa evaluación de riesgos en tiempo real. Hay más automatización y más datos que podemos transmitir desde los dispositivos y obtener visibilidad en tiempo real. Pero creo que lo importante es tomar la visibilidad y comprender la seguridad del entorno de la nube o las cargas de trabajo en las que se encuentran o las plataformas en las que se encuentran los datos y poder superponer la visibilidad automatizada que tenemos con el contexto empresarial para comprender la importancia. de la gravedad de ese activo. Creo que eso es lo que nos ayuda a realizar una evaluación del riesgo en tiempo real y a comprender cómo lo gestionamos en nuestro entorno.
Jason Clark: Sí, sí. Aceptar. Creo que acabas de describir uno de mis temas favoritos, que es SASE, ¿verdad? Servicios de acceso seguro en el borde, y el propósito de esto es mover el perímetro de seguridad y tomar todas esas tecnologías más antiguas y fusionarlas en un punto de inspección que pueda ser perfecto para usted. Una vez dijiste que lo dibujaste en mi pizarra y nunca olvidaré la frase. Y dijiste: Para mí, Nirvana es cuando los controles de seguridad siguen mis datos a todas partes. Y creo que SASE es un elemento de eso. ¿Cuál es su opinión sobre el borde de los servicios seguros y qué está haciendo Gartner al crear este MQ y el impacto? ¿Con qué rapidez cree que sus pares lo adoptarán en la empresa? Y como parte de eso, ¿cómo comienzan a converger y unirse los equipos de seguridad y redes para ejecutarlo?
Gary Harbison: Claro. Así que creo que el movimiento para llegar al tipo de modelo SASE en el que esencialmente es de la misma manera que estábamos discutiendo el concepto de la filosofía del castillo y el foso donde tenemos un perímetro alrededor del exterior de nuestra red como el muro alrededor de un El castillo y las cosas que están dentro son buenas, las cosas que están fuera son amenazas y tenemos que defender los muros. Eso realmente nos está pasando por alto y, de hecho, nos pasó por alto hace algún tiempo. Entonces, el concepto de entender que vamos a tener datos alojados en muchos entornos, múltiples plataformas SaaS, múltiples entornos de infraestructura como servicio, vamos a tener empleados trabajando desde todas partes, vamos a tener terceros partes que necesitan acceso a datos para colaborar e impulsar la innovación y nos dirigimos a la nube.
El futuro de permanecer en las instalaciones probablemente ocurrirá en ciertos escenarios únicos o donde pueda tener operaciones localmente, como un sitio de fabricación. Pero de lo contrario, mucho de esto irá a la nube y, para hacerlo y hacerlo bien, tendremos que poder proteger en cualquier lugar y acceder desde cualquier lugar. Entonces eso requiere ese concepto de tener lo que antes era su perímetro en la nube. Luego, debe poder sentarse virtualmente frente a lo que está protegiendo, dondequiera que esté y también debe sentarse frente al acceso de sus empleados o usuarios, protegerlos y también controlar su acceso a la red. activos a los que intentan acceder.
Así que realmente siento que ese será más el modelo futuro y creo que la mayoría de las empresas al menos lo están analizando o considerándolo. El cronograma de qué tan rápido lo adoptan o adoptan esa arquitectura en general y esa implementación probablemente depende del tipo de negocio que son, cuáles son sus requisitos, dónde operan, en qué industria se encuentran, qué requisitos regulatorios tienen. Así que cada uno puede implementarlo a una velocidad diferente, pero no he hablado con muchas empresas que al menos no lo estén analizando y construyendo una estrategia en torno a él.
Jason Clark: ¿No es ese un factor al final, qué tan rápido se están moviendo hacia la nube, qué tan rápido están adoptando SaaS, verdad? Porque en ese momento estás muy esforzado. Hay un punto de inflexión, hay un porcentaje de la cantidad de aplicaciones y datos en la nube o de usuarios móviles que no están en mi red donde, en algún momento, no tengo otra opción.
Gary Harbison: Absolutamente. La velocidad será impulsada por el negocio. Y como tantas cosas, siempre trato de relacionar que cuando miramos una estrategia de seguridad o una hoja de ruta, esas cosas no están ahí solo porque un equipo de seguridad piensa que la tecnología es mejor, sino que queremos hacer algo. Sus proyectos se construyen en torno a tres tipos de impulsores. Hay impulsores comerciales en los que necesitamos implementar algo para permitir que el negocio avance rápidamente y alcance sus objetivos. Necesitamos implementar algo para abordar un conjunto de riesgos que tenemos dentro de la empresa, o necesitamos implementar algo impulsado por las amenazas y la evolución del panorama de amenazas. Entonces, la línea de tiempo, siempre estamos equilibrando esa línea de tiempo con tres tipos de factores sobre la rapidez con la que nos movemos. En cuanto a tu punto, Jason, creo absolutamente que gran parte de esto está impulsado por la rapidez con la que el negocio va a la nube y luego debemos asegurarnos de alinear esas capacidades para que estén listas para permitir que el negocio avanzar.
En la segunda parte de su pregunta sobre cambios organizacionales, creo que los equipos de red y los equipos de seguridad siempre han trabajado estrechamente juntos y, a lo largo del tiempo, ha habido diferentes modelos sobre dónde se ubican algunos de los controles de infraestructura, si se ubican en el En la red forman parte del equipo de seguridad, pero siempre ha existido esa asociación sin importar cómo haya funcionado. Y lo que veo en el futuro es que la red cambiará para los equipos de red, pero no creo que el concepto de acceso a través de una red y paquetes que fluyen por cable vaya a desaparecer. Siempre habrá necesidad de talento en la red, pero ese talento en la red tiene que evolucionar.
Si alguien se ve a sí mismo como una persona enrutadora o una persona conmutadora y construye esas redes, eso cambiará significativamente a medida que comience a ver redes definidas por software y, esencialmente, las empresas optarán por Amazon, Google o AWS... Lo siento, Microsoft, y están poniendo en marcha centros de datos en la nube. Por lo tanto, los equipos de red deben comprender que, en el futuro, las redes se construirán más mediante código que mediante dispositivos conectados físicamente. Por lo tanto, la necesidad de talento y experiencia en redes siempre estará ahí, pero es necesario volver a capacitar y evolucionar para comprender cómo garantizar la prestación de servicios y la conectividad de una manera más moderna en el futuro. Y creo que siempre habrá una estrecha cooperación entre la seguridad y las redes.
Jason Clark: Entonces, está bien. Simplemente repitiéndolo. Entonces, tienes personas que están muy concentradas en la LAN y, por lo tanto, siempre tendrás cosas en las instalaciones. Bien. Entonces veo que probablemente sean más una función de ingeniería de escritorio en algún momento, pero luego están los equipos de enrutamiento que están tratando de llevar a su usuario a una aplicación. Se trata de acceso. Su trabajo es llevar a los usuarios a esos datos, pero como esos datos, como ese usuario está cada vez más fuera de la red usando Internet y esos datos, lo que es más importante, cada vez más no se encuentran en su centro de datos, sino en la nube, están en aplicaciones SaaS, está en 365. A medida que ese péndulo se mueve, digamos que el 70% de sus datos, ¿verdad? Entonces, ahora el 70% del tiempo, estás usando Internet donde se realizan las redes, pero en esencia, estás subcontratando la red a quienquiera que la administre y luego todavía hay controles de los que debes preocuparte.
Entonces, ese pensamiento de redes, ¿no termina yendo al equipo de seguridad que posee ese punto de inspección porque todavía tiene que tener ese punto de inspección para la seguridad o va a esa organización de infraestructura de nube a la que está subcontratando o va a el equipo de la aplicación. Así que supongo que lo que estoy diciendo es, ¿no hay un punto de cambio pendular en el que se puede hacer networking? En el pasado, cuando estaba en Emerson, tuve un equipo de networking bastante grande que tenía 2000 ubicaciones. Pero, ¿dónde está ese punto en el que, si usted fuera un networker hoy en día, si su hijo fuera un ingeniero de redes, dónde le aconsejaría que empezara a pensar y aprender y en qué organización quizás debería empezar a pensar en unirse a medida que empieza a entrar? otras organizaciones.
Gary Harbison: Ahora, buena pregunta y creo que los ingenieros de redes tal como los conocemos en el pasado, eso va a cambiar significativamente como dije, pero dependiendo del tipo de empresa que sea, si es totalmente de nube. La empresa con sede y sus sitios locales son en su mayoría edificios de oficinas donde trabajan trabajadores del conocimiento. Sí, habrá muy poca necesidad de establecer contactos. Puede configurar la conectividad local en su edificio y conectarse a la nube y tener seguridad basada en la nube. Para las empresas con varios sitios globales, ubicaciones de fabricación, laboratorios y otros tipos de ubicaciones, es probable que aún tengan una WAN global que conecte algunos de estos elementos. Así que no creo que la experiencia en redes desaparezca nunca y aún debes poder unir ese entorno local a tus entornos de nube, SD-WAN comienza a aparecer.
Por eso existe la necesidad de experiencia en redes. En cuanto a su punto de vista, mucho de esto probablemente depende del tipo de empresa y de la estructura de TI. En una empresa que es principalmente una empresa de tecnología, eso puede estar simplemente integrado en los equipos de DevOps, ¿verdad? En una empresa que tal vez tenga actividades de fabricación más tradicionales, es posible que aún vea un equipo de networking que tiene que hacer parte de ese trabajo, pero tiene que trabajar mucho más estrechamente con otros equipos que nunca antes. Entonces no sé si habrá una respuesta. Creo que, según tu punto, podría terminar en varios otros equipos.
Jason Clark: ¿Qué le dirías a tu hijo si te pide ese consejo sobre qué aprender?
Gary Harbison: Siempre alentaría a cualquiera que se dedique a TI a ampliar su comprensión básica de los elementos fundamentales de TI tanto como sea posible. Y eso es algo que he visto que hemos perdido en la industria en los últimos 10 a 15 años: hemos empujado a la gente a especializarse tanto. Cuando se trata de solucionar un problema muy complejo, no quedan muchas personas que entiendan cómo todo encaja y funciona en conjunto. Por eso los alentaría a aprender tantas áreas diferentes como sea posible y luego determinar en qué equipo quieren ingresar.
Jason Clark: Está bien. Con eso, usted y yo hemos pasado mucho tiempo juntos tratando de ayudar a la industria desde una innovación. Tú y yo trabajamos juntos en un montón de cosas de startups y VC. Pero también juntos creamos la Alianza de Asesores de Seguridad que se centra en tratar de ayudar a superar la brecha de habilidades y la brecha de diversidad en seguridad. Tal vez hable un poco sobre por qué, por qué es importante para usted y por qué es parte de esa organización.
Gary Harbison: Absolutamente. Como creo que cualquiera que esté construyendo una organización de seguridad o gestionando una organización de seguridad lo ve, existe una enorme brecha de talento. Hay una brecha de talento en los números en general. Hay una brecha de talento en cuanto a profundidad de experiencia. Existe una brecha de talento en torno a la diversidad en general que usted mencionó. Y parte de eso se debe a la primera pregunta que me hizo sobre cómo muchas personas entraron en seguridad desde el principio. Te involucraste en esto porque conseguiste un puesto en algún lugar donde lo aprendiste en el trabajo. Mucha gente salió del gobierno, del ejército y tal vez de los servicios financieros y estaban un poco por delante en algunos de los temas de seguridad en los primeros días, pero no había muchos o ninguno, ni siquiera al principio, programas universitarios para aprender. seguridad. Entonces realmente había que conseguir un trabajo para aprenderlo y eso simplemente no creció cuando la explosión y la demanda continuaron aumentando año tras año.
Y ahora estamos tratando de llegar allí, hay muchas universidades que impulsan programas que continúan evolucionando, pero como industria, creo que tenemos que analizar realmente cómo también ayudamos a crear la próxima generación de profesionales de la seguridad para ayudar. llenar ese vacío y es por eso que desde el principio siempre me apasionó tanto la Security Advisor Alliance decir: ¿cómo abordamos ese vacío? ¿Cómo podemos llegar a los niños de secundaria hasta la escuela secundaria y entusiasmarlos con la ciberseguridad como una posible carrera profesional y también protegerlos, ayudarlos a comprender cómo protegerse porque Internet es un lugar peligroso para los niños más pequeños? Por lo tanto, aumentamos su conciencia para permitirles protegerse, pero también lograr que se interesen en un campo al que eventualmente podrían ingresar.
Creo que ayudar a los profesionales existentes a seguir creciendo como líderes. Necesitamos que la próxima generación de líderes dé un paso adelante con nuevas ideas innovadoras y presente nuevas formas de abordar los problemas que enfrentamos. Y luego, la tercera pieza, y probablemente una de las más grandes, es la brecha de diversidad. Para una industria que está luchando por encontrar talento, no estamos aprovechando enormes porciones de la población que podrían aportar nuevas ideas en nuevas formas de pensar y realmente ayudarnos a impulsar las cosas. Por eso creo que realmente tenemos que pensar en cómo abordar la inclusión y la diversidad generales dentro de la ciberseguridad. Y si somos capaces de hacer eso, veremos una mejora no solo en los números, sino también en la diversidad de pensamiento y creatividad dentro de la industria en general. Entonces, creo que es algo en lo que todos nosotros, como líderes y profesionales de la seguridad, deberíamos pensar: ¿cómo ayudamos a la industria en general?
Jason Clark: Sí. Y gracias por todo lo que ha hecho por la industria. Obviamente, has puesto mucha energía en lo que acabamos de hablar, pero también creaste este programa de seguridad, el programa de maestría con Lamont en WashU, ¿verdad? Entonces, tal vez ¿cómo surgió esa oportunidad y cualquier otra cosa que quieras decir sobre hacia dónde debe ir y qué deberían hacer las escuelas secundarias?
Gary Harbison: Claro. Entonces creo que surgió la oportunidad en WashU, estaban creando el programa de maestría en ciberseguridad. Y realmente me gustó su enfoque, que es que buscaban profesionales de la industria para que vinieran y fueran realmente instructores adjuntos para que sus estudiantes realmente pudieran obtener un mundo real, un tipo de enseñanza de la vida real y ejemplos y contenidos provenientes de profesionales que están integrados en Trabajamos cada día para construir esta próxima generación de profesionales de la seguridad. Entonces creo que ha sido genial. Hablé con ellos inicialmente, con Lamont y conmigo, y también trabajé con Eric Kruse. En realidad, era estudiante en una de nuestras clases y luego se convirtió en coadyuvante con nosotros en nuestra clase de seguridad en la nube. Realmente disfruto tratando de ayudar a los estudiantes universitarios que vienen a aprender más sobre esto y a algunos que ya están en su profesión y desean desarrollarse más.
Por eso, es muy gratificante ayudar a otros a aprender, crecer y desarrollarse, pero al mismo tiempo, ayudar a construir algo que sea repetible dentro de la industria. Y así, estos otros programas comienzan a multiplicarse y ayudarnos a abordar la brecha de talento. Así que creo que es algo que ha sido muy gratificante y creo que lo siguiente es observar cada extremo de ese proceso. Entonces, A, ¿cómo ayudamos a las personas en la escuela secundaria a descubrir cómo ingresar a esos programas? Recibo muchas preguntas de personas que conozco localmente, ya que algunos de estos estudiantes están saliendo de la escuela secundaria y realmente no saben cómo ni por dónde empezar. Entonces, ¿cómo les ayudamos a conectarse al oleoducto? Entonces, ¿cómo analizamos cómo unimos a las personas que salen de estos programas y las preparamos para asumir un rol dentro de estas empresas y comenzar sus carreras? Así que creo que el espacio educativo en general está haciendo un mejor trabajo al crear los programas, pero tenemos que abordar cada extremo del proceso para comenzar realmente a abordar el problema general.
Jason Clark: Me encanta. Eso es perfecto. Entonces es gracioso, Gary. Estamos sentados aquí y escucho sus correos electrónicos llegar a Outlook y, obviamente, es un flujo constante de información que llega a usted y su trabajo es muy estresante. Creo que el trabajo de CISO es probablemente uno de los trabajos de nivel C más difíciles que existen por muchos factores, pero ¿cómo se puede mantener el ritmo? ¿Cuál es el secreto para escalar? ¿Cómo mantenerse al día con las noticias, los informes de inteligencia, el cambio de tecnologías, las nuevas innovaciones, comprender cuáles son sus riesgos y qué está haciendo su negocio al mismo tiempo, todo eso? ¿Tienes algún secreto para mantenerte a flote con todo esto?
Gary Harbison: Buena pregunta y ese es el desafío. Hay tanta información disponible que consumirla de manera significativa siempre es difícil. Intento identificar ciertas fuentes de noticias y agregaciones que me brindan un resumen de los titulares y luego trato de concentrarme en los temas en los que quiero actualizarme o mantenerme al día al máximo. Por lo tanto, cualquier cosa que pueda agregar algunas de esas noticias o datos y actualizaciones externamente siempre es útil. Creo que la segunda pieza está usando tu red. Entonces, hable con sus colegas tanto externa como internamente y escuche de ellos cuáles son las cosas importantes para ellos y escuche realmente lo que están viendo ahí fuera. Creo que esa es siempre una segunda manera de estar al tanto de lo que está pasando. Y luego, la tercera parte es tener un buen equipo a tu alrededor y luego tu equipo está conectado y saben qué cosas necesitas saber para mantenerte actualizado. Entonces, la red, el equipo y luego simplemente descubrir cómo agregar la información en temas significativos de alta prioridad en los que desea ponerse al día.
Jason Clark: Creo que uno de tus secretos, Gary, y los buenos CISO hacen esto, ¿verdad? ¿Contratas a otros CISO y has contratado a personas que fueron CISO en otros lugares o muchas personas que podrían ser CISO en cualquier lugar y eso te da una ventaja porque conocen tu trabajo? Y por eso no se centran sólo en su silo.
Gary Harbison: Totalmente de acuerdo. Tener un buen equipo es siempre el elemento número uno del éxito y rodearse de personas que tienen mucho conocimiento, muy buenas, tienen un alto grado de responsabilidad y, a veces, también, que son buenas en cosas que usted no es. Siempre es bueno comprender sus brechas y tener personas a su alrededor que sean buenas en otras cosas o que puedan desafiar su forma de pensar.
Jason Clark: Sí. Entonces, si pudieras volver a tu yo más joven cuando te convertiste en CISO por primera vez, ¿qué le dirías al nuevo CISO, Gary?
Gary Harbison: Inicialmente, recuerdo que asumí el primer rol, realmente estaba reconstruyendo el equipo, tenía varios roles de liderazgo disponibles en el equipo y otros roles de líder clave abiertos en la organización. Nuestro negocio estaba atravesando una serie de cambios y por eso ya había mucha emoción. Realmente había muy poca estabilidad y todo estaba cambiando. Había mucho trabajo en el que intentaba desempeñar varios roles al mismo tiempo y fue un comienzo estresante. Entonces creo que con el tiempo aprendes a priorizar. Y, por ejemplo, finalmente pensé que tenía que dar un paso atrás y concentrarme en cubrir algunos de los roles porque no era sostenible para mí continuar desempeñando tres, cuatro o cinco roles abiertos además del mío. Así que tuve que tratar de delegar parte de lo que estaba sucediendo a personas que pudieran mantenerlo funcionando o atender un poco los incendios mientras yo salía y contrato a la gente para que viniera y asumiera esas responsabilidades.
Entonces, priorizar las actividades correctas y poder hacerlo en medio del caos y el cambio. Entonces creo que eso es algo que he aprendido con el tiempo. Y creo que la segunda parte es esperar un cambio constante y no siempre habrá un status quo. El mundo está cambiando rápidamente, la tecnología está evolucionando rápidamente. Las empresas están atravesando transformaciones digitales. El talento en general, la guerra contra el talento y el cambio de personas están ocurriendo. Así que nada permanece realmente estático. Entonces, cada día, debes estar preparado para nuevos desafíos y ser capaz de adaptarte y seguir avanzando en eso. Y entonces, darte cuenta de que eso es lo normal, que en realidad no existe una normalidad, que lo normal es el cambio, creo que te ayuda a poner todo en perspectiva.
Jason Clark: Entonces, con ese cambio, avancemos hasta 2030. (cantando)
Dentro de nueve años, ¿cuál cree que será el mayor problema al que se enfrentará la seguridad en el futuro? Obviamente la nube está sucediendo ahora. Todo lo que sabemos está sucediendo ahora, pero ¿qué es lo que nadie habla en este momento y que será un problema en el futuro?
Gary Harbison: Creo, y de alguna manera ya está sucediendo, pero creo que en el futuro, una de las cosas que nosotros, como profesionales de la seguridad, estamos empezando a comprender plenamente, pero creo que los consumidores, nosotros como consumidores en nuestro ámbito personal. Lo que nos hará entender más vidas es que las áreas en las que nunca habíamos pensado que se verían afectadas por la seguridad cibernética en el mundo físico lo serán cada vez más en el futuro. Ya tenemos dispositivos que están conectados y tienen una dirección IP en Internet y se están volviendo a conectar y se pueden administrar de forma centralizada. La seguridad de nuestros hogares, nuestros vehículos y nuestros automóviles y la seguridad de conducir automóviles, cada vez más transporte público e infraestructura crítica.
A medida que lo digital entra en más y más aspectos de nuestra vida física y esas cosas pueden verse afectadas por la ciberseguridad, creo que es algo que no todo el mundo ha apreciado del todo todavía. Es un impacto muy, muy grande cuando se ve una gran violación de una empresa y tal vez un impacto en los datos personales y otras cosas. Pero cuando empecemos a entrar en escenarios de pérdida de vidas en torno a los ataques de ciberseguridad, creo que eso definitivamente seguirá cambiando la forma en que vemos el riesgo y cómo abordamos la ciberseguridad. Jason Clark: Sí. Entonces, ¿hay algo en lo que, al pensar en ese problema, todos los programas de seguridad o CISO deberían pensar o al menos invertir, incluso potencialmente, para adelantarse a eso?
Gary Harbison: Creo que una de las cosas en las que se debe invertir es en asegurarse de tener una estrategia con visión de futuro y que esa estrategia no sea algo que vuelva a nuestra conversación anterior, que se construye una vez y se guarda en un estante y se revisa anualmente como estás buscando y preparándote para tus proyectos el próximo año y construyes una hoja de ruta de tres años y crees que vas a cumplir exactamente porque la realidad es que probablemente no lo harás y vas a reevaluar las prioridades trimestralmente. Siempre tienes que ser capaz de mantener tus ojos en los horizontes de lo que viene y luego estar preparado y no esperar hasta que esté justo en tu puerta y ahora tienes que reaccionar. No sé si hay una tecnología específica o algo para lo que te preparas, pero se trata de cómo operas y mantienes tu estrategia, cómo continúas evaluando y haciendo ajustes en función de los cambios que te rodean.
Jason Clark: Creo que es perfecto. Básicamente, estás diciendo que seas estratégico en tu planificación a largo plazo y, al mismo tiempo, sepas que va a cambiar, que los vientos van a cambiar. Mientras miras el horizonte, tienes que ajustar y cambiar tus tácticas, pero manteniéndote en esa verdadera Estrella Polar de cualquier destino cuando sepas los problemas que surgirán en el futuro. Entonces eso tiene sentido. Entonces, las últimas dos preguntas son respuestas rápidas, ¿verdad? (cantando)
Entonces, la primera es si hay algún talento o habilidad que no esté en tu currículum. Podría ser personal o cualquier cosa.
Gary Harbison: Yo diría que una cosa que creo que me ha ayudado a lo largo de mi carrera, que siempre he recibido comentarios y revisiones finales o de compañeros y otras personas, es la capacidad de mantener el equilibrio y mirar ambos lados de cualquier situación. problema o cualquier asunto o riesgo, de poder mantener la calma incluso en situaciones conflictivas o de alta presión y ser capaz de analizar problemas complejos y descubrir cómo empezar a avanzar o proporcionar soluciones. Así que creo que confié en ese tipo de cosas, tal vez más blandas, tanto como confié en habilidades más técnicas.
Jason Clark: Entonces es muy importante, ¿verdad? Poder estar tranquilo con todas las cosas que suceden cuando tienes muchos incidentes sucediendo, tratando de poder concentrarte y realmente poder pensar y buscar la claridad y no reaccionar. Entonces esa es una habilidad especial. Entonces, segunda pregunta, ¿cuál es tu dominio favorito en
Gary Harbison: Buena pregunta. Creo que si miro hacia atrás a mi experiencia más técnica, el espacio más emocionante que aún puede generar emoción y adrenalina es observar el espacio de amenazas y los ataques y cómo continuamos abordándolos y respondiendo a ellos. Es estresante pero emocionante y es esa partida continua de ajedrez. Así que tengo que decir que cuando empiezo a sentir que me arrastran de nuevo hacia la maleza, tiendo a hacerlo allí porque siempre ha sido interesante.
Jason Clark: Correcto. Y es nuestro propósito, ¿verdad? Es defendernos de este adversario en crecimiento que está innovando incluso más rápido que nosotros. Y la última pregunta, si no estuvieras en seguridad, ¿qué estarías haciendo?
Gary Harbison: Esa es una gran pregunta, realmente no estoy exactamente seguro. Al salir de la universidad, no estaba muy seguro de lo que quería hacer. Era de todo, desde ser contable hasta posiblemente ser mecánico o electricista y sistemas de TI. Y a lo largo de mi carrera, he tenido la suerte de que hayan llegado oportunidades y siempre las he evaluado en función de lo que puedo aprender de una nueva oportunidad y lo que puedo aportar a la oportunidad para seguir mejorando las cosas. Así que no sé exactamente qué estaría haciendo, pero creo que sería algo que siempre tendría un nuevo desafío y bastante cambio. Y creo que algo que siempre me ha atraído en materia de seguridad es el hecho de que no hay dos días iguales. Siempre hay un nuevo desafío y siempre requiere una nueva perspectiva todos los días.
Jason Clark: Bueno, fantástico. Bueno, eso es todo para lo que tenemos tiempo. Gary, esto ha sido increíble. Sé que podríamos haber hecho esto durante un día entero y divertirnos yendo y viniendo, especialmente si tomáramos una cerveza. Y eso es lo que haremos la próxima vez, pero gracias. ¿Hubo algo al final que quisiera dejar a los oyentes?
Gary Harbison: No. Simplemente agradecería a todos los que vienen y escuchan este podcast. Y gracias a Jason y al equipo por recibirme como invitado hoy. Disfruté hablando de ello y estoy deseando hacerlo con una cerveza la próxima vez.
Jason Clark: Impresionante. Pues, genial. Bueno, que tengáis un buen fin de semana y disfrutéis del tiempo.
Gary Harbison: Gracias a ti también, Jason. Cuidarse.
Patrocinador: El podcast Security Visionaries está impulsado por el equipo de Netskope. ¿Busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital? Netskope Security Cloud le ayuda a conectar a los usuarios de forma segura y rápida directamente a Internet desde cualquier dispositivo a cualquier aplicación. Obtenga más información en NETSKOPE.com.
Productor: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y revisar el programa y compartirlo con alguien que conozcas y que pueda disfrutarlo. Mantente atento a los episodios que se lanzan cada dos semanas y nos vemos en la próxima.
Por qué Netskope 
){kind=icon}
