Establecimiento temprano de una mentalidad de seguridad con Amanda Crawford

Amanda Crawford: Si usa una computadora o Internet, tiene un papel que desempeñar para mantener nuestro estado seguro. Si es un desarrollador, significa que la seguridad debe inyectarse durante todo el proceso de desarrollo. Si es un administrador de red, las herramientas deben ajustarse para poder responder a esas amenazas. Entonces, rol por rol, cada uno de nosotros realmente necesita considerar cómo somos parte del equipo.

Orador 2: Hola y bienvenidos a Security Visionaries. La mayoría de las personas aprenden sobre la importancia de la seguridad en sus años universitarios. Sin embargo, líderes de la industria como Amanda Crawford creen que debería comenzar desde la escuela primaria, ya que las generaciones más jóvenes son más nativas digitales que nunca. Amanda es la directora de información del Departamento de Recursos de Información de Texas, donde su equipo se asocia con la PTA para brindar las mejores prácticas y consejos sobre seguridad cibernética. Su equipo también brinda liderazgo tecnológico, soluciones e innovación a todos los niveles del gobierno de Texas.

Orador 3: El podcast Security Visionaries está impulsado por el equipo de Netskope. En Netskope, estamos redefiniendo la seguridad de la red, los datos y la nube con una plataforma que brinda acceso optimizado y seguridad de confianza cero para las personas, los dispositivos y los datos dondequiera que vayan. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar preparados para cualquier cosa en su atrevido viaje, visite netskope.com.

Orador 2: Disfrute de esta entrevista entre Amanda Crawford y su anfitrión, Mike Anderson. Mike Anderson: Bienvenidos al episodio de hoy de Security Visionaries. Soy su anfitrión, Mike Anderson. Soy nuestro Director de Información y Digital aquí en Netskope. Hoy, estoy emocionado de tener a Amanda Crawford. Ella es nuestra CIO para el estado de Texas y se unirá a mí hoy. Bienvenidos esta mañana a nuestro podcast. Entonces, cuéntele a la audiencia un poco sobre usted, su papel en el estado de Texas.

Amanda Crawford: Hola Mike. Gracias. Me alegro de estar aquí. Tengo el privilegio de desempeñarme como Director Ejecutivo del Departamento de Recursos de Información de Texas, así como también como Director de Información del Estado de Texas. He estado en este papel, Dios mío, estoy perdiendo un poco la pista y especialmente con los años de la pandemia que todo parecía ser una extraña parada en el tiempo. Serán cuatro años, creo, en febrero. Y con el rol de CIO por un poco menos de tiempo, originalmente vine y me uní a la agencia como Director Ejecutivo. Y luego, cuando el CIO anterior se jubiló, la junta me pidió que asumiera este rol también. Y así, ciertamente ha sido un momento emocionante para estar en este papel y es uno que realmente disfruto.
Texas es un modelo altamente federado. Bromeamos en la comunidad tecnológica estatal que si has visto un estado, has visto un estado. Cada estado está configurado un poco diferente. Entonces, el rol de mi agencia para DIR, como lo llamamos abreviadamente, es que realmente estamos aquí para establecer la estrategia tecnológica del estado, brindar seguridad y luego ofrecer soluciones para todos los niveles del gobierno de Texas. Por lo tanto, apoyamos a los clientes a nivel estatal, a nivel local y, de hecho, también podemos brindar soluciones para otros estados. Estamos muy ocupados, como puedes imaginar.

Mike Anderson: Estoy muy agradecido por todo el trabajo que haces porque, como sabes, yo también soy tejano, así que me beneficio de todo el gran trabajo que estás haciendo y realmente aprecio que hayas asegurado toda nuestra información para toda nuestra gente en el estado de Texas. Entonces, eso también es extremadamente importante. Es interesante porque cuando usted y yo nos conocimos, estábamos grabando un seminario web para la Asociación Nacional de CIO Estatales, NASCIO, y abordamos el tema de la seguridad y usted dijo, usó la frase, "La seguridad es un deporte de equipo". Entonces, el tema de esta temporada de nuestro podcast es que la seguridad es un deporte de equipo. Me encantaría escuchar su perspectiva como CIO, su enfoque, sus sentimientos acerca de por qué la seguridad es tan importante, y ¿dónde se ubica eso en su priorización y dónde se enfoca?

Amanda Crawford: Bueno, creo que es una prioridad en todo. Tiene que ser el número uno, tal vez solo el segundo, y ni siquiera sé, creo que compartirían el puesto número uno con la conectividad. Una de las cosas que estamos encargados de hacer aquí es brindar estas soluciones para los tejanos y para el gobierno que los atiende. Y podemos idear las últimas herramientas innovadoras con los nuevos modelos de prestación de servicios, pero si los tejanos no pueden conectarse a esos servicios y si no son seguros, entonces nada de eso realmente importa. Entonces, la frase de que la seguridad cibernética es un deporte de equipo, la uso mucho porque parece resonar con la gente y es algo que la gente parece poder aferrarse y entender.
Como usted sabe en su función, Mike, y lo que hace Netskope es que realmente se necesita que todos trabajemos juntos en esto para poder lograr una verdadera seguridad. Entonces, si usa una computadora o Internet, tiene un papel que desempeñar para mantener nuestro estado seguro. Si es un desarrollador, significa que la seguridad debe inyectarse durante todo el proceso de desarrollo. Si es un administrador de red, las herramientas deben ajustarse para poder responder a esas amenazas. Entonces, rol por rol, cada uno de nosotros realmente necesita considerar cómo somos parte del equipo.

Mike Anderson: Eso es genial. Usted mencionó antes un modelo federado para el estado de Texas. ¿Cómo se alinea desde el punto de vista de la priorización de la seguridad en todos los grupos federados? ¿Cómo encaja eso en todo el concepto de deporte de equipo?

Amanda Crawford: Diría que en lo que respecta al concepto de deporte de equipo con respecto a la seguridad, particularmente en torno a la política, nuestro cargo por parte del liderazgo estatal y por estatuto es establecer las políticas de seguridad para las agencias estatales y la educación superior. Y así establecimos esas políticas y estándares, así que supongo que es el libro de jugadas, el entrenador que se expondría en cuanto a llevar la analogía del apoyo del equipo hasta donde sea posible. Y luego, cuando se trata de los gobiernos locales, lo que hacemos allí es presentar las mejores prácticas y hacemos muchas conferencias y educación y proporcionamos otros recursos. Entonces, si bien es posible que no tengamos el cargo legal para establecer esos estándares de seguridad para los gobiernos locales, seguimos publicando libros de jugadas, mejores prácticas y centrándonos en ese enfoque de todo el estado para ayudar a unir a todos y hacer que ese ecosistema sea más saludable desde un punto de vista de seguridad. Éso es lo que hacemos.
Diré muchas de las cosas que debido a ese modelo federado, trabajamos mucho a través de la colaboración, la influencia, la construcción de relaciones porque no tenemos ese enfoque estricto con las personas que no cumplen. Es realmente una cuestión de explicarle a la gente por qué la seguridad es importante, por qué tener estos estándares y prácticas es importante y hacer esa pieza de educación para atraer a la gente y aumentar esa postura de seguridad para el estado.

Mike Anderson: Eso es genial. Si quieres que la gente cumpla, acabo de empezar a leer el libro, Así es como dicen que el mundo termina. Entonces, si quiere que alguien cumpla, simplemente pídales que lean ese libro y luego no tendrán problemas para que cumplan con seguridad. No he dormido bien en las últimas dos semanas cuando comencé a leer ese libro.

Amanda Crawford: Iba a decir que está en mi lista, pero por las razones que mencionaste, dudé un poco en sumergirme.

Mike Anderson: Sí, definitivamente es revelador. Entonces, si hablamos de nuestro viaje a CIO o viaje y tecnología, comencé como desarrollador de software, por lo que siempre me ha gustado escribir código y escribir aplicaciones. Cuando miras tu carrera y miras la tecnología, ¿cuál es esa área en la tecnología que es la parte que realmente amo? Todas las demás cosas son geniales y son importantes, pero ¿qué es esa tecnología a la que realmente te aferras?

Amanda Crawford: Bueno, para mí, y tal vez se deba a mi experiencia previa antes de este papel, pero son las personas detrás de la tecnología. Quiero decir, porque para mí, una de las cosas que me gusta decir es que tal vez somos una agencia de tecnología, pero estamos impulsados por humanos. Y no podemos hacer lo que hacemos sin las personas detrás de esto, así que para mí es fascinante en este mundo de la tecnología y aquí en el sector público las diferentes personalidades, las diferentes personas que se unen que se sienten atraídas por esta misión y las formas en que podemos colaborar y trabajar juntos para lograrlo. Siempre hay desafíos en la tecnología. Creo que el sector público tiene un conjunto único de desafíos. Entonces, para mí, no podemos hacer eso sin las personas que están detrás porque son las que impulsan las iniciativas, hacen el alcance, aumentan la adopción. Y creo que hay equipos fantásticos aquí en Texas que están trabajando en esos esfuerzos.

Mike Anderson: Eso es genial. Sí, siempre he sido un gran defensor de que todos somos personas primero. Siempre les digo a mis líderes que su papel como líder es encender un fuego en las personas que no están debajo de ellos. Entonces, ¿cómo inspiras a la gente a lograr grandes cosas? Así que sí, el lado de la gente es definitivamente genial. Si observa el estado de Texas hoy, todos están adoptando la nube. Y para muchas personas, la nube puede significar software como servicio, puede significar entornos de nube pública. Cuéntame más sobre el estado de Texas. ¿Cómo es la adopción de la nube en el estado de Texas y cómo se verá en los próximos dos o tres años?

Amanda Crawford: Me gustaría decir que tal vez en el sector público estamos un poco por delante de la curva en cuanto a la adopción de políticas y leyes que nos ayuden a emprender ese viaje a la nube, a ponernos en marcha. Y permaneciendo con eso por un momento, volviendo a las diferencias entre los estados, una de las cosas que me siento muy afortunada de tener aquí en Texas es que tenemos un apoyo muy fuerte del liderazgo estatal y tenemos el marco legal. para permitirnos poder hacer las cosas que necesitamos hacer e impulsar esas prioridades de TI.
Uno de ellos fue que Texas tuvo una política de considerar primero la nube durante un tiempo y ciertamente mucho antes del comienzo de la pandemia. Como todos sabemos y probablemente se ha hablado en profundidad, el concepto de la adopción de la nube y la transformación y modernización digital se aceleró por la pandemia, por lo que realmente vimos que la adopción de la nube avanzó aún más durante esos momentos en los que tuvimos que ser capaz de escalar rápidamente y adaptarse rápidamente para poder servir a los tejanos de una nueva manera. La otra cosa, ciertamente en lo que respecta a la nube, estamos viendo una mayor adopción. Estamos viendo que los números aumentan en cuanto a las diferentes aplicaciones que se trasladan a la nube. Todavía tenemos un largo camino por recorrer con la hoja de ruta para asegurarnos de que estas aplicaciones sean apropiadas para la nube y adaptables, pero es una progresión sólida.

Mike Anderson: Eso es genial. Es interesante, cuando estábamos en Washington grabando el seminario web la última vez y hablábamos con algunos de los otros CIO estatales, hablamos sobre los datos que tienes que intercambiar en los entornos. Cada grupo federado tiene su isla de datos que desea conectar a otras islas dentro de la organización. Y luego, cuando hace eso, la seguridad se convierte en un factor importante y ¿cómo aseguro la transmisión de esos datos entre organizaciones? Entonces, cuénteme un poco acerca de cómo construye la seguridad en esa interacción entre todos esos diferentes grupos federados dentro del estado.

Amanda Crawford: Entonces, eso es un desafío. Diría que parte de esto es poder... Eso también supone que esos diferentes silos de datos se comunican entre sí y pueden compartir en lugar de ser solo silos de excelencia, pero estamos trabajando para lograrlo. Y nuevamente, volviendo a la pandemia y la respuesta que tuvimos que hacer con las agencias de salud en particular y cuán rápido tuvieron que cambiar su modelo para poder realmente reunir todos esos datos, para tener datos limpios que realmente podrían ayudar. impulsar la toma de decisiones para el liderazgo estatal, eso fue muy importante.
Sin embargo, una cosa cuando nos dirigimos a la pieza de seguridad que nuestra legislatura reconoció fue que vemos tantas agencias y vemos que la adopción de la nube avanza, ¿qué vamos a hacer para asegurarnos de que esas transiciones y movimientos hacia la nube sean seguros? Entonces, en la última sesión legislativa, nuestra legislatura aprobó un proyecto de ley que creó el Programa de Administración y Autorización de Riesgos de Texas, o TX-RAMP, que requiere que las agencias estatales y las instituciones de educación superior, todos sus productos y servicios en la nube estén certificados, ya sea a través de FedRAMP, StateRAMP o TX-RAMP. Esos productos y servicios de computación en la nube deben estar certificados para cumplir con los mismos estándares que nuestras agencias estatales deben cumplir para garantizar que los datos de Texan estén protegidos cuando utilizan estos servicios. Entonces, nuevamente, eso está impulsando esa postura de seguridad primero, hablando de hablar sobre la adopción de la nube, pero asegurándonos de hacerlo de una manera inteligente y segura.

Mike Anderson: Bueno, definitivamente parece que está incorporando seguridad por diseño en sus procesos. A medida que pasamos por esa aceleración en los últimos años, ¿cómo ha cambiado eso a su equipo? ¿Cómo consigues que esa mentalidad de seguridad se arraigue en todas las personas del equipo? ¿Qué ha hecho en el estado para ayudar a construir esa mentalidad de seguridad dentro del estado y realmente acelerar la seguridad por diseño?

Amanda Crawford: Así que creo que al volver a la analogía del deporte de equipo, también tiene que venir desde arriba. Tiene que ser algo priorizado por el liderazgo y la gente fuera de la tecnología y no solo por las personas que están lidiando con esto día tras día. Entonces, es algo que es una prioridad para nuestro estado a través de la legislatura, expresado a través de las iniciativas que han aprobado. Para nuestro gobernador, la ciberseguridad ha sido una prioridad suya durante mucho tiempo. Y siempre está tanto en el presupuesto del gobernador como en sus iniciativas. Hemos tenido la seguridad cibernética como algo que él quiere priorizar para asegurarse de que mantenemos seguros esos datos para los tejanos.
La otra cosa que creo que es realmente importante es tener un programa de seguridad en todo el estado. Creo que en el sector público el valor de tener un puesto estatal y un programa estatal, tenemos a la directora estatal de seguridad de la información, Nancy Rainosek, que trabaja aquí en DIR. Y tenemos un programa de datos estatal con el director de datos del estado, Ed Kelly, quien también trabaja aquí en DIR.
Y lo que hemos visto con esas iniciativas estatales que están impulsando la política y la educación y el alcance y la relación, hemos visto que esos esfuerzos realmente dan frutos porque parte de eso no es solo el aspecto técnico, sino que es la parte educativa y hablando de la importancia de eso. Realmente hemos hecho un esfuerzo concertado para atraer a los líderes empresariales y no solo a los tecnólogos de la agencia para asegurarnos de que comprendan por qué la seguridad es importante. Todos podemos hablar de ello, pero los riesgos financieros, hay riesgos políticos, hay riesgos de reputación, y luego están los riesgos para los tejanos por esa interrupción en los servicios, la pérdida de datos, que son enormes y la seguridad es un mensaje que realmente resuena. con apropiadores y con líderes empresariales. Creo que lo están entendiendo y entienden por qué esto es algo que debe priorizarse.

Mike Anderson: Bueno, una vez que tengas la oportunidad de leer esto, Así es como dicen que el fin del mundo, envíales a todos una copia de ese libro. Cada vez que intente obtener un presupuesto para iniciativas de seguridad cibernética, simplemente envíeles ese libro y le prometo que funcionará.

Amanda Crawford: Bien, entendido.

Mike Anderson: Tengo curiosidad, así que mencionó al CISO, muchas organizaciones como Netskope, nuestro CISO es un compañero mío, trabajamos muy de cerca. En algunas organizaciones, el CISO depende directamente del CIO. ¿Cómo se configura dentro del estado de Texas?

Amanda Crawford: Así que aquí en nuestra agencia, el CISO estatal me reporta directamente a mí. Porque tenemos la responsabilidad no solo del aspecto de respuesta a incidentes de la estrategia de políticas a incidentes en todo el estado y eso es a través de la oficina estatal de CISO, sino que también tenemos la responsabilidad operativa de la seguridad a través de nuestro lado de operaciones. Entonces tenemos un equipo de operaciones cibernéticas que se encarga de proteger la red estatal. Somos el proveedor de servicios de Internet para las agencias estatales y bloqueamos, defendemos y hacemos todas las cosas que podría pensar que haríamos y deberíamos hacer en esas redes estatales. Así que esas posiciones se informan a través de mí.
Pero cada agencia, de nuevo en el modelo federado, es un poco diferente. En algunas agencias tienes al CISO que reporta directamente al CIO. Y otros, tiene al CISO que informa tal vez del lado administrativo o está informando a través de un rol de riesgo. Diferentes agencias hacen las cosas un poco diferente. Tiendo a meterme en problemas cuando opino sobre cuál es la mejor estructura. Creo que, al final del día, lo imperativo es que el CISO y el CIO tengan que trabajar juntos. Deben comprender la importancia de ambos roles y deben tener acceso a los líderes comerciales de la agencia para ser efectivos.

Mike Anderson: Sí, absolutamente. Ese concepto de deporte de equipo es clave. Alguien me dijo, dijo otro de nuestros compañeros, cuando mi CISO estornuda me enfermo. Y así de conectados están.

Amanda Crawford: Me encanta eso, sí.

Mike Anderson: También es interesante, mencionaste la red y esa es una de las que vemos que tiende a haber desconexiones. Si observa a veces a los equipos de infraestructura, los equipos de red son los responsables muchas veces de poner los dedos en los teclados e implementar muchas de las herramientas de seguridad que compran las organizaciones, los estados, etc. ¿Cómo ha impulsado esa alineación para asegurarse de que los equipos que respaldan y ejecutan la red y el equipo de seguridad trabajen en conjunto y tengan la misma priorización?

Amanda Crawford: Sí, definitivamente es algo que puede ser un desafío. Nuestros equipos hacen mucho juntos y confían mucho los unos en los otros. Entonces, una de las cosas, por ejemplo, si hay un incidente con una agencia gubernamental en cualquier nivel, ya sea una ciudad o un condado, incluso si es algo de lo que dice que nuestro equipo de seguridad de la red no tiene responsabilidad operativa, lo incluirlos en la discusión. Uno, para que vean cómo el otro lado de la agencia está respondiendo al evento. Pero dos, sabemos que tienen información que pueden compartir. Tienen ideas sobre cómo responder a la amenaza, cómo manejarla, qué es exactamente y viceversa.
Entonces, aunque dependiendo de la naturaleza del incidente y quién esté involucrado, alguien más puede tener la iniciativa. Reunimos a todos esos equipos porque nuevamente, sentimos que todos están mejor juntos y se fortalecen para asegurarnos de que estamos alineados con esas prioridades. Y creo que parte de eso se debe a tener planes, políticas y procedimientos claros, un buen gráfico dinámico y también hacer ejercicios de simulación para que todos sepan qué hacer cuando suceden los eventos, quién está a cargo, cuáles son los roles de cada uno. No significa que siempre vaya a ser perfecto, pero todos sabemos que no hay sustituto para practicar en un incidente.
Y la otra cosa es que el equipo estatal de CISO se asocia con nuestro equipo de red y nuestro equipo de operaciones cibernéticas cuando comienzan a hablar sobre qué herramientas vamos a usar. A medida que aumentamos la capacidad de nuestro conjunto de herramientas para acomodar el crecimiento, particularmente durante la pandemia, queríamos asegurarnos de contar con el aporte de todos para asegurarnos de que estábamos incorporando los conjuntos de herramientas correctos para poder responder a ese mayor crecimiento en nuestro capacidad de la red.

Mike Anderson: No, eso es genial. Esa alineación es muy importante. Siempre le digo a la gente que si es la prioridad uno para un equipo y la prioridad tres para el otro, siempre habrá fricciones. Así que tienes que alinear esas prioridades. Ahí está la clave.

Amanda Crawford: Correcto. Y nuevamente, puede haber desacuerdos, pero está bien. Creo que crecemos al tener esas conversaciones y estar abiertos a escuchar de todos los lados sobre la mejor manera de abordar estos problemas.

Mike Anderson: No, absolutamente. Otra de nuestras compañeras aquí en el estado de Texas, Kim Mackenroth, me contó sobre una campaña que realizó internamente. Ella es la CIO de Textron, si no ha tenido la oportunidad de conocerla, es una persona increíble, increíble. Ella llevó a cabo una campaña con su CISO llamada Human Firewall donde las personas que mostraron los comportamientos correctos que hicieron su conciencia de seguridad, no cayeron presa de todos los ataques de phishing simulados, obtuvieron camisetas y gorras y recibieron una carta personal de el CISO. Fue muy emocionante ver a nuestro CISO aquí en Netskope hacer lo mismo. ¿Hay algún tipo de campaña o cosas por el estilo que haga para tratar de desarrollar esa mentalidad de seguridad, como hacer que su equipo o las personas en el estado sean cortafuegos humanos?

Amanda Crawford: Correcto, está bien. En primer lugar, me encanta esa frase y fue la primera vez que la escuché cuando tú y yo hablábamos juntos en ese panel y también la adopté. Creo que lo he dicho un par de veces en varias audiencias legislativas en el ínterin desde entonces hablando de seguridad. Y es genial porque resuena y la gente lo entiende. Así que gracias por compartir eso porque creo que es fantástico.
Entonces, obviamente, internamente tenemos diferentes campañas de seguridad. Por supuesto, en Texas, todos los empleados públicos por estatuto en todos los niveles de gobierno deben realizar una capacitación obligatoria en seguridad todos los años y esa capacitación debe ser certificada por nuestra agencia. Así que creo que eso es algo importante, obviamente, al tener ese entrenamiento. Pero luego ir más allá y hacer ejercicios de phishing y cosas así para alentarlos.
Una cosa que tenemos en Texas que también es una creación estatutaria es un Programa Cyberstar. Y con el Programa Cyberstar, que permite que tanto el sector público como las entidades del sector privado soliciten ser Cyberstar cuando hayan cumplido con ciertos estándares de seguridad para demostrar que la seguridad es una prioridad para ellos y que esto es algo importante para ellos. . Entonces, creo que tener ese reconocimiento de que eres una Cyberstar ciertamente puede ayudar a promover ese fortalecimiento de todo el ecosistema. Siempre es más fácil engañar a un humano que a una computadora y esa es una de las razones por las que siempre tratamos de enfatizar eso con nuestra legislatura. Es eso por favor, sabemos que necesitamos fondos para herramientas y nunca voy a decir que es suficiente. Nunca voy a decir: "No, por favor, no más dinero, no hay nada más que podamos hacer". Porque sabemos que siempre hay algo que debemos hacer. Pero tenemos que ser capaces de hacer la parte de educación y divulgación también.

Mike Anderson: Sí, es importante especialmente cuando pensamos en el mes de concientización sobre seguridad cibernética y pensamos en cómo llevamos esa capacitación a los sistemas escolares y a los niños. Quiero decir, en realidad segmento mi red en casa y tengo los dispositivos de mis hijos conectados a la red de invitados porque siempre traen un dispositivo y lo conectan al wifi y es como, no, no quiero comprometerme. . No sé de dónde vino ese dispositivo.
Sería interesante, me encantaría verte hablar sobre la asociación pública y privada. Sería genial ver cómo podríamos activar a los CIO, el estado de Texas y más allá honestamente, pero ¿cómo podemos trabajar juntos en la concientización sobre seguridad para educar a las generaciones actuales, las generaciones futuras y simplemente incorporar eso en nuestra mentalidad desde un principio? edad.

Amanda Crawford: No podría estar más de acuerdo. Y creo que ciertamente el mes de concientización sobre seguridad cibernética es un buen momento para que todos nosotros en la comunidad, en privado y en público, nos unamos y promovamos eso. Me encantaría visitarlos de diferentes maneras en las que podríamos hacerlo y con otros en la industria, porque creo que es una gran oportunidad. La otra cosa es que es fantástico ver tantos colegios universitarios y universidades ahora enfocándose en la seguridad, brindando esas vías para capacitar a esa futura fuerza laboral que tan desesperadamente necesitamos en esta área. Sé que probablemente será controvertido decir que lo vi en TikTok, pero hay un video en TikTok de un joven que acaba de graduarse de Western Governor's University, habla sobre el bajo costo de su educación y la ciberseguridad. Y antes incluso de graduarse, le ofrecieron un trabajo de seis cifras y estaba promoviendo el valor de esa educación y difundiéndola. Entonces, con suerte, otros niños que están en TikTok irán y harán eso y luego tal vez eliminen sus cuentas.
Me encantaría ver, creo que a su punto, ya que también estaba hablando, debemos comenzar antes que eso. Quiero decir, tenemos que empezar a una edad temprana porque todos estos niños son nativos digitales y necesitan saber desde una edad temprana. Así que hablemos de la escuela primaria, secundaria. Estaba muy orgulloso de que nuestra agencia se asociara con la PTA de Texas y publicamos un video sobre seguridad cibernética donde se mostraban las mejores prácticas y consejos para padres y niños y nos asociamos con la PTA. Y tengo entendido que eso se demuestra en las PTA de todo el estado. Así que creo que esa es solo una forma, una vez más, de que podemos comenzar temprano y establecer esa mentalidad de seguridad.

Mike Anderson: Y tal vez solo necesitemos dividirlo y asignar escuelas a cada líder de seguridad de TI para que vayan a hablar en una escuela. Y hacemos algún tipo de campaña en las redes sociales con un hashtag y un video de ti mismo en la escuela y hablamos sobre el cortafuegos humano y tal vez puedas registrarte para obtener un cortafuegos humano o algo así. Hazlo divertido. Psicología humana.

Amanda Crawford: Me encanta.

Mike Anderson: Sí.

Amanda Crawford: Sí, me encanta. Sí, es una gran idea.

Mike Anderson: Hagámoslo. Internamente aquí en Netskope, hablo de crear ciudadanía digital. La ciberseguridad es un componente clave para eso, pero también queremos que las personas no compren cosas que no deberían comprar. Queremos que las personas usen las herramientas que ya tenemos y no traigan cosas nuevas. Idealmente, solo queremos que las personas siempre hagan lo correcto cuando se trata de tecnología. ¿Cuáles son algunas técnicas o prácticas o cosas que ha hecho para crear ciudadanía digital dentro de su organización e incluso en todo el modelo federado? Amanda Crawford: Por supuesto, como mencioné anteriormente, existe el Certificado Cyberstar para uso privado y público. Volviendo a la capacitación en seguridad que es obligatoria para todos los empleados públicos, nos aseguramos de que se mantenga fresca y actualizada. Entonces, una de las cosas que hacemos porque certificamos los programas aquí en DIR, los programas de capacitación, y estamos evaluando cuáles son esas amenazas y ajustando los productos o temas de capacitación obligatorios. Entonces, por ejemplo, en 2021, se agregó el phishing selectivo como un nuevo tema de capacitación porque estábamos viendo un aumento de eso en las amenazas que ingresaban allí. Y también desarrollamos un video de capacitación que era gratuito para que no tuviera que ser una capacitación paga. Entonces, si tuviera un distrito escolar que simplemente no tuviera el presupuesto para poder hacerlo, podría usar ese video y está disponible en inglés y español. Así que eso es realmente, nuevamente, mirar hacia atrás a ese enfoque de patrimonio completo sobre cómo aumentar esa ciudadanía digital.
Pero tiene razón, no se trata solo de seguridad, se trata de todas las cosas que pueden suceder. Y entonces nos asociamos con otras agencias aquí en el estado, la oficina del fiscal general trabaja mucho en los temas de protección al consumidor y fraude de identidad y cosas así que surgen. Creo que esto es algo en lo que todas las agencias, podríamos tener una pequeña pieza de ese rompecabezas sobre cómo hacer que todos sean más inteligentes en ese espacio y más conscientes de lo que puede suceder. Les diré, creo que esa es una manera en la que, como estado, probablemente podríamos trabajar juntos un poco más, un mensaje más cohesivo y coordinado en torno a eso para asegurarnos de que estemos transmitiendo ese mensaje a los tejanos.

Mike Anderson: No, eso es genial. Muy bien, voy a pivotar un poco ahora. Vamos a usar nuestras bolas de cristal que tenemos y predecir el futuro. Así que dos partes de la pregunta. Si espera decir 2025, solo dentro de unos años, ¿cuáles son las cosas que siente como líderes de TI y seguridad, los CIO, en las que desearíamos haber invertido? Y luego, si avanza rápidamente otros cinco años hasta el final de esta década hasta 2030, ¿cuál cree que sería esa respuesta? ¿Cuáles son las cosas en las que desearíamos haber pasado más tiempo? Y puede ser seguridad, puede ser cualquier cosa. ¿Qué te dice la bola de cristal?

Amanda Crawford: Claro. Entonces, para mí, la bola de cristal volverá a las personas y creo que invertir más en equipos, invertir más no solo en el reclutamiento sino también en la retención, en el desarrollo del equipo y la capacitación en todas esas cosas, creo que eso debe priorizarse. . Supongo que relacionado con eso, creo que desde el punto de vista de la seguridad, creo que los CIO van a desear invertir más en sus comunicaciones relacionadas con la seguridad dentro de sus organizaciones. Cuando las personas adecuadas tienen las conversaciones correctas y aprovechan las herramientas sobre el riesgo de seguridad como una práctica normal, mientras lo normalizamos y comienza desde el principio en la fase de ideación de un proyecto hasta el final, todo, simplemente se vuelve más fácil Y en realidad incluye a las personas que realmente poseen las diferentes partes de ese riesgo, de ese riesgo de seguridad en la conversación. Es difícil predecir cuál será el panorama de amenazas en evolución y cuáles serán las capacidades de los actores de amenazas, pero obviamente invertir en esas herramientas para detectar y prevenir ataques parece que tiene que ser una prioridad pase lo que pase. Mantenerse al tanto, mantenerse conectado con esa evolución en la comunidad.
Y todo puede dar sus frutos, porque sabemos que los costos ciertamente aumentan a medida que invertimos más en esto. Pero cuando observa el costo total de responder a un incidente que está directamente relacionado con el período de tiempo entre la intrusión y la detección y la respuesta, invertir en esas funciones de seguridad preventiva, incluida la capacitación y la educación, e incluir ese firewall humano y formalizar la seguridad del edificio en algo en todos los niveles, incluso en el proceso de adquisición, creo que paga dividendos. Entonces, esa es mi bola de cristal allí.

Mike Anderson: Esa es una buena bola de cristal. Asisto a una serie de eventos de CIO y los grandes temas giran en torno a ¿cómo van a funcionar la inteligencia artificial y el aprendizaje automático? Me refiero a tanto potencial allí porque todos hemos aprendido ahora que me gusta hablar con un bot. Pero me gusta el autoservicio en lugar de hablar por teléfono, por lo que presenta muchas oportunidades para nosotros, pero también es la seguridad de eso. Porque pienso que a medida que nos adentramos en el aprendizaje automático y la IA, una de las cosas en las que he pensado es que hoy estamos entrenando la máquina, pero ¿qué sucede si las personas comienzan a introducir datos incorrectos en la máquina y cómo afecta eso a las decisiones? que se hacen? Para mí, eso es como ¿en qué se mete ese panorama de amenazas? Así que eso también será interesante de ver.

Amanda Crawford: Sí, tenemos que asegurarnos de que, a medida que las máquinas se vuelven más inteligentes, nosotros también lo seamos. ¿Bien?

Mike Anderson: Absolutamente. No queremos terminar, ¿fue Wally donde tenían a todos los humanos que simplemente estaban siendo desfilados por robots? Sí, no queremos eso.

Amanda Crawford: Sí. Criajo.

Mike Anderson: Mencionaste a las personas y una de las cosas que tenemos tal brecha de talento, especialmente en cibernética, creo que el último número que escuché fue cuando estaba en RSA, tenemos un millón de vacantes en seguridad cibernética solo en los EE. UU. solo. Y siento que la diversidad es una parte muy importante de eso. ¿Cuáles crees que son algunas de las cosas que podemos hacer como líderes para conseguir más diversidad? Y la diversidad, puede ser diversidad de género, puede ser diversidad étnica, puede ser neurodiversidad. ¿Cuáles son algunas de las cosas que cree que podemos hacer para ayudar realmente a cimentar eso y también crear los caminos para que las personas se den cuenta de que también pueden convertirse en CIO o líderes en el futuro?

Amanda Crawford: Correcto. Creo que es muy importante la cuestión y el desafío de la diversidad. Y pienso particularmente en seguridad, cuando volvemos nuevamente al concepto de firewall humano y las cosas que tenemos que hacer, cuando vemos que los ataques que están llegando, dependiendo quizás de su nivel socioeconómico, nivel de educación, En el lugar donde te criaste, en tu cultura, puedes ser víctima de tácticas diferentes que otros no. Y dependiendo de eso, la edad también es un factor. Tener una fuerza laboral diversa que comprenda los factores desencadenantes de los diferentes grupos, eso ayuda a fortalecer nuevamente las herramientas, la educación, la extensión y las cosas que podemos hacer para prevenir. Por eso es tan crítico. Realmente fortalece el ambiente de trabajo y obtenemos esa diversidad de pensamiento, lo que nuevamente creo que nos hace mucho más fuertes. Así que creo que debemos empezar temprano, como hablamos. Tenemos que desarrollar el interés y el talento.
CyberStart America es un gran programa. Es un programa de capacitación en seguridad gratuito para estudiantes de secundaria. Es una excelente manera de involucrar a los niños en el mundo cibernético. Como usted y yo estábamos hablando antes, comencemos por las escuelas primarias. Hacemos mucha divulgación para pasantías aquí en el estado. También visitamos HBCU y colegios comunitarios, por lo que no solo estamos mirando universidades tradicionales de cuatro años.
Sin embargo, creo que la clave es involucrar a los estudiantes universitarios en TI y seguridad desde el principio. Entonces, una de nuestras iniciativas que tenemos, la legislatura y el gobernador firmaron como ley en la última sesión, fue hacer un programa piloto, un centro piloto de operaciones de seguridad regional en asociación con una de las universidades públicas aquí en Texas. Y esta iniciativa brindará monitoreo, respuesta, educación y extensión a los gobiernos locales en Texas y utilizará a los estudiantes. Por eso, estamos consiguiendo que los estudiantes ayuden a proporcionar esos valores de red a esas entidades locales. Nuestro programa piloto es con Angelo State University, donde el 46% de los estudiantes son hispanos. Y por eso estamos entusiasmados porque no solo es una institución educativa excepcional, sino que también hay muchas oportunidades para ayudar a llevar más práctica y conjunto de habilidades a un grupo donde probablemente no vemos la misma representación que vemos en los demás. Así que estamos entusiasmados con esa oportunidad.
Y creo que también considerar candidatos innovadores que tengan las habilidades pero no el currículum. ¿Buscamos aptitud y actitud más que experiencia? Por ejemplo, mi experiencia es en derecho. Quiero decir, soy un abogado en recuperación y llegué a esta agencia después de más de 17 años en la Procuraduría General. Así que aprendo todos los días sobre los aspectos técnicos de mi rol, pero obviamente al tener esa aptitud para el rol y la oportunidad también aporto una perspectiva nueva y diferente a este rol que alguien que tal vez haya crecido en tecnología. Así que creo que todas esas cosas, si tenemos una mentalidad un poco más abierta en algunas de nuestras selecciones de trabajo, realmente pueden ayudar.

Mike Anderson: Estoy totalmente de acuerdo. Quiero decir, eso es asombroso. Me encanta lo que estás haciendo con Angelo State. Siempre recuerdo el San Angelo porque jugaba con ellos en el fútbol. Fui a la escuela aquí en Texas y jugué contra ellos en la universidad, así que tuve que sacarme eso de la cabeza allí. Y tengo tres hijos en escuelas del estado de Texas que están en la universidad en este momento, así que es genial.

Amanda Crawford: Yo también. Estoy emocionado de ampliar el programa. Esa es una de nuestras iniciativas legislativas: en realidad tenemos otras dos universidades en proyecto y esperamos obtener financiación para ellas. Así que, con suerte, deberíamos tener otros dos de estos [inaudible 00:32:44] regionales próximamente. Entonces estamos emocionados.

Mike Anderson: Siempre es interesante. Tenemos tal brecha de talento. Pero a veces soy mentor de estudiantes universitarios y lo que encuentro es que están buscando trabajo porque todos están buscando... Entonces dijiste habilidades, la gente busca a alguien que ya tenga la experiencia, pero aun así tenemos una brecha de talento. Y creo que lo que están haciendo con las escuelas y universidades estatales para brindarles básicamente la capacitación que necesitan para que tengan esa experiencia, creo que va a dar buenos resultados.

Amanda Crawford: Bueno, soy optimista. Y sí, porque estoy de acuerdo y esa es en realidad una de mis peroratas. Me subiré a una tribuna cuando hablemos de los desafíos que tenemos con el reclutamiento en el gobierno estatal para ello. Y yo digo, bueno, debemos dejar de esperar que tengamos a alguien con 15 años de experiencia en ingeniería de redes que quiera venir a trabajar para el estado por los salarios que usted paga. Nuevamente, deje de poner la experiencia como el criterio laboral número uno. Podemos entrenar. Podemos dar experiencia a la gente. Sólo necesitamos gente aquí que sea inteligente, tenga esa mentalidad de misión y esté lista para arremangarse y trabajar para Texas.

Mike Anderson: Sí, no puedo estar más de acuerdo. Puedes contratar para las habilidades sociales y entrenar las habilidades duras.

Amanda Crawford: Sí, absolutamente.

Mike Anderson: Sí, he estado allí. Es como ERP, quiero a alguien que tenga 10 años de experiencia en SAP en un mercado donde no hay nadie con experiencia en SAP. Está bien, contrataremos a alguien y tú podrás enseñar.

Amanda Crawford: Correcto, correcto.

Mike Anderson: Así que sí, definitivamente podríamos tener otra conversación completa sobre ese tema. Así que la confianza cero se ha convertido en el tema del día, está etiquetado en todo. Desde una perspectiva gubernamental, ¿la confianza cero es algo que se está adoptando desde el punto de vista del estado de Texas? ¿Cómo influye eso en su forma de pensar sobre la seguridad en el futuro?

Amanda Crawford: Es una parte clave de nuestra estrategia. La clave para la confianza cero, por supuesto, como usted sabe, es que los usuarios solo tengan acceso exactamente a lo que necesitan, nada más y menos. Y realmente cambia la moneda sobre cómo abordamos ese acceso a datos, sistemas y redes. Sinceramente, creo que a una organización le lleva mucho tiempo cambiar completamente esa arquitectura del modelo actual a un entorno de confianza cero total. Pero estamos viendo que las organizaciones gubernamentales se sumergen en el tema y determinan si hay áreas en las que pueden utilizar principios de confianza cero para proteger mejor esos datos, redes y sistemas. Entonces es parte de la estrategia. Por supuesto, el problema está en los detalles sobre cómo hacerlo, pero creo que es clave para poder proteger los datos que tenemos.

Mike Anderson: Ojalá podamos educar más sobre eso también sobre lo que es y lo que no es. Es como la transformación digital o la nube, todos lo etiquetaron. Pero es como, oh, la gente compra cosas así, así que si llamamos a nuestro producto, tal vez alguien nos preste algo de atención. Entonces tenemos que-

Amanda Crawford: Innovación.

Mike Anderson: Sí.

Amanda Crawford: Sí. Me pregunto qué es la innovación. Sí, de todos modos.

Mike Anderson: Ahora pasaremos a una de mis partes divertidas. Aquí hay algunas preguntas rápidas para usted. Así que les daré algunos de estos y simplemente nos darán sus primeras respuestas y pensamientos. La primera pregunta es: les daré dos partes. Una es, ¿cuál es el mejor consejo de liderazgo que le han dado? Y la segunda parte es, ¿cuál es el peor consejo de liderazgo que le han dado?

Amanda Crawford: Oh, está bien. Guau. Así que lo mejor sería, Dios mío, escuchar más de lo que hablas. Creo que probablemente lo sería, en realidad no es sólo un consejo de liderazgo, sino un consejo de vida. El peor consejo probablemente sea ordenar y controlar, que usted sea el jefe y, por lo tanto, tenga las respuestas correctas. Lo cual todos sabemos. Creo que cualquiera en el liderazgo que se precie sabe que no tienes todas las respuestas correctas, por eso contratas equipos fuertes y te rodeas de personas que son más inteligentes que tú para poder tomar las decisiones correctas. decisiones.

Mike Anderson: Sí. Siempre espero que a la gente le guste ese comando y control, nunca puedes irte de vacaciones porque las cosas se detienen cuando te vas. Me encanta el consejo de liderazgo porque desde el principio tuve un jefe [inaudible 00:36:20] dime, tienes dos oídos, dos ojos y una boca. Úsalos en esa proporción.

Amanda Crawford: Eso es genial. Eso es realmente genial. Sí, creo firmemente que el liderazgo es una forma de pensar y no una posición. Realmente uno de mis deberes número uno es capacitar a mi equipo en todos los niveles para que comprendan que ellos lideran y son dueños de su posición y así es como fortalecemos la organización.

Mike Anderson: Muy bien. Otro más aquí, Última comida. ¿Qué es?

Amanda Crawford: Dios mío. Bueno, creo que lo entenderás, Mike, siendo de Texas. Probablemente tendrá que ser una barbacoa de Texas. Creo que es una buena pechuga de Texas, que por supuesto, comerla en exceso puede hacer que llegues a tu última comida más temprano que tarde. Pero sí, probablemente diría algo así. Realmente amo la buena comida italiana. Viví en Italia dos veces y cuando era niño, por lo que soy un poco snob de la comida italiana. Así que tendría que decir que si tuviera una pasta realmente buena del sur de Italia con marisco fresco, una auténtica pasta con frutti di mare, algo así también estaría en lo más alto de mi lista.

Mike Anderson: Oh, vaya. Sí, mi esposa y yo pasamos dos semanas de vacaciones en Italia este verano y pensamos, está bien, ¿cómo ideamos un plan en el que podamos vivir en Italia durante un mes al año? Eso sería simplemente asombroso.

Amanda Crawford: Lo sé. Creo que el mundo, todo el mundo sería más feliz si pudieran vivir en Italia durante un mes al año. Realmente creo que muchos de nuestros problemas se resolverían. Simplemente seríamos más felices.

Mike Anderson: Bueno, creo que estaban tratando de ofrecer dinero a la gente para que se mudara al sur de Italia porque creo que leí el informe hace un par de años y tal vez [inaudible 00:37:49].

Amanda Crawford: Oh, estoy dentro.

Mike Anderson: Absolutamente. ¿Cuál es tu canción que cantas cuando vas al karaoke?

Amanda Crawford: Oh, canciones de karaoke. Tengo un montón. Bueno, algo así. El amor nos mantendrá unidos por Captain & Tennille. Siempre uno bueno. Si me siento un poco atrevido, tal vez Rehab de Amy Winehouse. Pero en cuanto a música para bailar, creo que si suena Septiembre de Earth Wind and Fire, no puedes dejar de moverte cuando suena esa canción.

Mike Anderson: Absolutamente. Personalmente, tiendo a inclinarme por cantar a coro porque entonces todos los demás cantan. No me escuchan. Y es mejor para todos los presentes cuando hago eso.

Amanda Crawford: Eso es exactamente correcto.

Mike Anderson: Muy bien, ¿cuál es el último libro que leíste y qué te gustó de él?

Amanda Crawford: Leí un libro que me recomendó mi hija y que acabo de terminar. Fue una lectura ligera. Lily King lo llamó Writers and Lovers. Fue fantástico. Nada que ver con la tecnología, un poco con ser un chico universitario a finales de los ochenta y principios de los noventa, así que pude identificarme y fue genial. Fue un gran libro. Realmente lo disfrute.

Mike Anderson: Sí, eso suena genial. Mi esposa es parte del club de lectura de Jen Hatmaker y recibe libros de Jen Hatmaker todos los meses.

Amanda Crawford: Oh, sí, Jen es genial. Tiene excelentes recomendaciones. Bueno, díselo a tu esposa. Te lo recomiendo mucho. Creo que este podría haber sido uno de, creo que Jenna Bush, como un club de lectura, tal vez, pero mi hija es una lectora voraz y acabo de empezar a sacar cosas de su estante porque tiene un gran gusto para los libros y simplemente lee lo que hace.

Mike Anderson: Oh, eso es genial. Muy bien, el último golpe rápido es, bueno, ¿a quién admiras más y por qué?

Amanda Crawford: Dios mío. Creo que voy a seguir con el tema del que he hablado. Hay tantas personas a las que admiro por diferentes razones, pero creo que colectivamente como comunidad en este momento, las personas que más tengo en mente son las personas en el gobierno y ciertamente en el gobierno estatal con el que trabajo y realmente en el gobierno en todos los niveles. estatales y locales que se han unido tanto mientras, afortunadamente, estamos saliendo de la pandemia, pero todas las cosas que han hecho para trabajar duro. Trabajo con un grupo tan dedicado de servidores públicos. No obtienen suficiente crédito. No hay gloria en esto en absoluto y están en esto por la misión. Y para mí, las personas que están impulsadas por una misión y que están haciendo lo correcto por las razones correctas, incluso cuando nadie está mirando, son personas a las que admiro y tengo suerte de vivir en un estado y trabajar en un estado donde tenemos gente del gobierno que está en todos los niveles del gobierno y que tiene precisamente esa mentalidad. Entonces son bastante admirables.

Mike Anderson: Sí, tenemos gente increíble, increíble. Bueno, esto ha sido increíble. Realmente aprendí mucho de esta conversación. Me encantan las cosas que estás haciendo, el firewall humano y la seguridad federada en todo el grupo, la adopción de la nube. Esta ha sido una conversación increíble porque soy un compañero residente. Me beneficio de todo el gran trabajo que usted y su equipo están haciendo por el estado de Texas. Así que muchas gracias. ¿Hay algo más, alguna sabia palabra de despedida que le darías a las personas que escuchan este podcast?

Amanda Crawford: Coma más barbacoa texana y habilite MFA. ¿Bien? ¿Es asi?

Mike Anderson: Muy bien. Impresionante. Gracias.

Amanda Crawford: Muy bien. Gracias mike. Esto fue genial. Realmente lo aprecio. Tuve un montón de diversión. Gracias.

Mike Anderson: Yo también. Qué tengas un lindo día. Gracias.
Gracias por sintonizar el episodio de hoy del podcast Security Visionaries con mi invitada especial, Amanda Crawford, CIO del estado de Texas. Fue una conversación emocionante y siempre me gusta resumir algunas de las conclusiones clave que obtuve de nuestra conversación. Y las tres cosas son, en primer lugar, en el trabajo de Amanda, donde intenta impulsar la seguridad en todas las agencias estatales, tenemos que asegurarnos de tener una política federada que garantice la seguridad y cómo la aplicamos en toda la nube y toda la transformación que estamos realizando. lo que estamos haciendo tiene que estar federado. Tenemos que acompañar a todos en ese viaje.
En segundo lugar, tenemos que empezar a incorporar la seguridad a nuestra gente desde una edad muy temprana. Tenemos que ingresar a las escuelas primarias, secundarias, intermedias, universitarias y universitarias. Tenemos que asegurarnos de que la seguridad esté integrada en la fibra de las personas de nuestras comunidades. Porque, una vez más, las personas son siempre nuestro eslabón más débil cuando se trata de seguridad. Y por último, pero no menos importante, está la diversidad. Y pensamos en la diversidad, en personas de diferentes orígenes socioeconómicos. Está atrayendo a personas de universidades quizás históricamente negras o quizás de áreas desatendidas. Traer esa diversidad nos ayudará a pensar de manera diferente porque esa diversidad es lo que nos ayudará a mantenernos por delante de los malos actores que nos desean hacer daño. Y, sinceramente, esa diversidad de pensamientos es importante en todo lo que hacemos. Espero que hayan disfrutado el episodio de hoy del podcast Security Visionaries. Sé por qué lo hice. Y espero que sintonice nuestro próximo episodio y obtenga más información de estos grandes líderes de TI y seguridad.

Orador 2: El podcast Security Visionaries está desarrollado por el equipo de Netskope. Rápida y fácil de usar, la plataforma Netskope proporciona acceso optimizado y seguridad de confianza cero para personas, dispositivos y datos dondequiera que vayan. Ayudar a los clientes a reducir el riesgo, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad de aplicaciones privadas, web o en la nube. Para obtener más información sobre cómo Scope ayuda a los clientes a estar preparados para cualquier cosa en su atrevido viaje, visite NETSKOPE.com.

Orador 3: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa y compartirlo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos vemos en la próxima.