Discutindo o futuro da transformação da segurança com Emily Heath

Emily Heath (00:00): Este cenário está mudando e chega a um ponto em que acredito honestamente que os CSOs serão alguns dos profissionais mais bem pagos no futuro, e já está caminhando nessa direção nos últimos anos. Já vimos muitas mudanças, mas este será um dos empregos mais bem pagos nos negócios, porque chegará a um ponto em que você não será capaz de pagar às pessoas dinheiro suficiente para assumir isso. quantidade de risco.

Produtor (00:25): Olá e bem-vindo ao Security Visionaries, apresentado por Jason Clark, diretor de segurança e diretor de estratégia da Netskope. Você acabou de ouvir a convidada de hoje, Emily Heath, vice-presidente sênior e diretora de confiança e segurança da DocuSign. Já foi dito que você não é pago por quanto trabalha, mas por quanta responsabilidade você tem. E no mundo empresarial moderno de hoje, a gestão de riscos é uma responsabilidade enorme. À medida que as ameaças à segurança cibernética dominam as manchetes, o papel dos líderes de segurança, sejam eles diretores de segurança ou diretores de segurança da informação, torna-se uma das funções mais importantes no alto escalão.

Produtor (01:06): Eles são responsáveis por proteger os dados, o dinheiro e tudo o mais vital para o negócio. O papel não é nada fácil e, como aponta Emily, indivíduos capazes de arcar com esse fardo se tornarão alguns dos executivos mais procurados do mundo. E Emily não desiste do desafio. Na verdade, ela está incentivando suas colegas OSC a não fazerem nada disso. Antes de sua gestão como diretora de confiança e segurança da DocuSign, Emily atuou como CSO da United Airlines e AECOM, ocupou vários outros cargos de liderança em tecnologia e estratégia e começou sua carreira como detetive do esquadrão antifraude na força policial do Reino Unido. Mas antes de começarmos e ouvir mais de Emily, aqui vai uma palavra do nosso patrocinador.

Patrocinador (01:50): O Podcast Security Visionaries é desenvolvido pela equipe da Netskope. A Netskope é a líder atrevida que oferece tudo o que você precisa para fornecer uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios atuais. Saiba mais em Netskope.

Produtor (02:08): Sem mais delongas, aproveite o terceiro episódio de Security Visionaries com seu apresentador Jason Clark e Emily Heath, vice-presidente sênior e diretora de confiança e segurança da DocuSign.

Jason Clark (02:21): Bem-vindo aos Visionários de Segurança, sou seu CSO na Netskope. Hoje estou acompanhado por uma convidada muito especial e boa amiga, Emily Heath. Emilly, como você está?

Emily Heath (02:31): Jason, é sempre um prazer ver você. Tudo bem, obrigado.

Jason Clark (02:34): Eu estava pensando nessa conversa. Estou pensando, quando conheci Emily? Você se lembra quando foi a primeira vez que nos conhecemos?

Emily Heath (02:42): Deus, agora você está passando de alguns anos, amigo. Provavelmente, não sei, foi a Security Advisors Alliance em Dallas?

Jason Clark (02:51): Certo.

Emily Heath (02:51): Certo? Sim, foi.

Jason Clark (02:53): Sim, a Advisor Alliance em Dallas e eu me lembro de você, lembro que estava no bar e nós dois estávamos pedindo, acho que era

. Emily Heath (03:02): Essa seria uma boa escolha.

Jason Clark (03:05): E então pensamos, ei, e meio que começamos a conversar. Acho que isso foi provavelmente há seis ou sete anos.

Emily Heath (03:09): Sim.

Jason Clark (03:10): Então, para começar, qual foi o seu primeiro, conte-nos sobre seu primeiro trabalho de segurança.

Emily Heath (03:14): Oh meu Deus. Bem, meu primeiro trabalho de segurança remonta a 25, 30 anos ou mais. Fui policial na Inglaterra, fui detetive por muitos anos. E isso é mais ou menos sobre a época em que o ciberespaço não era realmente uma coisa naquela época, mas o crime informático estava começando a ser uma coisa. E então trabalhei na unidade de crimes financeiros no que chamamos de esquadrão de fraude, e essa era a unidade responsável pelos crimes informáticos. E isso era completamente estranho para mim na época, quero dizer, naquela época você costumava invadir uma empresa ou uma casa e saía com centenas de caixas de banqueiros cheias de contratos e documentos. E é uma grande reviravolta ver como tudo isso agora é traduzido para o ciberespaço. Mas gosto de pensar que, de uma perspectiva cibernética, esse foi provavelmente o primeiro trabalho a tentar dissecar computadores.

Jason Clark (04:09): E conte-nos um pouco sobre seu trabalho hoje e sua função atual na DocuSign.

Emily Heath (04:12): Sim, então meu trabalho na DocuSign agora é um pouco variado, na verdade. Sou o diretor de confiança e segurança, então há alguns lados nisso. Existem as coisas usuais relacionadas à segurança cibernética que você poderia imaginar, arquitetura de segurança, engenharia, operações de segurança e todas essas coisas. Também tenho o grupo de risco de governança e compliance. Tenho fraude, segurança física, saúde e proteção também. E então o lado da confiança do trabalho é, na verdade, um lado do trabalho voltado para o cliente. Portanto, a DocuSign, como muitas pessoas sabem, é uma plataforma realmente confiável porque fazemos parte do ecossistema de nossos clientes, segurança e confiança são muito importantes. Então, passei muito tempo com os clientes, o que adoro.

Jason Clark (04:53): Acho que isso é algo que continuará a evoluir para todas as empresas que são uma organização de tecnologia [inaudível 00:05:00]. [inaudível 00:05:02] economia, isto é, o diretor de confiança e segurança muito engajado com os clientes será, eu acho, a norma.

Emily Heath (05:11): Sim, exatamente.

Jason Clark (05:12): Então, nosso primeiro tipo de segmento aqui são tópicos tabu.

Jason Clark (05:26): Bem, este segmento é sobre tabus de segurança, equívocos e controvérsias. E, a propósito, você pode me perguntar qualquer coisa, mencionar qualquer coisa que quiser. Mas a primeira pergunta para você sobre isso é: qual você acredita ser o risco que mais cresce na segurança cibernética atualmente, certo? Isso afeta a maioria das empresas?

Emily Heath (05:43): Sim. Deus, há tantos deles que é difícil escolher um. Acho que ransomware é aquele que só vem à mente só porque você pensa na monetização do crime quando se trata de cibernético, esses ataques não são mais apenas para incomodar organizações ou para se gabar, há muito dinheiro nesse crime. Longe vão os dias em que alguém entra em um banco com uma [inaudível 00:06:07] espingarda e sai com US$ 20.000, na melhor das hipóteses. Quero dizer, você está falando de milhões e dezenas de milhões para esses tipos de crimes. Então eu acho que o resgate é, estamos apenas vendo o começo disso. E quanto mais você vê que as empresas estão pagando resgates, o problema só vai proliferar. Então é uma tendência que, infelizmente, não acho que vá a lugar nenhum tão cedo.

Jason Clark (06:30): Então é basicamente o novo ladrão de banco, certo?

Emily Heath (06:34): Sim.

Jason Clark (06:34): Então, o que você acha, esse sentimento é como um tópico tabu, o que você acha que as empresas deveriam pagar o resgate ou não pagar o resgate? Qual deveria ser a legislação em torno disso?

Emily Heath (06:45): Deus, é tão difícil. Nem sei onde a legislação pode estar envolvida nisso. É uma ladeira realmente escorregadia porque há um custo para fazer negócios, e se isso se tornar um novo custo para fazer negócios, quero dizer, não estou defendendo isso de forma alguma, mas cada organização é diferente e até que isso atinja você e até que suas operações sejam prejudicadas, é realmente difícil dizer se você deve ou não pagar um resgate. Quero dizer, todos nós sabemos que nunca há qualquer garantia de que você sairá do outro lado de qualquer maneira. Mas se olharmos para algumas das empresas que recentemente pagaram resgates, não estamos presentes, não sabemos o impacto na sua função empresarial real. E eu simplesmente não tenho certeza se isso vai acabar sendo uma questão legislativa, é uma questão comercial.

Jason Clark (07:34): Sim. Quero dizer, às vezes pode significar vidas, certo? Quero dizer, religar a eletricidade ou religar os sistemas médicos de que você precisa, isso não deveria ser uma escolha feita por causa de uma lei, certo? E quando você olha para isso, o resgate é obviamente um problema muito, muito difícil e obviamente precisamos melhorar em tudo. Eu acho, curioso, se você pensa em resgates, ok, esse é um, mas qual você acha que as pessoas não estão cientes? Qual é o risco que mais cresce como CSO? O que você acha que está crescendo e que muitas organizações de TI e muitos conselhos desconhecem? Portanto, os resgates aparecem nas notícias todos os dias, mas há mais alguma coisa que você possa imaginar que seja um risco crescente e que você acha que esses líderes deveriam estar cientes?

Emily Heath (08:24): Sim, há um tema agora em que você vê muitos profissionais de segurança experientes deixando o setor. E meu medo é que fique um buraco grande, né? Este negócio já existe há algum tempo, mas certamente não na magnitude que tem sido nos últimos quatro ou cinco anos ou mais. E muitos profissionais de segurança estão deixando o setor para ir para o lado do fornecedor ou para ir para o lado do VC. O talento e a experiência que estão deixando os empregos de segurança são assustadores. Não sei como você resolve isso necessariamente, além de que, como líder, é nosso trabalho garantir que estamos investindo nos líderes de amanhã. E acho que, como organização, não tenho certeza se há essa grande consciência organizacional para a grande lacuna de talentos entre os líderes seniores no negócio de segurança e pessoas realmente super talentosas, que honestamente estão migrando para o lado do fornecedor e para o lado do VC porque bastante francamente, há mais dinheiro nisso.

Jason Clark (09:25): Vamos falar sobre isso um pouco mais tarde porque falamos sobre o futuro, mas acho que há mais dinheiro, mas também o trabalho do CSO é extremamente difícil, muito, muito difícil e muito desgastante.

Emily Heath (09:37): Super estressante.

Jason Clark (09:37): Quero dizer, há muitos, muitos amigos onde eles estiveram, olha Jason, desisti das minhas últimas férias ou fui o melhor, Dave Fairman da RBC, ele disse, Jason, Fui padrinho de um casamento e me disseram: ou iria ao casamento ou ficaria aqui, mas se você for ao casamento não terá emprego. E isso é emocionalmente desgastante. Então acho que estamos chegando a um ponto em que as ameaças estão piorando, o problema está ficando mais difícil, há mais dados do que nunca, temos 57 zetabytes de dados no mundo e em 2025 haverá 175 zetabytes. Então, quando você pensa sobre o crescimento da superfície de ataque, acho que as pessoas estão ficando mais difíceis de encontrar, ou seja, adorei que você tenha apontado isso. Acho que é um grande risco desconhecido, como você acabou de dizer. Então, meio que vamos mergulhar um pouco mais fundo.

Jason Clark (10:46): Talvez nos conte como você passou da polícia de Cheshire para a cibernética e nos conte sobre essa transição.

Emily Heath (10:55): Quando eu era detetive, fiz uma pausa na carreira por um tempo, e você pode fazer uma pausa na carreira por até três anos. E eu fiz e a conclusão é que aprendi sozinho a programar, não conte a ninguém. Mas aprendi sozinho a programar e comecei meu próprio negócio de web design durante a pausa na carreira. Quando voltei para a polícia percebi que havia um grande mundo lá fora e um mundo que eu realmente queria explorar. E então um dos meus ex-clientes da web me ligou um dia e disse: ei, você está interessado nesta oportunidade nos estúdios MGM em Londres? E estava funcionando para uma startup na época em que os DVDs existiam, era uma startup que gerenciava toda a distribuição de DVD, cadeia de suprimentos e gerenciamento de estoque para os estúdios de cinema. Então deixei a polícia, deixei a aplicação da lei e fiz esse trabalho. Não era um trabalho de segurança. Trabalhei em muitas áreas diferentes de TI e tecnologia antes de completar o círculo de volta à segurança.

Emily Heath (11:48): Mas eu era o principal gerente de programa na implementação de software para os estúdios, foi assim que acabei nos EUA, talvez, há quase 20 anos, trabalhando com a MGM, que foi adquirida pela Sony Pictures, então Trabalhei com a Sony por muitos anos. E então, finalmente, quando aquela pequena coisa chamada PCI apareceu, e eu dirigia equipes de infraestrutura, PMOs, equipes de web design e engenheiros, meu chefe na época disse: ei, Emily, você era policial. Você era policial, não era? Você entende a lei, consegue descobrir essa coisa de criptografia e essa coisa de PCI, essas leis que estão chegando? Então, foi realmente por acidente que acabei assumindo uma função mais jurídica, de conformidade e de segurança. Mas é engraçado como você olha para trás, para sua carreira e sua vida e percebe que tudo não passa de um grande quebra-cabeça. Você não percebe na hora como uma coisa leva à outra. E então, quando você olha para trás, percebe, meu Deus, que eu não estaria preparado para o sucesso neste trabalho se não tivesse feito esse trabalho.

Emily Heath (12:50): E então foi como voltar para casa, minha experiência em tecnologia aliada à experiência na aplicação da lei. E são duas coisas muito diferentes, mas os conjuntos de habilidades que você traz da aplicação da lei, os conjuntos de habilidades eram muito sobre pessoas. Foi, você está lidando com pessoas de todas as esferas da vida. E eu traduzo isso para os constituintes de uma organização, certo? Quero dizer, lidamos com tantas partes interessadas diferentes, de tantas unidades de negócios diferentes, e gerenciar a navegação no mundo corporativo é muito parecido com a aplicação da lei, você apenas gerencia personagens diferentes. Então realmente foi como voltar para casa e tomei um caminho muito deliberado para escolher o caminho do CSO e não o caminho do CIO. Há alguns anos, tive oportunidades de seguir um caminho ou outro e escolhi esse caminho, e escolhi o caminho certo para mim pessoalmente.

Jason Clark (13:44): Sou constantemente questionado por CSOs, treino cerca de 15 CSOs diferentes e me perguntam: ei, tenho a oportunidade de me tornar o CIO ou o CIO interino. E na verdade eu geralmente os treino não. Foco no CSO, foco na segurança como uma especialidade que vai ganhar cada vez mais importância. E basicamente digo a eles que financeiramente acredito que ganharão mais ou o mesmo. Você falou um pouco da sua experiência com o PCI, agradeço ao PCI pelo início da minha carreira também. Eu estava fora do exército e o New York Times ficou comprometido, e consegui o emprego de CSO no New York Times quando tinha 27 anos porque eles precisavam de um título de CSO e isso foi motivado pela perda de cartões de crédito e por uma de suas unidades de negócios e fui convidado a intervir. E quando mais um jovem de 27 anos com experiência em segurança cibernética e o fato de eu ter experiência em gerenciamento porque era militar, quero dizer, é uma loucura. Isso não aconteceria hoje, sendo um jovem de 27 anos um CSO tão rápido. Então, agradeço ao PCI também.

Emily Heath (14:53): Sim, eu sei. É como se as pessoas perguntassem por que você escolheu a carreira cibernética? E eu disse, não fui eu que escolhi, foi ele que me escolheu. Definitivamente reviravoltas.

Jason Clark (15:04): Tem sido incrível. Então você era o CSO, nos conhecemos quando você era CSO da United Airlines e você tinha enormes responsabilidades lá. Quais são as diferenças e semelhanças entre isso e sua função atual na DocuSign?

Emily Heath (15:22): Sim. Então, quero dizer, United Airlines, não acho que seja muito mais complicado do que uma enorme companhia aérea global. A simples escala e complexidade de uma organização como essa é incrível. E obviamente é uma empresa muito maior do que a DocuSign, então as diferenças de escala e complexidade são muito, muito diferentes, porém os tipos de problemas com os quais lidamos são praticamente os mesmos. E não importa onde eu vá, ou qualquer empresa, ou conselho que eu dê a outros amigos CSO que estão ingressando em novas empresas, eu me pergunto cinco questões fundamentais, que realmente não importam em qual organização você está. E tudo se resume ao que é mais importante para você em primeiro lugar? Numa empresa como a United, o mais importante é a vida humana. Vocês estão voando, a segurança é o número um. Uma empresa como a DocuSign, somos uma empresa muito orientada a dados, então os acordos nos quais as pessoas confiam em nós são o que mais importa para nós.

Emily Heath (16:19): Então, o que é mais importante? Cadê? Como você está protegendo isso? Onde você está mais vulnerável e em risco? E quão resiliente você é quando bate no ventilador e precisa se recuperar? E eu acho que se você entrar em qualquer novo emprego e se perguntar essas cinco perguntas, não importa que empresa seja, não importa que entidade seja, essas cinco perguntas ainda são muito relevantes. Porque se você entender o que é mais importante para você, terá uma estrutura para priorizar a tarefa que sem dúvida está à sua frente. Portanto, os desafios são os mesmos, são o mesmo tipo de pessoas, o mesmo tipo de adversários, a escala e a complexidade são muito diferentes, mas a forma como se gere um programa de segurança é fundamentalmente a mesma coisa.

Jason Clark (17:06): Sim, 100%. São apenas complexidades diferentes. A escala é uma delas, mas quando você é uma empresa, você tem um conjunto diferente e não é mais difícil nem mais fácil. Quando você falou quando bate no ventilador, adorei como você disse quando bate no ventilador, imaginei rapidamente a cena do Avião, do filme Avião, né? Onde a merda literalmente atingiu o ventilador, é isso que imagino [inaudível 00:17:35]. Então, olhe, adoro o seu título, diretor de confiança e segurança. Então fale um pouco conosco sobre quais responsabilidades adicionais você tem e como isso muda a maneira como sua empresa ou seus clientes o percebem com a palavra confiança aí?

Emily Heath (17:53): Sim. Então, acredite em mim, o lado da segurança é o que todos nós entendemos. É proteger as porcas e os parafusos e proteger a tecnologia e todas essas coisas. Quando você começa a adotar esse conceito de confiança, trata-se do intangível. São os relacionamentos que você está construindo com as pessoas. Portanto, quando construímos relacionamentos com clientes, não podemos confiar em pessoas que não conhecemos. Portanto, o tempo que passo com os clientes é para construir relacionamentos com eles, porque considero meu dever e minha obrigação ser completamente transparente sobre o que estamos fazendo. Acho que os fundamentos de como você constrói confiança estão realmente incorporados nisso. Portanto, não estou falando apenas de confiança zero como estrutura ou confiança no que tradicionalmente chamamos de confiança nas áreas de segurança; para mim, vai muito além disso. Realmente tem muito a ver com você ter que fazer sua caminhada. Você tem que aparecer. Você tem que ser transparente. Você tem que ser franco e honesto.

Emily Heath (18:54): E na verdade é mais do que apenas segurança. Por exemplo, também ajudo a administrar nosso programa ESG, o programa ambiental, social e de governança. Como parte da função do diretor de confiança não se trata apenas de segurança, quais são os outros elementos da confiança e o que isso significa para a sua organização? Por isso, envolvo-me fortemente em temas como DNI, sou um grande defensor da diversidade, da inclusão e do pertencimento, como vocês sabem. Os programas do tipo ESG que qualquer organização executa, todos estão sob a égide da confiança. Portanto, é realmente mais amplo do que apenas os domínios tradicionais de segurança, segurança física e segurança cibernética, porque se trata da confiança da sua organização e do que isso significa para seus clientes, parceiros e funcionários.

Emily Heath (19:40): Então é algo que estamos evoluindo como qualquer outra empresa. Tenho a forte convicção de que não deveríamos usar palavras como confiança, a menos que saibamos o que isso realmente significa para nós e que realmente façamos algo a respeito. Isso não é apenas uma palavra, é um jeito de ser, não é apenas o que você faz, é quem você é enquanto faz isso para mim. Tem muito a ver com os relacionamentos e com esse espírito de transparência. E como eu disse, você não pode confiar em pessoas que você não conhece.

Jason Clark (20:08): Então, como vai você, isso vai muito em torno do propósito da empresa, certo? E você está tentando evocar propositalmente uma emoção em seus clientes e funcionários, certo? Como você está fazendo parceria com o marketing para que isso aconteça?

Emily Heath (20:23): Sim, na verdade estamos passando por um pouco de branding e marketing agora e a confiança é um dos nossos pilares centrais. A DocuSign existe há cerca de 18 anos e a maioria das pessoas nos conhece pela assinatura eletrônica. E evoluímos muito além disso, para o que chamamos de nuvem de acordos e agora de nuvem de acordos inteligentes. A confiança é uma parte fundamental disso. E se você pensar sobre o que as pessoas realmente confiam em nós, todos os seus acordos sensíveis, quero dizer, pelo amor de Deus, suas assinaturas. Nós pensamos se você não pode confiar em nós, em quem você pode confiar? Há um elemento tão incorporado em quem somos como organização que está presente desde o início dos tempos para a DocuSign, mas agora vemos o quão importante isso é no fato de que fazemos parte do ecossistema de nossos clientes e nós tenho que levar isso muito a sério. Então, sim, tem muito a ver com a cultura e com o que é importante para sua organização. Mas, como eu disse, é quem você é enquanto faz a peça também.

Jason Clark (21:25): Então, como essa infeliz pandemia aconteceu nos últimos 18 meses, como isso mudou e afetou sua função e, obviamente, seus funcionários na DocuSign enquanto tentam se envolver e cumprir seu dever?

Emily Heath (21:45): Sim. Então, desde o início do COVID, quando isso aconteceu, já tínhamos uma força de trabalho remota bastante grande, então, felizmente, já tínhamos tecnologias como o Slacks e o Zooms para nos apoiar, então estávamos à frente de algumas empresas nesse aspecto. No entanto, como todos sabemos, é uma mudança definitiva quando agora você tem uma força de trabalho completa que trabalha remotamente em computadores domésticos e todo esse tipo de coisa. Deixei o COVID, o que na época chamávamos de Força-Tarefa COVID 19, que era essencialmente uma resposta clássica à crise, que consiste em reunir equipes multifuncionais. No início, nos reuníamos várias vezes ao dia, depois íamos diariamente e depois íamos para reuniões semanais.

Emily Heath (22:27): Mas foi uma forma de reunir toda a organização de todos os departamentos para que pudéssemos considerar todas as peças móveis de nossos funcionários e clientes, porque assim como você e muitas outras empresas, tivemos muitos eventos ao vivo que tivemos que fazer a transição para o virtual. Contamos com todos os funcionários para garantir que eles tivessem todos os equipamentos necessários, integrando milhares de pessoas desde o COVID. Crescemos muito, integramos milhares de pessoas como novos funcionários, e tudo isso vem com muita logística. Portanto, penso que é aqui que as OSC e as pessoas que estão habituadas a lidar com a resposta a crises são realmente mais adequadas para estes tipos de iniciativas. Porque temos aquele músculo de resposta a crises onde estamos acostumados a reunir equipes multifuncionais para organizá-las. E foi simplesmente, ninguém me pediu para fazer isso, eu simplesmente assumi o papel, juntei a empresa e fiz minha parte. E minha equipe fez um trabalho excepcional, assim como o resto da organização.

Emily Heath (23:32): Mas acho que tem sido difícil para muitos funcionários, assim como para qualquer outra empresa. Todo mundo tem um pouco de cansaço do COVID e do Zoom e todas essas coisas. Aproveitamos esta oportunidade para realmente ouvir nossos colaboradores e ver o que eles desejam. Portanto, é altamente provável que tenhamos uma força de trabalho muito mais distribuída e mais remota no futuro. Estaremos praticamente completamente hoteleiros, então não haverá mais mesas ou escritórios dedicados. E é isso que nossos funcionários querem, eles querem flexibilidade, então estamos aproveitando essa oportunidade para dar a eles exatamente isso.

Jason Clark (24:08): Portanto, não há dúvida de que tem sido um desafio. Já ouvi muitos OSCs e, mesmo usando o exemplo de mim mesmo e de Lamont, nosso CSO, foi um momento para ele dar um passo à frente. Ele ajudou a liderar e fez parte da liderança de nossa comunidade COVID, ele também lidera o DNI. Apenas para dizer que este é o nosso momento para garantir que estamos abraçando e engajando nossos funcionários ao máximo que pudermos. Então eu acho que você está certo, já temos esse músculo. E então tem sido muito bom, acho que no final você pensa apenas em TI, esquece a segurança, poder trabalhar em casa não teria sido realmente possível sem TI, sem digital, sem tecnologia, sem VPN, sem nuvem. Como teríamos feito isso? Teríamos que tomar a decisão de perder negócios ou as pessoas teriam potencialmente mais vulnerabilidade e mais mortes. E então eu acho que a TI tem sido um tipo interessante de herói silencioso nisso.

Emily Heath (25:19): E é quase como se, como sociedade, tivéssemos sido forçados a pensar de forma diferente. Muitas empresas nunca teriam tomado as medidas que tomaram se não fôssemos todos forçados a estar nesta situação. E para nós, do ponto de vista empresarial, tem sido incrível, é claro. Tem sido ótimo para o crescimento da nossa empresa, mas o que realmente me impressionou logo no início da pandemia foi que estávamos literalmente nas trincheiras com os departamentos estaduais e os governos federais para tentar movimentar os EPIs, você ainda precisa fazer isso com um assinatura. E há esse tipo de equívoco comum: acho que as agências governamentais agem muito lentamente. Bem, às vezes sim, mas quando eles são forçados a entrar em uma crise desta forma, o trabalho que eles fizeram, e nós tivemos um lugar na primeira fila para isso, nosso pessoal de suporte ao cliente trabalhava de manhã, ao meio-dia e à noite nas trincheiras com para que pudessem configurá-los para que pudessem digitalizar e transformar seus próprios negócios e situações em que tínhamos que movimentar equipamentos. E isso forçou todos nós a girar muito rapidamente. E penso que, de certa forma, muitas empresas ultrapassaram essa transformação digital porque agora vêem que podem fazê-lo.

Jason Clark (26:39): Tenho visto muitos dos meus próprios clientes adotando o DocuSign real. Isso tem sido uma grande parte de sua transformação. Principalmente saúde, muito, muito grande na área de saúde. Então, fazendo a transição para o nosso próximo segmento, que é chamado de sentimento vulnerável.

Jason Clark (27:04): E então, neste segmento, vamos examinar o que estamos tentando evitar? Quais são as nossas vulnerabilidades? E mais uma vez, apenas me sentindo vulnerável. Sendo muito aberto, o que nós dois já estamos nessa conversa. Muitas vezes as pessoas medem o risco de forma diferente. Por exemplo, tubarões na água. Eu estava de férias há apenas duas semanas com um grupo de amigos e havia um tubarão na água. E uma das pessoas com quem eu estava nadou o mais rápido possível até os salva-vidas tipo, tem um tubarão, tem um tubarão, tem um tubarão, gritando que tem um tubarão para todo mundo. E todo mundo está olhando para essa pessoa e o salva-vidas diz, sim, temos tubarões. Eles não mordem ninguém. E é tipo, o que você está fazendo? Tipo, oh meu Deus, temos que reagir a isso. E eu penso, as mortes de tubarões não são muitas por ano entre seis ou sete bilhões de pessoas.

Jason Clark (27:56): Quanto você acha que talvez estejamos em segurança ou TI tomando decisões por instinto em vez de realmente olharmos para a matemática do risco? Ou apenas tentando marcar caixas de seleção? Qual é a sua opinião sobre talvez esse problema de segurança, na verdade, não, como se compramos produtos porque todo mundo está comprando produtos, ou estávamos fazendo isso porque todo mundo está fazendo isso em vez de dizer: esse era o verdadeiro problema? Esse é o risco real? A propósito, acabei de telefonar para alguém do setor financeiro que disse: estamos fazendo segmentação porque os auditores e os clientes regulares dizem que precisamos, e acho que é a coisa mais idiota de todas. Porque já estou segmentado no final, no ponto final e na camada de rede, e deveria estar fazendo esses outros cinco projetos, mas em vez disso, este é o meu maior projeto do ano porque o auditor e os reguladores dizem que tenho que .

Emily Heath (28:42): Sim, posso entender isso perfeitamente. Acho que por mais que queiramos ser orientados pela ciência e pelos dados o tempo todo, esse é o ideal, certo? Você sempre quer ter os dados e os fatos à sua frente, mas a verdade é que nem sempre é tão tangível. E penso que há momentos em que as OSC usam o seu melhor julgamento, a sua experiência e os seus conhecimentos para tomar decisões. Às vezes acho que isso é apropriado porque, caso contrário, quero dizer que em algum momento você terá que tomar uma decisão e seguir em frente. E essas são as coisas que às vezes você acaba olhando no espelho retrovisor e pensa: tomei a decisão certa nessa ou poderia ter feito diferente? Mas no momento você nem sempre tem o benefício, acho, de semanas, ou dias, ou meses antes de coletar todos esses dados. E mesmo que você quisesse, provavelmente nem tudo existe.

Emily Heath (29:39): Portanto, há uma realidade no trabalho que fazemos que é um pouco de arte e um pouco de ciência, de que você precisa usar seu bom senso para tomar essas decisões. Sempre defendi o uso de dados porque muitas vezes o que tentamos e fazemos é explicar situações para pessoas que não são técnicas ou explicar situações e traduzi-las em risco operacional ou de negócio, porque em última análise esse é o nosso trabalho. Nem sempre é tão simples obter dados que direcionem diretamente para uma decisão A, decisão B ou decisão C. Portanto, há um pouco de arte e ciência no que fazemos. E sejamos realistas, se houvesse um livro que você pudesse escolher na estante que mostrasse um projeto e como fazer esse trabalho, todos nós adoraríamos isso. Mas a realidade é que isso simplesmente não existe, enfrentamos novas ameaças, novos adversários e novas formas de operar todos os dias, sendo necessário usar o bom senso.

Emily Heath (30:38): E isso vem da experiência. Às vezes, no início de nossas carreiras, tomamos algumas decisões que talvez não tenham sido as melhores, mas aprendemos com elas. E o mais importante para mim é que a comunidade de segurança é realmente especial, porque compartilhamos coisas uns com os outros quando nossos advogados nos dizem para não fazê-lo. Compartilhamos coisas porque nos preocupamos uns com os outros e ninguém quer ver mais ninguém nas manchetes. Nunca experimentei, vi ou ouvi falar de uma comunidade como esta. E é realmente especial, é outra coisa.

Jason Clark (31:10): Isso é incrível. Eu concordo, não há nada. Somos um porque, provavelmente porque temos um inimigo comum. E é tremendo e está no final e é por isso que acho que muitos de nós amamos esta indústria e não mudamos de indústria. Então, conforme pensamos um pouco sobre isso antes, estamos falando sobre esse setor. Falamos que parte dos riscos é a saída dos líderes de segurança do setor. Por que você acha que isso acontece? Por que você acha que eles estão dizendo, ok, quer saber? Vou fazer algo diferente, já fiz isso três vezes. Nós amamos esse setor, mas por que eles estão deixando o cargo de CSO operacional? Porque paga bem, não há dúvida de que podem ganhar sete dígitos. Eles estão trabalhando no seu melhor, então por que vemos pessoas deixando esses empregos para ir, na maioria das vezes, honestamente, gastando menos dinheiro fazendo outra coisa?

Emily Heath (32:11): Sim, e acho que é uma combinação do que falamos antes. Olha, esse trabalho ganhou mais visibilidade nos últimos anos, sem dúvida, e isso é algo que você já ouviu os CSOs implorarem no passado e agora acho que tudo está se concretizando. E há lados bons e ruins nisso. Você quer toda a visibilidade, quer que a empresa leve isso a sério, bem, adivinhe, eles estão levando isso a sério. O outro lado disso é a pressão que vem com isso. Este é um trabalho de muito alto risco. E é um trabalho de alto risco porque gerenciamos programas que possuem muitas facetas e componentes que não estão sob nosso controle. Contamos com muitos, muitos constituintes diferentes para fazer as coisas de determinadas maneiras, para que todos tenham sucesso. Quero dizer, se você pensar em muitas empresas que têm milhares de aplicativos, mas digamos que os controles de acesso não foram suficientes em 10, 20 ou 100 deles. Não pode ser apenas culpa do CSO, é impossível. The CSO's one person, the security teams can only do so much.

Emily Heath (33:22): E como resultado disso, sim, é um trabalho de alto perfil, mas os riscos são enormes. Acho que agora você está começando a ouvir sobre o processo de CSO. O jogo está mudando, esse cenário está mudando e chega a um ponto em que acredito honestamente que os CSOs serão alguns dos profissionais mais bem pagos no futuro. E já está indo nessa direção nos últimos anos, já vimos muitas mudanças. Mas este será um dos empregos mais bem pagos nos negócios, porque chegará a um ponto em que você não poderá pagar às pessoas dinheiro suficiente para assumir esse risco, porque os processos que podem vir com isto. E você começa a pensar sobre o que isso significa para o papel, é um jogo muito, muito diferente.

Emily Heath (34:12): Você está falando agora sobre o que o conselho de administração geralmente é responsável e os riscos que acompanham isso, ou CEOs são responsáveis e o risco que acompanha isso, ou CFOs para esse assunto . Então, acho que o risco e a pura responsabilidade continuam aumentando e as pessoas estão sofrendo de esgotamento. E nem tudo é financeiro, definitivamente há um componente financeiro nisso, mas nem tudo é financeiro. Chega um ponto que é qualidade de vida e é difícil, né? Não é um caminho fácil, não é um papel fácil. Como você bem sabe, você conseguiu.

Jason Clark (34:52): Não vale a pena. Sim, chega um ponto em que é como, ok, já fiz isso várias vezes, mas está ficando mais difícil. E tudo bem, economizei o suficiente, como você acabou de dizer. E eu acho que as preocupações legais são preocupantes. E não é como os CSO's, uma coisa que me surpreende é que eles não estão conseguindo necessariamente o paraquedas nos meus contratos. Posso estar ficando ótimo [inaudível 00:35:20], mas eles também devem ser protegidos. Eu tenho muitas conversas com CSOs onde eles estão sendo pressionados a decidir algo ou assinar algo com o qual eles não concordam, mas eles estão olhando para isso dizendo, bem, eu tenho esta casa cara e eu tenho particular escola ou o que quer que seja, e não posso me dar ao luxo de dizer não ao meu chefe porque vou embora.

Jason Clark (35:41): E isso não é bom. Todos eles devem ser protegidos de que, se você discordar da sua organização, quiser desafiá-los e dizer: não vou assinar esse risco, eles podem ser protegidos, talvez seja um padrão de seis meses de renda? Mas agora são dois ou três meses. E já vi isso acontecer com muita frequência. Mas, no geral, acho que estava conversando com Jason Witty e é público que ele acabou de deixar o JP Morgan. É apenas uma questão de, podemos fazer muito mais com nossa experiência que podemos fazer com menos estresse potencialmente, ou mesmo maior renda quando você começa a falar sobre o que você mencionou, Emily, capital de risco. Mas o que fazemos, façamos o que fizermos, precisamos garantir que a próxima geração esteja pronta.

Emily Heath (36:44): Estou protegida, certo. Quero dizer, está chegando ao ponto de questões de responsabilidade, que diretores e executivos têm cobertura de responsabilidade para isso, OSCs não. Portanto, uma conversa diferente precisa ser feita em algum momento, caso contrário, chegará a um ponto em que você não poderá pagar às pessoas dinheiro suficiente para fazer esse trabalho. Porque se o resultado final ou a consequência potencial para uma ação que uma OSC tomou de boa fé ou uma ação que outra pessoa não tomou, se a consequência pode resultar na perda de tudo ou na prisão, Deus me livre, você não vai conseguir que as pessoas no trabalho façam mais isso.

Jason Clark (37:20): Exatamente. Como se você fosse instruído a pagar um resgate ou uma recompensa por sua liderança. Então, sim, é assustador. Mas vamos trabalhar com isso e, no final, acho que você, eu e muitos outros apenas temos que estar lá para os outros. Quando eles precisarem de conselhos, nós os treinaremos, nós os apoiaremos. Continuando, fiquei curioso sobre esse assunto, como é a vida de aposentadoria para você?

Emily Heath (37:51): Ainda não cheguei lá, mas ainda tenho muito no tanque. Mas a vida de aposentadoria para mim é, não sei se algum dia vou realmente me desconectar desta comunidade. Quer dizer, eu faço parte de um conselho público e de um conselho privado hoje, faço parte do conselho da Norton LifeLock como uma empresa de capital aberto e de um Logic Gate que é uma empresa privada de plataforma GRC. Há muito valor para os CSOs na vida do conselho por causa da experiência e profundidade que eles têm, e ainda é uma área onde há falta de compreensão, há muito valor a agregar. Então tenho certeza que isso continuará fazendo parte do meu futuro. Eu dou muitos conselhos como você, sem nenhum benefício, sem nenhum benefício financeiro, apenas porque é uma parte importante de, como você disse, temos que ajudar a próxima geração. E acho que isso nunca vai desaparecer. Haverá partes disso. Um dia farei a transição para fora da vida operacional, mas ainda não cheguei lá. Como eu disse, ainda tenho mais no tanque para mim. Mas eu imagino que a semi-aposentadoria pode parecer como servir em alguns conselhos que eu imaginaria e fazer algum trabalho sem fins lucrativos e de consultoria.

Jason Clark (39:07): Conselhos, coaching, consultoria, ajudando a indústria.

Emily Heath (39:10): Sim, exatamente.

Jason Clark (39:12): Sentado em uma praia ou nas montanhas por um tempo.

Emily Heath (39:15): Sim. Viajar pela Europa talvez, talvez na Provença ou algo assim. Atender algumas chamadas de Zoom da Provence pode ser bom.

Jason Clark (39:21): Um pouco. Sim, eu gostaria, meu sonho é fazer isso todo verão e trabalhar a partir daí todos os verões.

Emily Heath (39:29): Pronto.

Jason Clark (39:31): Tudo bem, então meio que pensando no futuro. Como estamos falando sobre isso, se pudermos avançar no tempo, no que você acha que as OSCs gostariam de ter investido para compensar no futuro? Como o que você sugeriria a todos, como pensar em cinco e 10 anos a partir de agora, quais são os investimentos mais importantes que eles poderiam estar fazendo além das pessoas?

Emily Heath (40:04): Além de pessoas, seguros. Provavelmente o seguro é um deles muito a sério. Mas se você está falando de mais tecnologia, ainda há muitas empresas que não estão investindo adequadamente em segurança na nuvem. Existem alguns pedaços de segurança na nuvem que eles têm e as pessoas confiam na capacidade nativa do tipo AWS e Azure, o que é bom até certo ponto, mas quando o mundo está ficando completamente na nuvem e todos estão se afastando do bare metal, você não pode confiar apenas no provedores de nuvem existentes, a pilha de segurança em torno da configuração, segredos, gerenciamento e todas as coisas que vêm com isso. Temo que muitas empresas estejam apenas falando honestamente sobre a segurança da nuvem.

Jason Clark (40:54): Acho que, quero dizer, minha resposta à minha própria pergunta seria: acho que segurança de dados. Como se fosse sobre os dados, é isso que estamos protegendo. DocuSign, são essas assinaturas, esses contratos, é sobre os dados e sinto que em minhas conversas somos muito imaturos no pensamento de proteção de dados porque estamos acostumados com os dados armazenados em nosso data center e temos esse grande perímetro. E acho que é uma área muito pouco investida para entender onde estão meus dados, como eles são protegidos? Qual é o risco aí? Qual é o impacto? Quão sensível é? Tudo isso porque prolifera.

Emily Heath (41:31): São aquelas cinco perguntas de novo, certo? São essas cinco perguntas, o que mais importa para mim? Cadê? Como estou protegendo isso? Quão vulnerável e em risco estou? E como estou preparado para quando atingir o ventilador? Parece tão simples quando você analisa isso, mas esses são os fundamentos do programa de segurança. E é diferente para cada empresa. E é difícil fazer isso, é difícil descobrir tudo isso. Porque essas perguntas estão totalmente carregadas de suposições de que, ei, você entende onde estão todos os seus dados e entende os ativos que os suportam e, a propósito, todos eles estão sendo provisionados da maneira certa? Eles têm toda a segurança ou todos os controles de acesso como deveriam? É soa tão simples, mas eu não poderia concordar. Eu acho, e muito disso para nós eu traduzo para nuvem porque obviamente é para onde os ambientes estão indo.

Jason Clark (42:19): Quero dizer, acho que a nuvem de certa forma torna as coisas mais difíceis no começo porque não é onde estão suas soluções, mas no final acho que facilita para nós. Como nós temos [inaudível 00:42:30], quero dizer, há muitas coisas que você pode fazer. Então é um lugar estranho temporariamente, mas no final e no futuro, acho que seremos muito bons. Então, último segmento, acessos rápidos. Perguntas rápidas para você e apenas respostas rápidas. Então você está pronto?

Emily Heath (42:54): Estou pronta, traga.

Jason Clark (42:57): Tudo bem. Qual talento ou habilidade você tem que não está em seu currículo?

Emily Heath (43:02): Sou curadora de Reiki, uma curadora de Reiki treinada.

Jason Clark (43:05): Uau, isso é muito legal.

Emily Heath (43:08): Algo completamente diferente.

Jason Clark (43:10): Eu nem sei o que é isso. O que é isso, Emilly?

Emily Heath (43:13): É uma técnica de cura com as mãos.

Jason Clark (43:15): Ah, legal. Eu vou pesquisá-lo. Então, em segundo lugar, se você não estivesse em redes e segurança, o que estaria fazendo?

Emily Heath (43:23): Eu seria uma chef. Eu absolutamente amo cozinhar. Eu apenas, é minha geléia, é como eu relaxo. Eu simplesmente adoro fazer as pessoas felizes com comida.

Jason Clark (43:34): E eu sei que esta é uma pergunta difícil porque também sou chef e é muito, mas qual é o seu tipo de cozinha favorito?

Emily Heath (43:43): Oh, isso é difícil. Venho aperfeiçoando minha receita à bolonhesa há uns 15 anos porque a comida italiana é simplesmente a melhor. Quer dizer, eu sou amante de carboidratos um pouco demais às vezes, mas a comida italiana é onde está para mim.

Jason Clark (44:01): Cara, o meu provavelmente é asiático. Apenas asiáticos, muitos sabores asiáticos. Mas precisamos nos encontrar em algum lugar na Costa Amalfitana, sair e nos divertir.

Emily Heath (44:15): Vamos fazer isso.

Jason Clark (44:18): E última pergunta, qual seria o seu principal conselho para um CSO pela primeira vez?

Emily Heath (44:23): Oh, eu diria para pedir ajuda. Como falamos anteriormente, esta comunidade é incrível e há tantas pessoas dispostas e capazes de ajudá-lo em sua jornada. Queria ter pedido mais ajuda no começo e ter um pouco mais de humildade em saber que não tenho tudo resolvido. E esse é um grande erro que as pessoas que entram nesta carreira pensam é que precisam saber tudo, conhecer todas essas peças em movimento. É impossível fazer isso. Quero dizer, se precisarmos fazer engenharia reversa de malware, sou a pior pessoa do mundo para fazer isso, tenho pessoas muito inteligentes em minha equipe que podem fazer isso. Não tem como eu saber tudo. Então você pede ajuda, pede orientação. Há tantos líderes incríveis e dispostos nesta comunidade de CSO que se esforçarão para ajudá-lo em seu caminho, então não tenha medo de pedir ajuda.

Jason Clark (45:17): Adorei, é incrível. Então olhe, isso é todo o tempo que temos. Emily, isso tem sido incrível. E eu amo todas as conversas que temos e sinto que poderíamos ter passado quatro horas facilmente. Antes de deixar você ir, se as pessoas quiserem pedir ajuda, se quiserem se envolver com você para alguma orientação ou o que quer que seja, qual é a melhor maneira de se envolver com você?

Emily Heath (45:44): Sim, me mande um ping no LinkedIn é a maneira mais fácil. É a maneira mais rápida e fácil. Já estou envolvido em muitas redes e sou mentor e treinador de muitas pessoas, como sei que você também, Jason. Você dedica muito do seu tempo a esta comunidade também. E embora não possamos receber 100 pessoas, o que eu amo é que se você tem uma avenida e um lugar onde pode ir e perguntar, ei, estou lutando com isso, o que você fez em essa situação? A propósito, faço isso o tempo todo com as OSCs. Se há algo com o qual estou lutando, faço a mesma coisa, estendo a mão para os amigos e digo, olha, isso é algo com o qual estou realmente lutando, como você fez isso? Então, eu diria para entrar em contato comigo no LinkedIn, me enviar um ping no Twitter. Muitos de vocês já têm meu endereço de e-mail e meu número de celular. Mas sim, estou aqui pela comunidade e também quero agradecer a comunidade por estar lá por mim também.

Jason Clark (46:36): Perfeito. Bem, obrigado e obrigado a todos por se juntarem a nós.

Emily Heath (46:40): Obrigada, Jason.

Patrocinador (46:43): O podcast Security Visionaries é desenvolvido pela equipe da Netskope. Procurando a plataforma de segurança em nuvem certa para permitir sua jornada de transformação digital? O Netskope Security Cloud ajuda você a conectar usuários com segurança e rapidez diretamente à Internet de qualquer dispositivo para qualquer aplicativo. Saiba mais em Netskope.com.

Produtor (47:04): Obrigado por ouvir Security Visionaries, reserve um momento para avaliar e avaliar o programa e compartilhá-lo com alguém que você conhece. Fique atento aos novos episódios lançados a cada duas semanas e nos vemos no próximo episódio.