Gary Harbison: Direi che più di ogni altra cosa, penso che la gente guardi alla sicurezza come esistiamo per fermare le cose. E sì, vogliamo fermare attacchi e simili, ma in modo simile a come avere i freni su un'auto ti permette di andare più veloce, avere un buon team di sicurezza che valuta e bilancia i rischi e propone soluzioni che ti permettano di assumere i rischi giusti in modo responsabile, può effettivamente aiutare l'azienda a muoversi più velocemente e a raggiungere gli obiettivi aziendali. Quindi, vedendo la cosa come se fossimo qui per dire no o fermare le cose, siamo qui per aiutare a trovare un modo per dire sì in modo responsabile, e questo può effettivamente aiutare l'azienda a muoversi più velocemente.
Produttore: Ciao e benvenuti a Security Visionaries ospitato da Jason Clark, CSO di Netskope. Avete appena sentito l'ospite di oggi, Gary Harbison, vicepresidente e direttore globale della sicurezza informatica di Bayer. Raggiungere il nirvana della sicurezza non è un'impresa facile. Il panorama della sicurezza è in continuo cambiamento, soprattutto ora che con il cloud i dati possono essere accessibili praticamente da qualsiasi luogo. In un giorno qualsiasi tu e la tua squadra potete essere sull'orlo della tranquillità e del prossimo caos totale. Ma allo stesso modo in cui avere i freni su un'auto ti permette di andare più veloce, i team di sicurezza possono aiutare le aziende a crescere. Il nirvana si raggiunge quando i team di sicurezza possono valutare, bilanciare i rischi e proporre soluzioni che permettano alle aziende di assumersi il rischio giusto in modo responsabile. Questo permette alle aziende di muoversi in modo più fluido, veloce e di raggiungere i loro obiettivi di business desiderati, e questo include, come dice così eloquentemente Gary, la possibilità di avere dati di sicurezza monitorati, ovunque vadano. Prima di entrare nell'intervista di Gary, ecco una breve parola dal nostro sponsor.
Sponsor: Il podcast Security Visionaries è gestito dal team di Netskope. Netskope è il leader SASE, offrendo tutto ciò di cui hai bisogno per offrire un'esperienza utente rapida, data e cloud smart, alla velocità del business di oggi. Scopri di più su N-E-T-S-K-O-P-E.com.
Produttore: Senza ulteriori indugi, vi invitiamo a godervi il quinto episodio di Security Visionaries con Gary Harbison, vicepresidente e chief chief security globale di Bayer, e il vostro conduttore, Jason Clark.
Jason Clark: Benvenuti a Security Visionaries. Sono il vostro conduttore, Jason Clark. Chief strategy and security officer presso Netskope. Oggi sono con me un ospite e amico molto speciale, Gary Harbison. Gary, come stai?
Gary Harbison: Stai andando bene, Jason. Come stai?
Jason Clark: Stai andando alla grande, amico. Super fantastico. Sto godendomi il bel tempo autunnale che abbiamo entrambi qui a St. Louis oggi. In realtà, forse avremmo potuto farlo anche di persona. È stata una buona idea.
Gary Harbison: Molto vero, questo è un buon momento per essere a St. Louis in autunno.
Jason Clark: Sì. E un'altra cosa quando ci penso è che forse avremmo dovuto farlo come happy hour e aver bevuto una birra o un bourbon insieme nello stesso momento. Ma pazienza, lo faremo. Lo faremo la prossima volta qui.
Gary Harbison: La prossima volta, sì.
Jason Clark: Quindi Gary, ci conosciamo da molto tempo e ho fatto molte cose interessanti, di cui parleremo insieme qui, ma cominciamo dall'inizio. Come sei entrato nella sicurezza? Qual è stato il tuo primo lavoro?
Gary Harbison: Bella domanda. Quando andavo al junior college, credo avessi 19 anni e ottenni un ruolo in una base dell'Aeronautica vicino proprio dall'altra parte del fiume rispetto a St. Louis. All'epoca ero ingegnere di rete e telecomunicazioni e dalla sede centrale che c'erano New firewall da installare e sono venuti dal team di rete e hanno trovato due di noi che conoscevano Unix e reti, e quei dati sono diventati nostri da installare e possedere in futuro. Questa è stata la mia prima introduzione nella sicurezza, installando e gestendo i loro firewall, poi si è diffuso nell'analisi dei sistemi operativi server e altre cose, e da lì è continuato ad espandersi. Non era qualcosa che avessi mai davvero pianificato, ma è andata bene.
Jason Clark: Ok. Penso che questo sia probabilmente per chiunque di noi che lo faccia da oltre vent'anni, penso che il firewall sia stato probabilmente la prima richiesta e il primo modo in cui siamo entrati nel team di sicurezza. Per caso, qual era la marca di quei firewall allora?
Gary Harbison: Erano i firewall Sidewinder.
Jason Clark: Sì. Non ne vedevo uno di quelli da molto, molto tempo.
Gary Harbison: È passato un po' di tempo, sì. Sono stati acquisiti. E penso che alla fine sia stato dismesso alla fine.
Jason Clark: Ora raccontaci un po' del suo ruolo come CISO per Bayer.
Gary Harbison: Al momento sono il chief information security officer globale di Bayer. Quindi responsabile di tutte le attività di cybersecurity in tutte le nostre divisioni e funzioni a livello globale. Bayer ha più aree di business. Abbiamo una divisione di scienza delle colture focalizzata sull'agricoltura, sul promuovere i progressi e continuare a migliorare l'approvvigionamento alimentare e il cibo al mondo. Abbiamo una divisione farmaceutica che lavora su trattamenti e farmaci di nuova generazione per aiutare tutti a migliorare la salute. E poi abbiamo una divisione salute per i consumatori che vende sempre più marchi da banco, anche nel settore sanitario.
Jason Clark: Quindi ti faccio un sacco di domande e andremo avanti e indietro. Ancora una volta, riattivalo contro di me in qualsiasi momento. Ma la prima domanda per te è: cosa pensi che ottenga la gente che si occupa della sicurezza?
Jason Clark: Giusto. Nel business o in altre parti dell'IT. Cosa sbagliano sulla sicurezza?
Gary Harbison: Direi che più di ogni altra cosa, penso che la gente guardi alla sicurezza come esistiamo per fermare le cose. E sì, vogliamo fermare attacchi e simili, ma in modo simile a come avere i freni su un'auto ti permette di andare più veloce, avere un buon team di sicurezza capace di valutare e bilanciare i rischi e di proporre soluzioni che ti permettano di assumere i rischi giusti in modo responsabile, può effettivamente aiutare l'azienda a muoversi più velocemente e a raggiungere gli obiettivi aziendali. Quindi, vedendo la cosa come se fossimo qui per dire no o fermare le cose, siamo qui per aiutarci a trovare un modo responsabile per dire sì e che possa aiutare l'azienda a muoversi più velocemente.
Jason Clark: Stavo facendo qualcosa di questo con Dustin Wilcox, il CISO di Anthem, e mi è piaciuto il modo in cui l'ha detto, ha detto che qualcuno nel nostro panel ha detto: "Dovremmo sempre cercare di eliminare l'attrito ovunque possiamo e dovrebbe essere senza attriti e insicuro." E lui ha detto: "No. In realtà, ci serve la giusta quantità di attrito. L'attrito è importante in certi momenti." A destra? Puoi dire di sì, ma dimmi il motivo. Digita la frase per cui devi caricare questi dati qui e sii semplicemente coinvolgente dove dicono: "Sai una cosa? In realtà non ne ho bisogno, o sì, ho un buon motivo." A destra?
Gary Harbison: Assolutamente. Penso che ovviamente tu voglia che i controlli e simili siano il più semplici possibile per gli utenti finali, ma la parola che ho spesso usato è tensione. Vuoi una tensione sana nel sistema che abbia i pesi e gli equilibri, ma sono d'accordo con lui il più possibile rimuovendo l'attrito che influisce sulla capacità di dipendenti e utenti di portare a termine il proprio lavoro ogni giorno.
Jason Clark: Qual è, secondo te, il rischio in più rapida crescita nella cybersecurity che la maggior parte delle persone non si rende conto? Quindi i rischi che si stanno avvicinando rapidamente a loro.
Gary Harbison: Sì. Vorrei sottolineare in generale che penso che lo spazio complessivo della sicurezza e governance dei dati stia semplicemente evolvendo molto rapidamente. E quindi non si tratta solo di pensare a proteggere i dati, i dati sono diventati così portatili. Possiamo portare in tasca terabyte di dati e, quando entrambi siamo entrati nella sicurezza, probabilmente avrebbero riempito i data center. Quindi lo storage, la portabilità dei dati, possono essere spostati e spostati così rapidamente, vengono condivisi con partner e terze parti, ospitati in ambienti cloud. Quindi capire come proteggere i dati e dove vengono trasferiti.
Ma l'altra parte che continua a cambiare ed evolversi sono le leggi e i regolamenti a livello globale su come i dati devono essere protetti, dove devono essere conservati, da dove possono essere accessibili. Quindi, soprattutto per un'azienda che opera a livello globale in diversi paesi, regioni e giurisdizioni, diventa complicato capire come proteggere i dati, dove conservarli e quale accesso fornire ai dati. Quindi penso che le aziende si siano concentrate su questo e continuino a lavorarci, ma le normative, le leggi e le minacce stanno cambiando così rapidamente che è uno spazio in continua evoluzione.
Jason Clark: Sì. Quindi, fondamentalmente, lo riassumeresti perché hai iniziato con la governance e il rischio intorno, ma poi ovviamente... Lo chiameresti semplicemente rischio di dati? È semplicemente il rischio in più rapida crescita che è il rischio dei loro dati?
Gary Harbison: Direi di sì.
Jason Clark: Sì.
Gary Harbison: Penso che sia un buon modo per dirlo.
Jason Clark: I motivi per cui hanno perso visibilità sarebbero solo una ripetizione, giusto? Primo, è ovunque ed è molto portatile. È nel cloud, è su mobile. (cantando)
Quindi, saltando a questo punto, diresti che quello è il punto in cui probabilmente serve innovazione dal punto di vista della cybersecurity.
Gary Harbison: Sono d'accordo, sì. Stiamo studiando tecnologie per rilevare attacchi, monitorare i nostri ambienti, costruire la giusta sicurezza attorno agli ambienti. In passato, ci siamo concentrati molto su infrastrutture, server, dispositivi e simili. Dove andrà il futuro, tutto andrà nel cloud e dipendenti e utenti lavoreranno ovunque e magari a volte da diversi tipi di dispositivi. Quindi penso che sia necessario continuare a innovare su come proteggere i dati e spostare i controlli più vicino ai dati, senza affidarci alla sicurezza dei server, dei dispositivi o degli ambienti cloud in cui si trovano, ma di come proteggere i dati ovunque vadano e dove siano archiviati, avendo la giusta rilevazione e visibilità riguardo al movimento dei dati e quali dati vengono spostati dove, e anche la comprensione e la capacità di sovrapporre questi requisiti su come i dati vengono memorizzati, dove e come sono protetti.
E ci sono capacità che esistono lì, ma oggi spesso sono frammentate. Più possiamo automatizzare tutto questo, farlo in tempo reale e avere una buona visibilità su dove sono archiviati i nostri dati, come sono protetti, chi vi accede e se siamo conformi a essi in modo automatizzato e in tempo reale. Sarà davvero lì che dobbiamo arrivare e penso che ci sia ancora molta innovazione possibile e necessaria per arrivarci.
Jason Clark: Hai detto che la parola in tempo reale è molto importante perché sostengo che la maggior parte delle persone guarda ancora il rischio come una volta sola. Faccio venire i Big Four a fare una valutazione del rischio. Stavo appena parlando con una grande istituzione finanziaria e il vice CISO diceva che stanno pianificando la loro valutazione del rischio Office 365 una volta all'anno. Io dico: "Ma domani cambia a seconda di quali New vulnerabilità o di quali dati New ci sono. Io mi chiedo: "Perché dovresti farlo almeno una volta all'anno?" Come avete fatto a condurre valutazioni del rischio in tempo reale del vostro cloud o infrastruttura
Gary Harbison: Sì. Penso che, come tutti, stiamo ancora cercando di capire alcune di queste cose. Penso che, come hai detto, tradizionalmente consideriamo le valutazioni del rischio come un momento nel tempo. Magari fai una valutazione annuale, oppure, se stai valutando una terza parte, la rivaluti periodicamente in base al rischio. Ma ottenere una valutazione del rischio più in tempo reale sia davvero il punto a cui tutti cercano di arrivare. C'è più automazione e più dati che possiamo trasmettere dai dispositivi, ottenendo visibilità in tempo reale. Ma penso che l'importanza sia prendere la visibilità e comprendere la sicurezza dell'ambiente cloud o dei carichi di lavoro su cui si trovano o delle piattaforme in cui si trovano i dati, e poter sovrapporre la visibilità automatizzata che abbiamo al contesto aziendale per comprendere l'importanza della gravità di quell'asset. Penso che questo ci aiuti a fare una valutazione più in tempo reale del rischio e a comprendere come lo gestiamo nel nostro ambiente.
Jason Clark: Sì, sì. D'accordo. Penso che tu abbia appena descritto uno dei miei argomenti preferiti, che è la SASE, giusto? Secure Access Services Edge, e lo scopo di tutto ciò è spostare il perimetro di sicurezza e unire tutte quelle tecnologie più vecchie in un unico punto di ispezione che possa essere fluido e adatto a te. Hai detto una volta, in realtà, che l'hai disegnata sulla mia lavagna e non dimenticherò mai quella frase. E hai detto che per me il Nirvana è quando i controlli di sicurezza seguono i miei dati ovunque vadano. E penso che la SASE sia un elemento di questo. Qual è la tua opinione sul vantaggio dei servizi sicuri e su cosa sta facendo Gartner nel creare questa MQ e il suo impatto, quanto velocemente pensi che sarà adottato là fuori in azienda dai tuoi colleghi? E come parte di ciò, come fanno i team di sicurezza e di rete a convergere e unirsi per eseguire questa attività?
Gary Harbison: Certo. Quindi penso che il movimento verso il modello SASE sia stato essenzialmente un po' nello stesso modo in cui stavamo discutendo il concetto, la filosofia del castello e dei fossati, dove abbiamo un perimetro intorno all'esterno della nostra rete, come il muro intorno a un castello e le cose all'interno, sono buone, Le cose che sono fuori sono minacce e dobbiamo difendere le mura. Questo ci sta davvero superando e in realtà è passato da un po' di tempo. Quindi il concetto di capire che avremo dati ospitati in molti ambienti, più piattaforme SaaS, più infrastrutture come servizio, avremo dipendenti che lavorano da ogni parte, terze parti che avranno bisogno di accesso ai dati per collaborare e guidare l'innovazione, e ci sposteremo nel cloud.
Il futuro del rimanere on-premise probabilmente avverrà in certi scenari unici o in cui potresti avere operazioni locali, come in un sito produttivo. Ma altrimenti, molto di questo andrà al cloud e per farlo bene, dovremo essere in grado di proteggere ovunque e accedere da qualsiasi parte. Allora questo richiede il concetto di avere ciò che prima era il tuo perimetro nel cloud. Poi deve poter posizionarsi virtualmente davanti a ciò che stai proteggendo, ovunque si trovi, e deve anche stare davanti all'accesso dei tuoi dipendenti o dei tuoi utenti, proteggerli e anche controllare il loro accesso agli asset che cercano di accedere.
Quindi sento davvero che sarà più un modello futuro e penso che la maggior parte delle aziende almeno lo stia considerando o considerando. La tempistica di quanto rapidamente la adottano o adottano quell'architettura nel complesso e quella implementazione probabilmente dipendono dal tipo di business che sanno, dalle loro esigenze, da dove operano, da quale settore si trovano, dai requisiti normativi che hanno. Quindi ognuno può implementarlo a un ritmo diverso, ma non ho parlato con molte aziende che non lo stiano almeno valutando e costruendo una strategia attorno ad esso.
Jason Clark: Non è forse un fattore che alla fine si sposta velocemente verso il cloud, quanto velocemente adottano il SaaS, giusto? Perché a quel punto sei davvero al limite. C'è un punto di svolta, c'è una percentuale di app e dati nel cloud o utenti mobili non presenti nella mia rete, dove a un certo punto non ho scelta.
Gary Harbison: Assolutamente. La velocità sarà determinata dall'azienda. E come molte cose, cerco sempre di relazionare che quando guardiamo una strategia o una roadmap di sicurezza, queste cose non ci sono solo perché un team di sicurezza pensa che la tecnologia sia più interessante, vogliamo fare qualcosa. I tuoi progetti costruisci attorno a tre tipi di driver. Ci sono i fattori di business che richiedono implementare qualcosa per permettere all'azienda di muoversi rapidamente e raggiungere i propri obiettivi. Dobbiamo implementare qualcosa che affronti un insieme di rischi che abbiamo all'interno dell'azienda, oppure qualcosa guidato dalle minacce e dall'evoluzione del panorama delle minacce. Quindi la tempistica è sempre bilanciata con tre tipi di driver su quanto velocemente ci muoviamo. Quindi, per quanto hai detto, Jason, penso assolutamente che molto dipenda da quanto velocemente il business sta passando al cloud e dobbiamo assicurarci di allineare queste capacità affinché siano pronte a permettere al business di andare avanti.
Sulla seconda parte della tua domanda sui cambiamenti organizzativi, penso che i team di rete e quelli di sicurezza abbiano sempre lavorato a stretto contatto e, nel tempo, ci sono stati diversi modelli su dove si collocano alcuni controlli infrastrutturali, se sono nella rete o nel team di sicurezza, ma c'è sempre stata quella partnership, indipendentemente da come sia stata funzionata. E quello che vedo in futuro è che la rete cambierà per i team di rete, ma non credo che il concetto di accesso su rete e pacchetti che scorrono sul cavo non sparirà. Ci sarà sempre bisogno di talenti di rete, ma questi talenti devono evolversi.
Se qualcuno si vede come una persona di router o switch e sta costruendo quelle reti, questo cambierà significativamente man mano che si vedono reti definite da software e le aziende stanno praticamente andando ad Amazon, Google o AWS... Mi dispiace, Microsoft, e stanno creando data center nel cloud. Quindi i team di rete devono capire che in futuro le reti saranno costruite più dal codice che tramite dispositivi fisicamente collegati. Quindi la necessità di talento e competenze di rete sarà sempre presente, ma deve essere riqualificata ed evoluta per capire come garantire l'erogazione dei servizi e della connettività in modo più moderno in futuro. E penso che ci sarà sempre quella stretta cooperazione tra sicurezza e reti.
Jason Clark: Allora, va bene. Lo rigioco. Quindi ci sono persone che sono iper-focalizzate sulla LAN e quindi avrai sempre materiale on-prem. A destra. Quindi vedo che probabilmente queste saranno più una funzione dell'ingegneria desktop a un certo punto, ma poi ci sono i team di routing che cercano di portare il tuo utente a un'app. Tutto ruota attorno all'accesso. Il loro compito è portare gli utenti a quei dati, ma man mano che quei dati, man mano che quell'utente è sempre più fuori rete usando internet, e quei dati, cosa più importante, non si trovano più nel tuo data center, sono nel cloud, nelle app SaaS, sono in 365. Mentre quel pendolo si sposta e diciamo che il 70% dei tuoi dati, giusto? Quindi ora il 70% delle volte usi internet dove avviene il networking, ma in sostanza esternalizzi il networking a chi gestisce quella rete e ci sono comunque controlli di cui devi preoccuparti.
Quindi quel pensiero di rete, non finisce per finire nel team di sicurezza che possiede quel punto di ispezione perché devi comunque avere quel punto di ispezione per la sicurezza, oppure va all'organizzazione cloud infrastructure a cui stai esternalizzando o al team dell'app? Quindi credo che quello che sto dicendo è: non c'è un punto di spostamento del pendolo dove il networking... In passato ho avuto un team di networking piuttosto numeroso quando ero a Emerson che aveva 2.000 sedi. Ma dov'è quel punto in cui, se oggi fossi un networker, se tuo figlio fosse un ingegnere di rete, dove lo consiglieresti di iniziare a riflettere e imparare e quale organizzazione potrebbe iniziare a considerare di unirsi man mano che inizia ad entrare in altre organizzazioni?
Gary Harbison: Ora, buona domanda e penso che gli ingegneri di reti come li conoscevamo in passato cambieranno significativamente, come ho detto, ma a seconda del tipo di azienda che sei, se sei un'azienda completamente basata sul cloud e i tuoi siti on-premise sono per lo più edifici per uffici dove lavorano lavoratori della conoscenza. Sì, ci sarà pochissimo bisogno di networking. Puoi avere la connettività locale impostata nel tuo edificio, connetterti al cloud e avere la sicurezza basata sul cloud. Per le aziende con numerosi siti globali, sedi produttive, laboratori e altri tipi di sedi, probabilmente avrai comunque una WAN globale che collega parte di tutto questo. Quindi non credo che l'esperienza di rete sparisca mai e devi ancora riuscire a unire quell'ambiente locale ai tuoi ambienti cloud, SD-WAN inizia a entrare.
Quindi c'è bisogno di competenze di rete. Come hai detto, dove va, molto dipende dal tipo di azienda, dalla struttura dell'IT. In un'azienda che è per lo più tecnologica, potrebbe essere semplicemente integrata nei team DevOps, giusto? In un'azienda che forse ha attività di produzione più tradizionali, potresti comunque vedere un team di networking che deve svolgere parte di quel lavoro ma deve collaborare molto più strettamente con altri team rispetto al passato. Quindi non so se ci sarà una sola risposta. Penso che, come hai detto, potrebbe finire in molte altre squadre.
Jason Clark: Cosa diresti a tuo figlio chiedendoti questo consiglio su cosa imparare?
Gary Harbison: Incoraggerei sempre chiunque si dedichi all'IT ad ampliare il più possibile la propria comprensione di base degli elementi fondamentali dell'IT. E questa è una cosa che ho visto che abbiamo perso nel settore negli ultimi 10-15 anni: abbiamo spinto le persone a specializzarsi molto. Quando si arriva a risolvere un problema molto complesso, non sono rimaste molte persone che capiscono come tutto si incastra e funziona insieme. Quindi li incoraggerei a imparare quante più aree diverse possibile possibile e poi a capire in quale squadra vogliono entrare.
Jason Clark: Ok. Con questo, tu ed io abbiamo passato molto tempo insieme cercando di aiutare il settore fin dall'innovazione. Tu ed io lavoriamo insieme su un sacco di startup e venture ch. Ma insieme abbiamo anche creato la Security Advisor Alliance focalizzata sul cercare di colmare il divario di competenze e quello di diversità nella sicurezza. Magari parla un po' del perché, del perché questo è importante per te e del perché fai parte di quell'organizzazione.
Gary Harbison: Assolutamente. Come penso che chiunque costruisca in un'organizzazione di sicurezza o ne gestisce veda c'è un enorme divario di talenti. C'è un divario di talento nel numero complessivo. C'è un divario di talento nella profondità delle competenze. C'è un divario di talento nella diversità in generale, che hai menzionato. E parte di questo deriva dalla prima domanda che mi hai fatto su come molte persone siano entrate nella sicurezza all'inizio. Sei entrato perché hai trovato un ruolo da qualche parte dove l'hai imparato sul campo. Molte persone provenivano dal governo, dall'esercito, forse dai servizi finanziari, che erano un po' avanti su alcuni temi di sicurezza nei primi tempi, ma non c'erano molti o nessuno, nemmeno all'inizio, programmi universitari per imparare la sicurezza. Quindi bisognava davvero trovare un lavoro per impararla, e questo non è cresciuto quando l'esplosione e la domanda continuavano ad aumentare anno dopo anno.
E ora stiamo cercando di arrivarci, molte università stanno guidando programmi che continuano a evolversi, ma come settore, penso che dobbiamo davvero guardare a come aiutare anche a creare la prossima generazione di operatori della sicurezza per colmare questa lacuna ed è per questo che fin dai primi giorni siamo sempre stati così appassionati della Security Advisor Alliance dicendo, Come possiamo colmare questo divario? Come arriviamo a raggiungere i bambini delle scuole medie fino alle superiori e li entusiasmiamo per la sicurezza informatica come possibile percorso professionale, proteggendoli, aiutandoli a capire come proteggersi perché internet è un posto pericoloso per i bambini più piccoli. Quindi aumentiamo la loro consapevolezza permettendo loro di proteggersi, ma allo stesso tempo, di stimolarli, per un campo in cui potrebbero entrare in futuro.
Penso che aiutare i professionisti esistenti a continuare a crescere come leader. Abbiamo bisogno che la prossima generazione di leader si faccia avanti con idee innovative New e proponga New modi per affrontare i problemi che stiamo affrontando. E poi il terzo pezzo, probabilmente uno dei più grandi, è il divario di diversità. Per un'industria che fatica a trovare talenti, non stiamo attingendo a enormi porzioni della popolazione che potrebbero portare idee New in modo New e aiutarci davvero a far avanzare le cose. Quindi penso che dobbiamo davvero riflettere su come affrontare l'inclusione e la diversità complessive all'interno della cybersecurity. E se riusciremo a farlo, vedremo un miglioramento non solo nei numeri, ma complessivamente nella diversità di pensiero e creatività all'interno del settore in generale. Quindi penso che sia qualcosa a cui tutti noi, come professionisti e leader della sicurezza, dovremmo riflettere: come aiutare il settore nel suo complesso.
Jason Clark: Sì. E grazie per tutto quello che hai fatto per l'industria. Hai messo molta energia ovviamente in quello di cui abbiamo appena parlato, ma hai anche creato questo programma di sicurezza, il master con Lamont a WashU, giusto? Quindi forse come è comparsa quell'opportunità e c'è qualcos'altro che vuoi dire su dove dovrebbe andare e cosa dovrebbero fare le scuole superiori?
Gary Harbison: Certo. Quindi penso che l'opportunità a WashU si sia presentata, stavano creando il programma di master in cybersecurity. E mi è piaciuto molto il loro approccio, che cercavano operatori del settore che potessero davvero fare da docente a contratto, così che i loro studenti potessero ricevere un insegnamento reale, di tipo reale, esempi e contenuti da professionisti che ogni giorno vi sono integrati per costruire questa nuova generazione di operatori della sicurezza. Quindi penso che sia stato fantastico. Ho parlato inizialmente con loro, con me e Lamont, e lavorando anche con Eric Kruse. In realtà era uno studente di una delle nostre classi e poi è diventato co-docente a contratto con noi nel corso di sicurezza cloud. Mi piace molto cercare di aiutare gli studenti universitari che stanno emergendo a imparare di più su questo e alcuni che sono già nella loro professione desiderano svilupparsi di più.
Quindi è molto gratificante aiutare gli altri a imparare, crescere e svilupparli, ma allo stesso tempo, aiutare, si spera, a costruire qualcosa che sia ripetibile all'interno del settore. E così questi altri programmi iniziano a moltiplicarsi e ad aiutarci a colmare il divario di talenti. Quindi penso che sia qualcosa di molto gratificante e penso che il prossimo passo sia guardare ogni estremità di quella pipeline. Quindi, A, come possiamo aiutare le persone al liceo a capire come entrare in questi programmi? Ricevo molte domande da persone che conosco solo in zona, dato che alcuni di questi studenti stanno appena usciti dal liceo, non sanno davvero da dove o da dove cominciare. Quindi, come possiamo aiutarli a inserirsi nel pipeline? Poi come vediamo come colmare le persone che escono da questi programmi e prepararle a assumere un ruolo all'interno di queste aziende e iniziare la loro carriera? Quindi penso che il settore educativo complessivo stia facendo un lavoro migliore nel creare i programmi, ma dobbiamo affrontare ogni estremità del percorso per iniziare davvero a affrontare il problema complessivo.
Jason Clark: Lo adoro. Perfetto. Quindi è divertente, Gary. Siamo qui e sento le tue email arrivare su Outlook e ovviamente è un flusso costante di informazioni che arriva verso di te e il tuo lavoro è super stressante. Penso che il lavoro da CISO sia probabilmente uno dei più difficili di livello C per molti motivi, ma come si fa a stare al passo? Qual è il segreto per scalare? Come fai a stare aggiornato sulle notizie, i rapporti di intelligence, il cambiamento tecnologico, le innovazioni New , comprendere quali sono i tuoi rischi e cosa fa la tua azienda allo stesso tempo, tutto questo. Hai un segreto su come restare a galla con tutto questo?
Gary Harbison: Bella domanda ed è questa la sfida. C'è così tanta informazione là fuori che consumarle in modo significativo è sempre difficile. Cerco di identificare certe fonti di notizie e aggregazioni, che mi danno un riassunto dei titoli e poi cerco di concentrarmi sugli argomenti su cui voglio aggiornarmi o restare al passo di tutti. Quindi qualsiasi cosa che possa aggregare alcune di queste notizie o dati e aggiornamenti esterni è sempre utile. Penso che il secondo aspetto sia l'uso della tua rete. Quindi parlare con i tuoi colleghi sia esterni che internamente e ascoltarli, sapere quali sono le cose importanti per loro e ascoltare davvero ciò che vedono là fuori. Penso che sia sempre un secondo modo per tenere il polso di ciò che sta succedendo. E poi il terzo aspetto è avere un buon team intorno a te, il tuo team è collegato e sanno cosa devi sapere per tenerti aggiornato. Quindi la rete, il team e poi capire come aggregare le informazioni in argomenti ad alta priorità significativi su cui vuoi aggiornarti.
Jason Clark: Penso che uno dei tuoi segreti, Gary, e i buoni CISO siano a fare questo, giusto? Assumi altri CISO e hai assunto persone che erano CISO in altri posti o molti più che potrebbero essere CISO ovunque e questo ti dà un vantaggio perché conoscono il tuo lavoro. Quindi non si concentrano solo sul loro silo.
Gary Harbison: Completamente d'accordo. Avere un buon team è sempre il primo elemento del successo e circondarsi di persone molto competenti, molto brave, con alti gradi di responsabilità e a volte anche brave in cose che tu non sei. Capire le tue lacune e avere intorno a te persone brave in altre cose o che possono mettere in discussione il tuo modo di pensare è sempre positivo.
Jason Clark: Sì. Quindi, se potessi tornare a essere il tuo io più giovane quando sei diventato CISO, cosa diresti al marchio New CISO, Gary.
Gary Harbison: All'inizio è entrato in questo, ricordo di aver assunto il primo ruolo, stavo davvero ricostruendo il team, avevo diversi ruoli di leadership aperti, altri ruoli chiave di leader aperti nell'organizzazione. La nostra attività stava attraversando diversi cambiamenti e c'era già così tanta emozione. C'era davvero pochissima stabilità e tutto stava cambiando. C'era molto lavoro in cui cercavo di ricoprire più ruoli contemporaneamente ed è stato un inizio stressante. Quindi penso che col tempo impari a dare priorità. E per esempio, lì, alla fine ho capito che dovevo fare un passo indietro e concentrarmi sul coprire alcuni ruoli perché non era sostenibile continuare a coprire tre, quattro o cinque altri ruoli aperti oltre ai miei. Quindi ho dovuto delegare parte di ciò che succedeva a persone che potevano mantenere tutto attivo o occuparsi un po' degli incendi mentre io uscivo e assumevo le persone che venissero a prendersi queste responsabilità.
Quindi dare priorità alle attività giuste e saper farlo in mezzo al caos e al cambiamento. Quindi penso che sia qualcosa che ho imparato col tempo. E penso che il secondo aspettarsi un cambiamento costante e non ci sarà sempre uno status quo. Il mondo sta cambiando rapidamente, la tecnologia si sta evolvendo rapidamente. Le aziende stanno attraversando trasformazioni digitali. Il talento complessivo, la guerra contro il talento e il cambiamento delle persone stanno avvenendo. Quindi nulla rimane mai davvero statico. Quindi ogni giorno devi essere pronto per New sfide, saper adattarti e continuare ad andare avanti. E quindi rendersi conto che questo è il normale, che non esiste davvero un normale, il normale è il cambiamento, penso che aiuti a mettere tutto in prospettiva.
Jason Clark: Con questo cambiamento, facciamo un salto al 2030. (cantando)
Tra nove anni, qual è secondo te il problema più grande che la sicurezza dovrà affrontare, andando avanti veloce nel futuro? Ovviamente sta succedendo ora. Tutto quello che sappiamo sta succedendo ora, ma qual è la cosa di cui nessuno parla ora che sarà un problema in futuro?
Gary Harbison: Penso, e sta già accadendo in qualche modo, ma penso che in futuro, una delle cose che noi operatori della sicurezza stiamo appena iniziando a comprendere appieno, ma penso che i consumatori, noi come consumatori nella nostra vita personale, capiremo di più sono aree a cui non abbiamo mai pensato, Essere influenzati dalla cybersicurezza nel mondo fisico saranno sempre più influenzati in futuro. Abbiamo già elettrodomestici connessi e con un indirizzo IP su internet e stanno tornando a sfondare, permettendoli di gestirli centralmente. La sicurezza delle nostre case, dei nostri veicoli e delle nostre auto, la sicurezza della guida, sempre più trasporto pubblico e infrastrutture critiche.
Man mano che il digitale entra sempre più in campo della nostra vita fisica e questi aspetti possono essere influenzati dalla cybersecurity, penso che sia qualcosa che nessuno ha ancora appieno compreso. È un impatto molto, molto grande quando si vede una violazione di una grande violazione di un'azienda e forse un impatto sui dati personali e su altre cose. Ma quando inizieremo a entrare in scenari di perdita di vite legati agli attacchi di cybersecurity, penso che questo continuerà sicuramente a cambiare il modo in cui guardiamo al rischio e come affrontiamo la cybersecurity. Jason Clark: Sì. Quindi, c'è qualcosa che, pensando a questo problema, tutti i programmi di sicurezza o i CISO dovrebbero considerare o almeno investire anche solo potenzialmente per anticiparlo?
Gary Harbison: Penso che una delle cose in cui investire sia assicurarsi di avere una strategia orientata al futuro e che quella strategia non sia qualcosa di simile alla nostra conversazione precedente, che costruisci una volta e la metti da parte e la rivedi annualmente mentre guardi e prepari i tuoi progetti per l'anno prossimo, costruisci una roadmap triennale e credi di restare fermo proprio perché la realtà Probabilmente non lo farai e dovrai rivalutare le priorità ogni trimestre. Devi sempre essere in grado di tenere gli occhi sugli orizzonti di ciò che sta per arrivare e poi essere preparato, non aspettare che sia proprio sulla tua porta e ora devi reagire. Non so se ci sia una tecnologia specifica o qualcosa per cui ti prepari, ma conta come operi e mantieni la tua strategia, come continui a valutare e fare aggiustamenti in base ai cambiamenti che ti circondano.
Jason Clark: Penso che sia perfetto. Fondamentalmente, stai dicendo di essere strategici nella pianificazione a lungo termine mentre allo stesso tempo sappi che cambierà, che i venti cambieranno. Guardando all'orizzonte, devi adattarti e cambiare tattica ma restare fedele a quella vera stella polare, qualunque sia quella destinazione, quando conosci le questioni che emergeranno in futuro. Quindi ha senso. Quindi le ultime domande sono una risposta veloce, giusto? (cantando)
Quindi la prima domanda è se qual è un talento o una competenza che non è nel tuo curriculum. Potrebbe essere personale o qualsiasi altra cosa.
Gary Harbison: Direi che una cosa che penso mi abbia aiutato nella carriera, che ho sempre ricevuto feedback e revisioni di fine visione o da colleghi e altri, è la capacità di mantenere e mantenere l'equilibrio e guardare entrambi i lati di qualsiasi problema o questione o rischio, di riuscire a restare calmo anche in situazioni controverse o ad alta pressione e di essere in grado di smontare problemi complessi e capire Come iniziare ad andare avanti o a fornire soluzioni. Quindi penso di aver fatto affidamento su quelle competenze più magari soft skills quanto su competenze più tecniche.
Jason Clark: Quindi è super importante, giusto? Essere in grado di essere calmi con tutto ciò che succede quando ci sono molti incidenti, cercare di concentrarsi e davvero pensare e cercare chiaramente e non reagire. Quindi è un'abilità speciale. Quindi seconda domanda, qual è il tuo dominio preferito
Gary Harbison: Bella domanda. Penso che se guardo indietro al mio background più tecnico, lo spazio più entusiasmante che può ancora far scatenare l'entusiasmo e l'adrenalina è guardare allo spazio delle minacce e agli attacchi e a come continuiamo a affrontarli e a rispondervi. È stressante ma è emozionante ed è quella partita a scacchi che continua. Quindi devo dire che quando inizio a sentirmi richiamato nei dettagli, tendo a farlo lì perché è sempre stato interessante.
Jason Clark: Giusto. Ed è il nostro scopo, giusto? È difenderci da questo avversario crescente che innova ancora più velocemente di noi. E l'ultima domanda, se non fossi in sicurezza, cosa faresti?
Gary Harbison: È una grande domanda, non ne sono davvero sicuro. Uscendo dall'università, non ero davvero sicuro di cosa volessi fare. Era tutto, dal contabile al magari meccanico o elettricista, fino ai sistemi IT. E durante la mia carriera, sono stato fortunato che siano arrivate opportunità e le ho sempre valutate in base a cosa posso imparare da un'opportunità New e a cosa posso portare all'opportunità di continuare a migliorare le cose. Quindi non so esattamente cosa farei, ma penso che sarebbe qualcosa che avrebbe sempre una sfida New e un bel cambiamento. E penso che sia qualcosa che mi ha sempre attratto nella sicurezza, il fatto che nessun giorno è mai stato uguale a me. C'è sempre una sfida New e richiede sempre una prospettiva nuova ogni giorno.
Jason Clark: Beh, fantastico. Beh, è tutto il tempo che abbiamo a fare. Quindi Gary, è stato fantastico. So che avremmo potuto farlo per un'intera giornata e divertirci a scambiarci, soprattutto se avessimo bevuto una birra. E quindi è quello che faremo la prossima volta, ma grazie. C'è qualcosa che vuoi lasciare agli ascoltatori in chiusura?
Gary Harbison: No. Ringrazierei solo tutti coloro che passano ad ascoltare questo podcast. E grazie, Jason e il team, per avermi invitato oggi. Mi è piaciuto parlarne e non vedo l'ora di farlo davanti a una birra la prossima volta.
Jason Clark: Fantastico. Bene. Beh, buon weekend e goditi il tempo.
Gary Harbison: Grazie anche a te Jason. Stammi bene.
Sponsor: Il podcast Security Visionaries è gestito dal team di Netskope. Cerchi la giusta forma di piattaforma di sicurezza cloud per rendere possibile il tuo percorso di trasformazione digitale? Il Netskope Security Cloud ti aiuta a connettere gli utenti direttamente a internet in modo sicuro e rapido da qualsiasi dispositivo a qualsiasi applicazione. Scopri di più N-E-T-S-K-O-P-E.com.
Produttore: Grazie per aver ascoltato Security Visionaries. Prenditi un momento per valutare e recensire la serie e condividerla con qualcuno che conosci e che potrebbe apprezzare, restate sintonizzati per gli episodi che usciranno ogni due settimane e ci vediamo nel prossimo.
){kind=icon}
