Harvey Ewing: Quando dici che la sicurezza è uno sport di squadra, hai centrato nel segno. Questo è qualcosa che dobbiamo essere precisi con i nostri operatori, i nostri clinici, le persone che supportano il processo, davanti, centrali e posteriori, oltre ai nostri tecnologi. Ci concentriamo su tutto questo spettro. Non credo ci sia un modo migliore per dirlo oggi, che deve essere uno sport di squadra perché, come ben sai, il perimetro è praticamente sparito ai giorni nostri. Dobbiamo concentrarci dall'aspetto umano fino al livello più basso dello stack tecnologico che abbiamo.
Annunciatore 1: Ciao e benvenuti a Security Visionaries. Lavorare nel settore sanitario presenta molte sfide, ma i dati dei pazienti sono una priorità assoluta. Dai medici agli operatori e tecnici, quei dati devono rimanere sicuri e privati. Harvey Ewing, Chief Information Officer di R1 RCM, si assicura che tutti nella sua organizzazione agiscano come un firewall umano. Harvey vanta oltre 25 anni di esperienza in cybersecurity e governance del rischio e conformità. In R1 RCM, è responsabile della sicurezza, della consegna e del miglioramento della tecnologia aziendale. Il podcast Security Visionaries è gestito dal team di Netskope. Da Netskope, stiamo ridefinendo la sicurezza del cloud, dei dati e delle reti con una piattaforma che offre accesso ottimizzato e sicurezza zero trust per persone, dispositivi e dati ovunque si trovino. Per saperne di più su come Netskope aiuta i clienti a essere pronti a tutto nel loro percorso sfacciato, visita N-E-T-S-K-O-P-E.com. Godetevi questa intervista tra Harvey Ewing e il vostro conduttore Mike Anderson.
Mike Anderson: Benvenuti all'episodio di oggi di Security Visionaries. Sono il vostro conduttore, Mike Anderson. Sono il nostro Chief Digital and Information Officer presso Netskope. Oggi siamo con Harvey Ewing e Harvey ha una storia straordinaria perché ha iniziato la sua carriera come leader della sicurezza, fino a diventare CIO. Quindi, parlando del nostro tema, la sicurezza come sport di squadra, sento che Harvey sarebbe il miglior ospite per venire a parlarci di questo percorso. Allora, Harvey, come stai? Raccontaci un po' del tuo percorso e di quel percorso da, e di quel cambiamento, da CISO a CIO.
Harvey Ewing: Assolutamente. Tutto bene, Mike. È un piacere essere qui. Grazie per avermi invitato. Storia molto interessante. In realtà ho iniziato molti anni fa nel settore business, quindi ho una laurea in economia. A metà degli anni Novanta questa situazione si è trasformata molto rapidamente in sicurezza informatica, che è qualcosa per cui ho una passione ancora oggi. Nel mio ultimo ruolo a MoneyGram International, sono stato effettivamente assunto come Chief Information Security Officer lì. Circa otto mesi dopo l'inizio del mio incarico, la mia capo di allora, Camilla Chittle, si è avvicinata a me e ha detto: "Ehi, vorremmo portarti al ruolo di CIO, che penso sia un'ottima opportunità per unire i team." All'inizio ero un po' titubante e ho pensato che fosse un cambiamento significativo. Tuttavia, una cosa che mi è rimasta impressa è che posso riunire un paio di gruppi di tecnologi che tradizionalmente non collaborano bene. Questa è stata davvero la motivazione per cui ho accettato il ruolo di CIO per MoneyGram. Ho anche mantenuto il ruolo di CISO nello stesso periodo, che è stata un'esperienza molto unica. Ovviamente fare due lavori al prezzo di uno è stato ottimo per MoneyGram, ma anche per me.
Mike Anderson: È fantastico. Ora sei passato a R1, quindi hai lasciato un po' il settore dei servizi finanziari. So che hai passato del tempo nell'energia e in vari settori. Molti dei nostri ascoltatori, magari non conoscete R1, quindi magari potete darci un po' di contesto su R1, il settore in cui siete oggi. Approfondiremo un po' il tema dello sport di squadra.
Harvey Ewing: Sì, assolutamente. Quindi hai ragione, grande transizione dai servizi finanziari alla sanità. R1 è una società di gestione del ciclo dei ricavi e ciò significa che R1 aiuterà le organizzazioni sanitarie a ottimizzare il modo in cui si occupano del flusso di ricavi dei loro pazienti. Quindi, in sostanza, permetteremo agli operatori sanitari di concentrarsi su ciò che conta di più per loro, i loro pazienti e le cure che stanno offrendo. R1 assisterà nell'accoglienza dei pazienti, nella gestione dei pazienti durante tutto il processo di pagamento e richiesta, fino alla post-assistenza in alcuni casi. Abbiamo recentemente acquisito anche un'azienda che si concentrerà sull'intelligence dei ricavi. Quindi R1, le entità combinate, si concentrano davvero sul fornire ai fornitori di assistenza sanitaria la possibilità di ricevere pagamenti per i servizi erogati, permettendo così loro di concentrarsi su ciò che conta di più, ovvero l'assistenza sanitaria nei loro pazienti.
Mike Anderson: Quindi, se ho capito bene, quando entro e pago la bolletta medica, inserisco la carta di credito, in realtà sei tu a elaborare la mia carta e a prendere le riscossioni per loro.
Harvey Ewing: Esattamente. Quindi R1 aiuta in questo senso. Esatto.
Mike Anderson: È fantastico. Quindi, immagino che la sicurezza sarà di massima importanza quando si parla di assistenza sanitaria e poi di ricevere pagamenti dai pazienti che si presentano. Conosco il tuo CISO Cecil e abbiamo molte buone conversazioni. Parla della sicurezza e del focus che hai dato su questo mentre guardi al business di R1 e come prioritizzi questo rispetto ad altre aree di investimento che stai facendo come organizzazione?
Harvey Ewing: Sì, è una domanda eccellente e su cui R1 si concentra incredibilmente. Considerando la quantità di informazioni a cui R1 ha accesso basandosi sui servizi che offriamo ai nostri clienti, si tratta di ogni informazione privata a cui puoi pensare, dalle informazioni personali personali alle informazioni sanitarie private fino alle informazioni sui pagamenti quando vengono erogati i servizi. Quindi la sicurezza è qualcosa di fondamentale, ed è una cosa ottima. C'è un enorme supporto in R01 per Cecil e per l'aspetto della sicurezza informatica. Ovviamente l'HIPAA è una parte molto importante di tutto ciò che facciamo. Sia il ruolo di sicurezza che quello della privacy guidano gran parte della nostra risposta. Ma devo dire che è qualcosa che non possiamo fare da soli. Quindi, quando dici che la sicurezza è uno sport di squadra, hai centrato nel segno. Questo è qualcosa che dobbiamo essere precisi con i nostri operatori, i nostri clinici, le persone che supportano il processo, davanti, centrali e posteriori, oltre ai nostri tecnologi. Ci concentriamo su questo spettro e non credo ci sia un modo migliore per dirlo oggi, che deve essere uno sport di squadra perché, come ben sai, il perimetro è praticamente sparito ai giorni nostri e dobbiamo concentrarci dall'aspetto umano fino al livello più basso dello stack tecnologico che abbiamo.
Mike Anderson: No, assolutamente. Hai menzionato prima che le squadre di sicurezza e forse le altre squadre con cui devono lavorare possono esserci un po' di attrito tra i due. Hai Cecil che possiede la sicurezza, hai il team infrastrutturale che possiede gran parte di quel lato di rete e ovviamente anche i team applicazioni, che ovviamente devono essere parte integrante di tutto ciò. Come state aiutando a costruire il ponte tra questi team per assicurarvi che collaborino bene insieme e che potete raggiungere alcuni dei risultati sicuri che volete garantire?
Harvey Ewing: Assolutamente, e questa è un'altra buona domanda, Mike. Il primo passo, proprio come MoneyGram, è stato mettere le persone appropriate per infrastrutture, sicurezza e rete nella stessa stanza per assicurarci di collaborare, condividere informazioni e togliere l'emozione da molte cose che accadono ovviamente nell'infrastruttura tradizionale e assicurarci davvero che quei team agiscano come una squadra. Quindi una delle cose di cui parlo all'interno dell'IT è davvero qualcosa che chiamo conflitto sano. Questo significa spingersi a essere il meglio che possiamo essere in modo positivo. Voglio assicurarmi che tutti nel team, indipendentemente dal livello dell'organizzazione in cui si trovano, sappiano di dover sfidare lo status quo, di capire che la loro voce conta e di farlo in modo positivo, cosa che a volte può essere difficile. Tutti i tecnologi sembrano voler pensare di essere i migliori e più intelligenti nella stanza, il che non è sempre una cosa negativa. Ma a volte dobbiamo assicurarci di farlo senza motivi emotivi e che le persone non si preoccupino che qualcuno metta in discussione ciò che ha fatto o come abbiamo sempre fatto. Penso che sia una cosa positiva e odio la frase, "Beh, è sempre così che abbiamo fatto" e mettere in discussione quella frase è qualcosa che sta alla base di quello che facciamo. L'altro aspetto che hai menzionato è davvero riunire gli sviluppatori di applicazioni. Molte persone parlano di spostarsi a sinistra, ma in realtà non si parla di spostarsi a sinistra, è davvero di spostarsi a sinistra. Questo può essere difficile perché, man mano che avanzamo nel processo CICD, mentre le persone si spostano nel cloud, con l'infrastruttura che diventa meno una sfida per tutta l'organizzazione e non è più un percorso critico, possiamo concentrarci su come creare davvero codice sicuro. Coinvolgere gli sviluppatori di applicazioni e gli ingegneri di sicurezza applicativa nello stesso team è qualcosa su cui mi sono concentrato. Anche questi due gruppi riferiranno a persone diverse. Farli collaborare, assicurarsi che lavorino insieme, e invece che gli ingegneri di sicurezza applicativa siano semplicemente persone che trovano vulnerabilità o problemi con il codice e restituiscano tutto allo sviluppatore dicendo: "Ehi, devi andare a sistemare questo", che può essere difficile. Si tratta davvero di assicurarsi che gli ingegneri di sicurezza applicativa siano visti come partner. Quindi assumere programmatori e inserirli nel team dal punto di vista della sicurezza e poi fornire la soluzione agli sviluppatori. Quindi sposti davvero quell'iterazione sul lato sinistro dell'equazione. Ora, una volta che gli sviluppatori sanno che gli ingegneri della sicurezza applicativa sono lì per collaborare nella creazione del codice e nella produzione e distribuzione di buon codice insieme, si itera un po' di più a sinistra, ma si accelera davvero a destra. Una volta che il team si è consolidato e capisce che non siamo lì per puntare il dito, non siamo lì per segnalare che hanno fatto un brutto lavoro. Siamo lì solo per risolvere il problema così che l'azienda possa essere sicura che stiamo distribuendo il miglior codice possibile, tutto sembra funzionare molto, molto bene. Quindi è davvero un approccio collaborativo e combinato e entrambi i team si impegnano a fornire il miglior codice possibile. Quindi, se metti insieme tutti questi aspetti, Mike, so che è una risposta molto lunga alla tua domanda, ma sta davvero scomponendo l'aspetto emotivo. È anche formare quel team che sa che lavoreremo davvero insieme per avere successo internamente affinché l'azienda possa avere successo all'esterno.
Mike Anderson: Ho un amico di nome Matt LeMay che ha scritto un libro chiamato Agile for Everyone che parlava di abbattere i silos, e le persone si sentono a loro agio a lavorare nel silo in cui si trovano e spesso si concentrano lì. A meno che qualcuno non dica "devi alzare la testa e lavorare con gli altri", non ottieni l'agilità che cerchi davvero. Quindi è fantastico che tu stia guidando questo e sembra che tu abbia davvero capito, quello che ho capito quando hai detto che è davvero accelerare la velocità di quanto velocemente puoi uscire i rilascio. Perché immagino che si sia visto una riduzione della sicurezza che impedisce l'ingresso in produzione perché è integrato di progetto, invece di essere un gate alla fine che spesso rimanda le cose indietro, a volte al punto di partenza per essere riprogettate o reingegnerizzate.
Harvey Ewing: Esattamente, Mike. Hai centrato in circa cinque paragrafi in meno di me. Ma questa è l'intenzione ed è proprio quello che vogliamo fare, e hai ragione. Invece di iterare e tornare all'inizio cercando di ottenere una velocità dedicata per gestire le vulnerabilità, quando lo fai come parte del processo di sviluppo, ti velocizza davvero mentre passi nei test, negli ambienti superiori e poi in produzione.
Mike Anderson: Devo immaginare, è interessante, perché hai entrambe le prospettive. Quando parlo con i CISO, parlano sempre di: beh, sicurezza, è così, stai continuamente investendo più soldi e cerchi di capire: "Ok, quando si stabilizza a una percentuale che possa prevedere la visione del CFO", giusto? Ma allo stesso tempo c'è, credo fosse il CISO di McKesson, che ha detto: Sto generando ricavi perché se non abbiamo un buon programma di sicurezza, non possiamo vincere New affari perché le persone non si fidano di noi con i loro dati. Immagino che abbia un grande gioco per te. Come hai visto andare a questo svolgimento? Perché penso allo sport di squadra, non si tratta solo di IT e sicurezza, ma dell'intera organizzazione ha quella mentalità di sicurezza perché qualcun altro si fiderà di te con i suoi dati. Devono sentire che hai controlli di sicurezza almeno buoni quanto loro, o addirittura migliori.
Harvey Ewing: Sì, assolutamente. Ancora, un altro buon punto Mike, ed è importante e veniamo coinvolti nel lato commerciale e vendite da quei team per affrontare proprio quelle domande. Ovviamente le informazioni con cui abbiamo a che fare sono i più sensibili che gestiremo per voi e vogliono assicurarsi che le gestiamo in modo appropriato, e posso certamente capire il perché. Quindi la cosa importante è sedersi e assicurare ai clienti che stiamo facendo la cosa giusta, stiamo avendo le conversazioni difficili su come affrontare i rischi oggi. Guardiamo all'orizzonte strategico. Ci assicuriamo di evolverci con le minacce e i rischi che ci sono. Penso che, una volta superato questo ostacolo dal punto di vista tecnologico, sia anche per noi che sia incumbente che i leader aziendali con cui lavoriamo siano a proprio agio con il modo in cui gestiamo i loro dati, come li controlliamo, come monitoriamo l'accesso ai dati, chi ha accesso, quando l'hanno loro, Dove scorre. Questi sono tutti aspetti molto importanti e, quando ci riusciamo, diventiamo un vantaggio competitivo per il team di vendita. Il team di sicurezza è in grado di intervenire e assicurarsi che rispondiamo alle domande che il cliente può avere e poi facciamo sapere all'azienda che siamo un facilitatore per l'intero processo e che stiamo unendo i nostri sforzi con gli altri team all'interno dell'azienda, in particolare con quelli di vendita, per mantenere ciò che promettono e che possiamo farlo efficacemente e proteggere i dati che Devono restare protetti per servire i loro clienti. Possiamo accedere a quei dati in modo appropriato. Possiamo fare il nostro lavoro così che loro possano fare meglio il loro, cioè prenderci cura dei loro pazienti.
Mike Anderson: È fantastico. Devo immaginare come gestisci la tua lavagna? Perché fanno parte anche di quello sport di squadra. Devi convincere il consiglio su quale livello di rischio sono disposti ad accettare. Se parli con i tuoi colleghi, dato il tuo esperimento come responsabile della sicurezza e IT, che tipo di consiglio daresti? R, come gestite questa conversazione in forum? Poi, secondo, che consiglio daresti a un collega quando riflette su come affronta la sicurezza e anche sulle domande che il consiglio farà? Sono due domande. Forse prendi entrambi in parte.
Harvey Ewing: Sì, assolutamente. Penso che sia molto, molto importante. Qualsiasi tecnologo che si presenti al consiglio deve fare una cosa che secondo me è fondamentale. Non è parlare gergo tecnico, ma parlare il linguaggio degli affari. Quando si parla di rischio, il rischio è il fattore chiave. Ogni azienda al mondo si assume un certo livello di rischio. R1 non fa eccezione. Quindi andare a parlare con il consiglio riguarda più il livello di rischio che l'azienda è disposta ad accettare. Ciò che può essere importante dal mio punto di vista dal lato cyber potrebbe non esserlo allo stesso modo per il consiglio in termini di direzione che stiamo andando, quanto rischio sono disposti ad accettare. Quindi si tratta davvero di creare un'equazione semplice che indica il livello di rischio che abbiamo e potremmo avere in un'area particolare, capendo quanto costerà mitigare un determinato livello di rischio nel guidare verso la quantità di rischio che il consiglio vuole assumere. Non vorranno spendere un milione di dollari per ridurre centomila dollari di rischio. Penso che una volta che hai avuto la possibilità di mettere insieme quell'algoritmo e di tenere davvero conto dei fattori aziendali e di presentare un'equazione che sarà importante per il consiglio di amministrazione per permettere loro di decidere su: "Ok, ecco il nostro livello quantificabile di rischio, ecco quanto crediamo di dover spendere per mitigare quel livello di rischio e arrivare a un livello X di rischio residuo, "che o sono felici o non lo sono. Se non sono soddisfatti e vogliono ridurre più rischi, potrebbero darti più soldi. Potrebbero dire "No, vogliamo ridurre quel rischio." Fantastico. Potrebbero anche dire: "No, siamo disposti ad accettare rischi in queste aree particolari, quindi vogliamo che per ora spendiate meno e magari torneremo a affrontare ulteriori livelli di rischio con più soldi in futuro." Ma è davvero entrare nello sviluppo di quel rapporto con i membri del consiglio. Il consiglio di R1 è molto attento a capire quali sono i vari livelli di rischio informatico, come li stiamo affrontando, come stiamo evolvendo insieme a essi, cosa significano davvero per l'azienda. Il marchio e la reputazione in questo settore sono molto, molto importanti. Tutti noi abbiamo avuto delle difficoltà, incluso R1. Abbiamo affrontato queste sfide, abbiamo fatto delle pivot, dobbiamo tornare indietro e rivalutare alcuni dei rischi che abbiamo in base ai cambiamenti nel panorama delle minacce e a quelle conversazioni e alla trasparenza, non è necessario conoscere ogni risposta a ogni domanda. Va bene dire: "No, non lo so, lascia che ti riporti quell'informazione." Ma è fondamentale non entrare e sopraffare le persone con la vecchia paura, incertezza e dubbio. Si tratta di partire con informazioni quantificabili basate sul rischio che preoccupa l'azienda o di elencare i rischi di cui deve essere consapevole nel modo appropriato e poi mettere insieme un approccio pragmatico su come riteniamo il rischio, ecco quale sarà il costo per mitigare quel rischio. È accettabile? Sei disposto ad accettare più rischi o meno rischi? Qualunque sia questa risposta, possiamo adattare la nostra soluzione in base al livello di rischio che l'azienda è disposta ad accettare e questo determina la direzione che vogliamo prendere dal punto di vista degli investimenti.
Mike Anderson: No, ha molto senso. Data questa prospettiva unica, anche nel tuo background, sei ovviamente molto coinvolto nel tema della sicurezza all'interno di R1. Pensi che altri CIO e altri settori dovrebbero avere lo stesso livello di coinvolgimento? Che consiglio daresti ai tuoi colleghi riguardo al livello di coinvolgimento che dovrebbero avere e a cosa dovrebbero fare per aiutare le loro squadre a diventare più sicure nelle loro organizzazioni e a far parte di questo sport di squadra?
Harvey Ewing: Sì, è una domanda davvero interessante che fai a Mike perché penso che soprattutto più CIO stiano ottenendo un posto al tavolo, più CSO stanno ottenendo un posto al tavolo e questo è davvero importante perché il successo della sicurezza dal punto di vista tecnologico è sempre dall'alto verso il basso. Non è dal basso verso l'alto. Quindi deve iniziare a livello di consiglio per assicurarsi che tu abbia il supporto di cui hai bisogno. L'errore fatale che ho commesso all'inizio della mia carriera è stato entrare a tutta velocità con così tanto linguaggio tecnico che il consiglio dice: "Davvero non capisco cosa stiamo cercando di risolvere qui." Quindi penso che una delle cose più importanti che mi ha aiutato sia stato davvero guardare alla tecnologia e alla sicurezza attraverso la lente di un membro del consiglio. Qual è il loro obiettivo? Conoscere il proprio pubblico, assimilare davvero le questioni tecnologiche in una presentazione aziendale, qualcosa di digeribile, facile da capire e, soprattutto, ha un impatto diretto sull'azienda. È qualcosa che mi ci è voluto un po' per imparare, onestamente, all'inizio della mia carriera. Quando lo fai dal punto di vista di un tecnologo, ottieni meno ritorno dal consiglio. Ti ringrazieranno per la presentazione, potrebbero non riuscire davvero ad assimilare i dati che stai presentando. È importante affrontare davvero queste sfide particolari dal punto di vista dell'azienda, presentarsi ai membri del consiglio se non ci sei. Chiedi tempo con quei membri del consiglio se puoi. Quando avrai un posto al tavolo, sviluppa quel rapporto con quei membri del consiglio. Non aspettare che si tenga la riunione del consiglio per cercare davvero di definire la vostra relazione in quella breve presentazione. Contatta, organizza una serie ricorrente di brevi riunioni con i membri del consiglio che si occupano di valutare le tue richieste e gli investimenti in tecnologia e sicurezza che l'azienda sta facendo. Una volta che sviluppi quella relazione, una volta che sei trasparente e presenti informazioni rilevanti per le decisioni che stanno cercando di prendere, verranno a cercarti. Secondo la mia esperienza in passato, se non avevo un posto direttamente al tavolo, i membri del consiglio mi contattavano direttamente fuori da quelle riunioni per chiedere informazioni e parlare di sfide specifiche. Una volta che ti viene dato un posto al tavolo, sviluppi quel rapporto, quella fiducia e quella trasparenza, lo apprezzeranno moltissimo. Ci sono tanti cambiamenti che stanno avvenendo a livello esecutivo. Il SCC sostiene che i consigli devono essere più consapevoli delle questioni legate al cyber e che i membri devono avere esperienze e competenze specifiche nel campo del cyber. Quindi le opportunità cresceranno. Penso che ora sia il momento di approfittarne e farlo in modo pragmatico che aiuti l'azienda e permetta ai membri del consiglio di prendere le decisioni necessarie con cui si sentono a loro agio, sapendo che stanno dirigendo l'azienda nel modo giusto che riduce il loro rischio è fondamentale per te e incredibilmente vantaggioso per loro.
Mike Anderson: Quindi per un attimo cambierò posto. Ci sono sempre le intuizioni sul consiglio che si dice, cioè, è davvero prezioso. Quindi, come CIO, sai sempre che ci sono quelle aree preferite che ti piacciono e che sono un tipo di candidature per background. Quindi è come se si finisse sempre attratti dal lato delle candidature. Sei un professionista di sicurezza di background, quindi immagina che questo abbia molte vocazioni per te. Quindi ovviamente la sicurezza c'è. Quando pensi al tuo stack tecnologico o ai posti su cui ti stai concentrando, qual è l'area in cui ami passare del tempo?
Harvey Ewing: Oh cielo, un'altra ottima domanda e hai ragione. Mi piace davvero immergermi di nuovo quando ne ho l'occasione. Non succede spesso al giorno d'oggi e il team è piuttosto spaventoso quando lo faccio, e si tratta davvero di avere strumenti che diano buona visibilità. La prevenzione non è sempre l'obiettivo, sarà l'obiettivo. Sappiamo che falliremo, quindi dobbiamo avere strumenti che non solo possano mettere in sicurezza l'umano, ovviamente è un'area importante che sta crescendo con il perimetro che si sta semplicemente deteriorando a causa di tanti fattori nell'organizzazione. Ma devi avere strumenti che ti diano visibilità per capire e reagire a ciò che sta accadendo. Se non hai quella visibilità, non puoi davvero affrontare ciò che non riesci a vedere. Quindi sono davvero gli strumenti che si sono evoluti negli anni a cui torno e mi stanno dando quella capacità profonda di tracciare anche i pacchetti. Man mano che le cose si evolvono, Mike, sto davvero sfruttando strumenti che mi aiuteranno ad assimilare i dati. Ci sono così tanti dati disponibili, strumenti che mi permettono di capire quali anomalie si verificano. Quindi, se guardiamo ad alcune delle violazioni che stanno avvenendo e a come alcune delle minacce che si stanno evolvendo, dobbiamo sapere quando gli utenti stanno facendo cose che vanno fuori dal loro comportamento normale. Penso sia piuttosto interessante, in effetti, quando leggi alcuni articoli e senti parlare della preoccupazione che c'è con le aziende cinesi che stanno acquistando terreni agricoli. Ho letto recentemente un articolo in cui una di queste aziende ha effettivamente posizionato antenne 5G in quel terreno agricolo perché era accanto o nel raggio d'azione di un altro grande fornitore. Se qualcuno riesce a prendere queste informazioni e a ottenere davvero accesso alle aziende per gli utenti autorizzati, come facciamo a sapere che lo sta facendo? È davvero avere visibilità e capacità di analizzare cosa succede nel tuo ambiente e sapere cosa è fuori dal normale. Quegli strumenti che mi danno questa capacità sono davvero quelli che mi piace dare un'occhiata. Come faccio a mettere insieme tutto il puzzle? Cosa devo cercare? Come posso capire quando qualcuno si sta impersonando un utente esperto nell'ambiente? Voglio dire, è semplicemente affascinante. Ci sono così tante aree diverse da esplorare. C'è sempre qualcosa che puoi trovare e cercare, qualcosa che appassiono e che ho fatto con vari strumenti per tutta la mia carriera.
Mike Anderson: Quella visibilità, dove fluiscono i dati? Abbiamo avuto questa domanda spesso internamente a causa di ciò che sta accadendo in Russia e Ucraina e dell'intero contesto geopolitico di oggi. È come, "Dove vanno i miei dati? Chi ce l'ha? Non voglio andare nei posti sbagliati." Quindi, è esattamente vero. Se guardiamo allo stack tecnologico, ovviamente parte del processo, spesso si tratta di come ridurre l'attrito nel processo. Perché più attrito metti nella sicurezza, se la sicurezza non è strumentata correttamente, impedisce alle persone di portare a termine il loro lavoro e questo può creare attrito nel processo. Quali sono alcuni esempi in cui usi la tecnologia per ridurre le frizioni nella tua azienda, sia nella sicurezza sia in un processo aziendale o un'applicazione che stai costruendo? Qual è un esempio di questo riducendo l'attrito nella tua azienda?
Harvey Ewing: Sì, è anche una domanda davvero buona, Mike. Penso che questo sia stato davvero accelerato a causa del COVID, del lavoro da remoto e del lavoro da casa. Penso che il COVID abbia davvero cambiato il mondo. Quindi penso che la riduzione dell'attrito sia doppia in questo caso. Questo significa davvero permettere agli utenti di lavorare in modo sicuro da qualsiasi luogo. Questo è un grande vantaggio per le aziende. Ovviamente trattenere i talenti viene davvero plasmato dal modo in cui, o offriamo agli utenti la possibilità di lavorare. Al contrario, si tratta di assicurarsi che le aziende possano fidarsi del lavoro svolto indipendentemente dal dispositivo e dalla posizione. È una sfida. Ovviamente è qualcosa su cui tu e la tua azienda vi concentrate ogni giorno ed è importante. Quindi fornire connettività da qualsiasi luogo in modo sicuro ai sistemi a cui hai bisogno 24 ore su 24, 7 giorni su 7, è davvero uno dei modi in cui stiamo riducendo quell'attrito. Anche questo, ancora una volta, funziona su entrambi i lati dell'equazione per i nostri dipendenti e per l'azienda. Credo fermamente che continueremo a dover fare questo mentre il perimetro continua a erodersi. Troviamo talenti in tutto il mondo in molti casi. Quando possiamo offrire agli utenti questa flessibilità, saranno più soddisfatti, più produttivi, vorranno lavorare per l'azienda, saranno meno propensi a cambiare azienda se sono soddisfatti e trovano quel livello di equilibrio, potendo lavorare da qualsiasi luogo approvato, ovviamente dal punto di vista R1 nel mio caso. Ma anche assicurandomi che stiano facendo ciò che dovrebbero fare. Hanno accesso solo ai sistemi a cui dovrebbero avere accesso e non possono uscire di quei limiti. Deve essere trasparente. Non possiamo permettere utenti che devono affrontare un sacco di ostacoli. La sicurezza dovrebbe essere il più trasparente possibile, sempre presente, ma non dovrebbe essere qualcosa di cui l'utente è consapevole in un mondo perfetto. Quindi, più rendiamo sicurezza e accesso trasparenti, ma sicuri, meglio è il nostro lavoro come team.
Mike Anderson: È fantastico. È interessante, mi riporta a un commento che hai fatto prima sulle persone e una delle cose che abbiamo gestito internamente e che era entusiasmante è stata che abbiamo fatto queste magliette e abbiamo detto: "Siete il firewall umano" per la nostra gente. Penso che, se guardi la tua organizzazione, hai parlato di abilitare le persone attraverso la sicurezza anche prima, giusto? IT come facilitatore, sicurezza come facilitatore, non come ostacolo. Quali sono alcune delle cose che state facendo per attivare le vostre persone all'interno di R1 come firewall umani per la vostra azienda e abilitarli? Quali sono alcuni esempi di come lo fai?
Harvey Ewing: Ci stiamo davvero concentrando su quel firewall umano e penso che sia un ottimo modo per dirlo. Gli utenti devono essere formati come chiunque altro, per individuare potenziali minacce, per comprendere che una parte significativa delle radici nelle organizzazioni arriva tramite attacchi via email. Perché non dovrei cliccare su quel link? Cosa devo cercare? Perché è importante per l'azienda? È davvero coinvolgere gli utenti in modo positivo per capire che sono in prima linea per la sicurezza dell'azienda e che sono davvero un bersaglio prezioso per chiunque voglia attaccare R1 o qualsiasi azienda per cui lavorano. Mi piace coinvolgere gli utenti il più possibile e assicurarmi davvero che capiscano perché lo facciamo. Perché tutta questa sicurezza è importante? Cosa c'entra davvero con me? Voglio solo portare a termine il mio lavoro. Quindi non si tratta di imporre una grande quantità di formazione agli utenti contemporaneamente. Secondo me è più un metodo leggero che funziona meglio. Quando lo consegniamo agli utenti, facendolo in modo coinvolgente, mi piace fornire formazione sulla consapevolezza della sicurezza tramite la comicità. Ci sono molti strumenti là fuori con cui puoi farlo e penso che colpisca davvero il segno. Se riusciamo a prenderci un po' in giro mentre facciamo e le persone capiscono che di solito gli piace, si impegnano. C'era uno strumento in particolare che ho usato in una precedente azienda che era due personaggi. Uno si chiamava Errore Umano, l'altro si chiamava Giudizio Sano. La formazione è stata molto, molto efficace, al punto che facevo stampare magliette di Sound Judgment e Human Error e la gente adorava la maglietta Human Error. Adoravano indossare la maglietta dell'errore umano in azienda ed è allora che si capisce che qualcosa sta colpendo e che si stanno divertendo. Quando puoi riderne, ma l'addestramento ha senso. Perché non voglio usare la stessa password su ogni sito che ho? Perché non voglio lasciare il mio sistema sbloccato e allontanarmi da esso per un periodo prolungato? Ancora una volta, prendere in giro alcune di queste situazioni e renderle meno drammatiche penso sia stato un grande colpo. È la stessa cosa che stiamo facendo noi a R1 ed è davvero coinvolgere le persone per farle capire che questo è importante. Non vogliamo spaventarti a morte, vogliamo solo che tu capisca e capisca quanto sia importante questo e ci prenderemo un po' in giro su di noi stessi. Penso che agli utenti normali piaccia molto questa cosa. Mike Anderson: Sì, ho avuto questa visione in testa di quel tempo, prima che tu avesse un codice sul telefono, lasciavi il telefono sul tavolo e tornavi e mandavano messaggi ai tuoi amici dicendo che non volevi che li inviassero. Avevo solo quella visione in testa.
Harvey Ewing: Assolutamente.
Mike Anderson: Questo rende sempre tutto divertente.
Harvey Ewing: Assolutamente.
Mike Anderson: Una delle cose che sto cercando di promuovere è tutto questo concetto di una migliore cittadinanza digitale. È come se, alla fine della giornata, le persone non clicchassero su ciò che non vogliamo che clicchino. Non comprerebbero le cose che noi non vogliamo che abbiano. Poi, quando hanno idee su IT, tecnologia e sicurezza, ce le portano. Collaboriamo insieme. Sarebbe il cittadino digitale perfetto. Ovviamente siamo un po' lontani da questo. Quali sono alcune delle cose legate alla sicurezza, forse anche non alla sicurezza, che state facendo per promuovere una migliore cittadinanza digitale all'interno della R1?
Harvey Ewing: Hai sollevato un altro punto davvero interessante sulla cittadinanza digitale, e penso che sia un modo davvero efficace per esprimerlo. Poiché i dati sono onnipresenti, è importante assicurarsi che le persone autorizzate ad accedervi facciano la cosa giusta con i dati. Assicurandosi che lo utilizzino per ciò per cui è necessario e solo per ciò per cui è necessario. Non cercare di archiviarli al di fuori delle aree approvate, tenendo presente come gestiamo i dati dei pazienti. R1 è un'azienda che si muove molto, molto velocemente. Ci evolviamo molto rapidamente, abbiamo migliaia di utenti interni ed è quindi fondamentale che i nostri utenti capiscano che abbiamo accesso ad alcuni dei dati più sensibili a cui possiamo avere accesso e che dobbiamo trattarli in modo davvero appropriato. Stiamo lavorando con grande impegno per riuscirci. La governance dei dati è un universo a sé stante. È una cosa che R1 prende molto sul serio. Il modo in cui stiamo costruendo la cultura aziendale che ruota attorno alla buona gestione dei dati è fare esattamente ciò che ho appena detto. Stiamo creando degli amministratori dei dati in tutta l'organizzazione. Stiamo formando questi amministratori dei dati. Questi data steward sono responsabili della gestione dei dati nella loro area di controllo e responsabilità. Quando si dà alle persone la possibilità di farlo e si spiega loro perché è importante, i dipendenti lo capiscono. Loro capiscono. Vogliono fare la cosa giusta e noi li incoraggiamo e li celebriamo. Quando facciamo la cosa giusta, diamo riconoscimento alle persone che si prendono cura dei dati che i clienti e i pazienti ci hanno affidato. Quando lo celebriamo, la gente si unisce a noi. Così non ci arrabbiamo con le persone quando commettono errori. Direi che la grande quantità di problemi che affrontiamo dal punto di vista dei dati non riguarda persone che cercano di fare cose dannose o di essere opportuniste e portare a termine il proprio lavoro. Lavoriamo davvero con le persone per educarle e aiutarle a correggere alcuni dei comportamenti che potrebbero manifestare e che potrebbero non essere in linea con il modo in cui dovremmo proteggere tali dati. Ma quando ciò accade, lo celebriamo e premiamo le persone che lo fanno. Ciò crea davvero fiducia nell'ambiente e un coinvolgimento con noi, perché non verremo da te, non diremo che sei nei guai o faremo qualcosa per rendere il tuo lavoro più difficile. Festeggeremo quando otterremo queste vittorie e le persone ne saranno incoraggiate e continueranno a trattare i dati nel modo giusto. Quindi si tratta ancora una volta di coinvolgimento, di far capire alle persone perché facciamo quello che facciamo, quanto è importante, e poi premiare quel successo e poi creare slancio da lì.
Mike Anderson: Sì, sicuramente la carota funziona sempre molto meglio del bastone in questo senso. Quando riesci a riconoscere i comportamenti che vuoi che le persone abbiano e a sottolinearli, questo fa sì che anche gli altri vogliano fare lo stesso. Quindi voglio dire che è fantastico che tu lo stia facendo. È un ottimo modo per farlo. Ciò funziona in tutti gli aspetti della vita. Cerco di convincere anche i miei figli a fare lo stesso. "Ehi, è davvero un ottimo lavoro. "Ti incentiverò per il tuo buon comportamento" rispetto a "Non avresti dovuto farlo", e non funziona mai allo stesso modo. La stessa psicologia funziona con le nostre persone. Ora passo un attimo a un altro argomento. È interessante. Ne avevo sentite alcune, ma all'inizio della pandemia, quando ero lì alla Schneider Electric, il nostro presidente disse: "La mia sfera di cristallo è rotta e non riesco a capire bene cosa mi riserva il futuro". Quindi, se dovessimo andare avanti nel tempo come stiamo facendo adesso, se guardassimo al futuro, in quali aree pensi che i CIO e i leader tecnologici dovrebbero investire oggi per essere pronti per il futuro?
Harvey Ewing: Wow. Questa è davvero dura, Mike. Sono sicuro che quando tra un paio d'anni tornerò a recensire questo spettacolo, riderò di me stesso e dirò: "Wow, mi sbagliavo di grosso". Ma farò del mio meglio. Penso che tutto dipenda dalla capacità di normalizzare il comportamento. Harvey sta facendo ciò che dovrebbe fare normalmente? Sta andando oltre i limiti di ciò che fa di solito, di come lo fa quando lavora? Penso che sarà davvero importante. Penso anche che l'intelligenza artificiale e l'apprendimento automatico rappresenteranno una sfida davvero interessante e credo che il tradizionale stack tecnologico che abbiamo oggi sarà davvero spinto non solo da tecnologie emergenti come la quantistica, ma anche dai progressi nell'intelligenza artificiale e nell'apprendimento automatico. Quando sei un essere umano che lotta contro un algoritmo davvero complesso che pensa un po' più velocemente di te, come fai a stare al passo? Quindi avremo bisogno di strumenti e di una crittografia che sia resistente ai computer quantistici. Avremo bisogno di strumenti in grado di evolversi con le strategie di intelligenza artificiale e apprendimento automatico. Come possiamo restare al passo con l'intelligenza artificiale e l'apprendimento automatico concepiti per scopi dannosi? Penso che sarà affascinante. Quindi, se potessi fare un salto nel futuro, capirei: "Ok, come faccio a stare al passo con i progressi nel lato dannoso della tecnologia? Come posso proteggere i sistemi che in futuro saranno facilmente violabili?" Quindi penso che sarebbero proprio quelle le aree in cui vorrei davvero avere gli strumenti e concentrarmi.
Mike Anderson: Penso che anche tu abbia perfettamente ragione, e questo sta diventando una parte in continua evoluzione del nostro panorama delle minacce. Un argomento che torna spesso. È qualcosa che la stampa diffonde ovunque. So che ne abbiamo già parlato in passato, il concetto di Zero Trust è ricorrente. Continueremo a parlare di Zero Trust anche tra tre o cinque anni? In che modo tutto ciò si interseca con il modo in cui le aziende elaborano strategie di protezione dei dati? Cosa pensi dell'intero argomento Zero Trust in generale e come pensi che evolverà nel modo in cui pensiamo alla protezione dei dati?
Harvey Ewing: Sì, penso che sia fondamentale, Mike. Zero Trust è qualcosa che deve essere assolutamente implementato in futuro per molti dei motivi di cui abbiamo parlato qui negli ultimi minuti. Le persone avranno ancora bisogno di accedere a informazioni sensibili per svolgere il proprio lavoro, ma come possiamo sapere di aver autorizzato la persona giusta? Se lavoriamo da remoto o in una fase ibrida di questo tipo, come possiamo davvero sapere di aver dato autorità alle persone giuste? Zero Trust è fantastico, è facile da dire ma è molto difficile da mettere in pratica. Penso che ci vorrà un ecosistema di strumenti per aiutarci a raggiungere questo obiettivo. Penso che molte delle protezioni su cui sta lavorando Netskope saranno davvero imperative. Penso che ci vorrà davvero una strategia per abilitare la fiducia zero nel lungo termine. Continueremo a dover cambiare rotta per capire come autorizzare in modo appropriato. Penso che questo sia l'unico modo in cui potremo dare accesso a dati sensibili, proprietà intellettuale o altri tipi di sistemi che richiedono autorizzazione. Non c'è davvero altro modo per farlo, dato che il perimetro alla fine scomparirà in futuro.
Mike Anderson: Sono state delle intuizioni straordinarie e apprezzo molto il tempo che mi avete dedicato. Quindi, mentre concludiamo il segmento, ho qui per voi alcune brevi riflessioni. Quindi sarà divertente. L'ho preso da Brene Brown perché sono una grande fan del suo podcast. Quindi cercheremo di esaminarlo. Allora, domande veloci per te. Qual è il miglior consiglio sulla leadership che hai mai ricevuto?
Harvey Ewing: Oh mio Dio. È qualcosa che cerco di aggiungere ogni giorno. Fallisco quasi ogni giorno, ma questo mi toglie le emozioni. Cerca di affrontare le sfide difficili con il minimo di emozione e il massimo pragmatismo possibile.
Mike Anderson: Ottimo consiglio. Quale vorresti che fosse il tuo ultimo pasto?
Harvey Ewing: Oh mio Dio. Penso che dovrò dire la bistecca più grande che sono riuscito a trovare.
Mike Anderson: Ehi, sai cosa? Prima o poi dovremo andare a mangiare una bistecca. Grazie per aver partecipato al nostro podcast oggi. Sarà un amore.
Harvey Ewing: Sembra una buona idea.
Mike Anderson: Avremo sudori di carne per giorni. Sarà fantastico.
Harvey Ewing: Sembra fantastico.
Mike Anderson: Questa ti lascerà senza parole. Canzone preferita e cosa ci dice di te?
Harvey Ewing: Credo di averne due. Uno è di The Youth, Hank Williams Jr, Cowboy Can Survive. L'altro è Tears for Fears, tutti vogliono governare il mondo. So Country Boy Can Survive è indicativo della mia giovinezza. Posso superare qualsiasi cosa perché sono a prova di proiettile. Poi, quando sono passato al settore informatico, delle infrastrutture e della distribuzione, Everyone Wants to Rule the World.
Mike Anderson: Fantastico. Va bene. Qual è l'ultimo libro che hai letto?
Harvey Ewing: Servant Leadership è davvero l'ultimo libro di economia che ho letto. La maggior parte delle altre cose servono solo a stare al passo con le cose che si evolvono molto più rapidamente nel settore informatico. Quindi non sono un grande lettore di libri, ma piuttosto un consumatore di informazioni che cambiano rapidamente. Quindi per me è difficile rispondere a questa domanda dal punto di vista aziendale. Tuttavia, la leadership di servizio è molto importante per me.
Mike Anderson: Fantastico. Bene, ultima domanda. Chi ammiri di più e perché?
Harvey Ewing: Ci sono molte risposte a questa domanda. Questa volta dovrò farlo con mia moglie. Senza di lei non sarei dove sono oggi. Lei è la mia più grande sostenitrice, quella che mi tiene sulla retta via e mi permette davvero di fare tutto ciò che faccio ogni giorno. Quindi non potrei farcela senza di lei.
Mike Anderson: Oh, fantastico. Bene, Harvey, apprezzo davvero il tempo che hai dedicato a parlare con i nostri ascoltatori oggi. Prima di andare, c'è qualcosa, qualche ultimo pensiero o cosa che vorresti condividere con i nostri ascoltatori prima di concludere?
Harvey Ewing: Grazie a tutti, grazie per il tempo che ci avete dedicato, Mike. Penso che dal punto di vista della sicurezza, basti avere fede e andare avanti, perché se non ci fossero tutti i professionisti della tecnologia e della sicurezza, oggi non si farebbe affari. Quindi tutto ciò che fanno è importante e apprezzo i loro sforzi.
Mike Anderson: Beh, grazie mille, sempre. È un ottimo consiglio e apprezziamo il fatto che tu sia nostro ospite.
Harvey Ewing: Grazie, Mike. Lo apprezzo.
Mike Anderson: Grazie per aver ascoltato il podcast Security Visionaries di oggi con il mio ospite speciale Harvey Ewing. Mi piace sempre lasciarvi con alcuni spunti chiave emersi dalla nostra conversazione. Quindi le tre cose che ho capito dalla conversazione con Harvey oggi, prima di tutto, sono: spostatevi a sinistra e noi spostiamoci a sinistra, significa davvero portare la sicurezza nel processo di progettazione, nel processo di sviluppo relativo al modo in cui realizziamo le applicazioni. Perché non vogliamo che la sicurezza sia un ostacolo alla fine che rallenta l'innovazione e il ritmo con cui possiamo distribuire New capacità ai nostri utenti e ai nostri clienti. In secondo luogo, dobbiamo mettere la scheda online in condizioni di sicurezza. Dobbiamo assicurarci che capiscano perché la sicurezza è importante e dobbiamo farlo in modo che possano capirlo. Dobbiamo parlare in termini semplici. Nella migliore delle ipotesi è sempre bene usare delle analogie. Come possiamo presentare la sicurezza in termini comprensibili al consiglio di amministrazione, tenendo conto della mia propensione al rischio? L'ultima cosa da ricordare è la trasparenza: onestamente, tutto è fondamentale. Dobbiamo essere trasparenti con i nostri dipendenti su come ci aspettiamo che lavorino. È ibrido? Come ci aspettiamo che funzionino dal punto di vista della sicurezza? Dobbiamo stabilire delle aspettative ed essere trasparenti su questo aspetto con i nostri dipendenti. Spero quindi che la nostra conversazione di oggi con Harvey Ewing vi sia stata utile. So che l'ho fatto e non vedo l'ora che tu ti unisca a noi per ascoltare il prossimo episodio del podcast Security Visionaries.
Annunciatore 2: Il podcast Security Visionaries è realizzato dal team di Netskope, veloce e facile da usare. La piattaforma Netskope garantisce un accesso ottimizzato e sicurezza Zero Trust per persone, dispositivi e dati, ovunque si trovino. Aiutiamo i clienti a ridurre i rischi, accelerare le prestazioni e ottenere una visibilità senza pari su qualsiasi attività di applicazioni cloud, web o private. Per saperne di più su come Netskope aiuta i clienti a essere pronti a tutto nel loro viaggio impertinente, visita NETSKOPE.com.
Annunciatore 3: Grazie per aver ascoltato i visionari della sicurezza. Prendetevi un momento per valutare e recensire lo spettacolo e condividetelo con qualcuno che conoscete e che potrebbe apprezzarlo. Restate sintonizzati per gli episodi che usciranno ogni due settimane. Ci vediamo al prossimo.
Indietro
){kind=icon}
