Crucial Conversations With Your CEO

0:00:00 Emily Wearmouth: Ciao e benvenuti a un'altra edizione del podcast Security Visionaries. Sono la vostra conduttrice, Emily Wearmouth, e oggi sono con me il nostro primo ospite in assoluto dal Brasile. Quindi benvenuto allo show, Nycholas Szucko. L'ho detto bene?

0:00:14 Nycholas Szucko: Esatto. Hai appena centrato. Grazie mille. Siamo così lontani, ma riusciamo a connetterci e a comunicare. Sono così felice di essere qui oggi.

0:00:23 Emily Wearmouth: Quindi lasciate che vi presenti agli ascoltatori così sappiano perché vi abbiamo invitati. Nycholas è seduto su sei tavole al momento. C'è molto altro nel suo CV, ma attualmente ha sei anni ed è anche molto coinvolto nella diversità nei Boards, che sono la più grande organizzazione al mondo per professionisti di livello C ed è attiva in 15 paesi. E gli ascoltatori abituali lo sapranno. Mi piace sempre scoprire la storia delle origini dei nostri ospiti, da dove vengono e perché dovremmo ascoltare i loro consigli. Perché sono visionari della sicurezza? E Nicholas, anche se la tua carriera è stata sul lato professionale del business, i tuoi primi giorni come analista di sistemi. È così?

0:00:59 Nycholas Szucko: Devo dirti una cosa. Prima di diventare analista, ero musicista. Pensavo che sarei diventato un violoncellista. Ho pagato il violoncello per 10 anni. Pagavo la filarmonica minorenne qui a San Paolo. Purtroppo, conosciamo la sfida di essere musicisti, soprattutto per la musica classica e il mio modo di avere successo nella carriera e guadagnare soldi per la mia famiglia. Era un programmatore informatico, ma la musica mi ha aiutato molto ad avere successo nella mia carriera, come il giocatore di squadra, come comunicare con gli altri strumenti dell'orchestra, il gruppo, come studiare e suonare tutti. Beh, alla fine sei diventato solo una musica. Tutta questa esperienza straordinaria mi ha aiutato molto e leggere ciò che devo leggere per giocare mi ha aiutato a fare la programmazione logica del calcolo. È stato incredibile come, le cose nella nostra vita, sono state collegate nel tempo.

0:02:01 Emily Wearmouth: Sì. Sai, ho sentito prima e siamo subito cambiati completamente di tema, ma ho sentito che le persone molto brave in musica spesso sono molto brave in matematica. Quindi quel legame tra leggere musica e scrivere codice ha senso per me. Non ho idea del perché, ma ha senso.

0:02:16 Nycholas Szucko: Perfettamente sensato, sì. E dopo sono andato all'università, ho iniziato a studiare informatica, ma in quel periodo era troppo tecnico e ho deciso di diventare imprenditore in giovane età, collega dell'università. Abbiamo unito le forze per costruire la nostra prima azienda. All'epoca non era cybersecurity perché più di 20 anni fa la cybersecurity non era un grosso problema. Quando ho aperto il mio discorso, ho detto che vengo da quando la sfida più grande che avevamo nella cybersecurity era come una casella di posta piena di spam o un computer con un virus che rendeva i computer più bassi, non più di questi. E sicuramente dopo di ciò la cybersecurity si evolve molto. Anche la sfida. E inizio a fare questo tipo di iniziative per collegare non solo il lato tecnico ma anche quello commerciale. E guardando indietro, penso che questa sia la ragione principale. È perché inizio a interpretarlo all'inizio della mia carriera.

0:03:15 Emily Wearmouth: Beh, hai colpito qualcosa che adoro nel momento in cui siamo tornati ai giorni d'oro in cui c'erano pochissime minacce, ma la cybersecurity ora è assolutamente più grande, più importante. Ci sono rischi molto più grandi. E questo significa che i leader della sicurezza all'interno delle organizzazioni si stanno ritrovando, anche come un cambiamento nell'ultimo decennio, molto più esposti alle conversazioni aziendali, la leadership senior e il consiglio vogliono sapere cosa stanno facendo. I rischi che stanno gestendo sono nel mirino del consiglio. E penso che sia interessante e di cui parleremo oggi è come persone che magari sono arrivate da un background tecnico o anche solo da un dipartimento che in una certa misura poteva lavorare in modo relativamente discreto, ora sono sotto i riflettori del consiglio. Quali competenze extra servono le persone per orientarsi in queste relazioni e per ottenere i successi a cui sanno di voler lavorare? E oggi concentrerò gran parte della conversazione su una ricerca uscita alla fine dello scorso anno, gli ascoltatori possono andare a cercarla. Si chiama Conversazioni Cruciali. E i ricercatori hanno fatto un lavoro davvero approfondito. Hanno parlato con CEO di tutto il mondo e li hanno interrogati su come stanno lavorando con i loro leader tecnologici all'interno dell'organizzazione. Cosa vogliono da loro, cosa non funziona? Poi sono andati a parlare con il CIO e hanno riportato la questione e hanno ottenuto la prospettiva del CIO. Poi hanno fatto un'altra ondata in cui sono entrati nel team del CIO e hanno parlato con un livello VP, le persone molto coinvolte nell'infrastruttura per cercare di capire quanto siano visibili queste conversazioni e quanto siano in grado di applicare una comprensione di ciò che i leader aziendali prendono quotidianamente. Questa è la ricerca di base, ci sono tantissimi dati e oggi ne proporrò alcuni a voi, Nychola, per ascoltare i vostri pensieri, opinioni e consigli su come dovremmo andare avanti. La prima domanda che voglio farti riguarda un dato che mi ha scioccato. Il 39% dei leader tecnologici riferisce di essere completamente fuori allineamento con il proprio CEO nelle decisioni chiave, completamente disallineato, 39% e 31%. Quindi quasi un terzo non è nemmeno sicuro di poter dirti cosa vuole il loro CEO. Quindi, come dovrebbe un leader della sicurezza, come dovrebbe un CISO iniziare a colmare questo divario di allineamento e a capire cosa vuole il CEO, per poi iniziare ad applicarlo a ciò che sta facendo?

0:05:40 Nycholas Szucko: Dal mio punto di vista, tutto ruota attorno alla comunicazione. Per quanto vogliamo che il livello del consiglio, il livello C, comprenda il linguaggio della cybersecurity, e anche se il linguaggio tecnologico del CIO, il CTO, dobbiamo capire che il livello del consiglio e il livello C hanno molte responsabilità e un'agenda completa per diverse materie complete. Hanno il bilancio, la macroeconomia, hanno tutto il problema, devono trovare un modo per dare priorità. E sì, la cybersecurity può avere un impatto enorme, ma un contratto disallineato, queste grandi cose che accadono in tutto il mondo possono davvero distruggere un'azienda. E quando capiremo che è il nostro lavoro, impariamo di più sull'azienda, impariamo il linguaggio che parlano, che sia completamente allineato con rischio, esposizione, impatto aziendale. E dobbiamo dire loro che siamo una parte chiave della strategia per garantire la continuità del business. No, ridurre l'impatto, aumentare il livello di maturità della nostra attività e proteggere la filiale. Siamo i guardiani della protezione del marchio, ma noi come CISO, CIO, CTO tecnici, dobbiamo fare un passo avanti, imparare dal business e fare la traduzione per loro perché, come vi ho detto, il piatto è pieno di argomenti diversi ed è difficile da capire. E quando iniziamo a dire cose tecniche, generiamo una disconnessione, un disallineamento, e creiamo questa distanza tra la scheda, il livello C e il CISO e il CIO.

0:07:17 Emily Wearmouth: C'è qualcosa di interessante quando parliamo di comunicazione o di queste New competenze che i leader devono acquisire. C'è molta attenzione alla parte parlata della comunicazione, ma la comunicazione richiede davvero tanto ascolto. Altrimenti non è comunicazione, è solo parlare. E questo dato è davvero il cuore della questione per me, che non si tratta solo di sapere se il CEO comprende la tecnologia. Ne parleremo tra poco, ma si tratta di sapere se il responsabile della sicurezza comprende il CEO e ascolta ciò che vuole l'azienda. E mi chiedo se esistano forum o ambienti in cui i responsabili della sicurezza possono mettersi per fare un lavoro migliore nell'ascoltare e assorbire ciò che l'azienda vuole per aiutarli quando riproducono le cose.

0:08:02 Nycholas Szucko: Sì, impariamo molto a parlare ma così poco a voler ascoltare. E per una comunicazione di successo, dobbiamo assicurarci che le altre parti capiscano perché dobbiamo ricordare il livello C e la scheda. Hanno molta esperienza. Hanno una carriera piena di scenari diversi. Possono prendere decisioni, ma dobbiamo informare gli indicatori, il rischio in cui ci troviamo in questo scenario e condividere con loro quante più informazioni possibile per una decisione migliore. Perché dobbiamo ricordare che alla fine è una decisione aziendale, investirà o no. Ridurrà il rischio o non dipenderà dall'appetito del rischio. A volte, poiché l'azienda deve acquisire più mercato in questo periodo, si assume più rischi. È naturale che per questo periodo di tempo dall'azienda. Ma ora che possiedo il mercato, devo proteggere la mia azienda, investirò di più nella cybersecurity e quando faccio il mio discorso per i CISO o il CIO, cerco di portare alcune tecniche che devono imparare per diventare più efficienti in questo tipo di conversazione. Il podcast che ho con questo nome è Board and Board Members con il CSO di Bradesco Bank. È un professionista straordinario, Glauco Sampaio. È un altro ragazzo che si sta concentrando sul membro del consiglio adesso, di questo stiamo parlando. Come sono queste New competenze che il CSO e i CIO devono avere? È sicuramente una questione di comunicazione. Narrazione. Dobbiamo trovare un modo per raccontare la storia in modo che si connetta e abbia senso. Alla fine della giornata, dobbiamo avere qualche tipo di abilità di vendita. Sì, dobbiamo venderci un professionista. Dobbiamo vendere il progetto al consiglio per essere approvato. Questo è molto importante. Anche la parte finanziaria è molto importante perché, quando presentiamo il meglio, è molto difficile dire che la cybersecurity genererà un ROI. Ma sì, possiamo proteggere il prezzo dell'opzione su azioni. Sì, possiamo aiutare a ridurre il rischio perché l'impatto sarà di 20 milioni ma possiamo ridurlo a 10 milioni. Questo tipo di conversazione, o il modo in cui presentiamo il budget per l'anno, è importante aumentare le possibilità di approvare il budget e portare a termine il tuo progetto. Comunicazione, narrazione, capacità di vendita. E sì, impara qualcosa sulle finanze che ti aiuteranno nella carriera e renderanno la tua di successo.

0:10:37 Emily Wearmouth: Un'altra cosa che è emersa nella ricerca, e qui darò sia la pronuncia UK che quella statunitense. I CEO volevano un luogotenente fidato per l'ascoltatore americano, vogliono un luogotenente fidato. Parlavano di qualcuno che sa parlare il linguaggio degli affari, qualcuno con cui poter lavorare. Ma quella parola di fiducia mi sembrava davvero importante. E mi chiedo come si passa dall'essere tenente a essere un tenente di fiducia? Come si fa a farsi avanti agli occhi del CEO e costruire quella fiducia?

0:11:04 Nycholas Szucko: Dalla mia esperienza, devi metterti in una posizione che ti permette di servire. Sì, ci occuperemo dei tubi, sì, ci occuperemo dei lavori sporchi per la cybersicurezza, non solo per la tecnologia, ma cercheremo di educare tutti. Posizionati come comunicatore, costruendo la portata tra altre aree. E appena sei disponibile per qualcuno di livello C, costruisci sicuramente questa connessione con un consulente fiduciario. Ti dirà cose buone su di te per la prossima. E la quantità di tempo ed energia che investiremo per questo primo progetto diminuirà nel prossimo, forse dopo un anno, due anni. Prendersi il tempo non è da un giorno all'altro. Fornisci loro servizi, comunica nella loro lingua e sii proattivo. A volte, quando qualcosa emerge nelle notizie, traduce la loro lingua, la lingua della tua azienda, e condividi come formazione per quei C levels. E dopo forse uno o due anni, avrai la possibilità di fare una presentazione di 10 minuti al consiglio. Sarà fantastico. Devi allenarti molto perché presentare al consiglio, devi essere concentrato, devi ottenere numeri, fare un benchmark, e devi farlo in soli 10 minuti. È una vera sfida. Si inizia con sorveglianza, servizio, aiutarli, supportare l'operazione, e sicuramente troveranno il tuo posto nello scenario e avranno la possibilità di presentarlo al consiglio.

0:12:38 Emily Wearmouth: Prima di fare la prossima domanda, voglio solo riconoscere l'ovvio. Il sole è uscito qui nel Regno Unito ora. Non è più successo da quando abbiamo iniziato a registrare video per i nostri episodi già in autunno. Quindi in qualche modo non avevamo previsto cosa sarebbe successo quando l'estate sarebbe arrivata nel Regno Unito. Quindi mi scuso se divento davvero, davvero brillante mentre il sole si allunga dietro le nuvole in questa splendida giornata primaverile. Un'altra cosa che volevo rilevare dalla ricerca era l'ampio spettro che proveniva dai CEO in termini di comfort con il rischio. E hai accennato prima che il mondo è cambiato parecchio. E anche se anche cinque anni fa pensavamo che il rischio fosse negativo, vogliamo evitarlo. Ma in realtà, oggi negli affari, non si può evitare il rischio e è proprio attraverso il rischio che risiedono i benefici. Quindi alcuni CEO sono molto più a loro agio nell'assumersi rischi rispetto ad altri. E mi chiedo, avete qualche consiglio per aiutare i leader della sicurezza a determinare quale livello di comfort rischio ha il loro CEO? Perché non è qualcosa di uniforme in tutti i sensi. Ogni CEO sarà diverso. Come si psicoanalizza il proprio CEO per capire se si trova a suo agio con il rischio?

0:13:48 Nycholas Szucko: Dobbiamo studiare molto anche prima del primo incontro. Studiamo dall'esperienza passata di questo CEO o dei membri del consiglio. Una cosa che faccio di recente è che, quando ho i membri del consiglio che devo avere davanti durante una presentazione, faccio qualche gioco di ruolo con l'IA. Creo le identità per ogni membro del consiglio e faccio qualche tipo di interazione per capire la reazione ed essere ben preparato per la riunione successiva. È un ottimo dispositivo che puoi far sì che tutti in questo momento abbiano avuto la possibilità di farlo e ti sei preparato.

0:14:29 Emily Wearmouth: Come fai a farlo, Nicola? Su quello? Stai costruendo piccole versioni AI di singoli dirigenti con cui lavori o stai cercando una comprensione generica dei sistemi AI di un CEO o CFO?

0:14:42 Nycholas Szucko: Esatto. E possono guidarmi sul modo migliore di comunicare o su una parola specifica che attirerà l'attenzione o l'approccio che devo avere fin dall'inizio per assicurarmi di avere successo. Quando faccio questo tipo di preparazione, mi sento più a mio agio davanti ai membri del consiglio perché devo dirvi che, anche avendo molta esperienza, ho qualche farfalla nello stomaco quando faccio parte di una riunione importante, tanto quanto prepararmi meglio sarà la mia presentazione, la mia riunione. E mi sentirò più a mio agio riguardo. E ci aiuto a capire innanzitutto il profilo di questa capitale e il settore in cui opera questa azienda. Solo un esempio: quando parliamo con le startup, sono agili, possono correre più rischi. No, e sono, come posso dire, disposti a farlo a causa del profilo dell'azienda o forse dell'età dei dirigenti. Ma quando vai nel settore, è uno scenario completamente diverso. Ma sì, in questo momento, no. Gli attacchi informatici possono raggiungere gli stabilimenti con attacchi e generare un enorme impatto sul processo produttivo dello stabilimento. No, ma capiamo che sono più avversi al rischio. No. Come posizionarai la tua presentazione con qualcuno che ha più rischio? Il mio suggerimento sarebbe prima di capire il retrospettacolo professionale sulla sua carriera. Possiamo vedere che quei livelli di dialogo in colloqui in podcast ti permettono di avere una comunicazione migliore. E secondo, comprendere il verticale, comprendere il verticale, quanto rischio è disposto a correre. Avrai molto successo nella comunicazione e nella riunione.

0:16:31 Emily Wearmouth: Voglio entrare un po' nei dettagli con voi ora perché sappiamo che i CEO non vogliono sapere troppo di ciò che accade nel loro stack tecnologico e vogliono che i loro leader siano in grado di riassumere le cose e portare le metriche chiave che sono loro pertinenti. Ma ciò che è rimasto coerente nella ricerca è che i CEO esprimevano una frustrazione in questa scatola nera della tecnologia, dove forse in passato potevano vedere i rack fisici in un data center e per loro aveva più senso. Ora tutto è nel cloud, tutto è un po' più virtuale e stanno davvero lottando, quindi cercano i loro responsabili della sicurezza che aiutino a spiegare meglio cosa sta succedendo. E questo è stato rilevato anche dalle ricerche condotte a livello di VP, dove il 61% dei VP tecnologici ha dichiarato che il proprio CEO è frustrato da questa mancanza di trasparenza infrastrutturale. E mi chiedo cosa ne pensi? E fino a che punto dovrebbero spingersi i responsabili della sicurezza e della tecnologia nel cercare di spiegare cosa sta accadendo all'interno della scatola nera?

0:17:27 Nycholas Szucko: Penso che dobbiamo avere un approccio diverso anche con tutta la tecnologia che abbiamo ora. Spesso uso la lavagna bianca per spiegazioni generiche, basi molto basilari per l'architettura, solo le cose principali. E uso sempre la base quotidiana. Esempio, solo un esempio, doppio fattore di autenticazione, doppio fattore di autenticazione. È un armadietto, due armadietti. E quando parliamo di proteggere gli strati, hai il tuo muro e il muro della strada tutti dentro la porta e la cassaforte dentro la casa. Cerca di portare questo tipo di esempi. Non sarà troppo della coda, ma fai la lavagna, fai questi esempi correlati perché chiarirà loro che quel tipo di architettura e persino gli scenari cercano di essere trasferiti anche sul lato business. Solo per fare un esempio: quando lavoravo per l'industria, avevano tutte le attrezzature necessarie per entrare in fabbrica, il casco e tutto il resto. Questo è ciò che dobbiamo fare per i nostri dati, ma il linguaggio del settore è completamente diverso dall'area finanziaria. Ora cerca di correlare questi scenari perché sarà più facile spiegarli affinché il pubblico possa capirti. E quando ti rendi conto che stanno aumentando, il numero della domanda o della domanda è più correlato. Quello che stai cercando di spiegare è quando ti rendi conto che stai avendo successo in questa comunicazione. Quando arrivi a una riunione, parli e esci senza domande o interazioni, non sarà una buona riunione e forse non verrai più invitato a stare nella stanza.

0:19:14 Emily Wearmouth: Sì, potresti uscire dalla stanza pensando a Uff. Quella me la sono cavata. Nessuno ha fatto domande. Ma in realtà è un indizio che forse non stavano interagendo con quello che dicevi e le domande spesso sono una cosa positiva.

0:19:25 Nycholas Szucko: Esatto.

0:19:26 Emily Wearmouth: Voglio parlare dell'IA agente. Quindi penso che ci sia stata una statistica di Gartner, l'ho già ricevuta entro il 2028, che stimano che il 15% delle decisioni aziendali giornaliere sarà prese autonomamente usando l'IA agente. Quindi, nel 2028, solo due anni, il 15% è una buona parte delle decisioni aziendali prese dalle macchine piuttosto che dagli esseri umani. E mi chiedevo se questa ascesa della forza lavoro agente, se state vedendo un cambiamento nel modo in cui i consigli guardano ai leader IT, li stiano guardando più come i leader HR. Il loro ruolo sta cambiando in qualche modo perché ora sono considerati i padroni di questa forza lavoro New in qualche modo?

0:20:04 Nycholas Szucko: Sì. Un esempio che stavo dicendo a un'azienda retail: riesci a immaginare che il tuo reparto approvvigionamenti sia composto solo da agenti IA e ogni agente IA abbia la propria identità, la propria carta di credito per poter prendere la decisione e finalizzare le transazioni. E quando ne parliamo nel primo episodio, dicono che no, è impossibile. No, è possibile adesso. E ridurrete il costo di troppi clienti nell'acquisto. Sì, all'inizio dobbiamo ricordare che dobbiamo aumentare l'investimento per il primo anno che è più un investimento che un ritorno, perché dobbiamo investire nella protezione dei dati per la cybersecurity e nel progetto per implementare questo tipo di dipartimento IA per te. Ma dopo sarà sorprendente quanto produttivi e le intuizioni che questo dipartimento offrirà alla tua azienda. E quando parliamo di questo tipo di approccio, il CISO, il CIO, possono svolgere un ruolo molto importante per aiutare a comprendere a fondo la tecnologia e trasferirsi al business, ma essere quelli che guideranno il progetto tenendo la mano del responsabile degli acquisti. Perché il responsabile degli acquisti conosce tutto sul dipartimento, sul processo e tutto il resto. E il CIO può insegnare come la tecnologia possa aiutare nei processi quotidiani e potrebbe essere un ottimo lavoro di squadra allineato con il business.

0:21:35 Emily Wearmouth: Sì, lavoro di squadra come l'orchestra di cui parlavi all'inizio.

0:21:38 Nycholas Szucko: Oh, buona idea.

0:21:43 Emily Wearmouth: Va bene. Cos'altro volevo interrogarti oggi? Oh, eccone uno. Quindi una frustrazione che è emersa dai team tecnici all'interno della ricerca è stata che vengono coinvolti troppo tardi nel ciclo di pianificazione strategica, decisioni già prese, prese anche all'interno delle unità di business riguardanti grandi iniziative di IA o New fornitori cloud che vengono portati nell'organizzazione e che cercano sempre di recuperare. E penso che il 63% dei leader IT abbia dichiarato di sentirsi completamente lontano dalle conversazioni strategiche che influenzano attivamente le decisioni IT. Come possono le persone partecipare molto prima a queste conversazioni? Come si fa a passare dall'essere reattivi a essere quasi consultivi, immagino, in questo senso all'interno dell'azienda?

0:22:28 Nycholas Szucko: Ricordi le nostre precedenti conversazioni parlando di servire i servizi all'altra persona, all'altro dipartimento? No, dobbiamo essere proattivi perché non cambierà da notte a giorno. Non sarà qualcosa di forzato. Ora devi coinvolgere la cybersecurity per domani. E questo è difficile. Cerca di essere proattivo, fissa un incontro, il primo incontro solo per capire il dipartimento. Secondo, solo per capire le necessità. Terzo, avere più conversazioni avanti e indietro sulle possibilità. E questa persona capirà che non sei lì per bloccare i progetti perché ricorda che molti CIO e CISO del passato hanno questo tipo di approccio. Non lancerai il prodotto, non puoi farlo. Che devi essere allineato come partner che possa favorire l'azienda, il prodotto New , ma sempre condividere il rischio e il possibile impatto. E la decisione finale, devi ricordarla, non è una tua decisione, è una decisione aziendale. Di chi è il proprietario del prodotto? Il CEO che gestisce l'azienda. Sarai davvero un ottimo allineatore se riesci a fornire quante più informazioni possibili. Aiuta in questo processo educativo per poter essere coinvolti fin dall'inizio. Ci vorrà tempo, ma devi iniziare subito. E ricordo un caso con una grande società finanziaria qui in Brasile in cui è riuscito, come dire, a infiltrarsi una persona del team di cybersecurity in ogni squadra dell'azienda. Ma sì, le competenze di questa persona per la cybersecurity che è stata infiltrata non erano le più tecniche, erano quelle con le migliori capacità di comunicazione e negoziazione. La negoziazione è un'altra abilità molto importante per tutti.

0:24:24 Emily Wearmouth: È interessante perché, quando si pensa a come sono strutturate le grandi organizzazioni, molto spesso il loro team HR ha all'interno del dipartimento un partner di business allineato ad altre unità di business e il team finanziario ha partner di business allineati al marketing, per esempio. Ma il team tech non tende a fare il business partner forse nelle organizzazioni più grandi, ma non fa business partner nello stesso modo di infiltrarsi in tutti gli altri team e avere qualcuno che lavori direttamente con loro per anticipare questi progetti in anticipo o quando iniziano a partire e influenzarli subito.

0:25:01 Nycholas Szucko: Esatto. Penso che sia un approccio davvero, davvero valido per averla. E il secondo è che il processo educativo si estende all'azienda. Non è solo nel mese della cybersicurezza a novembre che ci saranno i seminari, i relatori, devi trovare un modo per poter parlare dell'argomento su base mensile. No, solo un esempio. Quando lavoriamo in un settore, hanno un minuto per sicurezza. Quando il direttore generale dello stabilimento inizia la riunione, dicono qualcosa. Purtroppo, quando si verifica un incidente, succede un incidente. Per questo motivo, il processo o la procedura New è New questo. Avrà un addestramento nelle prossime settimane. Tutti devono essere attenti per la sicurezza di tutti qui. Perché non puoi avere un minuto per la cybersecurity. Non c'è bisogno di sicurezza, abbiamo anche per la sicurezza. Ma devi capire queste dinamiche e cercare di farne parte o mitigare. Replica lo stesso approccio perché funziona già. Non devi reinventare tutto.

0:26:07 Emily Wearmouth: Voglio parlare di, beh, qui li chiamiamo cerotti, cerotti. Non so cosa sia il portoghese per il cerotto o l'intonaco, ma è di questo che parleremo dopo.

0:26:16 Nycholas Szucko: Il cerotto ci risuona.

0:26:18 Emily Wearmouth: Il cerotto funziona. Ok, parleremo dei cerotti. La ricerca ha rilevato che spesso si verificano cerotti negli acquisti tecnologici proprio perché manca il consenso a livello senior per renderli cambiamenti più strategici che tutti sanno necessariamente. Tutti sanno che questi cerotti sono soluzioni a breve termine che cercano di risolvere un problema ma magari ne creano un altro in futuro. E la ricerca sul CIO ha rilevato che il 36% di loro, quindi un terzo, pensava che la loro azienda stesse investendo nell'infrastruttura IT ma portando comunque a cerotti invece che a soluzioni architetturali. E mi chiedevo se avessi qualche consiglio su come un leader possa aiutare a spostare quell'investimento da, ecco un problema di punti e lo risolveremo, a tenermi la mano, ti guiderò attraverso quello che potrebbe sembrare piuttosto spaventoso, ma faremo una grande modernizzazione da adulti così da poter usare meno cerotti in futuro. Come si cambia questa conversazione?

0:27:18 Nycholas Szucko: Solo un esempio per la mia carriera: lavoravo in un grande provider cloud. Inizio a lavorare un anno prima della pandemia e quando arriva, tutti devono passare al cloud il giorno dopo. E quando decidono di passare al cloud, fanno il movimento così com'è. Proprio come ci sono aerei all'interno del mio data center, io mi sposto nel cloud. Non è solo un disastro dal punto di vista della cybersecurity perché la superficie dell'attacco è molto più grande. Un piccolo problema è diventato un enorme problema. Ma il consumo, perché se operi nello stesso modo del nostro data center, la fatturazione a fine mese sarà enorme. Era la prima volta che cercavo di affrontare una situazione del genere. Quando sei un'azienda nativa nel cloud, penso sia facile perché puoi ottenere tutti i benefici. Iniziamo a programmare il cloud, i container e tutto il resto. Ma dobbiamo ricordare che molte aziende provengono dal business tradizionale. Sì, hanno una parte del business nel cloud, ma hanno molta eredità. Questo suggerimento è che dobbiamo tagliare a pezzi perché non risolveranno tutto da un giorno all'altro. No, la prima cosa che suggerisco è di inserire un piano dei livelli di cybersecurity che hai in tutta l'azienda. Il numero che ho visto in passato è che per le grandi aziende, hanno almeno 70 prodotti per proteggere l'azienda e circa 30 fornitori da supportare in questo processo, ora che abbiamo la tecnologia, ed è per questo che non possiamo avere un approccio di piattaforma da parte dei settanta operatori della cybersecurity. Forse ne avrai 30 buone, forse 20.

0:29:06 Nycholas Szucko: E con questo approccio a piattaforma, puoi iniziare a integrarti in questa architettura New, in tutto il processo, nei prodotti. E per favore, capisci che avrai forse il 5% della tecnologia che sarà nel tuo data center in un piccolo computer che non puoi aggiornare. Ma sarà in una stanza buia con molto monitoraggio per evitare che qualcuno possa entrare, senza esposizione a internet. Ma è un progetto che devi dire: siamo qui. Il progetto tra tre anni è essere presente per ridurre il rischio, aumentare l'efficienza e cercare di fare un po' di consolidamento. Perché ricorda, se hai 70 prodotti per la cybersecurity, avrai molti compartimenti stagnanti ed è impossibile collegare tutto allo stesso modo e trovare un episodio di troppi eventi.

0:29:58 Emily Wearmouth: Sì. E immagino che sia lì che si incontrano una crisi di abilità perché servono specialisti per ogni elemento del tuo stack. Incontrerai problemi di team. Sì, esatto. Quindi suppongo che tu stia dicendo di costruire una strategia di piattaforma, ma poi puoi adottare un approccio passo dopo passo spostando diverse parti dell'azienda al suo interno. Ma se hai la piattaforma giusta, col tempo puoi aggiungere elementi alla piattaforma per muoverti nella direzione giusta senza che sia uno shock importante per il sistema.

0:30:26 Nycholas Szucko: Esatto. E l'ultimo consiglio a riguardo sarebbe concentrarsi sui frutti più facili. Perché riesci a immaginare dopo tre mesi, no. Nella riunione successiva del consiglio, si dimostra già molta consolidazione, magari riducendo il costo del contratto principale o realizzando un contratto migliore perché possiamo consolidare più tecnologia allo stesso prezzo. Quando dai questa vittoria per il prossimo incontro, guadagnerai punti. Questo è un gioco di guadagnare punti per avere più spazio nella riunione e anche per ottenere più, come dire, responsabilità in questo processo.

0:31:00 Emily Wearmouth: Nel Regno Unito li chiameremmo punti per guadagnare punti con il team di leadership senior ideale.

0:31:05 Nycholas Szucko: Molto meglio.

0:31:08 Emily Wearmouth: Nychola, questa è stata una conversazione estremamente interessante e apprezzo molto, vi ho praticamente dato dei dati e avete dato un senso alle cose e ci avete dato alcuni approcci davvero costruttivi e molto pratici che i nostri ascoltatori possono adottare usando la motivazione di qualche comportamento forse negativo che il dato ci mostra, e poi come possano migliorare e migliorare le cose all'interno della loro organizzazione. Quindi apprezzo davvero tutte le intuizioni e le conoscenze che ci avete portato oggi.

0:31:35 Nycholas Szucko: No, è un piacere per me essere qui. Spero che il pubblico possa capire il mio inglese. Forse puoi mettere qualche sottotitolo qui per far capire a tutti, ma è stato fantastico averlo.

0:31:46 Emily Wearmouth: Brillante.

0:31:47 Nycholas Szucko: Grazie. E io sono praticamente qui in Brasile. Tutta la mia esperienza viene dall'America Latina e gestendo l'attività qui. Dobbiamo ricordare che siamo una regione emergente. Forse le cose che, solo a dire di non dire, le cose che condivido qui per una regione più matura, non risuoneranno. Ma possiamo sempre cogliere qualche buona intuizione per questa conversazione straordinaria. E grazie per l'opportunità, Emily.

0:32:12 Emily Wearmouth: Penso che molto di ciò che hai detto risuonerà e sarà molto utile alle aziende di tutto il mondo. Hai ascoltato il podcast Security Visionaries e io sono stata la tua conduttrice, Emily Wearmouth. Dai un'occhiata al nostro catalogo su Spotify, Apple Podcasts o YouTube per altri episodi brillanti con eccellenti esperti che forniscono altre informazioni molto utili. Sono tutti ospitati da me o dai miei co-conduttori, Max Havey e Bailey Popp. E ci vediamo la prossima volta.