Max Chan: Non giocare a fare l'avversario con la tua organizzazione di sicurezza, che faccia o meno parte del tuo gruppo. Alla fine, consideralo davvero come una tua responsabilità personale e guardalo attraverso la lente del prezzo finale. Ciò garantirà il successo. Ciò garantirà il tono giusto dall'alto verso il basso nelle organizzazioni, per garantire che tutti adottino quella vigilanza così necessaria per proteggere l'azienda.
Relatore 2: Buongiorno e benvenuti a Security Visionaries. Avete appena ascoltato l'ospite di oggi, Max Chan, direttore informatico di Avnet. Per proteggere la tua azienda e gestirla con successo, devi iniziare dall'alto. I CIO sono personalmente responsabili della comunicazione dei rischi e delle soluzioni a tutti i membri dell'organizzazione, dal dialogo con il consiglio di amministrazione alla formazione dei dipendenti. Max Chan si assicura che la sua azienda mantenga un ambiente IT solido e sicuro attraverso una comunicazione attenta. Prima di immergerci nell'intervista a Max, ecco un breve messaggio dal nostro sponsor.
Relatore 3: Il podcast Security Visionaries è realizzato dal team di Netskope. In Netskope stiamo ridefinendo la sicurezza del cloud, dei dati e della rete con una piattaforma che fornisce un accesso ottimizzato e una sicurezza zero trust per persone, dispositivi e dati ovunque si trovino. Per saperne di più su come Netskope aiuta i clienti a essere pronti a tutto nel loro percorso SASE, visita NETSKOPE.com.
Relatore 2: Senza ulteriori indugi, godetevi l'episodio 14 di Security visionaries con Max Chan, Chief Information Officer di Avnet e il vostro presentatore, Mike Anderson.
Mike Anderson: Ciao a tutti. Benvenuti all'episodio odierno del podcast Security Visionaries. Sono il vostro ospite, Mike Anderson, responsabile digitale e informatico di Netskope. Oggi sono in compagnia del mio amico e collega Max Chan, CIO di Avnet. Max, come stai oggi?
Max Chan: Mike, tutto bene, è davvero un piacere parlare con te oggi. Quando mi inviate l'invito, vi dico che non so perché sono qui, perché non mi considero in alcun modo un visionario della sicurezza. Quindi, forse potresti illuminarmi durante la conversazione di oggi.
Mike Anderson: La sicurezza è uno sport di squadra, quindi sono sicuro che avremo molto di cui parlare. La chiave è assumere nei nostri team persone competenti che sappiano come gestire il programma di sicurezza. Prima di addentrarci nell'argomento, però, per fare un po' di chiarezza, è opportuno raccontare a tutti qualcosa su Avnet, perché non tutti la conoscono. Ovviamente sì, perché ho lavorato con Avnet nel corso della mia carriera, sia come cliente che come partner. Poi, magari raccontaci anche del tuo percorso per diventare CIO.
Max Chan: Assolutamente sì. Avnet è quindi uno dei maggiori fornitori di soluzioni tecnologiche specializzato in soluzioni per la supply chain per tutte le distribuzioni tecnologiche. Ci occupiamo dell'intera catena del valore di questa soluzione tecnologica, dalla progettazione all'introduzione New prodotti, fino alla produzione di massa e alla commercializzazione. Collaboriamo con i nostri partner fornitori e con i clienti in ogni fase della loro catena del valore. Finché saremo in grado di apportare loro valore, potremo svolgere un ruolo nella loro catena di fornitura.
Mike Anderson: Fantastico. Raccontaci un po' del tuo percorso per diventare CIO. Ovviamente, all'inizio dell'estate hai ricevuto il premio CIO 100. Ho avuto la fortuna di essere lì con te quando hai ricevuto quel premio. Allora, raccontaci un po' del tuo percorso per diventare CIO, e poi approfondiremo l'argomento della sicurezza che ti è così familiare.
Max Chan: La cosa interessante è che mi considero ancora un novellino in Avnet. Lavoro in questa azienda solo da 11 anni. Avnet è attiva sul mercato da poco più di 100 anni e molti membri del team dirigenziale lavorano nell'azienda da oltre 20 anni. Quando ho iniziato a lavorare in Avnet, mi è stato chiesto di andare a Hong Kong per assumere il ruolo di CIO divisionale per l'area Asia-Pacifico. Ho ricoperto questo incarico per i primi tre anni e mezzo presso l'azienda, implementando un modello regionale per l'ERP per l'azienda locale e implementando un'istanza regionale di CRM per l'azienda. Dopo aver fatto ciò, dopo i primi tre anni e mezzo, sono tornato a Phoenix, in Arizona, per assumere un ruolo di applicazione globale che nel tempo si è evoluto in quello di CIO divisionale per le attività nelle Americhe, prima di ricevere l'offerta di lavoro di CIO globale circa quattro anni fa, quando il precedente CIO, il mio predecessore, ha lasciato l'organizzazione.
Mike Anderson: È un viaggio fantastico, sicuramente quell'esperienza internazionale mi sarà utile. Ci assicureremo di approfondire un po' questo aspetto dal punto di vista della sicurezza, perché ti garantisco che ne sai più di quanto pensi in materia di sicurezza. Prima di addentrarci nell'argomento specifico della sicurezza, so che hai ricevuto il premio CIO 100. Lo so che è fantastico. Ti piace sempre parlare dell'ottimo lavoro che sta facendo il tuo team, magari dedicando solo un minuto agli entusiasmanti progetti su cui state lavorando. Poi approfondiremo alcuni argomenti relativi alla sicurezza.
Max Chan: Come molte aziende, anche noi ci concentriamo sulle trasformazioni digitali. Vorrei approfondire un po' di più cosa questo significhi per Avnet, perché le trasformazioni digitali sono due parole che hanno significati diversi per ognuno di noi. Per quanto ci riguarda, la trasformazione digitale si compone di tre componenti chiave, la prima delle quali è l'abilitazione digitale. Questa è la tipica trasformazione digitale di cui si parla, in cui si considerano le interazioni interne ed esterne. Realizziamo un ambiente di lavoro digitale. Prendiamo in considerazione l'intelligenza artificiale, l'apprendimento automatico e l'automazione. È qui che cerchiamo di creare il massimo valore per l'organizzazione e per il business, introducendo transazioni o interazioni senza attriti, da macchina a macchina, nonché capacità che ci consentono di essere un fornitore di servizi migliore per i nostri partner fornitori e per i nostri clienti. Continui a sentirmi menzionare i partner fornitori perché sono una componente importante del nostro intero ecosistema, giusto?
Avnet opera nel settore della carta. Tutto ruota attorno al nostro fornitore. Tutto ruota attorno al cliente. Tutto ruota attorno ai dipendenti, ed è per questo che l'abilitazione digitale si sforza di creare un unico pannello di controllo, un'unica fonte di prova, un solido livello di integrazione tramite API M, microservizi che ci consentono di portare i dati a valle dove devono essere utilizzati per il consumo successivo. Ecco, questo è il primo componente fondamentale delle nostre trasformazioni digitali. Gli altri due aspetti più fondamentali per la trasformazione digitale che stiamo vivendo sono la migrazione al cloud e la modernizzazione dell'ERP. Riteniamo che questo sia un elemento fondamentale per raggiungere l'abilitazione digitale di cui parlo. L'idea in questo caso è quella di promuovere le modernizzazioni e di spostare tutto il carico di lavoro nel cloud, sfruttando le capacità intrinseche che possiamo ottenere dal cloud, a differenza di quanto facciamo qui in sede. La modernizzazione degli ERP è quello che è, come suggerisce il nome, un lungo viaggio, ma importante per il nostro successo complessivo.
Mike Anderson: Ottimo lavoro. Sono assolutamente d'accordo sul fatto che ognuno ha una definizione diversa di cosa significhi trasformazione digitale, ed è importante chiarire in termini semplici cosa ciò significhi per la propria organizzazione. Hai fatto un ottimo lavoro. Quando penso alle trasformazioni che state apportando in termini di abilitazione, API e modernizzazione del cloud, il tema di quest'anno di questo podcast è la sicurezza come sport di squadra. Perché ora che pensiamo al nostro percorso verso il cloud, dobbiamo assicurarci di avere la giusta postura di sicurezza nei nostri ambienti cloud. Dobbiamo assicurarci di non avere punti ciechi quando abilitiamo i nostri clienti e pensiamo alle API. Il CISO gestisce la politica e il programma, ma ovviamente dobbiamo integrarli nel nostro personale, non solo nell'IT, ma nell'intera organizzazione. Quindi, forse dovresti inquadrare un po'. Cosa pensi di questa sfida? E come vi assicurate che la sicurezza sia una priorità e uno sport di squadra in Avnet?
Max Chan: Mi è piaciuto come l'hai messa. La sicurezza è un compito di squadra, giusto? Mike, hai accennato prima al fatto che il CISO e il team di sicurezza stanno essenzialmente definendo la strategia, creando il quadro, assicurandoci di misurare effettivamente gli aspetti giusti in modo da poter migliorare ciò che è giusto per proteggere l'ambiente e le organizzazioni. Tuttavia, il team addetto alla sicurezza non ha le risorse necessarie per svolgere gran parte dell'esecuzione a valle. Prendiamo ad esempio una patch di vulnerabilità molto, molto semplice. Quando l'organizzazione della sicurezza identifica le aree in cui è necessario proteggere il nostro ambiente tramite patch, non disponiamo di un ampio gruppo di team di sicurezza in grado di esaminare l'intero ambiente per esaminare ciò che abbiamo e proteggerlo. Abbiamo bisogno della squadra operativa. Abbiamo bisogno che il team delle applicazioni identifichi quali sono gli aspetti critici e analizzi anche il potenziale impatto che le patch potrebbero avere sull'ambiente per poterle eseguire.
Quindi, il team di sicurezza aiuterebbe, in mancanza di un termine migliore, a gestire il programma, assicurandosi che ciò che diciamo di fare venga fatto e segnalato alle organizzazioni e aiutando a monitorarlo. L'altro aspetto è che in ogni sport solitamente abbiamo dei giocatori di riserva. Collaborare con partner fidati come Netskope e altri ci ha consentito di attingere alle risorse e ad altri attori necessari per integrare ciò di cui non avevamo bisogno per completare il lavoro nei tempi previsti. Sappiamo tutti che, dal punto di vista delle minacce alla sicurezza, ogni minuto sprecato, ogni giorno sprecato rappresenta un rischio aggiuntivo per le organizzazioni. È qui che entrano in gioco i giocatori di riserva, i partner che abbiamo incaricati di aiutarci a ridurre il rischio fornendoci risorse tempestive per svolgere il lavoro nei tempi previsti.
Mike Anderson: Apprezziamo sicuramente questa collaborazione. Quando penso al ruolo lì, se guardiamo al nostro gruppo, ovviamente alla sicurezza informatica, vediamo Gartner Research e qualsiasi sondaggio di qualsiasi società di analisi. La sicurezza è, se non la priorità numero uno, almeno la seconda in ogni agenda, perché rappresenta, come hai detto, quel rischio. Pensiamo sempre a quali siano i rischi aziendali, proprio come la catena di fornitura. Come possiamo ridurre i rischi nella nostra catena di fornitura grazie alla diversità dei fornitori?
Max Chan: Beh, con le persone di Avnet che sanno come effettuare una sostituzione completa, consentendo di avere gruppi più diversificati a cui potresti non avere accesso diretto. Ma mi dispiace, è solo una pubblicità per noi stessi.
Mike Anderson: No, ehi, è fantastico. Lo adoro. Le spine sono fantastiche. Ed è anche fantastico. So che sei sempre stato un grande sostenitore del mettere in risalto l'ottimo lavoro svolto dalla tua azienda e dai tuoi team, e questo è fantastico. Tutto questo vale anche per lo sport di squadra, perché il nostro compito spesso è quello di migliorare la squadra che ci circonda. Quando pensi ad altri CIO, che consiglio daresti loro se, se fosse la prima volta che un CIO assume questo ruolo, quale raccomandazione daresti loro in materia di sicurezza?
Max Chan: Prima di rispondere a questa domanda, penso di essere fortunato ad avere la sicurezza nel mio ambito o area di responsabilità. Molti di voi che mi stanno ascoltando potrebbero non essere d'accordo con me sul fatto che la nostra sicurezza debba essere indipendente. Ho capito. Non sono in disaccordo con questo. Tuttavia, in base alle esigenze della nostra organizzazione, sono davvero fortunato ad avere la sicurezza tra le mie responsabilità. Indipendentemente dal fatto che tu abbia o meno un responsabile della sicurezza come CIO, devi assumerti la responsabilità personale dell'organizzazione nei confronti delle altre organizzazioni dal punto di vista della sicurezza. In fin dei conti, tutto si riduce alla protezione dell'ambiente, assicurandoci di avere i processi giusti, le persone giuste, il giusto stack tecnologico. E prima parlavi di sport di squadra, Mike. La collaborazione necessaria non solo tra IT e sicurezza, ma tra la sicurezza IT e l'intera azienda per avere davvero successo nella protezione del tuo ambiente.
Quindi, non giocare un ruolo avversario con la tua organizzazione di sicurezza, indipendentemente dal fatto che faccia o meno parte del tuo gruppo. Alla fine, consideralo davvero come una tua responsabilità personale e osservalo attraverso la lente dell'azienda. Ciò garantirà il successo. Ciò garantirà il tono giusto dall'alto verso il basso nelle organizzazioni, per far sì che tutti adottino quella vigilanza tanto necessaria per proteggere l'azienda. Mike ha parlato della necessità di assumere le persone giuste. È verissimo. Come si può avere il giusto responsabile della sicurezza, il CISO, per così dire? Come puoi assicurarti di avere la strategia e la struttura giuste per supportare le organizzazioni? E quali sono le organizzazioni di supporto necessarie per tenere l'azienda al corrente di potenziali minacce e rischi per l'azienda? Quindi, il team che andrai a creare, all'interno della tua organizzazione o come organizzazione separata, è davvero fondamentale per il tuo successo, così come per il successo dell'intera azienda.
Mike Anderson: No, non potrei essere più d'accordo e hai appena accennato in gran parte al motivo per cui è così importante lavorare in modo interfunzionale all'interno dell'organizzazione. Dato che stiamo parlando di questo argomento specifico, soffermiamoci un attimo. Ho sentito qualcuno dire prima che quando il CISO starnutisce, la persona che spesso si prende il raffreddore è il responsabile delle infrastrutture, perché sei tornato al punto di patching. Sono loro che hanno le mani e i piedi per terra per andare a distribuire quelle patch e fare quel lavoro. Entrambi saranno ovviamente tuoi diretti collaboratori. Come puoi contribuire a promuovere la partnership tra queste due organizzazioni per allineare le priorità? Perché, come sappiamo, questo disallineamento si verifica quando si hanno team diversi con priorità diverse. Spesso causa attriti all'interno dell'organizzazione. Cosa stai facendo per promuovere questo allineamento tra i team e assicurarti che abbiano una partnership così stretta?
Max Chan: Penso che inizi con il tono in alto. Il modo in cui lo faccio è che, tra le mie quattro priorità strategiche per le organizzazioni IT, una di queste è la sicurezza. Mi assicuro che ogni singolo team all'interno delle organizzazioni IT, che si tratti di applicazioni IT, relazioni commerciali, infrastrutture, ecc., abbia la sicurezza e la conformità come uno dei propri obiettivi prestazionali, come uno dei propri traguardi. Ognuno di noi ha il suo ruolo per garantire il successo nel tenere a bada le minacce informatiche. Quello in alto è molto importante.
L'altra cosa importante è promuovere questa collaborazione a livello dirigenziale. Il responsabile della sicurezza, il responsabile delle applicazioni, il responsabile delle infrastrutture e il responsabile delle reti devono essere tutti allo stesso tavolo, esaminando ciò che è fondamentale per il successo dell'organizzazione, tra cui la sicurezza. Con la crescente consapevolezza della sicurezza nel settore in tutto il mondo, soprattutto negli ultimi anni, le aziende stanno diventando sempre più consapevoli della necessità di sicurezza. Infatti, abbiamo avuto partner che hanno voluto rinnovare la loro partnership con Avnet, desiderosi di comprendere meglio cosa facciamo dal punto di vista della sicurezza, per garantire la protezione nostra e loro quando abbiamo una partnership così stretta nel settore. Tutti questi elementi contribuiscono realmente a creare quella comprensione comune, quel senso comune di importanza e quella consapevolezza quando si tratta della necessità di integrare la sicurezza in tutto ciò che facciamo.
Mike Anderson: No, non potrei essere più d'accordo. Hai accennato a questa esigenza. Per quanto riguarda la catena di fornitura, diciamo sempre che se stai realizzando un prodotto e un componente non può essere spedito perché quella persona viene compromessa o viene colpita da un ransomware, ciò può avere un effetto paralizzante sulla catena di fornitura a valle. Quando pensi alla sicurezza, dovresti parlarne con i tuoi responsabili della catena di fornitura e con le organizzazioni per assicurarti che, se intendi approvvigionarti da un unico fornitore di un prodotto di base o di una materia prima, la sicurezza sia al centro di tale conversazione.
Perché se si sceglie un unico fornitore e quella persona viene compromessa, si possono avere effetti a catena e creare rischi nella generazione di fatturato, che è ovviamente uno dei rischi a cui teniamo molto. Hai accennato al fatto che l'azienda sta diventando più consapevole della sicurezza. Ovviamente, un paio di settimane fa ho sentito spesso qualcuno dire che il compito dell'organizzazione di sicurezza è bloccare i bit, mentre il compito del team dell'infrastruttura è spostarli. Ovviamente, lì c'è attrito, ma se ci pensi, la gente semplicemente non può andare da nessuna parte, non può fare nulla. Dobbiamo migliorare l'igiene del nostro personale all'interno della nostra organizzazione. Lo hai fatto per la tua struttura di reporting diretto in relazione a quell'obiettivo di sicurezza. Cosa stanno facendo i tuoi colleghi all'interno dell'organizzazione per garantire che la sicurezza sia al centro della loro attenzione quando pensano alle loro organizzazioni?
Max Chan: È qualcosa che abbiamo avviato, un programma che abbiamo avviato circa quattro anni fa, quando ho assunto il ruolo di CIO e ho ricevuto dei report sulla sicurezza. Uno degli aspetti chiave che abbiamo riconosciuto è che le persone rappresentano probabilmente la prima linea di difesa per quanto riguarda la sicurezza. Da allora abbiamo diligentemente lanciato una serie di campagne, campagne di sensibilizzazione, ecc., a tutti i livelli dell'organizzazione, a partire dal consiglio di amministrazione, passando per i dirigenti e proseguendo per tutta l'organizzazione. Cerchiamo di sensibilizzare l'opinione pubblica sul phishing, lo smishing, il malware e sui diversi canali da cui provengono, su come si stanno evolvendo e di prendere spunto da alcuni esempi reali che abbiamo visto e riproporli ai dipendenti per creare consapevolezza.
Sono davvero molto contento di vedere come ciò abbia migliorato la resilienza nel tempo nelle organizzazioni. Perché, quando abbiamo iniziato, abbiamo anche introdotto un programma di simulazione in cui volevamo avere un'idea di base di quanto le persone siano consapevoli in materia di sicurezza e di quanto facilmente possano essere indotte a cliccare sul collegamento sbagliato o a collegare un dispositivo USB intenzionalmente o involontariamente, senza sapere cosa potrebbe esserci al suo interno. Forse abbiamo esagerato nel creare così tanta consapevolezza nelle organizzazioni. Il nostro firewall umano diventa così forte che o segnalano in modo eccessivo alla sicurezza, al SOC, al centro operativo di sicurezza, tutto ciò che ritengono sospetto, oppure iniziano a raccogliere, scrivere e istruirsi a vicenda su cose come, ok, non dovresti inviare questa e-mail, perché hai un errore di ortografia. Lì hai un indirizzo sbagliato e qui un errore di battitura.
È stato divertente da vedere, ma è stata anche una bella sensazione sapere che il nostro messaggio è arrivato attraverso le organizzazioni. Ma, tornando al punto precedente, il tono ai vertici è fondamentale, ottenere l'approvazione dei vertici aziendali, far sì che tutti, i presidenti regionali, i presidenti delle BU, i leader funzionali parlino la stessa lingua. Di tanto in tanto, il responsabile della sicurezza partecipa alle assemblee cittadine per ricordare alla gente alcune cose che stanno accadendo e quanto facilmente possono essere ingannati, giusto? L'altro vantaggio di questo sito è che siamo anche in grado di evitare le truffe. Potrebbe non trattarsi necessariamente di sicurezza informatica, ma la truffa è anche una delle possibili conseguenze delle persone che sfruttano la tecnologia per cercare di farti aprire il portafoglio. Ciò ci ha permesso di ridurre il numero di truffe, il che rappresenta anche un vantaggio per le organizzazioni.
Mike Anderson: No, assolutamente. È interessante. La settimana scorsa è stato pubblicato un articolo in cui si parla di imitazioni. Non so se hai visto questo video su LinkedIn in cui le persone si spacciano per CISO. Esiste tutto questo concetto di deep fake e di fingere l'identità di qualcuno. È una minaccia in continua evoluzione. Tutte le minacce si evolvono ogni giorno in modi diversi. Questo è solo un esempio di uno dei New .
Max Chan: Sì, ho sorriso quando l'ho visto, perché tu ed io sappiamo che alcune persone hanno sfruttato LinkedIn per creare profili falsi per truffare qualcuno e potenzialmente usarlo come canale per distribuire malware o qualsiasi altra cosa, l'ultima delle quali è stata quella di impersonare un CISO. È stato molto interessante. Ricordo che continuavo a infastidire LinkedIn e a inviare loro messaggi del tipo: "Ehi, so riconoscere che si tratta di un profilo falso", molto prima che l'intelligenza artificiale fosse in grado di riconoscerlo e rimuoverlo. Quindi, in realtà, uno dei miei passatempi preferiti.
Mike Anderson: Fantastico. Beh, questo porta gli sport di squadra a un livello completamente nuovo. Sta rendendo l'ecosistema che ci circonda ancora migliore. Vorrei tornare indietro e soffermarmi sul fatto che prima hai parlato della tavola. Quando lavori in collaborazione con il tuo CISO, e ovviamente hai un CISO eccezionale, ho trascorso del tempo anche con lui. Com'è stato il dialogo con il tuo consiglio? Come si parla di sicurezza quando si parla del consiglio di amministrazione? E in che modo il tuo CISO ti ha aiutato? Ovviamente, quando si parla di sicurezza con il consiglio di amministrazione, spesso è necessario abbandonare il linguaggio tecnico. Parlami un po' di questa interazione.
Max Chan: Se sai come lavorare con il consiglio, in realtà si tratta di tre cose che vogliono sapere su qualsiasi argomento, in particolare sulla sicurezza. La prima domanda è: perché mi stai dicendo questo? Perché stai dicendo al consiglio proprio questa cosa, che si tratti di una truffa, di phishing, di ciò che sta accadendo in Ucraina, eccetera, giusto? Perché glielo diciamo? In secondo luogo, che impatto ha su Avnet come azienda? Quali sono i potenziali rischi o minacce a cui potremmo andare incontro a causa delle cose che diciamo loro? E infine, ma non meno importante, cosa stiamo facendo al riguardo? Con queste tre cose, possono quindi avere una buona idea di, okay, è qualcosa per cui devono perdere il sonno, o se Avnet, il management ha una buona padronanza della cosa.
Il CISO aiuta essenzialmente a stabilire le priorità e a esaminare tutto ciò che accade e ciò che è più importante per Avnet come organizzazione. Ovviamente, l'altra cosa che portiamo al consiglio di amministrazione, il mio CISO, è dire loro: quali sono gli indicatori critici che stiamo monitorando affinché sappiano e capiscano se stiamo andando bene, se stiamo andando bene o se stiamo facendo fatica? È così che collaboriamo per comunicare e collaborare con il consiglio di amministrazione. In caso di dubbi, ci rivolgeremo al consiglio per ottenere consigli o indicazioni. Ma è così che collaboriamo per lavorare con loro.
Mike Anderson: Fantastico. Poi, una delle domande che mi vengono poste più spesso, e per questo motivo vi farò una domanda un po' inaspettata, immagino che il vostro CEO e il vostro consiglio di amministrazione si chiedano: come facciamo a sapere che stiamo facendo abbastanza su questo argomento? Come rispondi a questa domanda? Max Chan: Io rispondo sempre di no, perché le minacce alla sicurezza o alla sicurezza informatica evolvono ogni giorno. So che nell'ambiente in cui viviamo, in tutte le cose che facciamo oggi, stiamo affrontando almeno il 75, 80, 85% di ciò che sappiamo. Tuttavia, c'è questo ulteriore 25% che è in continua evoluzione e che potrebbe presentarsi domani, dopodomani, la prossima settimana, e sul quale dobbiamo sempre tenerci aggiornati. Quindi, proviamo quello che sappiamo. Siamo sempre alla ricerca di ciò che potremmo non sapere.
A volte è proprio in questi casi che bisogna ascoltare anche il consiglio di amministrazione, perché molti dei membri del consiglio siedono in altri consigli. A volte dicono: "Ehi, ne ho sentito parlare dall'altra azienda, dall'altro consiglio di amministrazione di cui faccio parte. Cosa stiamo facendo al riguardo?" Se si tratta di cose completamente New per noi, allora va bene, le riprenderemo. Torneremo con le nostre conclusioni la prossima volta, o sì, siamo coperti, o questo è irrilevante per noi a causa di questo, questo e questo. Oppure no, non lo avevamo preso in considerazione, ma ora lo stiamo monitorando. Quindi, torniamo sempre con un piano d'azione per concludere, ma al giorno d'oggi non esiste il 100%, perché c'è sempre questo 25% residuo di cui non sappiamo mai cosa ci riserva il futuro.
Mike Anderson: No, sono d'accordo al 100%. Ho sentito questo. L'ho visto di recente in uno dei simposi IT di Gartner. Ho avuto l'opportunità di partecipare a quello in Australia. Stavano parlando di questo concetto di accordi sul livello di protezione. Tutto si riduce a quanto sei disposto a spendere in relazione a quanto stretto vuoi che sia il controllo. Perché non puoi mai arrivare al 100%, perché non c'è una cifra in dollari che puoi spendere per questo. Ma qual è la tua propensione al rischio? Dipende da quanto vuoi investire nel controllo e da quanto vuoi assicurarti che il tuo consiglio di amministrazione capisca a cosa serve questo investimento, in modo che quando succede qualcosa, non si tratti di un fallimento del controllo, purché tu rispetti il controllo. Potrebbe essere che eravamo tutti d'accordo sul fatto che questo fosse l'investimento che volevamo fare in quel contesto. Questo è il-
Max Chan: No, è un'ottima osservazione, vero? le persone stanno sfruttando la norma ISO 27001. La gente sta guardando il NIST CFS. Qualunque cosa tu faccia, sii molto consapevole e consapevole di quale sia la tua propensione al rischio, di cosa esattamente l'azienda è disposta a sacrificare o è in grado di assorbire. Da lì, elabora un programma che abbia senso per te, non per tutti gli istituti finanziari o sanitari o qualsiasi altra cosa che richieda i più alti standard di maturità in termini di sicurezza, eccetera. Ma, sulla base di ciò, e Mike, hai sollevato un punto importante, ovvero che l'allineamento con il consiglio di amministrazione, l'allineamento con la C-suite è fondamentale per garantire che abbiamo le giuste aspettative e che abbiamo la giusta scheda di valutazione per gestire il successo derivante da quel risultato.
Mike Anderson: Assolutamente, sempre. Anche qui hai sollevato un'ottima questione: non tutte le organizzazioni sono uguali. Spesso, se un membro del consiglio di amministrazione fa parte del consiglio di amministrazione di una banca o di un'organizzazione sanitaria, ma poi è nel tuo consiglio di amministrazione in qualità di produttore o di membro della catena di fornitura o della distribuzione, le dinamiche sono diverse. Quando opero lì, la posizione di rischio è diversa. Perché, dal punto di vista della produzione, voglio poter continuare a spedire il prodotto. Quindi, il rischio più grande è quello di interrompere la mia catena di fornitura e la mia capacità di generare fatturato. Mentre se fossi una banca, i dati, una violazione dei dati e la diffusione di informazioni sui tuoi dipendenti, sui tuoi clienti o sui tuoi utenti sarebbero ovviamente importanti quanto un sistema che non funziona in quel mondo. Quindi, hai perfettamente ragione.
Adoro anche il firewall umano. Abbiamo addirittura inviato delle magliette chiamate "firewall umano" ai nostri dipendenti, inviate dal nostro CISO, per promuovere questo concetto. A proposito, mi piace che tu abbia usato questo termine. Passeremo ora ad alcune previsioni future. Ma prima di farlo, vorrei dirti che ne sai molto di più sulla sicurezza di quanto pensi. Penso che tu abbia molti buoni consigli da dare a chi ascolta questo podcast su come dovrebbero considerare la sicurezza nelle loro organizzazioni. Sta davvero facendo un ottimo lavoro a tutti i livelli, quindi complimenti a te e alla tua organizzazione.
Max Chan: Grazie. Visto che Mike Anderson di Netskope mi ha scritto, sono onorato. Mike Anderson: Torniamo quindi al futuro. Qui è sempre un momento divertente. Quindi, se facciamo un salto in avanti fino alla fine del decennio, al 2030 o addirittura al 2025, in cosa pensi che i CIO avrebbero voluto investire guardando indietro?
Max Chan: Un paio di cose. Penso che questa sia una grande era nel settore tecnologico, perché da quello che abbiamo fatto negli ultimi due anni e mezzo, abbiamo così tanti dipendenti che hanno iniziato a godere del potere della libertà e del potere della tecnologia che consente tale libertà, pur continuando a essere produttivi. Questo è il momento ideale per qualsiasi CIO per pensare a una trasformazione digitale in modo molto strutturato e pertinente per le proprie organizzazioni in questo momento. Questo è il momento giusto per farlo. Cosa ha funzionato negli ultimi 10, 20, 30 anni? Chiedimelo, lo so. Siamo presenti da oltre 100 anni. Ciò che ha funzionato bene non funzionerà più nei prossimi cinque o dieci anni se non si cambia rotta, se non ci si trasforma. Quindi, la trasformazione è fondamentale. Quando parlo di trasformazione, non pensatela come un esercizio di innovazione in cui cimentarsi in qualcosa, ma non pensate mai alla scalabilità. Saranno solo hobby per il tuo team e per le tue organizzazioni.
Non appena trovi qualcosa che sai che funzionerà e cambierà il tuo modo di fare affari, il modo in cui interagisci con i tuoi clienti, i tuoi fornitori, i tuoi dipendenti o i tuoi partner strategici, devi rapidamente espanderti. La scalabilità è molto più complessa delle innovazioni. Quindi, cercate aiuto. È fondamentale cercare partner che possano aiutarti a scalare ciò di cui hai bisogno, il che mi porta anche al mio secondo punto, ovvero identificare e stabilire partnership strategiche con persone che puoi sfruttare per aiutarti a sviluppare le tue soluzioni.
Non da ultimo, non si può trascurare la sicurezza, semplicemente perché diventerà sempre più importante e importante. Ora, non sto dicendo di andare a creare un esercito di team di sicurezza, perché anche questo non è pratico. Ma se non hai un quadro di riferimento, stabiliscilo. Inizia a considerare ciò che è importante, a comprendere le esigenze, a creare consapevolezza all'interno delle organizzazioni e a promuovere un miglioramento continuo della sicurezza della tua organizzazione. Se non lo fai, i tuoi partner, i tuoi clienti, i tuoi fornitori te lo chiederanno. Se non ce l'hai, ti lasceranno.
Mike Anderson: No, è un ottimo consiglio. Uno degli aspetti da considerare quando pensiamo ai nostri team e alle nostre competenze è che anche la diversità è importante. Inoltre, man mano che si formano sempre più leader dal punto di vista del CIO, quali sono le tue idee su come promuovere la diversità all'interno dei tuoi team? Cosa state facendo per far crescere i nostri futuri leader dal punto di vista della diversità?
Max Chan: Penso che la prima cosa che tutti dobbiamo riconoscere è che la diversità si presenta in forme e modi molto diversi. Se sei ancora convinto che la diversità sia definita da una di queste due cose... so che sai di cosa sto parlando e che le persone che ascoltano capiranno di cosa si tratta, allora non riuscirai a promuovere la diversità con successo. Per me la prima cosa è la diversità di pensiero. Non circondarti di persone che sono sempre d'accordo con te. È fondamentale circondare le persone con approcci diversi, mentalità diverse, background diversi, educazione diversa, ecc. all'interno delle vostre organizzazioni di leadership. Penso che sia il numero uno.
In secondo luogo, sono davvero, davvero felice di dire che la maggior parte dei miei collaboratori diretti a livello di leadership IT lavora in azienda da almeno 10 anni o più. Tornando al punto di prima, Mike, l'opportunità interna che consente loro di passare da un ruolo all'altro nel corso degli anni e di raggiungere una posizione di leadership è il modo migliore per sviluppare leader leali e appassionati per le organizzazioni che si concentreranno sul successo delle stesse. Infine, ma non meno importante, non esitate e non abbiate paura di spostare qualcuno da un dominio all'altro. A chi si occupa di candidature, se riesce a sviluppare una passione e un interesse per l'area della sicurezza, dovrebbe essere data l'opportunità di svilupparsi tecnicamente e di cimentarsi in quell'area partendo da un livello inferiore, per vedere come cresce. Penso che sia per questo che ho avuto la fortuna di circondarmi di membri del team che hanno ricoperto ruoli diversi nel corso della loro carriera in Avnet prima di unirsi a me qui nel mio team dirigenziale.
Mike Anderson: È fantastico, e questa diversità di esperienze è sicuramente importante. Infatti, una delle cose che chiederei sempre alle persone di fare è se hanno l'opportunità di andare a lavorare all'interno di un'unità aziendale e imparare quella parte dell'attività, perché prima devono capire cosa stanno per cambiare. Non puoi semplicemente cambiare qualcosa senza prima averla compresa appieno. È qualcosa che hai fatto molto durante tutto il tuo percorso di abilitazione digitale. Quindi, sfruttare queste opportunità ed esportare talenti nell'organizzazione per poi reimportarli può anche apportare un'ulteriore diversità di esperienze che può aiutare la tua organizzazione.
Max Chan: Verissimo.
Mike Anderson: Allora, ultima domanda prima di passare ai nostri argomenti rapidi: abbiamo parlato di parole d'ordine. Una delle parole d'ordine che circola più spesso è "zero trust". Penso che tutti i fornitori di sicurezza al mondo abbiano un approccio di fiducia zero. È un termine che viene menzionato anche in Avnet? Se così fosse, come lo definiresti per le persone? Perché, ovviamente, quando il presidente emana un ordine esecutivo in cui afferma che tutti devono aderire al modello di fiducia zero, si cominciano a creare discussioni a tutti i livelli del consiglio di amministrazione. È un argomento di cui parli? E come definiresti tutto questo all'interno di Avnet?
Max Chan: Lo è, ma non perché sia una parola d'ordine che esista. Ma in realtà si tratta di un riconoscimento di come le persone lavorano oggi e in futuro. Lavoreremo con persone che preferiscono lavorare da remoto, oppure inizieremo a lavorare con risorse che non sono necessariamente a tempo pieno nelle organizzazioni. Come possiamo creare quell'ambiente che permetta a dipendenti, collaboratori o partner di essere veramente produttivi, ottenere ciò di cui hanno bisogno in modo sicuro e senza perdere il tempo, così da essere agili e rapidi nel fornire valore alle organizzazioni? È così che la penso io. Sto cercando di ridurre i tempi di consegna necessari per dare alle persone accesso ai dati giusti, alla risorsa giusta al momento opportuno, invece di essere una grande implementazione sofisticata.
Quindi, da questa prospettiva, iniziamo a considerare lo zero trust come l'approccio giusto per arrivarci. Ha anche ridotto la frustrazione che oggi le persone potrebbero avere nel dipendere dall'IT, dal team di identità, eccetera, per dover impostare un accesso specifico per accedere a una risorsa specifica. Quando non hanno un certo accesso, devono tornare indietro e riorganizzare tutto. Forse è diverso da come la gente la pensa, ma nel mio processo semplice è proprio quello che voglio raggiungere: un'esperienza utente migliore che permetta alle persone di accedere facilmente alle risorse giuste quando ne hanno bisogno.
Mike Anderson: È fantastico. Se pensiamo alla definizione di lavoro ibrido, la questione è: come posso permettere alle persone di essere sicure e produttive lavorando ovunque vogliano lavorare, che sia un ufficio, una caffetteria o una destinazione di vacanza?
Max Chan: Esatto.
Mike Anderson: Bene, ecco la parte divertente di tutto questo. Non ha nulla a che fare con la tecnologia, ma ha tutto a che fare con Max, la persona. Noi chiamiamo questo il nostro quick hit. Quindi, la prima domanda che ti pongo: qual è il miglior consiglio di leadership che tu abbia mai ricevuto?
Max Chan: Il miglior consiglio di leadership che ho ricevuto è di agire dall'istinto. Ho studiato matematica all'università, e a volte posso essere troppo analitico prima di prendere decisioni. Tuttavia, molti, molti, molti anni fa, prima di assumere un ruolo di manager o di senior leader, il consiglio che ho ricevuto è stato come si può prendere una decisione, perché nel profondo sai che è giusto, basandoti forse sul 30, 40% delle informazioni che hai. Penso che sia davvero questo che mi ha portato dove sono oggi.
Mike Anderson: No, è sicuramente ottimo, ottimo consiglio. Fidarsi del proprio istinto è sempre importante. Prossima domanda, qual è il tuo ultimo pasto?
Max Chan: Non ci avevo mai pensato, ma se mai avrò una scelta, un bicchiere d'acqua basterà.
Mike Anderson: Molto semplice, molto semplice.
Max Chan: Molto semplice. Ho origini cinesi. Crediamo di essere venuti dal nulla. Ce ne andremo senza nulla. Quindi, un bicchiere d'acqua basta.
Mike Anderson: Va bene. Devo dire che sei la prima persona ad avere questa risposta, ma è molto illuminante. Poi, l'ultima, canzone preferita, e cosa ci dice di te?
Max Chan: Devo dire "My Shot" dal musical Hamilton. Quella è la canzone a cui continuo a tornare, perché sono il tipo di persona che non ha problemi a diventare combattile e sempre affamata. È così che riesco a offrire valore alle organizzazioni senza doverne fare un dramma. Credo e mi assicuro che il mio team faccia lo stesso. Costruiamo qualcosa. Mostriamo il valore. E, facciamo in modo che l'azienda accetti prima di farne un dramma. Quindi, non mi arrendo. "My shot" di Hamilton sarebbe la mia canzone preferita di sempre.
Mike Anderson: Beh, è fantastico. Bene, Max, voglio ringraziarti tanto per aver passato del tempo con noi oggi e per aver condiviso le tue intuizioni e il tuo lavoro straordinario che tu e il tuo team state svolgendo in Avnet e anche nell'ecosistema. Quindi, grazie per questo. Grazie per il tempo.
Spero che vi sia piaciuta la conversazione di oggi con Max Chan, CIO di Avnet. Io lo so di averlo fatto. Voglio riassumere alcuni dei punti chiave da riportare. La prima è che, come CIO, non possiamo fare l'avversario con la nostra organizzazione di sicurezza. Meglio detto, dobbiamo assicurarci di dare il tono dall'alto verso il basso nell'organizzazione. Per garantire che non solo all'interno dell'IT, ma in tutta l'organizzazione, tutti lavorino per garantire la sicurezza dell'azienda. E assicurarci di avere le giuste strutture di supporto per supportare i nostri leader della sicurezza nel raggiungimento di questo obiettivo. Il secondo è che, quando parliamo con il consiglio di sicurezza, dobbiamo davvero concentrarci su tre cose: la prima è perché stiamo dicendo loro qualcosa su un evento di sicurezza? Perché dovrebbero interessargli? E quali sono i potenziali rischi e minacce che potremmo affrontare come azienda, e come influenzeranno la capacità operativa dell'azienda, dal punto di vista aziendale? E poi cosa stanno facendo nello specifico all'interno dell'organizzazione IT e di sicurezza per assicurarsi che evitiamo e preveniamo quelle potenziali minacce o rischi per la nostra azienda? E infine, si tratta davvero di rendere i nostri team più diversi. E tutto inizia costruendo la diversità nella nostra organizzazione, portando persone da background, approcci e mentalità differenti per assicurarci di avere una visione completa sulla sicurezza. In secondo luogo, vogliamo creare opportunità per le persone di muoversi nell'organizzazione, così da poter continuare a sviluppare quella diversità e sviluppare leader davvero leali e appassionati in tutta la nostra organizzazione, in realtà quei sostenitori. E infine, non aver paura di spostare qualcuno nella nostra organizzazione da un dominio all'altro, anche al di fuori dell'organizzazione IT, perché possono diventare i nostri sostenitori, specialmente per la sicurezza in altre parti dell'azienda. Quindi, spero che vi sia piaciuta la nostra conversazione con Max. Restate sintonizzati sul nostro prossimo episodio del podcast Security Visionaries. Sono Mike Anderson, il vostro conduttore, CIO e Chief Digital Officer di Netskope.
Speaker 3: Il podcast Security Visionaries è gestito dal team di Netskope. Veloce e facile da usare, la piattaforma Netskope offre accesso ottimizzato e sicurezza zero trust per persone, dispositivi e dati ovunque si trovino, aiutando i clienti a ridurre i rischi, accelerare le prestazioni e ottenere una visibilità senza pari su qualsiasi attività cloud, web o applicazione privata. Per saperne di più su come Netskope aiuta i clienti a essere pronti a tutto nel loro percorso verso la SASE, visita N-E-T-S-K-O-P-E.com.
Speaker 5: Grazie per aver ascoltato Security Visionaries. Prenditi un momento per valutare e recensire lo show e condividerlo con qualcuno che conosci e che potrebbe apprezzarlo. Restate sintonizzati per gli episodi che usciranno ogni due settimane, e ci vediamo nel prossimo.
){kind=icon}
