0:00:01.5 Bailey Harmon: Ciao e benvenuti a un altro episodio del podcast Security Visionaries, un programma in cui parliamo con leader nel settore della sicurezza e del networking su come stanno navigando con successo nel panorama in evoluzione attuale nelle rispettive organizzazioni. Sono la vostra conduttrice, Bailey Harmon, e oggi sono in compagnia di Dan Whittingham, Enterprise Security Architect per Cyber Tooling presso Rolls-Royce. Dan condividerà un po' di più in seguito, ma per chi non lo sapesse, Rolls-Royce sviluppa e fornisce soluzioni complesse di potenza e propulsione per applicazioni critiche per la sicurezza in aria, in mare e a terra. Oggi Dan è con me per condividere le sue prospettive sulle tendenze del settore e le osservazioni che sta vivendo in relazione a molti standard globali di conformità in costante evoluzione. Quindi benvenuto, Dan, iniziamoci. Parlami un po' di te e del tuo background.
0:00:56.1 Dan Whittingham: Sì, grazie Bailey. Sì, quindi sono Dan Whittingham. Ora lavoro alla Rolls-Royce da 12 anni. E una delle prime domande comuni che ricevo è: si ha un'auto aziendale, ma l'hai già coperta con l'introduzione. Voglio dire, il fatto che siamo una società di difesa che opera a livello globale, l'aerospaziale della difesa e civile, insieme ai sistemi di potenza, produrremo grandi motori a gas e diesel per terra e mare. Come ho detto, ho iniziato con la Rolls-Royce 12 anni fa. Quindi sì, ho iniziato come amministratore di sicurezza IT, poi sono passato a specialista in sicurezza IT, lavorando su progetti e così via. Poi sono passato nel ruolo di information assurance, occupandomi della governance dei dati e simili. Poi sono uscito da lì e sono passato all'architettura delle soluzioni. E recentemente ho assunto il ruolo di enterprise architect per gli strumenti informatici.
0:01:41.0 Bailey Harmon: Wow. Quindi, tra sicurezza e architettura, hai ricoperto molti ruoli diversi. Sono sicuro che con tutti questi diversi ruoli siano arrivate molte normative diverse che negli anni hai dovuto gestire e gestire a malape. So che personalmente mi viene un po' di mal di testa pensare al crescente numero di acronimi di conformità, per esempio, che sembrano in aumento. So che sono impostati per buone ragioni, ma stanno creando un po' di problema per le squadre di sicurezza come te. Quindi magari spiegami quali sono alcune delle principali normative globali con cui stai davvero lottando in questo momento?
0:02:14.1 Dan Whittingham: Sì, sono totalmente d'accordo con quella affermazione sul dare mal di testa, è sicuramente diverso ogni giorno. Quindi, per me, lavorare in un'organizzazione di difesa è molto impegnativo. E per sfida intendo che lavoro in un'organizzazione globale, collaboriamo con governi diversi, il che significa che abbiamo leggi locali e regionali differenti, oltre a lavorare per ottenere accreditamenti per garantire che possiamo candidarci per lavori futuri. E ovviamente, l'obiettivo finale è assicurarci che siamo un'azienda in crescita e sostenibile per gli anni a venire. Quindi torniamo alla tua domanda riguardo alle principali normative che stiamo esaminando e che stiamo affrontando ora. Per il Regno Unito abbiamo Cyber Essentials Plus, che è il governo britannico, abbiamo NIST 2, ERSA, CMMC, quindi è una certificazione di modello di maturità nella cybersicurezza, e ci sono tre livelli di cui parlerò più avanti. Ma per il framework CMMC, si basa sullo standard NIST 800-171. Quindi è comunque un buon insieme di linee guida, e stanno solo costruendo su quelle. E poi hai tre livelli, livello uno, livello due, livello tre. E per noi stessi, stiamo lavorando verso il livello tre, scusate, il livello due, che riguarda informazioni controllate e identificate perché operiamo e collaboriamo con l'esercito e la difesa statunitense.
0:03:27.1 Bailey Harmon: Sì. A proposito di CMMC, hai partecipato a un workshop piuttosto intenso e impegnativo l'altra settimana, giusto? Raccontami un po' di questo. Come si è influenzato questo in quello che stai facendo ora e magari ha anche aiutato a costruire un po' il morale del team mentre lavori con queste normative?
0:03:42.7 Dan Whittingham: Ci sono molte, moltissime sfide, ma per citare un paio di esempi, direi che stiamo cercando di rispettare i requisiti di conformità. Quindi abbiamo soluzioni già esistenti. Abbiamo già una grande presenza negli Stati Uniti e a Indianapolis, ma poiché abbiamo soluzioni esistenti, dobbiamo davvero rivalutare come operiamo e cosa funziona. E anche ciò che funziona per un governo potrebbe non funzionare per l'altro. Ed è proprio questo che stiamo scoprendo. Quindi è quell'equilibrio e la comprensione di ciò che dobbiamo effettivamente soddisfare dal punto di vista dei requisiti, come ho detto, noi, CMMC livello due. E anche qual è il compromesso. Dobbiamo segregare i sistemi. Abbiamo un supporto extra in atto. Abbiamo costi aggiuntivi. In alcuni casi, abbiamo prodotti e soluzioni New in arrivo, che necessitano di ulteriori investimenti. E poi dobbiamo avere queste conversazioni con la leadership IT, con i consigli di investimento. Quindi sì, è un equilibrio delicato ed è molto impegnativo. E come dicevo, tornando alla tua analogia sul mal di testa, ci sono settimane in cui sei semplicemente felice di mettere giù il telefono e passare a qualcos'altro, perché se fosse facile, chiaramente lo farebbero tutti. Ma ovviamente questo ha un effetto a catena sui costi operativi e i suoi dirigenti IT vogliono ottenere più benefici finanziari di così. Ovviamente, l'investimento IT è necessario per garantire quella crescita futura.
0:05:00.5 Bailey Harmon: Sì, è sempre un equilibrio. E adoro che tu dica compromessi perché so che personalmente è davvero difficile farlo nella mia vita e lo è ancora di più nel mondo professionale. Quindi devi avere molte competenze tecniche come dici tu, ma devi anche avere una certa empatia e una mentalità strategica per ciò di cui il business ha bisogno. Quindi, a proposito, da parte dell'interno, quale consiglio daresti a un altro responsabile della sicurezza che sta affrontando questo percorso globale di compliance come te?
0:05:30.0 Dan Whittingham: Trovo molto difficile mantenerlo in un unico pezzo, ma posso fornire tre punti che mi hanno aiutato nella mia carriera e nei programmi di lavoro come abbiamo discusso oggi intorno al CMMC. Quindi la prima cosa che direi è che la conoscenza è potere. Devi davvero capire verso cosa stai lavorando e con cosa stai lavorando. Quindi ho menzionato NIST 800-171, leggilo. Devi capire l'interpretazione perché la tua interpretazione e quella di qualcun altro, ma potrebbero essere molto distanti. Quindi capisci con cosa stai lavorando, verso cosa stai lavorando e l'ambito, quanto è grande il progetto a cui stai lavorando. E secondo, questo porta un po' a questo. Devo dire, preparati con i fatti. E la fiducia che si ottiene dal capirlo da soli, parlare con i colleghi e chiedere, cosa ne pensa? È corretto? O semplicemente scambiare idee. Ancora una volta, si tratta solo di costruire quella fiducia che quando puoi entrare in una stanza o camminare con valutatori o altri colleghi, hai la certezza che quello che dici sia effettivamente fattuale e corretto.
0:06:33.2 Dan Whittingham: E la terza che direi è circondarti delle persone giuste nella tua organizzazione, con la stessa mentalità, ma con cui puoi essere onesto. Molte persone e molte organizzazioni stanno attraversando il secondo livello CMMC o l'intero processo di accreditamento. Quindi ci saranno degli errori. Quindi, se possiamo parlare con aziende affini e proporre qualche idea su come avete affrontato la questione e, per avere un po' di senso, stiamo cercando di prendere in prestito l'oceano o dovremmo adottare un approccio diverso? Ti dà solo quella rassicurazione, credo, che in realtà siamo tutti dall'altra parte, potrebbe essere che siamo molto avanti o più avanti di quanto pensassimo all'inizio, ed è sicuramente utile avere le persone intorno a te che ti supportino in questo. Ma se analizziamo semplicemente la conoscenza è potere, e andiamo un po' più avanti nei tre punti che ho appena detto. Quindi ho detto di leggere i framework. Quindi, come interpreti i requisiti? E ci saranno parti nel loro documento che non comprenderanno appieno. Ed è qui che devi affidarti a 0.2, che è intorno, equipaggiarti con i fatti e anche 0.3 per circondarti delle persone giuste.
0:07:43.9 Dan Whittingham: Un esempio, scusa, è che non vuoi entrare in una riunione e sentirti dire qualcosa e poi farti prendere in giro. Non fa bene a nessuno. Devi essere comprensivo e chiaro sui tuoi obiettivi in quell'incontro, così da poter confrontare le persone se non è corretto. E poi tornando alla 0.2, equipaggiati con i fatti. Ho detto leggi, leggi, leggi. Purtroppo, non c'è modo di aggirare questa situazione. Devi solo leggere, leggere, leggere e capirlo. E se qualcuno potesse creare, se qualcuno ascolta questo e può trasformarlo in un audiolibro, sono sicuro che c'è una nicchia per il mercato in questo ambito. Poiché non è una lettura divertente, è piuttosto noiosa. Ma scherzi a parte, devi conoscere il materiale, capirlo a fondo in fondo, perché ti dà la fiducia per parlarne come ho già detto. E poi la terza, mentre concludo qui, è che ti circonda delle persone giuste.
0:08:43.5 Dan Whittingham: E a volte penso che lo diamo per scontato perché sono stato davvero fortunato nella mia carriera ad avere manager e colleghi che hanno creduto in me stesso e che mi hanno spinto a raggiungere i miei livelli New, ma senza farmi stagnare in quello che faccio. Così, all'inizio della chiamata, ho menzionato i titoli e i ruoli che ho ricoperto in Rolls-Royce negli ultimi 12 anni. E questo è solo grazie alle persone intorno a me che mi spingono a garantire che non solo consegni ciò per cui sono assunto, ma anche che inseguissi i miei obiettivi di carriera e tutto il resto. So che alcune persone non avranno questo lusso nella loro carriera, ma avere le persone di supporto giuste e il sistema intorno a te è fondamentale, direi, per il successo.
0:09:28.1 Bailey Harmon: Sono completamente d'accordo con te sull'aspetto del mentoring. Penso che faccia una differenza enorme quando puoi avere un sistema di supporto o anche solo per tutto il tempo che sei in azienda, una sorta di famiglia che ti aiuta a sostenere i tuoi obiettivi, che supporta l'azienda, ma che ti permette anche di fallire e fallire velocemente, imparare e darti potere per rialzarti e provare New cose. Probabilmente potremmo fare un intero segmento su questo. Sento molto fortemente di aver avuto anche leader che mi hanno dato potere. Quindi mi piace sentirlo. È difficile però quando cerchi di comunicare ai dirigenti cosa stai facendo, i progressi che stai facendo, tutti gli standard di conformità con cui lavori nel mondo, quali sono alcune conversazioni importanti che pensi che le persone nel tuo ruolo dovrebbero avere o magari stanno avendo con i loro C-suite?
0:10:16.6 Dan Whittingham: Come dicevo, molte organizzazioni grandi come Rolls-Royce stanno attraversando la stessa situazione. Quindi, mentre le organizzazioni investono in queste grandi aziende tecnologiche per fornire soluzioni di sicurezza, non stiamo parlando di centesimi o migliaia di dollari, o letteralmente centinaia di migliaia di dollari. E per me, la conversazione ruota tutto attorno al valore del prodotto. Qual è quindi il ritorno dell'investimento? È un rapporto qualità-prezzo? Quindi, come architetto, questo è il tuo pane quotidiano. Questo è ciò per cui sei incaricato: parlare con i fornitori, capire il prodotto a fondo e praticamente risciacquarlo da tutto. Ha tutte le funzionalità e tutto il resto. Perché, a livello personale, ho notato un cambiamento nell'approccio verso alcuni venditori, dove non si tratta sempre della prossima vendita. È letteralmente il focus su come hai questo investimento e come possiamo aiutarti a ottenere il massimo dal prodotto? E quindi è parlare con persone come Netskope e altri, fare ricerche e capire qual è la roadmap.
0:11:15.7 Dan Whittingham: E per me e altri architetti, è quell'orizzonte che scansiona ciò che sta arrivando nel pipeline per l'azienda, eventuali investimenti o qualsiasi cosa New su cui stanno lavorando sull'IA. Scusate, non potevamo passare un podcast senza menzionare l'IA. Quindi al momento è la cosa finale, ma fino a quel punto si tratta letteralmente di capire cosa c'è e devi solo uscire e costruire quelle relazioni. Penso che le relazioni siano fondamentali in qualsiasi business, ma il rapporto cliente-fornitore è sicuramente fondamentale in questo.
0:11:49.0 Bailey Harmon: Sì, sono assolutamente d'accordo. Quella relazione è fondamentale per la missione.
0:11:53.2 Dan Whittingham: Sì, assolutamente. In secondo luogo, direi: la soluzione soddisfa i requisiti aziendali e soddisfa i requisiti di conformità per essere superati? Stiamo parlando molto del CMMC. Quindi stiamo parlando di accreditamento di terze parti. Quindi la domanda è: è davvero così? Hai fatto tutto il lavoro e le basi per capire cosa vuole davvero l'azienda, quali sono i requisiti reali. Qual è il quadro più ampio? Quali sono gli obiettivi aziendali a breve e lungo termine? E dobbiamo davvero capire quali sono le aspirazioni imprenditoriali. Quindi non ha senso fornire una soluzione, che il fornitore non vuole portare al cloud, ma l'azienda vuole passare al cloud nel prossimo anno o altro.
0:12:31.8 Bailey Harmon: È come andare al supermercato e se vuoi comprare mele, ma il commesso si avvicina e dice: oh, abbiamo le arance in offerta. Non è la stessa cosa. Hai bisogno di qualcuno che ti dia ciò che cerchi. Mi è piaciuto anche molto quello che hai detto riguardo all'essere un sostenitore di te stesso e del tuo programma, per assicurarti di mappare le soluzioni giuste per ciò di cui l'azienda ha davvero bisogno e di essere quell'esperto nel tuo ruolo specifico, così da poter tornare all'azienda e dire: ecco come stiamo generando valore. E puoi comunicare, come abbiamo detto prima, con il tuo team di leadership. Quando sei in quella stanza, quali consigli hai, o magari una storia di come sei riuscito a mostrare con successo tutto il grande lavoro che stai facendo, ma in modo comprensibile? Perché è tanto.
0:13:18.3 Dan Whittingham: Sì, è tanto. E la mia risposta è: mantieni le cose semplici. Quindi ho una storia per te. Due anni fa sono andato a una giornata di apprendisti, a cui mi hanno chiesto di parlare, ed è stato il primo per me. Quindi i nervi erano a stallo, ma è stato incredibile. Mi è piaciuto molto. Mi ha davvero fatto uscire di nuovo dalla mia zona di comfort e mi ha spinto in quell'ambito. Quindi ho iniziato parlando in modo un po' simile a questo. Mi sono aperta e ho parlato della mia carriera nella sicurezza IT. Ed è stato bello. È stato davvero bello. Le persone nella stanza sono state molto ricettive. Hanno parecchie domande, ma non erano necessariamente le domande che mi venivano poste. È stato quando ero di nuovo seduto ad ascoltare gli altri altoparlanti e uno degli altri altoparlanti, non ricordo il nome del tipo. Ma ho imparato tantissimo in quella sessione di poche ore solo osservando. E così ci siamo presentati. Era diretto, offriva chiarezza, la grafica dipinta come mille parole, ma era davvero semplice. Dopo quel giorno, ho deciso di migliorare la comunicazione della soluzione o uno scenario che dovevo riferire alla leadership.
0:14:24.1 Dan Whittingham: Ho parlato con i miei colleghi e abbiamo messo in scena una specie di spettacolo di recitazione, sembra un po' strano, ma un po' uno scenario di Sono venuto a presentarlo, puoi darmi qualche feedback? E per quanto possa sembrare strano, ma per quanto produttivo sia stato, è stato davvero utile passare attraverso i passaggi di scrivere qualche tweet e criticare alcune aree del 'non dire questo' o aggiungere quello. E se parli faccia a faccia, dove metti le mani e cose del genere? Quindi si torna di nuovo al punto, è solo che è bello sentirsi a disagio, soprattutto in questo settore perché la sicurezza IT tutto si muove a un ritmo così veloce. Quindi è molto difficile tenere tutto sotto controllo e ottenere questo aspetto. Ma non smettere mai di imparare.
0:15:11.9 Bailey Harmon: Non smettere mai di imparare. Ed è un po' come se fossi sul campo da football con quell'iPad davanti a te e guardassi il nastro per capire come presentarti o come farlo o come comunicare la storia. E sembra che sia una piccola tattica su cui si lavora dietro, ma quando si tratta di presentare il quadro completo, fa davvero la differenza su come si realizza. E non posso sottolineare abbastanza che non smetti mai di imparare. Adoro questo punto. Ovviamente hai una grande domanda di business in Rolls-Royce di cui devi lavorare, ma alcuni di questi requisiti di cui parliamo sono piuttosto confusi. Quindi non devi solo concentrarti sui requisiti, ma stai anche pensando alla tua strategia complessiva di protezione dei dati. Cosa vorresti che più regolatori capissero della posizione in cui ti trovi con l'equilibrio di tutti questi diversi aspetti?
0:16:00.5 Dan Whittingham: Sì, vivendo e respirando questo lavoro globale di compliance, direi che negli ultimi 18 mesi vorrei che i regolatori dimostrassero una migliore comprensione. E un esempio è che in casi specifici cosa stanno effettivamente chiedendo non è davvero fattibile perché dipende dall'ambiente e dal contesto di come il controllo viene applicato. Quindi non è, per essere ovvio, troppo severo, come mettere un piolo quadrato in un foro rotondo. Quindi il secondo punto che direi riguarda la terminologia. Quindi, mentre leggi i quadri, mi sento piuttosto poco qualificato. Li leggo semplicemente. È come se dovessi letteralmente essere un avvocato o qualcuno con un alto titolo per capire davvero come e interpretare, immagino, il linguaggio comune di cosa significhi davvero? Quindi non sto dicendo di scriverlo con un accento delle Midlands del Regno Unito, ma sembra che si nascondano dietro un testo che invita a interpretazioni diverse e non siano al 100% chiari su cosa stiano effettivamente chiedendo. E perché, come ho detto prima, a seconda di chi lo legge, potrebbero avere un'interpretazione diversa. E penso che qui entriamo nelle zone grigie di cosa significhi realmente. Perché, sì, un'azienda potrebbe dire: beh, abbiamo interpretato così e così l'abbiamo fatto.
0:17:14.5 Dan Whittingham: E per un'organizzazione di difesa come la nostra, il nostro rischio è davvero alto. Quindi andiamo nella direzione opposta e diciamo, beh, sì, abbiamo messo firewall extra o qualunque cosa sia. Mentre proseguiamo in questo percorso, penso che sarebbe positivo per i regolatori uscire nel mondo reale. E non sono qui per offendere nessuno, ma è solo per esperienza personale di uscire e usare questa opportunità per parlare con aziende come la nostra mentre stiamo attraversando questi processi di conformità. Personalmente penso che aiuterebbe l'azienda, gli enti di governo e l'intera relazione, il che a sua volta dà quella fiducia alle imprese di non avere paura mentre stiamo attraversando tutto questo, perché ovviamente c'è la paura di fallire e di ottenere l'accreditamento reale, ma anche di perdere affari. Quindi non è, non è una questione minima. Direi che è davvero grande solo per mancata conformità. Ma aiuta le aziende e rassicura su questo. Ok, non è il massimo, ma questo è un percorso e questo è il tuo piano per rimediare a ciò che devi fare. Ovviamente lo stato finale per tutti è operare in modo sicuro e avere successo.
0:18:19.8 Bailey Harmon: Assolutamente. Non so, stavi parlando di scriverlo con un accento delle Midlands del Regno Unito, ma questo risale all'audiolibro. Potresti mettere tutto insieme. Hai però sollevato un punto interessante poco prima che volevo riprendere. Parlavi di AI e mi ha fatto pensare: come bilanciare la necessità di conformità ma anche assicurarti di innovare con strumenti come GenAI?
0:18:43.3 Dan Whittingham: Sì. Quindi l'IA è difficile. Ovviamente è una parola d'ordine ed è qui, è ora, tutti vogliono usarla. Quindi la pressione è alta. Userò l'analogia di che è per chiuderci, chiudere le porte, chiudere i cancelli finché non ci abituiamo e non lo capiremo per quello che è realmente. Le aziende ovviamente vogliono chiaramente partecipare e utilizzare questo perché ne derivano benefici. Ovviamente c'è il beneficio positivo e il beneficio negativo dal punto di vista dell'attore minaccioso. Dal nostro punto di vista è tutto intorno ai dati ed è lì che sta il rischio ed è lì che abbiamo un rischio di alto livello su dove vanno i nostri dati, perché sì, si tratta di schemi del motore e cose del genere. Quindi tornando alla domanda, è una sfida perché non è così semplice come sì, puoi averlo. Ecco qui. Riempiti gli stivali. Dobbiamo essere molto attenti a questo e capire cosa sia davvero e dove vanno i dati.
0:19:37.9 Bailey Harmon: Sì. Cioè, chiudi così. Capisci di cosa si tratta e dove vanno i dati, così sarai in grado di operare con successo e sicurezza per tornare al tuo altro punto. Quindi penso che sia stato il termine delle domande che avevo per la giornata. Dan, grazie mille per essere stato con noi e per aver condiviso le tue prospettive e le tue storie. Apprezziamo davvero averti con noi. Hai ascoltato il podcast Security Visionaries. Sono stata la vostra ospite, Bailey Harmon. Se ti piace questo episodio, condividilo con un amico e iscriviti così non ti perderai mai un altro. Alla prossima.
){kind=icon}
