0:00:01.6 Max Havey: Ciao e benvenuti a un'altra edizione di Security Visionaries, un podcast dedicato al mondo dei dati informatici e delle infrastrutture tecnologiche, che riunisce esperti provenienti da tutto il mondo e da diversi settori. Sono il vostro ospite, Max Havey, e oggi parleremo dei ruoli di CIO e CISO con la nostra ospite, Jadee Hanson, CISO presso Vanta. Jadee, benvenuta allo spettacolo.
0:00:21.2 Jadee Hanson: Grazie per avermi invitato.
0:00:22.4 Max Havey: Per iniziare, puoi raccontarci qualcosa del tuo percorso professionale? So che nel corso degli anni hai lavorato per diverse aziende e hai ricoperto diversi ruoli di leadership nel campo della sicurezza. Puoi darci qualche informazione di base su questo argomento?
0:00:31.8 Jadee Hanson: Puoi scommetterci. Sì. Ho iniziato a interessarmi al mondo della cyber-informazione quando ero piuttosto giovane. In realtà ho iniziato a lavorare nel settore informatico nella mia scuola superiore, che ci crediate o no, lavoravo per il coordinatore tecnologico della mia scuola superiore. Abbiamo fatto tantissime cose diverse per la scuola. Mi ha fatto montare dei computer per risparmiare soldi per il nostro distretto scolastico, il che è stato un po' come il mio ingresso nel mondo della tecnologia e della cybersicurezza. Ho iniziato la mia carriera in Deloitte occupandomi di test di penetrazione e audit di sicurezza, ed è stato allora che ho assunto il mio primo ruolo dirigenziale. Poi mi sono trasferito alla Target Corporation, dove ho deciso di far parte di ogni funzione del team informatico. Quando finalmente ho deciso che non volevo più viaggiare così tanto e che volevo dedicarmi a un ruolo più da startup, sono passato a Code 42. Alla Target ho avuto un'introduzione al mondo delle startup perché ho svolto molte attività di due diligence per alcune delle aziende acquistate dalla Target Corp.
0:01:35.0 Jadee Hanson: Quando lavoravo per Target, in realtà abbiamo acquistato alcune piccole aziende tecnologiche della Silicon Valley. E così ho avuto una piccola introduzione al mondo delle startup e mi è piaciuta molto la cultura di questo mondo, la sua velocità e i suoi ritmi, così ho deciso di unirmi a Code 42 e ho lavorato per circa otto anni in Convery Two nel ruolo di CIO CISO, per poi passare di recente a Vanta. E Vanta è anche un'azienda di software di sicurezza e stiamo davvero sviluppando un prodotto che cambia il modo in cui le persone pensano alla sezione di governance, rischio e conformità di un programma di sicurezza.
0:02:18.6 Max Havey: Assolutamente. Quindi so che nel tuo ruolo passato hai parlato di ricoprire sia il ruolo di CIO che quello di CISO. Puoi raccontarci brevemente com'è stato destreggiarsi in questo duplice ruolo, operando sia sul fronte della tecnologia che su quello della sicurezza? So che spesso possono essere forze opposte, quindi puoi raccontarci un po' come funziona?
0:02:34.7 Jadee Hanson: Sì, penso che molti degli ascoltatori sappiano che i CIO sono sempre impegnati a promuovere investimenti New tecnologie, mentre il ruolo CISO affronta con cautela i rischi legati alle New tecnologie. E quindi la mia battuta ricorrente era che, ricoprendo entrambi i ruoli, ero in grado di avere una discussione interna con me stesso ogni giorno, ma i ruoli di CIO e il ruolo di CIO che ho ricoperto sono in realtà un ruolo di leader aziendale strategico. E credo che questo fosse il modo in cui mi vedeva il mio capo quando ero al Codice 42 a capo del team di sicurezza. Quindi, mentre ero CISO al codice 42, rispondevo direttamente al nostro CEO e ho avuto la possibilità di partecipare a molte delle decisioni strategiche aziendali che venivano prese. E credo che il mio leader di allora mi abbia visto oltre il ruolo di leader informatico e abbia riconosciuto il mio forte senso degli affari, e questo è ciò che alla fine mi ha fatto ottenere il ruolo di CIO. E penso che il ruolo di CIO e quello di CISO siano più simili di quanto probabilmente siano diversi, essendo entrambi ruoli di livello C in un'organizzazione. E a questo proposito, entrambi i ruoli dovrebbero concentrarsi su un forte senso degli affari e sulla capacità di valutare i rischi per assicurarsi di prendere le giuste decisioni tecnologiche per l'organizzazione.
0:04:01.5 Max Havey: E quindi penso di essere stato un po' prevenuto nella mia domanda precedente, ma assumendo entrambi i ruoli, ti sei imbattuto in forze opposte come quelle dei team tecnologici che cercano spesso di ottimizzare le prestazioni o quelle della sicurezza che cercano di assicurarsi che ci siano controlli adeguati? Hai riscontrato questo tipo di problemi mentre svolgevi contemporaneamente questi due ruoli?
0:04:19.9 Jadee Hanson: Sì, intendo dire che penso che si tratti di compromessi, di compromessi al 100%, e di comprendere e valutare ogni decisione tecnologica partendo da un'analisi costi-benefici e da un'analisi rischi-risultati per prendere davvero la decisione migliore, e avere entrambi i ruoli che rispondono direttamente a me. Penso che questo abbia sicuramente contribuito a colmare quel divario in Code 42 e poi anche in Vanta; i team IT rispondono direttamente a me e credo che sia un modello che molti CISO di piccole aziende hanno in atto oggi e che, a mio parere, funziona davvero bene. Se svolgi correttamente il ruolo di CISO, in ultima analisi stai cercando di identificare iniziative aziendali che favoriscano il successo dell'organizzazione, il che non è poi così diverso dal ruolo di CIO stesso. E se riesci ad allineare la funzione CISO e la funzione CIO per affrontare gli obiettivi aziendali concordati, penso che i team che lavorano sotto di te faranno un ottimo lavoro unendosi per raggiungere risultati comuni.
0:05:27.8 Max Havey: Assolutamente. E nello stesso spirito, quali sono le strategie che hai riscontrato ricoprendo questo doppio ruolo e che consiglieresti ad altri CISO che desiderano colmare questa lacuna all'interno della loro organizzazione? Che tipo di strategie o consigli daresti loro a riguardo?
0:05:40.3 Jadee Hanson: Sì. Penso che una delle strategie più efficaci che ho promosso all'interno dei team sia il concetto di processi integrati. Esistono quindi molti risultati desiderati diversi che richiedono la partecipazione della sicurezza e dell'IT e, sviluppando questo processo congiunto per ottenere i risultati, si scopre che i team si uniscono davvero. È molto simile a quanto ho detto prima in termini di ricerca di obiettivi comuni, in modo che ogni squadra sia impegnata per il risultato finale o il successo finale. Un esempio semplice potrebbe essere un processo di patching zero-day. La sicurezza ha sicuramente interesse a che le cose vengano corrette e completate, ma deve assolutamente fare affidamento sull'IT per far sì che ciò accada. Quindi, implementando un quadro e un processo in cui entrambe le parti sono coinvolte e ritenute responsabili del risultato finale, si vede che i team lavorano molto più a stretto contatto.
0:06:38.8 Max Havey: Assolutamente. Penso che anche in questo caso il termine "equa responsabilità" (o "interfunzionalità") venga spesso usato in modo improprio. La scorsa stagione il nostro tema era incentrato sul concetto di sicurezza come sport di squadra. E penso che unire tutto questo in questo modo e pensare a obiettivi comuni sia un ottimo modo per pensare alla sicurezza e alle infrastrutture come a uno sport di squadra.
Max Havey: Certamente. Si tratta dello stesso tipo di pensiero interfunzionale e di lavoro interfunzionale, pur lavorando in modo indipendente e trovando un modo per mettere insieme queste cose in modo da poterlo fare nel miglior modo possibile e ottenere il miglior risultato possibile.
0:06:55.0 Jadee Hanson: Sì, assolutamente. Influenziamo in larga parte senza autorità e quindi cerchiamo di far sì che tutti siano responsabili della sicurezza. Molte volte dico all'organizzazione Vanta che la sicurezza è responsabilità di tutti e richiede davvero la partecipazione di tutti.
0:07:14.1 Max Havey: Avendo anch'io anni di esperienza come CIO, in che modo questo influenza il modo in cui affronti il tuo ruolo di CISO ora?
0:07:21.0 Jadee Hanson: Sì, di nuovo, tornerò al concetto che il ruolo di CISO è in realtà un ruolo di leader strategico all'interno dell'organizzazione e vogliamo il meglio per l'azienda e vogliamo i migliori risultati aziendali. E questo non è diverso dal ruolo del CIO. Quindi, quando penso al ruolo di CIO, il mio compito in precedenza era scegliere la tecnologia giusta per l'organizzazione, assicurarmi che facessimo tutte le scelte di compromesso giuste e che fossimo finanziariamente responsabili. Il ruolo di CISO che ricopro oggi comprende elementi di IT, ma è davvero molto simile nel senso che, dal punto di vista della sicurezza, voglio influire nei posti giusti in modo da ottenere i giusti risultati aziendali. Voglio assicurarmi che stiamo applicando le giuste pratiche di sicurezza per assicurarci che l'evento non abbia alcun tipo di impatto collaterale. E quindi non la vedo poi così diversa. Penso che molti dei ruoli di alto livello in un'organizzazione abbiano una loro area di competenza, ma alla fine si tratta in realtà di prendere decisioni strategiche per avere un impatto positivo sull'azienda.
0:08:34.8 Max Havey: Assolutamente. In una certa misura, stai trovando modi per contribuire a prendere queste decisioni indipendentemente dal tuo ruolo, che tu sia un CISO o un CIO, stai comunque prendendo quelle decisioni a livello aziendale e contribuendo a far funzionare l'azienda nel suo complesso, indipendentemente dal fatto che tu stia parlando di sicurezza, di tecnologia o di un amalgama di entrambi.
0:08:50.5 Jadee Hanson: Sì, assolutamente.
0:08:53.8 Max Havey: Una parola che continui a ripetere e su cui vorrei quasi cliccare due volte. Mentre parli dell'idea di creare influenza tra tutti questi diversi team e di lavorare in modo interfunzionale, quali sono alcuni modi in cui crei tale influenza per cercare di aiutare le persone a comprendere meglio le esigenze, ad esempio, di un team tecnologico o di un team di sicurezza, per fargli capire perché questa è una cosa importante che dovrebbero prendere sul serio?
0:09:11.0 Jadee Hanson: Sì, penso che molto dipenda dall'approccio. Quindi, quando penso al modo in cui lavoriamo in Vanta, ci concentriamo molto sui principi di essere accessibili, di essere un partner e di collaborare e certamente non di essere il dipartimento di no, ma il dipartimento di venire da noi con un problema e aiutarci a raggiungere il miglior risultato per l'organizzazione. Penso che adottare questo tipo di approccio in tutta l'organizzazione ci consenta di ottenere il giusto impatto. Di nuovo, tornerò sul fatto che in realtà stiamo influenzando senza autorità. Non possiamo prendere decisioni in ogni organizzazione. Quindi, uno dei nostri compiti più importanti è quello di far sì che le persone influenzino correttamente l'organizzazione, fornendo loro gli aspetti formativi di cui hanno bisogno e assicurandoci di prenderci il tempo necessario per spiegarne il perché. Non tutti vedono ciò che vediamo noi dal panorama esterno. Quindi prenditi del tempo per assicurarti che capiscano che queste sono le minacce che vediamo esternamente e che potrebbero avere un impatto su ciò che stai facendo. E descriviamo tutto questo in modo tale che non ci limitiamo a dire che deve essere fatto in questo modo, ma che stiamo davvero istruendo come parte di tutto questo.
0:10:28.7 Max Havey: Quella parte relativa all'istruzione sembra particolarmente importante quando parliamo dell'idea che la figura del CISO stia diventando sempre più presente nelle sale riunioni e che stia parlando con dirigenti di livello superiore all'interno di un'azienda. Penso che essere in grado di influenzare e di istruire le persone che non sono tecniche, che non hanno quel tipo di background con la sicurezza o con la tecnologia per aiutarle a capire, penso che sia la chiave di tutto questo.
0:10:48.6 Jadee Hanson: Sì, assolutamente. Il nostro compito è in realtà quello di prendere i concetti che conosciamo e trasformarli in un linguaggio aziendale di livello superiore che abbia un impatto significativo su di loro. In che modo questo potrebbe influire sui tuoi obiettivi finali?
0:11:05.3 Max Havey: Assolutamente. E pensando un po' più in grande, più avanti, l'idea di convergenza viene discussa molto quando si parla dei ruoli di CISO e CIO. Che tipo di visione hai del futuro di questo tipo di ruoli? Quali cambiamenti pensi che riserverà il ruolo di CISO nei prossimi anni per quanto riguarda l'aspetto tecnologico?
0:11:27.3 Jadee Hanson: Per quanto riguarda la convergenza tra il ruolo di CIO e quello di CISO, vorrei innanzitutto affrontare questo aspetto. Penso che in molte aziende di piccole e medie dimensioni, il ruolo di CISO finirà per avere la responsabilità di tutto ciò. Si potrebbe quasi sostenere che si tratta in un certo senso di un ruolo combinato, senza l'aspetto di CIO nominato. Nelle aziende più grandi, penso che resteranno in gran parte separate, ma vedo un mondo in cui queste due organizzazioni lavoreranno molto a stretto contatto e saranno considerate più alla pari per quanto riguarda il futuro del ruolo di CISO nei prossimi anni. Penso sia importante ricordare che il ruolo CISO è ancora relativamente New e di livello C. Quindi penso che ci saranno continui cambiamenti man mano che le cose andranno avanti. Detto questo, penso che ci siano due cambiamenti principali che ci attendono nei prossimi anni: il primo è una maggiore importanza strategica o una maggiore responsabilità all'interno dell'organizzazione.
0:12:33.5 Jadee Hanson: Quindi i CISO stanno iniziando a essere considerati sempre più come semplici leader tecnologici in un'organizzazione e piuttosto come leader strategici dell'azienda che hanno quell'interesse collettivo per risultati aziendali positivi tra il resto del team dirigenziale. Penso che si tratti di un cambiamento radicale rispetto a quanto visto in passato. I CISO stanno iniziando a svolgere un ruolo fondamentale nel definire la strategia aziendale, bilanciando i rischi e la resilienza man mano che l'azienda cresce. E a livello aziendale vediamo quasi questa crescente importanza strategica guidata in gran parte da tutti gli aspetti di ciò che sta accadendo con la SEC e la SEC che ritiene le grandi aziende pubbliche responsabili delle azioni dei CISO e i CISO sono ora a quel livello di responsabilità per le divulgazioni chiave per i requisiti degli azionisti, il che sta certamente elevando il ruolo dei CISO portando a un ruolo molto più ampio e di maggiore impatto per quel CISO.
0:13:40.2 Jadee Hanson: Penso che il secondo tipo di cambiamento che vedo nei prossimi anni per il ruolo dei CISO sia questo spostamento del ruolo da un semplice gioco di sicurezza tra pari a quello di strategia e rischio tecnologico. Quindi un po' più di convergenza tra CIO e un po' più di convergenza tra chief risk officer. Quindi, in molti casi, gli attuali CISO ricoprono molte delle stesse responsabilità dei CIO e dei responsabili dei rischi (ne abbiamo già parlato in precedenza), ma molte responsabilità relative alle decisioni tecnologiche chiave all'interno delle organizzazioni finiscono per essere attribuite ai CISO. E poi oggi il ruolo del CISO è andato oltre la semplice sicurezza e tecnologia, ma ha anche un posto al tavolo per valutare la sicurezza man mano che soluzioni simili vengono introdotte nell'organizzazione.
0:14:32.9 Max Havey: E avere questa visibilità in prima linea se i CISO vengono ritenuti responsabili di più cose come i documenti e le divulgazioni alla SEC e cose del genere. Penso che avere una visione di questo tipo su cosa sia rischioso per la tecnologia, su quali pratiche possiamo adottare per eliminare questo rischio, avere queste cose in anticipo rispetto a quando le scopriamo mentre accadono. Penso che questa sia una strategia fondamentale per migliorare contemporaneamente la sicurezza e la tecnologia. Ho sentito dire da molti leader della sicurezza nel corso degli anni di lavoro in questo programma che avere un approccio proattivo è uno degli elementi chiave per essere un buon CISO e per avere una buona strategia di sicurezza come organizzazione.
0:15:11.1 Jadee Hanson: Sì, al 100%. Per quanto possiamo intervenire tempestivamente, esistono molti studi sui costi di un cambiamento di sicurezza in anticipo e persino del ciclo di sviluppo rispetto al tentativo di implementare un cambiamento in un prodotto dopo che è stato distribuito. E certamente il costo è incredibilmente basso se riesci a intervenire in anticipo e a influenzare le persone giuste affinché prendano le decisioni giuste, anziché dopo.
0:15:38.0 Max Havey: Assolutamente. E per concludere, cosa ti entusiasma di più, in quanto hai ricoperto ruoli di CISO e CIO nel settore della sicurezza? Cosa ti entusiasma nel vedere questo tipo di ruoli convergere e vedere le responsabilità unirsi in materia di tecnologia e sicurezza?
0:15:53.6 Jadee Hanson: Penso che la cosa che mi entusiasma dal punto di vista del CISO è che per anni abbiamo continuato a dire: "Ehi, prestate attenzione a noi" e ultimamente credo che siamo stati molto al centro dell'attenzione, molti riflettori puntati sul ruolo del CISO. E penso che in molti casi questa sia una cosa positiva. Di sicuro dobbiamo fare di più per garantire che gli enti governativi comprendano davvero a fondo il nostro territorio. Detto questo, penso che avere visibilità sul ruolo, su ciò che facciamo e su come operiamo sia davvero, davvero importante. E questo mi entusiasma. Penso anche che quello che vedo nel settore è che sempre più decisioni in materia di tecnologia stanno diventando parte integrante del ruolo del CISO. Quindi si potrebbe pensare al processo decisionale del CIO sulla tecnologia e a questa partnership con il CISO; ora si vedono i CISO guidare diversi team tecnologici e prendere decisioni nel ruolo di CISO, il che ritengo estremamente importante. Ed è davvero entusiasmante perché penso che, a questo proposito, il CISO non si limiti a resistere e a cercare di recuperare, ma faccia parte del processo decisionale.
0:17:12.8 Max Havey: Sicuramente non stanno più cercando di recuperare terreno e finalmente hanno il loro momento sotto i riflettori, il loro momento per brillare e il loro momento per guidare il gruppo.
0:17:18.0 Jadee Hanson: Assolutamente.
0:17:18.9 Max Havey: Assolutamente. Bene, Jadee, grazie mille per aver trovato il tempo di rispondermi oggi. Si è trattato di un'eccellente conversazione che ha approfondito la dicotomia tra i ruoli di CIO e CISO e il modo in cui questi convergono. Grazie mille per avermi dedicato del tempo. Lo apprezziamo davvero.
0:17:30.2 Jadee Hanson: Sì, assolutamente. Grazie mille per avermi invitato.
0:17:32.7 Max Havey: Assolutamente. E hai ascoltato il podcast Security Visionaries. Sono stato il vostro ospite, Max Havey, e se questa puntata vi è piaciuta, condividetela con un amico e iscrivetevi a Security Visionaries sulla vostra piattaforma podcast preferita. Lì potrete ascoltare il nostro catalogo di episodi precedenti e tenere d'occhio quelli New , che escono ogni due settimane, presentati da me o dalla mia co-conduttrice, la meravigliosa Emily Wearmouth. E con questo, ci vediamo al prossimo episodio.
){kind=icon}
