Harvey Ewing: Quando você diz que a segurança é um esporte de equipe, você acertou em cheio. Isso é algo que precisamos ser certeiros com nossos operadores, nossos clínicos, as pessoas que dão suporte ao processo, na linha de frente, no meio e nos bastidores, além de nossos tecnólogos. Nós nos concentramos em todo esse espectro. Não acho que haja uma maneira melhor de dizer isso hoje do que dizer que tem que ser um esporte de equipe porque, como você bem sabe, o perímetro praticamente desapareceu hoje em dia. Temos que focar desde o aspecto humano até o nível mais baixo da pilha de tecnologia que temos.
Locutor 1: Olá e bem-vindos ao Security Visionaries. Trabalhar no setor de saúde traz muitos desafios, mas os dados dos pacientes são uma prioridade máxima. De médicos a operadores e técnicos, esses dados precisam permanecer seguros e privados. Harvey Ewing, diretor de informações da R1 RCM, está garantindo que todos em sua organização atuem como um firewall humano. Harvey tem mais de 25 anos de experiência em segurança cibernética, governança, risco e conformidade. Na R1 RCM, ele é responsável pela segurança, entrega e melhoria da tecnologia empresarial. O podcast Security Visionaries é promovido pela equipe da Netskope. Na Netskope, estamos redefinindo a segurança da nuvem, dos dados e da rede com uma plataforma que fornece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados onde quer que estejam. Para saber mais sobre como Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada atrevida, visite NETSKOPE.com. Aproveite esta entrevista entre Harvey Ewing e seu apresentador Mike Anderson.
Mike Anderson: Bem-vindos ao episódio de hoje do Security Visionaries. Eu sou seu anfitrião, Mike Anderson. Sou nosso diretor digital e de informações na Netskope. Hoje estamos acompanhados por Harvey Ewing, que tem uma história incrível porque começou sua carreira como líder de segurança e depois se tornou CIO. Então, enquanto falamos sobre nosso tema, segurança como um esporte de equipe, sinto que Harvey seria o melhor convidado para vir falar conosco sobre essa jornada. Então, Harvey, como vai? Conte-nos um pouco sobre sua trajetória, essa jornada e essa transição de CISO para CIO.
Harvey Ewing: Com certeza. Tudo bem, Mike. É ótimo estar aqui. Obrigado por me receber. História muito interessante. Na verdade, comecei há muitos anos no ramo empresarial, então tenho um diploma em administração. Isso se transformou rapidamente em meados dos anos noventa para segurança da informação, algo que me apaixona até hoje. Em meu último cargo na MoneyGram International, fui contratado como Diretor de Segurança da Informação. Cerca de oito meses depois de começar minha gestão, minha chefe na época, Camilla Chittle, veio até mim e disse: "Ei, gostaríamos de promovê-lo para a função de CIO, o que acho uma excelente oportunidade para unir as equipes". Fiquei um pouco reticente no começo e pensei que essa fosse uma mudança significativa. No entanto, uma coisa que ficou na minha mente foi que posso reunir alguns grupos de tecnólogos que tradicionalmente não trabalham bem juntos. Essa foi realmente a motivação pela qual aceitei o cargo de CIO da MoneyGram. Também mantive a função de CISO ao mesmo tempo, o que foi uma experiência única. Obviamente, fazer dois trabalhos pelo preço de um foi ótimo para a MoneyGram, mas também foi benéfico para mim.
Mike Anderson: Isso é ótimo. Agora você migrou para o R1, então você deixou o espaço de serviços financeiros. Eu sei que você passou um tempo na área de energia e em vários setores. Muitos dos nossos ouvintes talvez não conheçam o R1, então talvez você possa nos contar um pouco sobre o R1, o negócio em que você está hoje. Vamos nos aprofundar mais no esporte de equipe.
Harvey Ewing: Sim, com certeza. Então você está certo, grande transição dos serviços financeiros para a saúde. A R1 é uma empresa de gerenciamento de ciclo de receita e isso significa que ela ajudará organizações de saúde a otimizar a forma como cuidam do fluxo de receita de seus pacientes. Então, essencialmente, permitiremos que os profissionais de saúde se concentrem no que mais importa para eles: seus pacientes e o atendimento que estão prestando. O R1 auxiliará na admissão de pacientes, no gerenciamento dos pacientes durante todo o processo de pagamento e reivindicações, e em alguns casos também no pós-atendimento. Então, recentemente também adquirimos uma empresa que se concentrará em inteligência de receita. Então, a R1, as entidades combinadas, realmente se concentram em fornecer aos provedores de saúde a capacidade de receber pagamento pelos serviços prestados, permitindo que eles se concentrem no que mais importa: a assistência médica aos seus pacientes.
Mike Anderson: Então, se entendi direito, quando entro e pago minha conta médica, coloco meu cartão de crédito, na verdade é você quem processa meu cartão de crédito e faz as cobranças para eles.
Harvey Ewing: Isso mesmo. Então R1 auxilia dessa maneira. Isso mesmo.
Mike Anderson: Isso é ótimo. Então, imagino que a segurança será de extrema importância quando falamos sobre assistência médica e recebimento de pagamentos dos pacientes. Conheço seu CISO Cecil e temos muitas conversas boas. Fale sobre segurança e o tipo de foco que você tem nisso ao analisar os negócios da R1 e como você prioriza isso em relação a outras áreas de investimento que você está fazendo como organização?
Harvey Ewing: Sim, essa é uma ótima pergunta e algo em que o R1 está extremamente focado. Considerando a quantidade de informações às quais o R1 tem acesso com base nos serviços que fornecemos aos nossos clientes, trata-se de todo tipo de informação privada que você possa imaginar, desde PII até informações privadas de saúde e informações de pagamento quando os serviços são prestados. Então a segurança é algo que está em primeiro lugar, o que é ótimo. Há um enorme apoio na R01 para Cecil e o aspecto da segurança cibernética. Obviamente, a HIPAA é uma parte muito importante de tudo o que fazemos. Tanto a função de segurança quanto a de privacidade influenciam muito na nossa resposta. Mas direi que é algo que não podemos fazer sozinhos. Então, quando você diz que segurança é um esporte de equipe, você acertou em cheio. Isso é algo que precisamos ser certeiros com nossos operadores, nossos clínicos, as pessoas que dão suporte ao processo, na linha de frente, no meio e nos bastidores, além de nossos tecnólogos. Nós nos concentramos em todo esse espectro e não acho que haja uma maneira melhor de colocar isso hoje do que ser um esporte de equipe porque, como você bem sabe, o perímetro praticamente desapareceu hoje em dia e temos que nos concentrar desde o aspecto humano até o nível mais baixo da pilha de tecnologia que temos.
Mike Anderson: Não, com certeza. Você mencionou anteriormente que pode haver um pouco de atrito entre as equipes de segurança e talvez as outras equipes com as quais elas têm que trabalhar. Você tem Cecil responsável pela segurança, você tem a equipe de infraestrutura que é responsável por grande parte desse lado da rede e também suas equipes de aplicativos, obviamente, que precisam ser parte integrante disso. Como você está ajudando a unir essas equipes para garantir que elas estejam colaborando bem para que você possa alcançar alguns dos resultados seguros que está tentando alcançar?
Harvey Ewing: Com certeza, e essa é outra boa pergunta, Mike. O primeiro passo, assim como no MoneyGram, foi colocar a infraestrutura, a segurança e as pessoas de rede adequadas na mesma sala para garantir que estamos colaborando e compartilhando informações, além de eliminar a emoção de muitas coisas que ocorrem obviamente na infraestrutura tradicional e realmente garantir que essas equipes estejam agindo como uma equipe. Então, uma das coisas sobre as quais falo em TI é algo que chamo de conflito saudável. O que isso significa é nos esforçar para ser o melhor que podemos ser de uma maneira positiva. Quero ter certeza de que todos na equipe, não importa o nível da organização em que estejam, saibam que devem desafiar o status quo, entender que suas vozes são importantes e fazer isso de forma positiva, o que às vezes pode ser difícil. Todos os tecnólogos parecem querer pensar que são os melhores e mais inteligentes da sala, o que nem sempre é algo ruim. Mas às vezes temos que ter certeza de que estamos fazendo isso sem emoção e que as pessoas não se preocupem com alguém questionando o que fizeram ou como sempre fizemos. Acho que isso é uma coisa boa e odeio a frase "Bem, é assim que sempre fizemos", e desafiar essa frase é algo que está na base do que fazemos. O outro aspecto que você mencionou também é realmente unir os desenvolvedores de aplicativos. Muitas pessoas falam sobre mudar para a esquerda, mas na verdade não se trata de mudar para a esquerda, mas sim de mudar para a esquerda. Isso pode ser difícil porque, à medida que avançamos no processo CICD, à medida que as pessoas migram para a nuvem, à medida que a infraestrutura se torna um desafio menor na organização e não é mais um caminho crítico, podemos nos concentrar em como realmente criar um código que seja seguro? Também tenho me concentrado em reunir os desenvolvedores de aplicativos e os engenheiros de segurança de aplicativos na mesma equipe. Mesmo esses dois grupos se reportarão a pessoas diferentes. Fazê-los colaborar, garantir que estejam trabalhando juntos e, em vez de os engenheiros de segurança de aplicativos serem simplesmente pessoas que vão encontrar vulnerabilidades ou problemas no código e devolvê-los ao desenvolvedor para dizer: "Ei, você precisa consertar isso", o que pode ser difícil. É realmente garantir que os engenheiros de segurança de aplicativos sejam vistos como parceiros. Então, contratar programadores e colocá-los na equipe com um aspecto de segurança e, então, fornecer a solução aos desenvolvedores. Então você realmente move essa iteração para o lado esquerdo da equação. Agora que os desenvolvedores sabem que os engenheiros de segurança de aplicativos estão lá para trabalhar em parceria na criação do código, na produção e na implantação de um bom código juntos, você itera um pouco mais no lado esquerdo, mas realmente pisa no acelerador no lado direito. Quando a equipe estiver consolidada e entendermos que não estamos lá para apontar o dedo, não estamos lá para dizer que eles fizeram um trabalho ruim. Estamos lá apenas para corrigir o problema para que a empresa tenha certeza de que estamos implantando o melhor código possível. As coisas parecem funcionar muito, muito bem. Então, é realmente uma abordagem combinada e colaborativa, e ambas as equipes estão se esforçando para entregar o melhor código possível. Então, se você juntar todos esses aspectos, Mike, e eu sei que essa é uma resposta muito longa para sua pergunta, ela realmente quebra o aspecto emocional dela. Também é formar uma equipe que sabe que realmente vamos trabalhar juntos para ter sucesso interno, para que a empresa possa ter sucesso externo.
Mike Anderson: Tenho um amigo chamado Matt LeMay que escreveu um livro chamado Agile for Everybody, que fala sobre quebrar silos, e as pessoas se sentem confortáveis trabalhando no silo em que estão e muitas vezes elas se concentram ali. A menos que alguém diga "você tem que levantar a cabeça e trabalhar com outras pessoas", você não obterá a agilidade que realmente procura. Então é ótimo que você esteja conduzindo isso e parece que você realmente entendeu o que eu entendi quando você disse que é realmente acelerar a velocidade com que você consegue lançar os lançamentos. Porque eu imagino que você tenha visto uma redução na segurança, impedindo que as coisas entrem em produção porque ela está sendo incorporada por design, em vez de ser um portão no final que frequentemente envia as coisas de volta, às vezes ao ponto inicial, para serem rearquitetadas ou reprojetadas.
Harvey Ewing: É exatamente isso, Mike. Você acertou em cerca de cinco parágrafos a menos do que eu. Mas essa é a intenção e é exatamente o que queremos fazer, e você está certo. Em vez de iterar e voltar ao início e tentar obter uma velocidade dedicada para lidar com vulnerabilidades, quando você faz isso como parte do processo de desenvolvimento, isso realmente vai acelerar você conforme avança pelos testes e para ambientes superiores e, então, para a produção.
Mike Anderson: Tenho que imaginar, é interessante, porque você tem as duas perspectivas. Quando falo com CISOs, eles sempre falam sobre segurança, é assim, você está continuamente investindo mais dinheiro nisso e tentando descobrir: "Ok, quando isso vai se estabilizar em uma porcentagem que eu possa prever a visão do CFO", certo? Mas, ao mesmo tempo, você tem, acho que foi o CISO da McKesson que disse, estou gerando receita porque se não tivermos um bom programa de segurança, não podemos ganhar New negócios porque as pessoas não confiarão seus dados a nós. Imagino que isso tenha um grande impacto em você. Como você viu isso acontecer? Porque penso em esporte de equipe, não é só na área de TI e segurança, é toda a organização que tem essa mentalidade de segurança, porque outra pessoa vai confiar seus dados a você. Eles precisam sentir que você tem pelo menos os mesmos controles de segurança que eles, ou até melhores.
Harvey Ewing: Sim, com certeza. Mais uma vez, outro bom ponto, Mike, e é importante que sejamos trazidos para o lado comercial e de vendas dessas equipes para abordar exatamente essas questões. Obviamente, as informações com as quais estamos lidando são os tipos de informações mais sensíveis que iremos tratar para você, e eles querem ter certeza de que iremos lidar com elas adequadamente, e eu certamente posso entender o porquê. Então, o importante é sentar e garantir aos clientes que estamos fazendo a coisa certa, que estamos tendo conversas difíceis sobre como estamos lidando com os riscos hoje. Estamos olhando para o horizonte estratégico. Estamos nos certificando de que estamos evoluindo com as ameaças e riscos que existem. Acredito que, quando superarmos esse obstáculo da perspectiva tecnológica, também será nossa responsabilidade garantir que os líderes empresariais com quem trabalhamos se sintam confortáveis com a forma como lidamos com seus dados, como controlamos seus dados, como monitoramos o acesso aos dados, quem tem acesso, quando eles têm acesso e para onde eles fluem. Todos esses são aspectos muito importantes e, quando conseguimos fazer isso, nos tornamos uma vantagem competitiva para a equipe de vendas. A equipe de segurança pode entrar e garantir que abordamos as perguntas que o cliente possa ter e, então, informamos à empresa que somos um facilitador para o processo geral e que estamos combinando nossos esforços com as outras equipes da empresa e, especialmente, as equipes de vendas para entregar o que eles estão prometendo e que podemos fazer isso de forma eficaz e garantir que protegemos os dados que eles precisam manter protegidos para atender seus clientes. Podemos acessar esses dados adequadamente. Podemos fazer o nosso trabalho para que eles possam fazer o trabalho deles melhor, que é cuidar dos seus pacientes.
Mike Anderson: Isso é ótimo. Tenho que imaginar quando você olha para o seu conselho, como você está administrando isso de volta para o conselho? Porque eles também fazem parte desse esporte de equipe. Você precisa fazer com que o conselho concorde com o nível de risco que eles estão dispostos a aceitar. Se você estivesse conversando com seus colegas, considerando suas experiências como líder de segurança e TI, que tipo de conselho você daria? A, como você administra essa conversa no conselho? Então, segundo, que conselho você daria a um colega quando ele estiver pensando sobre como abordar a segurança e também sobre as perguntas que o conselho fará? São duas perguntas. Talvez leve ambos em parte.
Harvey Ewing: Sim, com certeza. Eu acho que é muito, muito importante. Qualquer tecnólogo que vai fazer uma apresentação ao conselho tem que fazer uma coisa que é fundamental na minha opinião. Isso não é falar jargão técnico, mas sim linguagem empresarial. Quando falamos sobre risco, o risco é o fator chave. Toda empresa no planeta assume algum nível de risco. R1 não é diferente. Então, entrar e conversar com o conselho tem mais a ver com o nível de risco que a empresa está disposta a aceitar. O que pode ser importante da minha perspectiva no lado cibernético pode não ser tão importante para o conselho em termos de para onde estamos indo, quanto risco eles estão dispostos a aceitar. Então, na verdade, estamos criando uma equação simples que indica o nível de risco que temos e podemos ter em uma área específica, entendendo quanto custará mitigar um nível específico de risco para chegar à quantidade de risco que o conselho deseja assumir. Eles não vão querer gastar um milhão de dólares para reduzir cem mil dólares de risco. Acho que, quando você tiver a oportunidade de montar esse algoritmo e realmente levar em conta os fatores de negócios e apresentar uma equação que será importante para o conselho, permitindo que eles tomem uma decisão sobre "Ok, aqui está nosso nível quantificável de risco, aqui está quanto acreditamos que precisamos gastar para mitigar esse nível de risco e chegar a um nível X de risco residual", eles ficarão satisfeitos ou não. Se eles não estiverem satisfeitos e quiserem reduzir ainda mais os riscos, eles podem lhe dar mais dinheiro. Eles podem dizer "Não, queremos reduzir esse risco". Incrível. Eles também podem dizer: "Não, estamos dispostos a aceitar riscos nessas áreas específicas, então queremos que você gaste menos por enquanto e talvez possamos voltar e abordar níveis adicionais de risco com mais dinheiro mais tarde". Mas é realmente importante desenvolver esse relacionamento com os membros do conselho. O conselho da R1 está muito empenhado em entender quais são os vários níveis de risco cibernético, como estamos lidando com eles, como estamos evoluindo com eles e o que eles realmente significam para os negócios. Marca e reputação são muito, muito importantes neste setor. Todos nós já enfrentamos desafios, inclusive o R1. Nós abordamos esses desafios, fizemos mudanças, tivemos que voltar e reavaliar alguns dos riscos que temos com base nas mudanças no cenário de ameaças e, tendo essas conversas e sendo transparentes, você não precisa saber todas as respostas para todas as perguntas. Não há problema em dizer: "Não, não sei, deixe-me trazer essa informação para você". Mas é fundamental que você não entre e sobrecarregue as pessoas com o velho medo, incerteza e dúvida. É entrar com informações quantificáveis com base no risco que preocupa a empresa ou enumerar os riscos dos quais ela precisa estar ciente da maneira apropriada e, então, montar uma abordagem pragmática para: aqui está o que acreditamos ser o risco, aqui está o que acreditamos ser o custo para mitigar esse risco. Isso é aceitável? Você está disposto a aceitar mais ou menos riscos? Seja qual for a resposta, podemos adaptar nossa solução com base na quantidade de risco que a empresa está disposta a aceitar e isso determina para onde iremos a partir de uma perspectiva de investimento.
Mike Anderson: Não, isso faz muito sentido. Dada essa perspectiva única, novamente em sua formação, você obviamente está muito envolvido no tópico de segurança dentro do R1. Você acha que outros CIOs e outros setores deveriam ter o mesmo nível de envolvimento? Que conselho você daria aos seus colegas sobre o nível de envolvimento que eles devem ter e o que devem fazer para ajudar suas equipes a se tornarem mais seguras em suas organizações e fazerem parte desse esporte coletivo?
Harvey Ewing: Sim, é uma pergunta muito interessante que você faz ao Mike porque eu acho que mais CIOs estão conseguindo um lugar na mesa, mais CSOs estão conseguindo um lugar na mesa e isso é muito importante porque o sucesso da segurança, de uma perspectiva tecnológica, é sempre de cima para baixo. Não é de baixo para cima. Então, é preciso começar no nível do conselho para garantir que você tenha o suporte necessário. O erro fatal que cometi no começo da minha carreira foi simplesmente entrar em campo com tanta técnica que o conselho disse: "Eu realmente não entendo o que estamos tentando resolver aqui". Então, acho que uma das maiores coisas que me ajudou foi realmente olhar para a tecnologia e a segurança através das lentes de um membro do conselho. Qual é o foco deles? Conhecer seu público, realmente assimilar questões relacionadas à tecnologia em uma apresentação de negócios, algo que seja digerível, fácil de entender e, o mais importante, que tenha impacto direto nos negócios. Isso é algo que levei um tempo para aprender, honestamente, no início da minha carreira. Quando você faz isso de uma perspectiva tecnológica, você obtém menos retorno do conselho. Eles agradecerão pela sua apresentação, mas talvez não consigam realmente assimilar os dados que você está apresentando. É importante realmente analisar esses desafios específicos pela perspectiva do negócio e se apresentar aos membros do conselho, caso você ainda não faça parte dele. Se possível, peça um tempo para conversar com os membros do conselho. Quando você tiver um assento à mesa, desenvolva esse relacionamento com os membros do conselho. Não espere até a reunião do conselho para realmente tentar definir seu relacionamento nessa curta apresentação. Entre em contato e estabeleça uma sequência recorrente de reuniões curtas com os membros do conselho responsáveis por avaliar suas solicitações e os investimentos em tecnologia e segurança que a empresa está fazendo. Quando você desenvolver esse relacionamento, quando for transparente e apresentar informações relevantes para as decisões que eles estão tentando tomar, eles procurarão você. Na minha experiência passada, quando fiz isso, se eu não tivesse um assento diretamente à mesa, os membros do conselho entravam em contato comigo diretamente fora dessas reuniões para pedir informações e falar sobre desafios específicos. Quando você tiver um assento à mesa e desenvolver esse relacionamento, essa confiança e essa transparência, eles vão valorizar isso tremendamente. Há todo tipo de mudanças acontecendo no nível executivo. O SCC está enfatizando o fato de que os conselhos precisam estar mais cientes das questões relacionadas à cibernética e que os membros do conselho precisam ter experiência e conhecimento específicos em cibernética. Então as oportunidades vão crescer. Acredito que agora é o momento de aproveitar essas vantagens e fazê-lo de uma forma pragmática que ajude os negócios e permita que os membros do conselho tomem as decisões que precisam tomar com as quais se sintam confortáveis, sabendo que estão direcionando a empresa da maneira certa, o que reduz seus riscos, o que é fundamental para você e incrivelmente benéfico para eles.
Mike Anderson: Então, vou mudar de assunto por um segundo. Sempre há insights no quadro dizendo: "Quero dizer, isso é super valioso". Então, como CIO, você sempre sabe que existem áreas para animais de estimação que você adora frequentar, como se eu fosse um cara de aplicativos por experiência. Então é como se você sempre fosse atraído pelo lado da aplicação. Você é um profissional de segurança por experiência própria, então imagine que isso tem muito a lhe oferecer. Então, obviamente, a segurança está lá. Quando você pensa sobre sua pilha de tecnologia ou os lugares em que está se concentrando, em qual área você gosta de passar o tempo?
Harvey Ewing: Nossa, outra ótima pergunta, e você está certo. Adoro mergulhar de novo quando tenho a oportunidade. Isso não acontece com frequência hoje em dia e a equipe fica bem assustadora quando faço isso, e é realmente ter ferramentas que fornecem boa visibilidade. A prevenção nem sempre é o objetivo. Sabemos que vamos falhar, então precisamos ter ferramentas que não só protejam o ser humano, mas obviamente essa é uma grande área que está crescendo, com um perímetro que está se desintegrando devido a muitos fatores na organização. Mas você precisa ter ferramentas que lhe deem visibilidade para entender e reagir ao que está acontecendo. Se você não tem essa visibilidade, você realmente não consegue abordar o que não consegue ver. Então, são as ferramentas que evoluíram ao longo dos anos que eu realmente utilizo e que me dão essa capacidade profunda de rastrear até mesmo pacotes. À medida que as coisas evoluem, Mike, estou realmente aproveitando ferramentas que vão me ajudar a assimilar dados também. Há muitos dados por aí, ferramentas que me permitem entender quais anomalias estão ocorrendo. Então, se observarmos algumas das violações que estão acontecendo e se observarmos a maneira como algumas das ameaças estão evoluindo, precisamos saber quando os usuários estão fazendo coisas que estão fora de seu comportamento normal. Acho que é bem interessante, na verdade, quando você lê alguns artigos e ouve sobre a consternação que está acontecendo com empresas chinesas que estão comprando terras agrícolas. Li um artigo recentemente em que uma dessas empresas em particular instalou antenas 5G naquelas terras agrícolas porque elas ficavam próximas ou dentro do alcance de algum outro grande provedor. Se alguém é capaz de usar essas informações e realmente conseguir acesso a corporações para usuários autorizados, como sabemos que eles estão fazendo isso? É realmente ter a visibilidade e a capacidade de dissecar o que está acontecendo no seu ambiente e saber o que está fora do normal. Essas ferramentas que me dão essa habilidade são realmente o que eu gosto de dar uma olhada. Como eu monto todo o quebra-cabeça? O que eu procuro? Como posso determinar quando alguém está se passando por um usuário avançado no ambiente? Quer dizer, é simplesmente fascinante. Há tantas áreas diferentes para visitar. Sempre há algo que você pode encontrar e procurar, algo que me apaixona e que tenho feito com várias ferramentas ao longo de toda a minha carreira.
Mike Anderson: Essa visibilidade, para onde os dados estão fluindo? Temos recebido muitas perguntas internas sobre isso por causa do que está acontecendo na Rússia e na Ucrânia e em todo o ambiente geopolítico atual. É como: "Para onde vão meus dados? Quem tem? Não quero ir aos lugares errados." Então, está correto. Se olharmos para a pilha de tecnologia, obviamente parte disso, quando você pensa sobre processos de negócios, muitas vezes também é como reduzir o atrito no processo? Porque quanto mais atrito você coloca na segurança, se a segurança não for instrumentada corretamente, isso impede que as pessoas façam seu trabalho, e isso pode criar atrito no processo. Quais são alguns exemplos de onde você está usando tecnologia para reduzir o atrito em seu negócio, seja na segurança ou em um processo ou aplicativo de negócios que você está criando? Qual é um exemplo disso em termos de redução de atrito no seu negócio?
Harvey Ewing: Sim, é uma ótima pergunta também, Mike. Acho que isso realmente foi acelerado devido à COVID e ao trabalho remoto e de casa. Acho que a COVID realmente mudou o mundo. Então acredito que a redução do atrito é dupla neste caso. Isso realmente permite que os usuários trabalhem com segurança de qualquer lugar. Esse é um benefício muito grande para as empresas. Obviamente, a retenção de talentos está sendo moldada pela maneira como oferecemos a capacidade de os usuários trabalharem. Por outro lado, é garantir que as empresas possam confiar no trabalho que está sendo feito, independentemente do dispositivo e do local. Isso é um desafio. Obviamente, isso é algo em que você e sua empresa se concentram todos os dias e é importante. Portanto, fornecer conectividade de qualquer lugar com segurança aos sistemas aos quais você precisa ter acesso 24 horas por dia, 7 dias por semana, é realmente uma das maneiras de reduzir esse atrito. Novamente, isso funciona em ambos os lados da equação, para nossos funcionários e para a empresa. Acredito firmemente que continuaremos precisando fazer isso à medida que o perímetro continua a se desgastar. Em muitos casos, encontramos talentos no mundo todo. Quando podemos oferecer essa flexibilidade aos usuários, eles ficarão mais felizes, mais produtivos, desejarão trabalhar para a empresa, terão menos probabilidade de mudar de empresa se estiverem satisfeitos e encontrarão esse nível de equilíbrio, podendo trabalhar de qualquer lugar que seja aprovado, obviamente de uma perspectiva R1 no meu caso. Mas também garantir que eles estejam fazendo o que deveriam estar fazendo. Eles só têm acesso aos sistemas aos quais deveriam ter acesso e não podem sair desses limites. Isso tem que ser transparente. Não podemos ter usuários que passam por muitos obstáculos. A segurança deve ser o mais transparente possível, sempre presente, mas não deve ser algo que o usuário saiba em um mundo perfeito. Então, quanto mais tornarmos a segurança e o acesso transparentes, mas seguros, melhor será nosso desempenho como equipe.
Mike Anderson: Isso é ótimo. É interessante, me leva de volta a um comentário que você fez antes sobre pessoas, e uma das coisas que fizemos internamente que foi emocionante foi que fizemos essas camisetas e dissemos: "Vocês são o firewall humano" para nosso pessoal. Acho que nós, se você olhar para sua organização, você falou sobre capacitar as pessoas por meio da segurança também antes, certo? TI como um facilitador, segurança como um facilitador, não um obstáculo. O que você está fazendo para ativar seu pessoal dentro do R1 para que sejam firewalls humanos para que sua empresa seja facilitadora? Quais são alguns exemplos de como você está fazendo isso?
Harvey Ewing: Estamos realmente nos concentrando nesse firewall humano e acho que essa é uma ótima maneira de colocar isso. Os usuários precisam ser treinados como qualquer outra pessoa para procurar ameaças potenciais e entender que uma parcela significativa dos ataques em organizações ocorre por meio de e-mails. Por que não devo clicar nesse link? O que preciso procurar? Por que isso é importante para a empresa? É realmente envolver os usuários de uma maneira positiva para entender que eles estão na linha de frente da segurança da empresa e que eles realmente são um alvo valioso para qualquer um que queira atacar a R1 ou qualquer empresa para a qual trabalhem. Gosto de envolver os usuários o máximo possível e realmente garantir que eles entendam por que estamos fazendo isso. Por que toda essa questão de segurança é importante? O que isso realmente tem a ver comigo? Eu só quero terminar meu trabalho. Então não é preciso impor uma tonelada de treinamento aos usuários ao mesmo tempo. Na minha opinião, é um método mais leve que funciona melhor. Quando entregamos isso aos usuários, de uma forma envolvente, gosto de oferecer treinamento de conscientização sobre segurança por meio de comédia. Há muitas ferramentas disponíveis que permitem fazer isso e acho que isso realmente funciona. Se pudermos fazer um pouco de graça de nós mesmos enquanto fazemos isso e as pessoas entenderem que elas normalmente gostam disso, elas se envolvem. Havia uma ferramenta específica que usei em uma empresa anterior que tinha dois caracteres. Um deles foi chamado de Erro Humano, o outro foi chamado de Bom Julgamento. O treinamento foi muito, muito eficaz, a ponto de eu ter camisetas estampadas com Sound Judgment e Human Error, e as pessoas adoraram a camiseta Human Error. Eles adoravam usar a camisa do erro humano na empresa e é aí que você percebe que as coisas estão dando certo e eles estão gostando. Quando você consegue rir disso, mas o treinamento faz sentido. Por que não quero usar a mesma senha em todos os sites que tenho? Por que não quero deixar meu sistema desbloqueado e ficar longe dele por um longo período de tempo? Mais uma vez, acho que zombar de algumas dessas situações e torná-las menos dramáticas foi um grande sucesso. É a mesma coisa que estamos fazendo na R1 e está realmente envolvendo as pessoas para que entendam que isso importa. Não queremos assustar você até a morte, só queremos que você avalie e entenda o quão importante isso é, e vamos nos divertir um pouco. Acho que os usuários normais gostam muito disso. Mike Anderson: Sim, eu tive essa visão na minha cabeça daquela época, antes de você ter uma senha no seu telefone, você deixava o telefone na mesa e voltava e eles mandavam mensagens de texto para seus amigos dizendo que você realmente não queria que eles enviassem aquilo. Eu simplesmente tive essa visão na minha cabeça.
Harvey Ewing: Com certeza.
Mike Anderson: Isso sempre torna tudo divertido.
Harvey Ewing: Com certeza.
Mike Anderson: Uma das coisas que tenho tentado defender é todo esse conceito de melhor cidadania digital. É como se, no final das contas, as pessoas não clicassem nas coisas que não queremos que elas cliquem. Eles não comprariam coisas que não queremos que comprem. Então, quando eles têm ideias sobre TI, tecnologia e segurança, eles as trazem para nós. Nós colaboramos juntos. Esse seria o cidadão digital perfeito. Obviamente estamos um pouco distantes disso. O que você está fazendo, em termos de segurança, talvez até mesmo não relacionados à segurança, para promover uma melhor cidadania digital dentro do R1?
Harvey Ewing: Você levantou outro ponto muito bom sobre cidadania digital, e acho que essa é uma ótima maneira de colocá-lo. Porque os dados são onipresentes e é preciso garantir que as pessoas que têm acesso autorizado aos dados façam a coisa certa com eles. Garantindo que eles o utilizem para o que precisam e somente para o que precisam. Não tente armazená-los fora das áreas aprovadas, entendendo como estamos lidando com os dados do paciente. A R1 é uma empresa que se move muito, muito rápido. Nós evoluímos muito rapidamente, temos milhares de usuários internos e, portanto, é fundamental que nossos usuários entendam que temos acesso a alguns dos dados mais sensíveis aos quais podemos ter acesso e que realmente os tratemos adequadamente. Estamos trabalhando muito diligentemente para fazer isso. A governança de dados é um universo em si. É algo que o R1 leva a sério. A maneira como estamos realmente construindo a cultura empresarial em torno de ser um bom administrador de dados é realmente fazer o que acabei de dizer. Estamos criando administradores de dados em toda a organização. Estamos treinando esses administradores de dados. Esses administradores de dados são responsáveis por selecionar dados em sua área de controle e responsabilidade. Quando você capacita as pessoas para fazer isso e as educa sobre a importância disso, os funcionários entendem. Eles entendem. Eles querem fazer a coisa certa e nós incentivamos isso, nós celebramos isso. Quando fazemos a coisa certa, reconhecemos as pessoas que cuidam bem dos dados que clientes e pacientes nos confiaram. Quando comemoramos, as pessoas embarcam. Para não ficarmos bravos com as pessoas quando elas cometem erros. Eu diria que a grande quantidade de problemas que abordamos a partir de uma perspectiva de dados não são pessoas tentando fazer coisas maliciosas ou tentando ser rápidas e fazer seu trabalho. Nós realmente trabalhamos com as pessoas para educar e ajudar a corrigir alguns dos comportamentos que elas podem estar exibindo e que podem não estar alinhados com a forma como deveríamos proteger esses dados. Mas quando o fazem, nós comemoramos e recompensamos as pessoas por isso. Isso realmente gera confiança no ambiente e engajamento conosco, porque não vamos aparecer e dizer que você está com problemas ou fazer algo para dificultar seu trabalho. Comemoraremos quando tivermos essas vitórias e então as pessoas ficarão encorajadas e continuarão a tratar os dados da maneira que devem. Então, é realmente esse engajamento, fazer as pessoas entenderem por que fazemos o que fazemos, como isso é importante e, então, recompensar esse sucesso e o impulso criado a partir daí.
Mike Anderson: Sim, definitivamente a cenoura sempre funciona muito melhor do que o castigo nesse sentido. Quando você consegue reconhecer os comportamentos que deseja que as pessoas tenham e destacá-los, isso faz com que outras pessoas queiram fazer o mesmo. Então, é ótimo que você esteja fazendo isso. Essa é uma ótima maneira de fazer isso. Isso funciona em todas as facetas da vida. Eu tento fazer com que meus filhos façam isso também. "Ei, esse é realmente um ótimo trabalho. Vou recompensá-lo por esse bom comportamento", em vez de "Você não deveria ter feito isso", e isso nunca funciona da mesma maneira. Essa mesma psicologia funciona com nosso povo. Vou mudar de assunto por um segundo. É interessante. Eu já tinha ouvido algumas coisas, mas no começo da pandemia, quando eu estava na Schneider Electric, nosso presidente disse: "Minha bola de cristal está quebrada e eu não consigo realmente entender o que... ela não está me dizendo claramente o que o futuro reserva." Então, se fôssemos avançar no tempo como estamos agora, se olhássemos para o futuro, em quais áreas você acha que os CIOs e líderes de tecnologia deveriam investir hoje para estarem prontos para o futuro?
Harvey Ewing: Uau. Essa é muito difícil, Mike. Tenho certeza de que, quando eu voltar e analisar essa série daqui a alguns anos, vou rir de mim mesmo e dizer: "Nossa, eu estava tão errado". Mas vou dar o meu melhor. Acho que isso remonta à capacidade de normalizar o comportamento. Harvey está fazendo o que Harvey deveria estar fazendo de maneira normal? Ele está indo além dos limites do que normalmente faz, do que faz quando está trabalhando? Acho que isso vai ser muito importante. Também acredito que IA e ML serão um desafio realmente interessante e acredito que a pilha de tecnologia tradicional que temos hoje será realmente impulsionada não apenas por tecnologias emergentes como Quantum, mas também por avanços em IA e ML. Quando você é um humano lutando contra um algoritmo realmente complexo que vai pensar um pouco mais rápido que você, como você consegue acompanhar? Então, precisaremos de ferramentas e criptografia que sejam resistentes à tecnologia quântica. Precisaremos de ferramentas que consigam evoluir com estratégias de IA e ML. Como podemos nos manter em pé de igualdade com a IA e o ML projetados para fins maliciosos? Acho que isso vai ser fascinante. Então, se eu pudesse dar um salto para o futuro, entenderia: "Ok, como posso acompanhar os avanços no lado malicioso da tecnologia? Como posso proteger sistemas que serão facilmente quebrados no futuro?" Então, acho que seria nessas áreas que eu realmente gostaria de ter as ferramentas e o foco.
Mike Anderson: Acho que você também está certo, e isso também se torna uma parte crescente do nosso cenário de ameaças. Um tópico que está surgindo muito. É algo que a imprensa publica em todos os lugares. Eu sei que você e eu já conversamos sobre isso antes. A Zero Trust surge o tempo todo. Continuaremos falando sobre Zero Trust daqui a três ou cinco anos? Como isso se relaciona com a maneira como as empresas estão construindo estratégias de proteção de dados? O que você pensa sobre o tópico Zero Trust em geral e como você acha que isso vai evoluir à medida que pensamos em proteger dados?
Harvey Ewing: Sim, acho que é essencial, Mike. Zero Trust é algo que absolutamente precisa ser feito no futuro por muitos dos motivos que falamos aqui nos últimos minutos. As pessoas ainda precisarão de acesso a informações confidenciais para fazer seu trabalho, mas como saber se autorizamos a pessoa certa? Se estivermos em uma força de trabalho remota ou em algum tipo de ambiente híbrido, como realmente saber se estou dando autoridade às pessoas certas? Zero Trust é ótimo, é fácil falar e muito difícil fazer. Acredito que será necessário um ecossistema de ferramentas para nos ajudar a chegar lá. Acredito que muitas das proteções nas quais a Netskope está trabalhando serão realmente essenciais. Acredito que será necessária uma estratégia para viabilizar a confiança zero no longo prazo. Teremos que continuar a nos adaptar para entender como autorizar adequadamente. Acredito que essa é a única maneira de podermos dar acesso a dados confidenciais, propriedade intelectual ou outros tipos de sistemas que exigem autorização. Não há realmente outra maneira de fazer isso, pois o perímetro acabará desaparecendo no futuro.
Mike Anderson: Essas foram percepções incríveis e realmente aprecio o tempo que você dedicou a elas. Então, tenho algumas dicas rápidas para vocês aqui enquanto encerramos o segmento. Então isso vai ser divertido. Peguei isso da Brene Brown porque sou um grande fã do podcast dela. Então, vamos tentar passar por isso. Então, perguntas rápidas para você. Qual foi o melhor conselho de liderança que você já recebeu?
Harvey Ewing: Meu Deus. É algo que tento adicionar todos os dias. Eu falho quase todos os dias, mas isso está tirando a emoção. Tente enfrentar os desafios difíceis com o mínimo de emoção e o máximo de pragmatismo que puder.
Mike Anderson: Esse é um ótimo conselho. Qual seria sua última refeição?
Harvey Ewing: Meu Deus. Acho que vou ter que dizer o maior bife que consegui encontrar.
Mike Anderson: Ei, sabe de uma coisa? Teremos que ir comer um bife algum dia. Então, obrigado por participar do nosso podcast hoje. Isso vai ser um amor.
Harvey Ewing: Parece bom.
Mike Anderson: Teremos suores de carne por dias. Vai ser ótimo.
Harvey Ewing: Isso parece ótimo.
Mike Anderson: Essa vai te deixar perplexo. Música favorita e o que isso nos diz sobre você?
Harvey Ewing: Acho que tenho duas. Um é do The Youth, Hank Williams Jr, Cowboy Can Survive. O outro é Tears for Fears, todo mundo quer dominar o mundo. So Country Boy Can Survive é um exemplo da minha juventude. Posso superar qualquer coisa porque sou à prova de balas. Então, quando fiz a transição para cibernética, infraestrutura e entrega, todos querem dominar o mundo.
Mike Anderson: Isso é ótimo. Tudo bem. Qual foi o último livro que você leu?
Harvey Ewing: Liderança Servidora é realmente o último livro de negócios que li. A maior parte das outras coisas é apenas acompanhar coisas que evoluem muito mais rapidamente no lado cibernético. Então, não sou um grande leitor de livros, sou mais um consumidor de informações que mudam rapidamente. Então, essa é uma pergunta difícil para mim do lado corporativo. Mas liderança servidora é algo muito importante para mim.
Mike Anderson: Isso é ótimo. Tudo bem, última pergunta. Quem você mais admira e por quê?
Harvey Ewing: Muitas respostas para essa pergunta. Essa eu vou ter que ir com a minha esposa. Sem ela, eu não estaria onde estou hoje. Ela é minha maior apoiadora, aquela que me mantém firme e forte e realmente me permite fazer tudo o que faço todos os dias. Então não conseguiria fazer isso sem ela.
Mike Anderson: Ah, isso é ótimo. Bem, Harvey, eu realmente aprecio você ter dedicado seu tempo para conversar com nossos ouvintes hoje. Antes de irmos, há alguma coisa, algum último pensamento ou coisa que você gostaria de compartilhar com nossos ouvintes antes de encerrarmos?
Harvey Ewing: Agradeço a todos, agradeço o tempo, Mike. Acredito que, do ponto de vista da segurança, basta manter a fé e seguir em frente, porque se não fosse por toda a tecnologia e os profissionais de segurança disponíveis, os negócios não existiriam hoje. Então tudo o que eles fazem é importante e eu aprecio seus esforços.
Mike Anderson: Bem, obrigado, sempre. Esse é um ótimo conselho e agradecemos sua visita.
Harvey Ewing: Obrigado, Mike. Agradeço.
Mike Anderson: Obrigado por sintonizar o podcast Security Visionaries de hoje com meu convidado especial Harvey Ewing. Gosto sempre de deixar algumas conclusões importantes da nossa conversa. Então, as três coisas que aprendi na conversa com Harvey hoje, a primeira e mais importante, é que "shift left" e "nós deslocamos para a esquerda", isso realmente traz segurança ao processo de design, ao processo de desenvolvimento em torno de como criamos aplicativos. Porque não queremos que a segurança seja um portão no final que retarda a inovação e o ritmo com que podemos implementar New recursos para nossos usuários e clientes. Segundo, temos que colocar o quadro on-line com segurança. Temos que garantir que eles entendam por que a segurança é importante e temos que fazer isso de maneiras que eles possam entender. Temos que falar em termos leigos. Na melhor das hipóteses, é sempre bom usar analogias. Como apresentamos a segurança em termos que o conselho irá entender, ou seja, qual é meu apetite por risco? A última lição é transparência, honestamente tudo é fundamental. Temos que ser transparentes com nossos funcionários sobre como esperamos que eles trabalhem. É híbrido? Como esperamos que eles funcionem do ponto de vista da segurança? Temos que definir expectativas e ser transparentes sobre essas coisas com nossos funcionários. Espero que você tenha aproveitado nossa conversa de hoje com Harvey Ewing. Eu sei que sim, e estou ansioso para que você se junte a nós e ouça nosso próximo episódio do podcast Security Visionaries.
Locutor 2: O podcast Security Visionaries é oferecido pela equipe da Netskope, rápido e fácil de usar. A plataforma Netskope fornece acesso otimizado e segurança Zero Trust para pessoas, dispositivos e dados onde quer que estejam. Ajudando os clientes a reduzir riscos, acelerar o desempenho e obter visibilidade incomparável em qualquer atividade de aplicativo privado, na nuvem ou na web. Para saber mais sobre como Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada atrevida, visite NETSKOPE.com.
Locutor 3: Obrigado por ouvir os visionários da segurança. Por favor, reserve um momento para avaliar e comentar o programa e compartilhe com alguém que você conhece e que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas. Nos vemos no próximo.
){kind=icon}
