0:00:01.5 Bailey Harmon: Olá, bem-vindo a mais um episódio do podcast Security Visionaries, um programa em que conversamos com líderes da área de segurança e redes sobre como eles estão lidando com sucesso com o cenário atual em constante mudança em suas respectivas organizações. Sou sua anfitriã, Bailey Harmon, e hoje tenho a companhia de Dan Whittingham, arquiteto de segurança empresarial para ferramentas cibernéticas da Rolls-Royce. Dan compartilhará um pouco mais tarde, mas para quem não sabe, a Rolls-Royce desenvolve e fornece soluções complexas de energia e propulsão para aplicações críticas de segurança no ar, no mar e na terra. Hoje, Dan está se juntando a mim para compartilhar suas perspectivas sobre as tendências e observações do setor que ele vem experimentando no que diz respeito a muitos padrões globais de conformidade que estão em constante evolução. Então, bem-vindo, Dan, vamos começar. Conte-me um pouco sobre você e sua formação.
0:00:56.1 Dan Whittingham: Sim, obrigado Bailey. Sim, então eu sou Dan Whittingham. Já trabalho na Rolls-Royce há 12 anos. E uma das primeiras perguntas comuns que recebo é se você compra um carro da empresa, mas você já resolveu isso com a introdução. Quero dizer, o fato de sermos uma empresa de defesa que opera globalmente, a defesa e a indústria aeroespacial civil, junto com os sistemas de energia, fabricaremos grandes motores a gás e diesel para terra e mar. Então, como eu disse, comecei a usar a Rolls-Royce há 12 anos. Então, sim, comecei como administrador de segurança de TI, fui especialista em segurança de TI, trabalhando com projetos e tudo mais. Depois, assumi a função de garantia da informação, analisando a governança de dados e tudo mais. E então eu saí disso e entrei na arquitetura de soluções. Recentemente, assumi a função de arquiteto corporativo de ferramentas cibernéticas.
0:01:41.0 Bailey Harmon: Uau. Então, em segurança e arquitetura, você já usou muitos chapéus diferentes. Tenho certeza de que, com todos esses chapéus diferentes, surgiram muitas regulamentações diferentes que você teve que contornar e gerenciar ao longo dos anos. Sei que, pessoalmente, fico com dor de cabeça pensando no número crescente de siglas de conformidade, por exemplo, que parecem estar aumentando. Sei que eles foram criados por um bom motivo, mas estão causando um pouco de dor para equipes de segurança como você. Então, talvez me explique, quais são algumas das principais regulamentações globais que você realmente está meio que confundindo agora?
0:02:14.1 Dan Whittingham: Sim, eu concordo totalmente com essa afirmação sobre dar dor de cabeça, é definitivamente diferente a cada dia. Então, para mim, trabalhar em uma organização de defesa, é muito desafiador. E o que quero dizer com desafio é que trabalho em uma organização global, trabalhamos com governos diferentes, o que significa que temos leis locais e regionais diferentes, além de trabalhar em prol de credenciamentos para garantir que possamos concorrer a trabalhos futuros. E, obviamente, o objetivo final é garantir que sejamos uma empresa sustentável em crescimento nos próximos anos. Então, vamos voltar à sua pergunta sobre os principais regulamentos que estamos analisando e abordando agora. Para o Reino Unido, temos o Cyber Essentials Plus, que é o governo do Reino Unido, temos o NIST 2, ERSA, CMMC, então essa é uma certificação de modelo de maturidade de segurança cibernética, e há três níveis sobre os quais eu posso falar mais tarde. Mas, para a estrutura CMMC, ela é baseada no padrão NIST 800-171. De qualquer forma, é um bom conjunto de diretrizes, e elas estão apenas se baseando nisso. E então você tem três níveis, nível um, nível dois, nível três. E para nós mesmos, estamos trabalhando no nível três, desculpe, no nível dois, que envolve informações controladas e identificadas porque operamos e trabalhamos com o Exército dos EUA e a Defesa dos EUA.
0:03:27.1 Bailey Harmon: Sim. Falando em CMMC, você participou de um workshop bem pesado e intenso na outra semana, certo? Conte-me um pouco sobre isso. Como esse tipo de coisa influenciou o que você está fazendo agora e talvez também tenha ajudado a aumentar o moral da equipe enquanto você trabalha com esses regulamentos?
0:03:42.7 Dan Whittingham: Há muitos, muitos desafios, mas para escolher alguns exemplos, eu diria que estamos tentando atender aos requisitos de conformidade. Portanto, temos soluções existentes. Já temos uma grande presença nos EUA e em Indianápolis, mas como temos soluções existentes, precisamos realmente reavaliar como operamos e o que funciona. Além disso, o que funciona para um governo pode não funcionar para o outro. E é isso que estamos descobrindo. Portanto, é esse equilíbrio e compreensão do que realmente precisamos atender do ponto de vista dos requisitos, como mencionei, nós, CMMC de nível dois. E também o que, qual é o compromisso. Temos que separar os sistemas. Temos suporte extra disponível. Temos custos adicionais. Em alguns casos, temos novos produtos e soluções chegando, que precisam de mais investimentos. E então precisamos ter essas conversas com a liderança de TI, com os conselhos de investimento. Então, sim, é um bom equilíbrio e é muito desafiador. E como eu disse, voltando à sua analogia sobre dor de cabeça, há semanas em que você simplesmente fica feliz em desligar o telefone e começar a fazer outra coisa, porque se fosse fácil, todo mundo estaria fazendo isso, claramente. Mas, obviamente, isso tem um efeito indireto nos custos operacionais e seus executivos de TI estão querendo obter mais benefícios financeiros do que isso. Obviamente, o investimento em TI é necessário para garantir que tenhamos esse crescimento futuro.
0:05:00.5 Bailey Harmon: Sim, é sempre um equilíbrio. E adoro que você diga compromisso porque sei que, pessoalmente, é muito difícil fazer concessões na minha vida e é ainda mais difícil no mundo profissional. Portanto, você precisa ter muitas habilidades técnicas, como as de que está falando, mas também precisa ter esse tipo de empatia e também uma mentalidade estratégica para o que a empresa precisa. Então, acho que, por estar por dentro, qual talvez seja um conselho que você daria a outro líder de segurança que está nessa jornada de conformidade global, assim como você?
0:05:30.0 Dan Whittingham: Acho muito difícil mantê-la inteira, mas posso fornecer três pontos que me ajudaram na minha carreira e nos programas de trabalho que discutimos hoje no CMMC. Então, o primeiro que eu diria é que conhecimento é poder. Você precisa realmente entender para que está trabalhando e com o que está trabalhando. Então eu mencionei o NIST 800-171, leia-o. Você precisa entender a interpretação dela porque sua interpretação e a interpretação de outra pessoa podem estar a quilômetros de distância. Portanto, entenda com o que você está trabalhando, no que está trabalhando e o escopo do tamanho real do projeto com o qual você está trabalhando. E número dois, isso meio que leva a isso. Devo dizer, equipe-se com os fatos. E a confiança que você obtém ao entender isso sozinho, conversar com seus colegas, conversar com colegas e simplesmente dizer: o que você acha disso? Isso está correto? Ou simplesmente trocando ideias. Novamente, é só construir a confiança de que, quando você pode entrar em uma sala ou está caminhando com avaliadores ou qualquer outro colega, você tem a confiança de que o que está dizendo é realmente factual e correto.
0:06:33.2 Dan Whittingham: E a terceira, eu diria, é cercar-se das pessoas certas em sua organização, com ideias semelhantes, mas com quem você possa ser honesto. Muitas pessoas e organizações estão passando pelo segundo nível do CMMC ou por todo o processo de credenciamento. Então, haverá erros cometidos. Então, se pudermos conversar com empresas que pensam da mesma forma e apresentar algumas ideias de como você abordou isso e apenas para ter uma ideia de se estamos tentando emprestar o oceano aqui ou devemos adotar uma abordagem diferente? Acho que isso lhe dá a garantia de que, na verdade, estamos todos do outro lado; na verdade, podemos estar muito à frente ou mais à frente do que pensávamos inicialmente e é definitivamente útil fazer com que as pessoas ao seu redor o apoiem nisso. Mas se analisarmos o conhecimento que é poder e avançarmos um pouco mais nos três pontos que acabei de dizer. Então, eu disse para ler as estruturas. Então, como você interpreta os requisitos? E haverá partes em seu documento que eles não entenderão totalmente. E é aí que você tem que confiar em 0,2, que é por aí, equipar-se com os fatos e também em 0,3 para se cercar das pessoas certas.
0:07:43.9 Dan Whittingham: Um exemplo, desculpe, disso é que você não quer entrar em uma reunião e ouvir alguma coisa e cair na lã colocada sobre seus olhos. Isso não é bom para ninguém. Você precisa ser compreensivo e claro sobre quais são seus objetivos nessa reunião para poder atrair as pessoas se ela estiver incorreta. E então, voltando ao 0.2, prepare-se com os fatos. Eu disse leia, leia, leia. Infelizmente, não há como contornar isso. Você só precisa ler, ler, ler e entender. E se alguém pudesse fazer, se alguém estivesse ouvindo isso e pudesse transformá-lo em um audiolivro, tenho certeza de que há um nicho de mercado nisso. Como não é uma leitura divertida, é muito chata. Mas, falando sério, você precisa conhecer o material, entendê-lo de trás para frente, pois ele lhe dá a confiança para falar sobre ele, como mencionei anteriormente. E então a terceira, quando acabei de terminar, é que se cerque das pessoas certas.
0:08:43.5 Dan Whittingham: E às vezes acho que damos como certo porque tive muita sorte em minha carreira de ter gerentes e colegas que acreditaram em mim mesmo e também me incentivaram a alcançar meus novos níveis, mas também não me deixaram ficar estagnada no que estou fazendo. Então, no início da ligação, mencionei os títulos e os papéis que desempenhei na Rolls-Royce nos últimos 12 anos. E isso é só porque as pessoas ao meu redor me pressionam a garantir que eu não esteja apenas cumprindo o que sou contratado para fazer, mas também estou perseguindo minhas metas de carreira e tudo mais. Então, eu sei que algumas pessoas não terão esse luxo em suas carreiras, mas ter as pessoas de apoio certas e o sistema ao seu redor é fundamental, eu diria, para o sucesso.
0:09:28.1 Bailey Harmon: Eu concordo totalmente com você sobre o ângulo da orientação. Acho que faz uma grande diferença quando você pode ter um sistema de suporte ou até mesmo desde que você está na empresa, um tipo de família que ajuda a apoiar suas metas, que ajuda a apoiar os negócios, mas também permite que você falhe e falhe rapidamente, aprenda e capacite você a se levantar e experimentar coisas novas. Provavelmente poderíamos fazer um segmento inteiro sobre isso. Sinto fortemente que também tive líderes que me capacitaram. Então, eu adoro ouvir isso. Porém, quando você está tentando comunicar ao nível C o que está fazendo, o progresso que você está fazendo, todos os padrões de conformidade com os quais você está trabalhando em todo o mundo, quais são algumas conversas importantes que você acha que as pessoas em sua função deveriam ter ou talvez estejam tendo atualmente com seus executivos?
0:10:16.6 Dan Whittingham: Como eu disse, muitas organizações do tamanho da Rolls-Royce estão passando pela mesma coisa. Então, como as organizações estão investindo nessas grandes empresas de tecnologia para fornecer soluções de segurança, não estamos falando de centavos ou milhares de dólares ou literalmente de centenas de milhares de dólares. E para mim, a conversa gira em torno do valor dos produtos. Então, qual é esse retorno do investimento? É uma boa relação custo-benefício? Então, como arquiteto, esse é o seu pão com manteiga. É isso que você deve fazer, falar com os fornecedores, entender o produto de trás para frente e basicamente enxaguá-lo para tudo. Ele tem todos os recursos e tudo mais. Como acabei de fazer uma nota pessoal, vi uma mudança na abordagem de alguns fornecedores, em que nem sempre se trata da próxima venda. É literalmente o foco em: você tem esse investimento e como podemos nos ajudar a tirar o máximo proveito do produto? Portanto, é preciso falar com empresas como a Netskope e outras, pesquisar e entender qual é o roteiro.
0:11:15.7 Dan Whittingham: E para mim e para outros arquitetos, é a varredura do horizonte do que está por vir para a empresa, quaisquer investimentos ou qualquer coisa nova que estejam trabalhando em IA. Desculpe, não poderíamos ler um podcast sem mencionar a IA. Então, é a coisa final no momento, mas até esse ponto, é literalmente entender o que, o que está lá fora, e você só precisa sair e construir esses relacionamentos. Acho que os relacionamentos são fundamentais em qualquer negócio, mas o relacionamento cliente-fornecedor é definitivamente fundamental para isso.
0:11:49.0 Bailey Harmon: Sim, eu concordo absolutamente. Esse relacionamento é igualmente essencial.
0:11:53.2 Dan Whittingham: Sim, definitivamente. Em segundo lugar, eu diria que a solução atende aos requisitos comerciais e satisfaz as necessidades de conformidade necessárias? Estamos falando muito sobre o CMMC. Então, estamos falando sobre credenciamento de terceiros. Então a pergunta é: não é? Você fez todo o trabalho braçal e as bases para entender o que a empresa real está querendo, quais são os requisitos reais. Qual é o panorama geral? Quais são os objetivos de negócios de curto e longo prazo? E realmente precisamos entender quais são as aspirações comerciais. Portanto, não adianta oferecer uma solução que o fornecedor não deseje usar na nuvem, mas a empresa queira migrar para a nuvem no próximo ano ou algo assim.
0:12:31.8 Bailey Harmon: É como ir ao supermercado e comprar maçãs, mas o vendedor vem até você e diz, oh, temos as laranjas à venda. Não é a mesma coisa. Você precisa de alguém que lhe dê o que você está procurando. Também adorei o que você disse sobre, você sabe, ser um defensor de si mesmo e de seu programa, para ter certeza de que está mapeando as soluções certas para o que a empresa realmente precisa e ser especialista em sua função específica para que você possa voltar à empresa e dizer: é assim que estamos gerando valor. E você é capaz de se comunicar, como mencionamos anteriormente, com sua equipe de liderança. Quando você está nessa sala, quais são algumas dicas que você tem, ou talvez uma história de como você conseguiu mostrar com sucesso todo o excelente trabalho que está fazendo, mas de uma forma digerível? Porque é muito.
0:13:18.3 Dan Whittingham: Sim, é muito. E minha resposta para isso é manter as coisas simples. Então, eu tenho uma história para você. Então, fui a um dia aberto para aprendizes há dois anos, no qual fui convidado a falar, que foi o primeiro para mim. Então, os nervos estavam altos, mas foi incrível. Eu realmente gostei. Isso realmente me tirou de novo, da minha zona de conforto e me empurrou para aquela área. Então eu comecei falando um pouco parecido com isso. Eu me abri e falei sobre minha carreira em segurança de TI. E foi bom. Foi muito bom. As pessoas na sala foram muito receptivas. Eles têm algumas perguntas, mas não eram necessariamente as perguntas que eu estava recebendo. Foi quando eu estava sentado ouvindo os outros alto-falantes e um dos outros alto-falantes, não consigo lembrar o nome do cara. Mas eu aprendi muito naquela sessão de duas horas apenas observando. E foi assim que nos apresentamos. Foi direto ao ponto, deu clareza, os gráficos pintaram mais que mil palavras, mas era muito simples. Depois daquele dia, decidi melhorar a forma como comunicava a solução ou um cenário que eu deveria reportar à liderança.
0:14:24.1 Dan Whittingham: Então falei com meus colegas e organizamos um pouco, não como um show de atuação, que soa um pouco estranho, mas um pouco como um cenário de eu vir apresentar isso, você pode me dar algum feedback? Por mais estranho que pareça, mas, por mais produtivo que seja, foi muito benéfico seguir as etapas de criar alguns tweets e criticar algumas áreas de não dizer isso ou adicionar isso. E se você está falando cara a cara, onde você coloca suas mãos e coisas assim? Então, voltando ao assunto, é bom se sentir desconfortável, especialmente nesse negócio, porque a segurança de TI, tudo se move em um ritmo muito rápido. Portanto, é muito difícil acompanhar tudo e conseguir isso. Mas nunca pare de aprender.
0:15:11.9 Bailey Harmon: Nunca pare de aprender. E é como se você estivesse no campo de futebol e tivesse aquele iPad na sua frente e estivesse assistindo a uma fita para descobrir como você vai apresentar, como vai fazer isso ou como vai comunicar a história. E parece que é um pequeno tipo de tática na qual você está trabalhando na parte de trás, mas quando se trata de apresentar a imagem completa, realmente faz diferença em como isso acontece. E eu simplesmente não consigo enfatizar o suficiente que nunca pare de aprender. Eu adoro esse ponto. Obviamente, você tem uma grande demanda comercial na Rolls-Royce, mas alguns desses requisitos de que estamos falando são muito confusos. Portanto, você não precisa se concentrar apenas nos requisitos, mas também está pensando em sua estratégia geral de proteção de dados. O que você gostaria que mais reguladores entendessem sobre a posição em que você está com o equilíbrio de todos esses diferentes aspectos?
0:16:00.5 Dan Whittingham: Sim, comigo vivendo e respirando esse trabalho de conformidade global, eu diria que, nos últimos 18 meses, gostaria que os reguladores demonstrassem melhor sua compreensão. E um exemplo é que, em casos específicos, o que eles estão realmente pedindo não é realmente viável porque depende do ambiente e do contexto de como o controle está sendo aplicado. Portanto, não é, para não ser óbvio, muito rigoroso, como colocar um pino quadrado em um orifício redondo. Então, o segundo ponto que eu diria é a terminologia. Então, à medida que você lê as estruturas, me sinto muito subqualificado. Só estou lendo eles. É como se você tivesse que ser literalmente um advogado ou alguém com um alto grau para realmente entender como e interpretar, eu acho, a linguagem comum do que isso realmente significa? Então, eu não estou dizendo para escrever isso com sotaque de Midlands do Reino Unido, mas parece que eles estão se escondendo atrás de um texto convidando essas diferentes interpretações e não sendo 100% claros sobre o que estão realmente perguntando. E porque, como eu disse anteriormente, dependendo de quem o lê, eles podem obter uma interpretação diferente. E acho que é aí que entramos nas áreas cinzentas do que isso realmente significa. Porque, sim, uma empresa pode dizer, bem, interpretamos dessa maneira e é assim que fazemos.
0:17:14.5 Dan Whittingham: E para uma organização de defesa como a nossa, nosso risco é muito alto. Então, vamos na direção oposta e dizemos, bem, sim, colocamos firewalls extras ou o que quer que seja. À medida que avançamos nessa jornada, acho que seria bom que os reguladores entrassem no mundo real. E não estou aqui para incomodar ninguém, mas é só pela minha experiência pessoal de realmente sair e usar isso como uma oportunidade de conversar com empresas como nós e estamos passando por esses processos de conformidade. Pessoalmente, acho que ajudaria a empresa, os órgãos governamentais e todo o relacionamento, o que, por sua vez, confere aos negócios a confiança de não ter medo enquanto estamos passando por isso, porque obviamente existe o medo de falhar e do credenciamento real, mas também de perder negócios. Portanto, não é, não é minucioso, esse problema. Eu diria que é muito grande apenas devido a uma não conformidade semelhante. Mas apenas ajude as empresas e tranquilize isso. Ok, não é ótimo, mas esse é um caminho e esse é o seu plano para remediar o que você precisa fazer. Obviamente, o objetivo final de todos é operar com segurança e ter sucesso.
0:18:19.8 BaileyHarmon: Definitivamente. Não sei, você estava falando sobre escrevê-lo com sotaque de Midlands do Reino Unido, mas isso remonta ao audiolivro. Você poderia juntar tudo. No entanto, você mencionou um ponto interessante que eu queria abordar anteriormente. Você estava falando sobre IA e isso me fez pensar: como equilibrar a necessidade de conformidade, mas também garantir que está inovando com ferramentas como o GenAI?
0:18:43.3 Dan Whittingham: Sim. Então, a IA é difícil. Obviamente, é um chavão e está aqui, está agora, todo mundo quer usá-lo. Então, a pressão está alta. Vou usar a analogia de que é nos fechar, trancar as portas, fechar os portões até nos familiarizarmos com isso e entendermos o que realmente é. Obviamente, as empresas desejam claramente se engajar e usar isso porque há benefícios. Obviamente, há o benefício bom e o benefício negativo da perspectiva do ator da ameaça. Do nosso ponto de vista, tudo gira em torno dos dados e é aí que está o risco, e é aí que temos um alto risco sobre para onde nossos dados estão indo, porque sim, esquemas de mecanismos e coisas assim. Então, voltando à pergunta, é um desafio porque não é tão simples quanto sim, você pode tê-lo. Aqui está. Encha suas botas. Temos que ter muito cuidado com isso e entender o que realmente é e para onde os dados estão indo.
0:19:37.9 BaileyHarmon: Sim. Quero dizer, termine com isso. Entenda o que são e para onde os dados estão indo, e então você poderá operar com sucesso e segurança para voltar ao outro ponto. Então eu acho que foi um resumo das perguntas que eu tinha para o dia. Dan, muito obrigado por se juntar a nós e compartilhar suas perspectivas e suas histórias. Nós realmente apreciamos ter você. Você está ouvindo o podcast Security Visionaries. Fui sua anfitriã, Bailey Harmon. Se você gostou desse episódio, compartilhe com um amigo e assine para nunca mais perder outro. Te vejo na próxima vez.
Por que Netskope 
){kind=icon}
