A convergência das funções de CIO & CISO

0:00:01.6 Max Havey: Olá e bem-vindos a mais uma edição do Security Visionaries, um podcast sobre o mundo dos dados cibernéticos e da infraestrutura tecnológica, reunindo especialistas de todo o mundo e de vários domínios. Sou o anfitrião, Max Havey, e hoje vamos falar sobre as funções do CIO e dos CISOs com nossa convidada, Jadee Hanson, CISO da Vanta. Jadee, bem-vinda ao programa.

0:00:21.2 Jadee Hanson: Obrigada por me receber.

0:00:22.4 Max Havey: Então, para começar, a senhora poderia falar um pouco sobre a sua trajetória profissional? Sei que o senhor trabalhou em várias empresas e desempenhou várias funções diferentes de liderança em segurança ao longo dos anos. O senhor pode nos dar um pouco de conhecimento sobre o assunto?

0:00:31.8 Jadee Hanson: O senhor pode apostar. Sim. Entrei no mundo cibernético muito jovem. Na verdade, comecei a fazer trabalho cibernético na minha escola de ensino médio, acredite ou não, trabalhei para o coordenador de tecnologia da minha escola. Fizemos vários tipos de coisas diferentes para a escola. Ele me fez montar computadores para economizar dinheiro para o nosso distrito escolar, o que foi uma espécie de entrada no mundo da tecnologia e no mundo cibernético. Comecei minha carreira na Deloitte fazendo testes com caneta, trabalho de auditoria de segurança, e foi quando passei para meu primeiro cargo de gerência. Em seguida, fui para a Target Corporation, onde decidi participar de todas as funções da equipe cibernética. Quando finalmente decidi que não queria mais viajar tanto e passar para uma função mais de startup, mudei para a Code 42. Na Target, tive uma introdução ao mundo das startups porque fiz muitas diligências para algumas das empresas que a Target Corp comprou.

0:01:35.0 Jadee Hanson: Na verdade, compramos algumas pequenas empresas de tecnologia baseadas no Vale do Silício quando eu estava na Target. Dessa forma, tive uma pequena introdução ao mundo das startups e gostei muito da cultura do mundo das startups, do ritmo acelerado e decidi me juntar à Code 42 e estive na Convery two na função de CIO CISO por cerca de oito anos e, recentemente, mudei para a Vanta. E a Vanta também é uma empresa de software de segurança e estamos desenvolvendo um produto que muda a forma como as pessoas pensam sobre a seção de risco de governança e conformidade de um programa de segurança.

0:02:18.6 Max Havey: Com certeza. Sei que, em sua função anterior, o senhor falou sobre ter uma função tanto de CIO quanto de CISO. O senhor pode nos contar um pouco sobre como foi navegar nesse tipo de função dupla, operando tanto no lado da tecnologia quanto no lado da segurança? Sei que muitas vezes eles podem ser forças opostas, então a senhora pode nos contar um pouco sobre como isso funcionava?

0:02:34.7 Jadee Hanson: Sim, acho que muitos dos ouvintes provavelmente sabem que os CIOs estão sempre pressionando por novos investimentos em tecnologia, enquanto a função do CISO é trazer à tona os riscos das novas tecnologias com cautela. E a piada que eu fazia era que, ocupando os dois cargos, eu podia ter uma discussão interna comigo mesmo todos os dias, mas os cargos de CIO e o cargo de CIO que eu ocupava eram, na verdade, um cargo de líder empresarial estratégico. E acho que era assim que meu chefe me via quando eu estava na Code 42, liderando a equipe de segurança. Portanto, enquanto eu era CISO na code 42, eu me reportava diretamente ao nosso CEO e tinha a oportunidade de participar de muitas das decisões estratégicas de negócios que estavam sendo tomadas. E acho que meu líder na época me viu além de um líder cibernético e reconheceu que eu tinha um forte senso comercial, e foi isso que acabou me levando ao cargo de CIO. E acho que a função de CIO e a função de CISO são mais parecidas do que provavelmente são diferentes em ambas as funções de nível C em uma organização. E, nesse sentido, ambas as funções devem se concentrar em ter esse forte senso comercial e a forte capacidade de avaliar riscos para garantir que o senhor esteja tomando as decisões tecnológicas certas para a organização.

0:04:01.5 Max Havey: Acho que talvez eu tenha sido um pouco evasivo na minha pergunta anterior, mas ao assumir essas duas funções, o senhor se deparou com esse tipo de forças opostas, como as equipes de tecnologia tentando otimizar o desempenho na maior parte do tempo ou os títulos tentando garantir que haja controles adequados? O senhor se deparou com esse tipo de problema ao desempenhar essas duas funções ao mesmo tempo?

0:04:19.9 Jadee Hanson: Sim, quer dizer, acho que são compensações, são 100% compensações e compreensão e avaliação de cada decisão tecnológica a partir de uma análise de custo-benefício, análise de resultado de risco para realmente tomar a melhor decisão e ter ambas as funções subordinadas diretamente a mim. Acho que isso certamente ajudou a preencher essa lacuna na Code 42 e também na Vanta, pois tenho equipes de TI que se reportam diretamente a mim, e acho que esse é um modelo que muitos CISOs de empresas menores têm em vigor hoje e que certamente funciona muito bem. Se o senhor estiver desempenhando corretamente a função de CISO, estará tentando identificar as iniciativas de negócios que geram sucesso para a organização, o que, na verdade, não é muito diferente da função de CIO em si. E se o senhor puder alinhar a função do CISO e a função do CIO para atender a esses objetivos comerciais acordados, as equipes que trabalham abaixo do senhor, na minha opinião, farão um ótimo trabalho se unindo para atender a resultados comuns.

0:05:27.8 Max Havey: Com certeza. E, nessa mesma linha, quais são algumas estratégias que o senhor encontrou ao desempenhar essas funções duplas e que recomendaria a outros CISOs que também estão procurando preencher essa lacuna em suas organizações? Que tipo de estratégias ou conselhos a senhora daria a eles sobre isso?

0:05:40.3 Jadee Hanson: Sim. Acho que uma das estratégias mais impactantes que promovi nas equipes é o conceito de processos integrados. Portanto, há muitos resultados desejados diferentes que requerem a participação da segurança e da TI e, ao desenvolver esse processo conjunto para obter os resultados, o senhor descobre que as equipes realmente se unem. É muito parecido com o que eu disse antes em termos de encontrar metas conjuntas para que cada equipe esteja comprometida com o resultado final ou com o sucesso final. Um exemplo simples seria um processo de correção de dia zero. A segurança certamente tem interesse em que as coisas sejam corrigidas e concluídas, mas eles definitivamente precisam contar com a TI para que isso aconteça. Assim, ao implementar uma estrutura e um processo em que ambas as partes estão envolvidas e são responsáveis pelo resultado final, o senhor vê as equipes trabalharem muito mais próximas umas das outras.

0:06:38.8 Max Havey: Com certeza. Essa responsabilidade igualitária, acho que a multifuncionalidade é uma palavra que também é usada nesse caso. E, na última temporada, nosso tema foi a ideia de segurança como um esporte de equipe. Acho que reunir tudo isso dessa forma e pensar nesses objetivos conjuntos é uma ótima maneira de pensar na segurança e na infraestrutura como um esporte de equipe.

Max Havey: Sem dúvida. É o mesmo tipo de pensamento multifuncional, trabalhar de forma multifuncional e, ao mesmo tempo, trabalhar de forma independente e encontrar uma maneira de reunir essas coisas para que o senhor possa fazer isso da melhor maneira possível e obter o melhor resultado possível.

0:06:55.0 Jadee Hanson: Sim, com certeza. Em grande parte, estamos influenciando sem autoridade e, portanto, tentando fazer com que todos sejam responsáveis pela segurança, e muitas vezes digo à organização Vanta: "A segurança é responsabilidade de todos e realmente exige a participação de todos".

0:07:14.1 Max Havey: Como alguém que também tem anos de experiência como CIO, como isso está influenciando a maneira como a senhora aborda sua função como CISO agora?

0:07:21.0 Jadee Hanson: Sim, mais uma vez, volto ao conceito de que a função de CISO é realmente uma função de líder estratégico dentro da organização e queremos o melhor para os negócios e queremos os melhores resultados comerciais. E isso não é diferente da função de CIO. Assim, quando penso na função de CIO, meu trabalho anteriormente era escolher toda a tecnologia certa para a organização, certificar-me de que estávamos fazendo todas as escolhas corretas de troca, certificar-me de que éramos financeiramente responsáveis. A função de CISO que tenho hoje inclui elementos de TI, mas é realmente muito semelhante no sentido de que, do ponto de vista da segurança, quero influenciar os lugares certos para que tenhamos os resultados comerciais certos. Quero ter certeza de que estamos aplicando as práticas de segurança corretas para garantir que não tenhamos nenhum tipo de impacto secundário do evento. Por isso, não vejo que seja tão diferente. Acho que muitos dos cargos de nível executivo em uma organização têm sua área de especialização, mas, no final das contas, o que realmente importa é a tomada de decisões estratégicas para impactar os negócios de forma positiva.

0:08:34.8 Max Havey: Com certeza. Até certo ponto, o senhor está encontrando maneiras de ajudar a tomar essas decisões, independentemente de sua função, seja um CISO ou um CIO, o senhor ainda está tomando essas decisões de nível de negócios e ajudando a capacitar os negócios em geral, independentemente de estar falando de segurança ou de tecnologia ou de algum amálgama de ambos.

0:08:50.5 Jadee Hanson: Sim, com certeza.

0:08:53.8 Max Havey: Uma palavra que o senhor está sempre dizendo e que eu quero clicar duas vezes aqui. Quando o senhor fala sobre a ideia de criar influência entre todas essas equipes diferentes e trabalhar de forma multifuncional, quais são algumas maneiras de criar essa influência para tentar ajudar as pessoas a entender melhor as necessidades, por exemplo, de uma equipe de tecnologia ou de uma equipe de segurança, para que elas vejam por que isso é algo importante que elas devem levar a sério?

0:09:11.0 Jadee Hanson: Sim, acho que muito disso tem a ver com a abordagem. Assim, quando penso na maneira como trabalhamos na Vanta, concentramo-nos muito nos princípios de sermos acessíveis, parceiros, colaboradores e, certamente, não sermos o departamento do "não", mas o departamento do "venha até nós com um problema e vamos ajudar a obter o melhor resultado para a organização". Acho que ter esse tipo de abordagem em toda a organização acaba nos trazendo o impacto certo. Novamente, volto ao fato de que realmente estamos influenciando sem autoridade. Não somos nós que tomamos as decisões em todas as organizações. Portanto, parte do nosso trabalho mais importante é trazer a influência certa para a organização, educá-los com os aspectos educacionais corretos de que precisam e garantir que dedicamos tempo para explicar o porquê. Nem todo mundo vê o que estamos vendo no cenário externo. Portanto, dedique tempo para garantir que eles entendam que essas são as ameaças que estamos vendo externamente e que podem afetar o que o senhor está fazendo. E descrevemos isso para que não cheguemos e digamos apenas que isso deve ser feito dessa maneira, mas que estejamos realmente educando como parte disso.

0:10:28.7 Max Havey: Essa parte da educação parece especialmente importante quando falamos sobre a ideia de o CISO se tornar mais predominante nas salas de reuniões e ser mais predominante, falando com executivos de nível mais alto dentro de uma empresa. Acho que a capacidade de influenciar e educar as pessoas que não são técnicas, que não têm esse tipo de formação em segurança ou tecnologia para ajudá-las a entender, é a chave para tudo isso.

0:10:48.6 Jadee Hanson: Sim, com certeza. Nosso trabalho é realmente pegar os conceitos que conhecemos e transformá-los em uma linguagem de negócios de nível superior que se transforme em impacto para eles. Por exemplo, como isso pode afetar seus objetivos finais?

0:11:05.3 Max Havey: Com certeza. E pensando um pouco mais além, mais adiante, a ideia de convergência é muito comentada quando o senhor fala sobre as funções de CISOs e CIOs. Que tipo de visão a senhora tem do futuro desses tipos de funções, que tipo de mudanças acredita que estão reservadas para a função de CISO nos próximos anos no que se refere ao lado tecnológico das coisas?

0:11:27.3 Jadee Hanson: Em termos da convergência das funções de CIO e CISO, deixe-me abordar isso primeiro. Acho que, em muitas empresas menores e de médio porte, a função de CISO acabará sendo responsável por isso. Assim, o senhor quase poderia argumentar que se trata de uma função combinada, sem o aspecto de CIO. Em empresas maiores, acho que ainda permanecerão em grande parte separadas, mas vejo um mundo em que essas duas organizações trabalham muito bem de mãos dadas e são vistas mais como iguais no que se refere ao futuro da função de CISO nos próximos anos. Acho que é importante lembrar que a função de CISO ainda é uma função de nível C relativamente nova. Portanto, acho que haverá mudanças constantes à medida que as coisas avançarem. Dito isso, acho que há duas mudanças principais que nos aguardam nos próximos anos, sendo a primeira uma maior importância estratégica ou maior responsabilidade dentro da organização.

0:12:33.5 Jadee Hanson: Assim, os CISOs estão começando a ser vistos cada vez mais como líderes de tecnologia em uma organização e, em vez disso, como um dos líderes estratégicos da empresa que mantêm o interesse coletivo por resultados comerciais positivos entre o restante da equipe de liderança. Acho que isso é uma grande mudança em relação ao que vimos no passado. Os CISOs estão começando a desempenhar esse papel integral na formação da estratégia de negócios, equilibrando os riscos certos e a resiliência à medida que a empresa cresce. E, em nível empresarial, quase vemos esse aumento da importância estratégica sendo impulsionado, em grande parte, por todos os aspectos do que está acontecendo com a SEC e a SEC responsabilizando as grandes empresas públicas pelas ações do CISO, e os CISOs agora estão nesse nível de serem responsabilizados pelas principais divulgações para os requisitos dos acionistas, o que certamente está elevando a função do CISO, levando-o a uma função muito mais ampla e impactante.

0:13:40.2 Jadee Hanson: Acho que o segundo tipo de mudança que vejo nos próximos anos para a função de CISO é essa mudança da função de segurança de pares para a de estratégia e risco de tecnologia. Portanto, um pouco mais da convergência do CIO e um pouco mais da convergência do diretor de riscos. Portanto, em muitos casos, os CISOs de hoje têm muitas das mesmas responsabilidades que o CIO e o diretor de riscos. Já falamos sobre isso antes, mas muitas responsabilidades pela tomada de decisões tecnológicas importantes dentro das organizações acabam chegando ao laboratório dos CISOs. Além disso, a função do CISO hoje foi além da segurança e da tecnologia, mas, em vez disso, passou a ter um lugar na mesa para avaliar a segurança à medida que soluções semelhantes são trazidas para a organização.

0:14:32.9 Max Havey: E ter essa visibilidade na linha de frente, se os CISOs estiverem sendo responsabilizados por mais coisas, como registros e divulgações da SEC e coisas desse tipo. Acho que poder ter esse tipo de visão sobre qual tecnologia é arriscada, quais práticas podemos fazer para eliminar esse risco, ter essas coisas no início do processo, em vez de quando o senhor descobre quando elas estão acontecendo. Acho que essa é uma estratégia fundamental para melhorar a segurança e a tecnologia e, ao mesmo tempo, ouvi de muitos líderes de segurança, ao longo dos anos de trabalho neste programa, que ter uma abordagem proativa é uma das chaves para ser um bom CISO e ter uma boa estratégia de segurança como organização.

0:15:11.1 Jadee Hanson: Sim, 100%. Sempre que podemos nos envolver com antecedência, há vários estudos sobre o custo de fazer uma alteração de segurança no início e até mesmo no ciclo de desenvolvimento, em comparação com a tentativa de implementar uma alteração em um produto depois que ele já foi lançado. E, certamente, o custo é incrivelmente baixo se o senhor puder se envolver desde o início e influenciar as pessoas certas para que tomem as decisões corretas, em vez de depois do fato.

0:15:38.0 Max Havey: Com certeza. E para finalizar, o que mais empolga o senhor, que já atuou no setor de segurança em funções de CISOs e CIOs? O que entusiasma o senhor ao ver esses tipos de funções convergindo e ao ver as responsabilidades se unindo em torno da tecnologia e da segurança?

0:15:53.6 Jadee Hanson: Acho que o que me empolga é que, do ponto de vista do CISO, há anos estamos pulando e dizendo: "Ei, prestem atenção em nós" e, recentemente, acho que temos recebido muitos holofotes, muitos holofotes apontados para a função do CISO. E acho que, em muitos casos, isso é bom. Certamente, temos mais a fazer para garantir que os órgãos governamentais compreendam nosso espaço de forma realmente profunda. Mas, dito isso, acho que ter visibilidade da função, do que fazemos e de como operamos é muito, muito importante. E isso me entusiasma. Também acho que o que estou vendo no setor é que cada vez mais decisões tecnológicas estão se tornando parte da função do CISO. Assim, o senhor pensaria que o CIO tomaria decisões sobre a tecnologia, e essa parceria com o CISO, por exemplo, e agora o senhor vê os CISOs liderando diferentes equipes de tecnologia e a tomada de decisões acontecendo na função do CISO, o que considero extremamente importante. E isso é realmente empolgante, porque acho que, nesse aspecto, o CISO não está apenas se segurando e tentando se atualizar, mas faz parte do processo de tomada de decisões.

0:17:12.8 Max Havey: Definitivamente, o senhor não está mais tentando recuperar o atraso e, finalmente, está tendo seu tempo no centro das atenções, seu tempo para brilhar e seu tempo para liderar o grupo.

0:17:18.0 Jadee Hanson: Com certeza.

0:17:18.9 Max Havey: Com certeza. Bem, Jadee, muito obrigado pelo tempo que a senhora dedicou aqui hoje. Essa foi uma excelente conversa sobre a dicotomia entre as funções de CIO e CISO e como elas convergem. Então, muito obrigado ao senhor por dedicar seu tempo. Nós realmente agradecemos.

0:17:30.2 Jadee Hanson: Sim, com certeza. Muito obrigado ao senhor por me receber.

0:17:32.7 Max Havey: Com certeza. E o senhor tem ouvido o podcast Security Visionaries. Eu fui seu anfitrião, Max Havey, e se o senhor gostou deste episódio, compartilhe-o com um amigo e assine o Security Visionaries em sua plataforma de podcast favorita. Lá o senhor pode ouvir nosso catálogo de episódios anteriores e ficar de olho nos novos, que serão lançados a cada duas semanas, apresentados por mim ou pela minha co-apresentadora, a maravilhosa Emily Wearmouth. E, com isso, nos encontramos com o senhor no próximo episódio.