Criando um pipeline de futuros líderes cibernéticos com Matthew McCormack

Matthew McCormack: Como podemos ajudar a criar um pipeline de futuros líderes cibernéticos, mas também essa pirâmide? Como podemos atrair milhões de pessoas a mais para a disciplina e simplesmente convencê-las de que você não precisa ser um cientista da ciência ou um engenheiro para fazer isso, certo? Tudo que você precisa é ser curioso, certo? O que eu quero é alguém que olhe para alguma coisa e diga: “Bem, isso é interessante. Isso não faz sentido." “Deixe-me descobrir por quê”, essa é a pessoa que daria um bom segurança. Se você é alguém que olha para algo e diz: “Não entendo por que parece assim, mas vou descobrir o porquê”, então você está certo para esta área.

Narrador: Olá e bem-vindo aos Visionários de Segurança apresentados por Jason Clark, CISO da Netskope. Você acabou de ouvir o convidado de hoje, Matthew McCormack, vice-presidente sênior e diretor de segurança da informação da GSK. O que acontece em um mundo onde os bandidos superam os mocinhos? Se você é um CISO moderno, esse pensamento o mantém acordado à noite. Os cibercriminosos estão se multiplicando a um ritmo surpreendente e os CISOs estão correndo para formar equipes que possam ajudá-los a permanecer à frente. Uma parte fundamental da luta é desenvolver a próxima geração de líderes de segurança, mas como é que nós, enquanto indústria, ocuparemos as fileiras das forças de segurança cibernética de amanhã? Felizmente, é exatamente isso que o convidado de hoje está aqui para nos ajudar a descobrir. Portanto, antes de mergulharmos no plano de jogo de Matthews, aqui vai uma breve palavra do nosso patrocinador.

Rolo de anúncios: O podcast dos visionários da segurança é desenvolvido pela equipe da Netskope. A Netskope é a líder atrevida que oferece tudo o que você precisa para fornecer uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios atuais. Saiba mais em Netskope.

Narrador: Sem mais delongas, aproveite o episódio quatro, Security Visionaries, com Matthew McCormick, vice-presidente sênior e diretor de segurança da informação da GSK, e seu anfitrião, Jason Clark.

Jason Clark: Bem-vindo aos visionários da segurança. Sou seu anfitrião Jason Clark, CMO e diretor de estratégia e diretor de segurança da Netskope. Hoje estou acompanhado por meu amigo e convidado especial, Matt McCormack. Matt, como você está?

Matthew McCormack: Bom. Jasão, como você está?

Jason Clark: Eu sou super fantástico, cara. É muito bom começar esta série de podcasts com você aqui. Você é nosso segundo convidado. Estive com Emily Heath há duas semanas e correu muito, muito bem. Então, para começarmos, qual foi a sua primeira insegurança no emprego?

Matthew McCormack: Então, minha primeira insegurança no emprego, ironicamente, foi na Marinha, certo? Quando eu era ROTC na faculdade, no último ano da faculdade, eles me fizeram um exame físico antes de eu entrar para a Marinha e me disseram que eu era daltônico para vermelho e verde. E se você conhece os barcos, o vermelho e o verde são cores importantes no mar. Ele informa para que lado o navio está indo. E então eles basicamente me disseram que eu não poderia pilotar um avião ou dirigir um navio e então me transformaram em um criptologista que nos anos 90 a criptologia se transformou na segurança de rede inicial. Então realmente acabei nisso por causa da Marinha e porque eu era daltônico.

Jason Clark: Essa é uma história interessante, certo? Acho que minha mente era parecida com a sua desde que alistou-se no exército, não por causa do daltonismo, certo? Mas eu estava pilotando aviões pensando que queria ser piloto, e enquanto eu estava voando, os pilotos ao meu redor eram pilotos profissionais de linha aérea, eu tinha deixado a Marinha, e eles disseram: "Escute, você não quer ser um piloto profissional de linha aérea. Basicamente, estou apenas dirigindo um ônibus. Escolha uma carreira diferente." E eu digo: "Oh, uau, ok. Você acabou de destruir meus sonhos."

Matthew McCormack: Mas esse é um bom conselho.

Jason Clark: Foi um ótimo conselho e fui para a segurança. Foi isso. Eu era analista, certo? Então isso mudou minha vida.

Matthew McCormack: O mundo mudou, certo? Agora as pessoas estão entrando originalmente na segurança, certo? Originalistas de segurança, onde todos nós passamos por isso anos atrás.

Jason Clark: Foi bom. Eu acho, Matt, devo dizer que nos conhecemos há provavelmente 15 anos, certo? Eu diria que ajudamos a ser a base desta indústria, certo? Começamos juntos do zero. Tem sido muito legal de ver.

Matthew McCormack: Na verdade, conheço minha primeira função de CISO, fui o primeiro CISO da organização na Defense Intelligence Agency. Não houve um antes. A ideia de que estamos literalmente criando algumas dessas primeiras organizações e por mais assustadora que pareça há quase 20 anos, mas sim. Lembro-me de nossas primeiras interações, você estava com a Websense e a Blue Coats naquela época e eu estava no IRS e então todo mundo estava fazendo seu primeiro proxy e filtragem da web. Há mais de 20 anos, a segurança da rede era apenas firewalls de filtragem de pacotes, certo? E foi isso. E então, VPNs e toda a filtragem de conteúdo da web surgiram e agora estamos aqui hoje.

Jason Clark: Sinceramente, estávamos descobrindo, certo? Estávamos apenas tendo que inventar, quando dissemos: “Ok, vamos ver se isso funciona”, certo? Acho que isso contribui muito para muitas das maneiras pelas quais ainda precisamos fazer as coisas hoje, certo? E então conte-nos um pouco sobre sua função na GSK.

Matthew McCormack: Como Diretor de Segurança da Informação, tenho todas as funções tradicionais de um CISO, certo? Quer se trate da defesa da rede de cibersegurança, mas também tenho a função GRC, aquela governação, risco e conformidade que era uma farmacêutica regulada globalmente. Há uma quantidade significativa de regulamentos. E uma das coisas interessantes quando você é global é que não se trata apenas das regulamentações dos EUA, certo? São regulamentos para cada empresa ou cada país onde você fabrica e vende. E estamos em uma quantidade significativa de países. E então, quando você olha para governança, risco e conformidade, sua importância, certo? Ao contrário de uma função anterior em uma empresa de tecnologia dos EUA, onde você realmente se preocupa apenas com um número limitado de países.

Matthew McCormack: Estar em uma farmacêutica que fabrica e vende em quase todos os países, ter que estar atento e prestar atenção a todas essas diferentes regras de compliance é diferente, certo? Na verdade, é bastante revelador porque você consegue ver a maneira como diferentes países abordam a privacidade dos seus cidadãos e como os dados são mantidos. E tem uma grande variedade, certo? Digo que, como americanos, geralmente tratamos a privacidade dos nossos cidadãos de forma inferior, como muitos outros países o fazem. Muitos países protegem muito os dados de seus cidadãos. Portanto, foi muito revelador começar esse papel há vários anos.

Jason Clark: Como você acompanha isso? Isso é muito, certo? Isso é muita mudança. Parece que está mudando mais rápido do que nunca para mim. Então, como você fica por dentro disso?

Matthew McCormack: Bem, quero dizer, para mim, você tem que ter uma equipe de pessoas que saibam como fazer e saibam como fazer bem, mas também global. Você não terá uma equipe de pessoas sentadas em um só lugar que seja capaz de gerenciar este programa global. Quando você olha para o GRC, você tem pessoas individuais. Terei várias pessoas que são a única pessoa do meu time naquele país, certo? E o trabalho deles é manter esse relacionamento com os governos locais e nos manter informados sobre todas as mudanças, mas há muitas coisas significativas quando você olha para a lei de segurança da China, a lei de privacidade da China, mas também há muitas discussões sobre privacidade acontecendo. na Índia sobre a mudança das leis lá.

Matthew McCormack: E então, quando você olha para alguns desses países maiores, qualquer mudança nas leis de privacidade pode ter impacto sobre nós globalmente, certo? Porque para cumprir algumas dessas leis, talvez seja necessário fazer algumas alterações no nível corporativo.

Jason Clark: Então, quando você estava no DIA, você e eu conversamos muito sobre fazer essa transição para longe do governo e ser um CISO na empresa. Talvez fale um pouco sobre como foi essa transição para você, o que há de diferente e também seu conselho para quem está fazendo essa mudança agora. Porque definitivamente há pessoas que eu vi que tentaram e se intrometeram um pouco demais e isso não combina comigo. Como foi isso para você e o que você recomendaria para outras pessoas?

Matthew McCormack: Um roteador é um roteador e uma pessoa é uma pessoa, certo? Essas coisas não são fundamentalmente diferentes entre serem federais e comerciais. Vou falar algumas das diferenças, e acho que ninguém ficaria chocado com nenhuma delas, velocidade, certo? A velocidade com que você pode fazer as coisas. Eu sei que houve algumas mudanças para permitir mais flexibilidade no governo, mas, na verdade, o processo orçamentário e de compras do governo não foi necessariamente construído para fazer as coisas rapidamente, certo? É basicamente construído para fazer as coisas de maneira bastante desigual e não necessariamente para ser feito com rapidez.

Matthew McCormack: E então, para mim, uma das maiores mudanças, e para mim, foi em 2012 quando entrei comercialmente, foi minha capacidade de comprar e adquirir o que precisava fazer, mas também a velocidade com que, em geral, não sempre, mas a rapidez com que eu poderia contratar, né? A capacidade de identificar talentos e agarrá-los muito rapidamente, comercialmente, foi um grande diferencial. Agora, por outro lado, eu diria, geralmente, os funcionários, quando você lida com funcionários e algumas das ações que os funcionários tomam e como CISOs, sempre temos que ficar de olho no que permitimos que os funcionários façam e o que não permitimos que façam.

Matthew McCormack: A atitude dentro do espaço federal, no espaço governamental, as pessoas ficavam mais confortáveis com uma atitude do tipo comando e controle. Então, se dissermos que você não pode fazer X, no seu computador, as pessoas geralmente dizem: “Ok, não podemos fazer X”, certo? Já comercialmente é mais uma negociação, certo? Especialmente se estivermos numa empresa global, teremos sindicatos e comissões de trabalhadores na Europa. Teremos diferentes leis nacionais que permitirão que as pessoas façam coisas. Existem certos países que permitem algum uso pessoal mínimo de empresas por lei, o que você não tinha no âmbito federal. Você poderia dizer: “Você não pode usar seu computador federal para fazer trabalho pessoal”. Boom, fim da história, está feito.

Matthew McCormack: Mas quando temos alguns destes países que realmente têm leis que permitem que isso continue, temos de gerir isso. Então, do ponto de vista pessoal, algumas das regras e requisitos sobre o que deve ser feito e o que não pode ser feito, às vezes isso era um pouco mais fácil do lado federal porque deixa claro, mas tomar essas decisões por edital era um pouco mais simples.

Jason Clark: Para você parece que há muitas semelhanças, certo? E então há algumas diferenças claras para mim. Parece muito amplo, certo? Porque além do Exército, não trabalhei no espaço federal.

Matthew McCormack: E o espaço federal não é tudo igual, certo? Então eu fui militar. Fiz inteligência e também passei vários anos no IRS, essencialmente financeiro. E há uma grande variedade de diferenças entre essas diferentes áreas dentro do espaço federal. Nem tudo é onipresente. Nem tudo parece exatamente igual, mas direi uma das perguntas que você faria: "Que conselho eu daria para alguém que está fazendo a transição do governo federal para o comercial?" e parte disso estaria por aí. Parte do nível de conforto que eles tinham, como CISO, você toma uma decisão, todos farão isso. Quando você está entrando no espaço comercial é entender que nem tudo é uma negociação ou é uma negociação, certo?

Matthew McCormack: Se há algo que você precisa fazer do ponto de vista da segurança, você terá que sentar e verificar com seus responsáveis pela privacidade, com seus advogados trabalhistas, dentro do RH, nessas diferentes áreas . Você não conseguirá fazer as coisas só porque disse para fazer, certo? E entender que isso não significa que você não seja uma pessoa inteligente e que as pessoas não acreditem em você, significa apenas que esse é o processo. Embora eu pense que em termos federais, fomos capazes de fazer mais do tipo "Porque eu disse". E quando você entra no espaço comercial, as pessoas não aceitam cegamente o que você lhes diz.

Jason Clark: Então, apenas uma pequena transição aqui, qual você acredita ser o risco de crescimento mais rápido na segurança cibernética, o problema, que as pessoas não percebem que os CISOs ou a maioria das equipes ou executivos de segurança não percebem que é o risco de crescimento mais rápido? O que está acontecendo com todo mundo?

Matthew McCormack: Acho que muitas pessoas estão cientes agora por causa de algumas coisas, mas não entender toda a gama e impacto é de terceiros. E de terceiros, há várias peças para terceiros. À medida que as empresas cresceram, elas se afastaram de todos os funcionários, obviamente, para um apoio muito pesado de empreiteiros ou terceiros para fornecer órgãos para ajudá-lo, mas também software. E o aumento do ransomware, que afetou tantas empresas diferentes e algumas empresas muito grandes, e especificamente quando um prestador de serviços, alguém que fornece órgãos à sua empresa para ajudá-lo a concluir uma tarefa e, tradicionalmente, você está permitindo a esses órgãos alguns forma de acesso à sua empresa semelhante a um mau funcionário, quando um desses provedores de serviço é atingido por ransomware, o primeiro passo é você eliminar todo o acesso de todos os funcionários daquela empresa que estão acessando sua rede, eliminando todos os acessos remotos até a empresa determinou qual foi o resultado do ransomware.

Matthew McCormack: E você percebe o impacto quando, de repente, 1.500 pessoas não podem comparecer ao trabalho na segunda-feira porque sua empresa foi atingida por ransomware. E você percebe a profundidade da dependência que tem desse provedor de serviços. E a segunda parte é o software, certo? Todo mundo sabe que a SolarWinds tem todas essas coisas na imprensa. A ideia de que você está realmente comprando e implantando sistemas já comprometidos em sua própria rede e não é como se essas empresas nos fornecessem o código-fonte, para que possamos fazer nossa análise de código-fonte de devida diligência, certo? Eles não vão fazer isso.

Matthew McCormack: E por causa disso, dependemos muito dos recursos internos de segurança do produto desses fornecedores. E então, quando digo terceiro, terceiro em torno de provedores de serviços e órgãos e, em seguida, terceiro em torno de software comprometido. Você simplesmente percebe essa dependência. Na GSK, obviamente, uma empresa farmacêutica, somos especializados em fabricar medicamentos, vacinas e coisas assim. Você não pensa no impacto que seu software de gerenciamento de TI poderia ter como o SolarWinds, certo? Você traz o SolarWinds. SolarWinds é hackeado. Você tem que arrancá-lo e, de repente, isso pode fechar uma empresa inteira.

Matthew McCormack: E realmente entender o impacto de todos esses terceiros e como você tenta desenvolver um plano de resposta para o que você faz quando algo assim acontece.

Jason Clark: Acho que você acabou de acertar, o que é provavelmente, eu concordo, o maior. Acho que os dois maiores são realmente o risco de terceiros, mas eu diria que é o que mais cresce por causa do SaaS, certo? É o que a empresa está fazendo com ou sem TI. E na maioria das vezes, sem TI, na maioria das organizações, eles simplesmente vão embora, certo? RH, marketing, etc. e depois também o crescimento dos dados, certo? Data, você é o MC, certo? E os dados aumentarão 3 vezes, de 57 zettabytes para 107 zettabytes nos próximos quatro anos. Não vemos ações de empresas de armazenamento, 3x disparando, certo? Porque tudo está migrando para a nuvem ou para dispositivos móveis. Acho que são definitivamente esses dois, mas clicar duas vezes no risco de terceiros que está na taxa mais rápida em contagem, é definitivamente SaaS, certo? A maioria das empresas tem mais de mil. O que você vê as organizações fazerem para se envolverem nisso, os CISOs superando os negócios e ajudando-os a possibilitar isso, em vez de historicamente, sempre dissemos: "Ei, não, temos um CRM. Não vá fazer mais nada"?

Matthew McCormack: Qualquer coisa ponto-ponto como serviço às vezes é um código para "Vamos contornar a TI", certo? E às vezes, olha, eu entendo o motivo das pessoas fazerem isso às vezes porque quando você passa pelo processo, em geral demora mais, em geral é mais caro, mas tem motivos para isso, né? Especialmente em um setor regulamentado, você precisa ter certeza de que está em conformidade. Estou vendo uma grande tendência, principalmente no direto ao consumidor, certo? Pessoas que desejam vender diretamente para você, Jason, o que parece ótimo superficialmente e elas podem sair e encontrar um fornecedor que dirá: "Ei, vou criar um portal para você e você poderá vender seu produto diretamente para Jason." “Ok, ótimo, e sim, isso impulsionará as vendas, mas temos uma carta PCI, certo? Temos a conformidade configurada? Estamos armazenando cartões de crédito? Estamos armazenando dados pessoais?" algumas dessas coisas diferentes.

Matthew McCormack: E então o que precisamos fazer é tentar ser proativos e estender a mão. À medida que encontramos algumas dessas capacidades internamente, não necessariamente apenas nos velhos tempos, pegue o martelo, quebre-o e desligue-o, mas diga: "Ok, quer saber? Se existe uma exigência de direto ao consumidor e você já construiu esse portal, vamos descobrir se podemos torná-lo legítimo, certo? Vamos fazer toda a parte do PCI para o seu portal direto ao consumidor e, em seguida, vamos garantir que outras pessoas dentro da empresa daqui para frente usem aquele que você acabou de construir e não saiam e construam o seu próprio."

Matthew McCormack: Então, no passado, provavelmente teríamos dito: “Não, isso é uma violação. Não fazemos diretamente ao consumidor, blá, blá, blá", mas agora temos que dizer: "Olha, se você está fazendo isso, estatisticamente há outras pessoas na empresa que estão fazendo isso ou vão querer fazer isso, então vamos descobrir como faremos isso." E vou te contar, um bom exemplo e não estou ligando ninguém é quando o COVID chegou aqui nos EUA, se você tem filhos, de repente, eles apareceram no Zoom, e o Zoom, dentro da GSK, o Zoom não era uma das ferramentas de colaboração aprovadas. E houve uma pressão tremenda para permitir que começássemos a usar essa ferramenta específica em nossos dispositivos quando não havíamos passado pela devida diligência de segurança. Não tínhamos um acordo de licenciamento e privacidade, todas essas coisas e muita resistência da nossa parte na implantação de uma ferramenta freeware no ambiente, mas ainda assim, muitas pessoas estavam acostumadas com isso porque todos ajudar seus filhos na escola e eles ficaram muito confortáveis com o Zoom e entenderam isso.

Matthew McCormack: E então, às vezes, você sabe que dizer não a algo, embora possa fazer sentido do ponto de vista da segurança, a segurança está no cinza. Não é mais preto e branco. Segurança, você tem que viver no cinza. E assim, encontrando uma maneira, embora não tenhamos sido necessariamente capazes de implantá-lo tão rapidamente quanto muitas pessoas gostariam, no final, nos permitimos adicionar isso às ferramentas de colaboração aprovadas e, em seguida, fornecer algum nível de suporte.

Jason Clark: Esse é um ótimo exemplo. Para isso, fico surpreso, sou quase tantas empresas por dia, né? Definitivamente, provavelmente cinco CISOs por semana e, obviamente, muitas pessoas tentando vender para meu programa de segurança e ouvir os fornecedores, mas quantas pessoas, exceto os bots Zoom, os bots que chegam e dizem: "Ei", aquela coisa que está escondida aí, traduzindo toda a conversa? Cada vez que digo às pessoas que estão organizando a chamada, e às vezes são grandes empresas, fico tipo: "Ei, você percebe que acabei de pesquisar essa empresa e eles têm apenas 18 funcionários e não temos uma única pessoa com um título de segurança e sua empresa e confiamos que toda essa conversa ficará na nuvem? Você sabe que isso provavelmente é um compromisso, certo?"

Jason Clark: E as pessoas ficam tipo, 'Oh, não, eu não tinha pensado nisso.' E às vezes são equipes de segurança e eu penso: "Ok, isso é interessante, certo?

Matthew McCormack: E acho que aquele em particular, quando houve um grande esforço inicial para permitir o uso, permitindo que esse aplicativo fosse implantado em nossos dispositivos, expondo o motivo como: "Olha, não estamos apenas sendo idiotas para ser idiotas aqui, certo? Não estamos apenas dizendo não sem motivo. Tivemos que expor os motivos, certo? Essa conversa é mantida em servidores comerciais de outra empresa. Se você estiver discutindo dados de pacientes, dispositivos médicos ou algo parecido, não esperamos privacidade. Esses dados poderiam ser coletados, explorados e vendidos a qualquer pessoa, porque não temos um acordo de privacidade."

Matthew McCormack: Nós, da segurança, às vezes temos que fazer um trabalho melhor para explicar os motivos. As pessoas ficaram mais espertas em relação à tecnologia e não aceitam cegamente: “Bem, o cara da segurança disse que isso é ruim, então não vamos fazer isso”. Eles querem isso. São apenas famílias e crianças, certo? À medida que meus filhos crescem, preciso começar a explicar-lhes um pouco mais o porquê. Não é apenas um “Não, você não pode fazer isso”. É como, "Você não pode fazer isso porque XYZ", ou, "Olha, quando você começa a dirigir, você precisa começar... É por isso que você tem que virar aquela esquina devagar, porque você não consegue ver essa coisa aqui e há uma curva cega." A mesma coisa, certo?

Matthew McCormack: Quando as pessoas estão acostumadas com uma tecnologia e ouvem que não podem usá-la neste ambiente, elas querem saber por quê. E acho que essa é uma pergunta legítima, certo? Isso não significa que estejam questionando se sabemos o que estamos fazendo como profissionais de segurança. Significa apenas que eles possuem um nível de conhecimento e, por isso, têm algumas dúvidas. E, portanto, precisamos fazer um trabalho melhor do lado da segurança, sendo o explicador-chefe.

Jason Clark: Bem, há duas partes aí, isso é muito importante. Portanto, há um que está traduzindo isso em riscos reais nos quais quero clicar duas vezes. E então o segundo que abordaremos é, e você fez a afirmação que foi publicada, é que no final todos os CISOs são vendedores, o que é verdade. E então eu quero atingir ambos ao redor, há risco de mudança, está acontecendo rápido. Na verdade, eu digo que estamos neste mundo de segurança de cabeça para baixo, onde tudo o que protegemos está fora de questão e agora nossos controles de segurança têm que seguir esses usuários e esses dados onde quer que vão e ainda temos que proteger os antigos, certo?

Jason Clark: Então é como habilitar o novo, proteger o antigo, mas neste novo modelo, uma das coisas que você falou no passado são os frameworks, mas os frameworks estão realmente lá e atualizados para realmente entender qual é o meu risco? neste novo mundo versus, digamos, mais modelagem de ameaças e realmente pensar sobre o risco de cada estágio e qual é o meu controle e mover isso para tempo real? Como você acha que somos uma indústria nesse pensamento e que sugestões você tem?

Matthew McCormack: As estruturas existem? Sim. Eles estão tão atualizados quanto precisamos deles? Não. Certo? Acho que todos nós dependemos muito das estruturas da bondade há vários anos. Como você falou no início, à medida que o mundo está virando ponto-ponto como serviço e coisas assim, essas estruturas têm lutado para acompanhar o ritmo, certo? Mas isso não significa que eles ainda não sejam bons fundamentos. Mas acho que para nós, sua capacidade de avaliar seu desempenho e se você está realmente cumprindo o compromisso que assumiu com seu conselho, você precisa ter algum tipo de estrutura, certo?

Matthew McCormack: Temos nosso ICF, nossa estrutura de controle interno e, como a maioria das pessoas, usamos o NIST como base, mas depois personalizamos e há motivos para fazer isso. Se você observar sua capacidade de auditoria interna, você deseja que sua estrutura corresponda à deles, de modo que, se eles identificarem um problema, ela seja mapeada para a sua. E se você estiver olhando para sua organização de privacidade, se estiver olhando para alguns desses diferentes, sua equipe de conformidade geral, não apenas sua conformidade de segurança, mas as pessoas que são responsáveis por nós, sua HIPAA, sua Sarbanes-Oxley, todos esses outros padrões de conformidade nacionais e GDPR, certo? Existem tantas conformidades e estruturas por aí.

Matthew McCormack: Você pode cair em um buraco negro tentando perpetuamente criar a estrutura perfeita. E acho que para nós decidimos que o NIST é a nossa estrutura e faremos uma pequena personalização por causa de nossa indústria única e traçaremos os limites aí. Eu acho que você estará sempre atualizado porque quando você está em 130 países, sempre há novas estruturas e novos padrões, e coisas novas como essas que você nunca conseguirá acompanhar. Tentamos revisar nossa estrutura anualmente, fazer mudanças, mas acho que as estruturas são ótimas, as estruturas são importantes. A modelagem de ameaças também é muito importante e tentar passar ...

Matthew McCormack: Se você tiver 130 fábricas, nem todas as 130 fábricas terão o mesmo nível de importância. Talvez um deles seja o produto mais vendido e com maior geração de receita. Talvez outro esteja apenas embalando o papelão que você precisa para colocar aquele produto. Ambos são importantes, mas qual é o mais crítico, certo? Você pode conseguir papelão de outra pessoa? Provavelmente. Outra pessoa pode fazer esse medicamento específico para você? Menos provável. Portanto, você tem que passar pela sua modelagem de ameaças e estamos em um estado constante disso, não apenas para nossas instalações de fabricação, mas também para nossos armazenamentos e repositórios de dados, certo? Onde permitimos que eles sejam replicados? Quem os possui? Eles estão na nuvem? Eles não estão na nuvem?

Matthew McCormack: Talvez faça sentido do ponto de vista econômico colocar algo na nuvem e torná-lo algum tipo de modelo SaaS. No entanto, o risco de retirar esses dados do seu ambiente e colocá-los na nuvem supera a economia. Estamos em constante estado de modelagem de ameaças e retorno de risco, certo? Para nós, o risco de fazer isso vale o retorno e vou te contar, é por isso e é um assunto, está dentro de qualquer boa organização de segurança, algo que todo mundo lida, mas desde a contratação, nem sempre vá procurar pessoal de ciência da computação para sua organização de segurança, certo? Se você está fazendo esse tipo de modelagem de ameaças, é melhor procurar um contador, certo? É melhor você encontrar alguém que entenda de dinheiro.

Matthew McCormack: E quando você analisa sua apólice de seguro, suas apólices de seguro cibernético, o pessoal da ciência da computação não é a melhor pessoa para avaliar os níveis de risco do seu seguro. E então, quando você olha para sua organização de segurança, quando estiver fazendo modelagem de ameaças, não aceite cegamente que terá pessoas internamente que sabem como fazer isso. Ou você terá algumas pessoas realmente especializadas em boutiques e temos sorte de ter algumas pessoas realmente inteligentes para nos ajudar com isso ou sair e comprá-lo. Porque se você tentar fazer um pouco dessa modelagem de ameaças com pessoas que não são especialistas nisso, suas prioridades para esse ano ficarão bastante confusas.

Jason Clark: Honestamente, atingimos as vendas, certo? Dissemos: “Oh, bem, você precisa ser vendedor”, certo? Bem, não acho que nenhum especialista em ciência da computação seja necessariamente seu melhor vendedor, certo? Então, acho que dependendo do seu domínio e do que você está tentando crescer ajuda a nutrir a lacuna de talentos que temos. O que eu diria é que tive um tremendo sucesso em tirar as crianças do ensino médio. Assim, com uma Aliança de Consultores de Segurança, vou a escolas secundárias e secundárias e ensinamos-lhes: "Ei, isto é cibernético". E todos disseram: "Oh, pensei que fosse como ciência de foguetes. Eu não sabia que era tão fácil. Eu não sabia que tinha que ser um cara no porão sem luzes acesas e apenas deslizando pizzas por baixo da porta", certo?

Jason Clark: E você verá grupos de garotas quase sempre vencendo os garotos em um evento de captura da bandeira. E eles dizem: "Nossa, eu nem sabia que isso era uma opção para mim, certo? Eu sou bom nisso." E então estou recrutando fora do ensino médio e não é mais como... A faculdade não é para todos de imediato, certo? Entrei no Exército em vez de ir para a faculdade no início. Na verdade, só me formei aos 25 anos. E a única razão pela qual me formei foi que eles disseram: “Ei, queremos fazer de você um CISO, mas não podemos, a menos que você tenha seu diploma”. E então, qual é a sua opinião sobre os lugares que você frequenta e você tem tirado crianças do ensino médio e, também, em geral, qual é a sua opinião sobre as coisas que outros líderes de segurança e TI podem fazer para solucionar essa lacuna de talentos?

Matthew McCormack: 100% certo. Então, sim, eu falo isso em escolas secundárias e isso me surpreende. Na verdade, eu... Uma afilhada minha, fiz uma entrevista com ela porque a escola dela tem um programa de segurança cibernética e ela na verdade estava fazendo um programa onde ela tem que codificar, mas então ela também tem que baixar alguns produtos e olhar para eles e avaliar o risco. E me surpreendeu que eles estivessem fazendo isso no primeiro ano do ensino médio. Fiquei realmente impressionado, mas também pensei, “Graças a Deus”, certo? Porque no que você quer dizer, o valor, com quem você fala, seja três, cinco ou sete, certo? A lacuna de um milhão, 3, 5, 7 milhões de pessoas que temos no ciberespaço, esperar que possamos esperar que essas pessoas se formem na universidade antes de entrarem na área é uma loucura, certo?

Matthew McCormack: Há muita demanda. E também dependendo dessa disciplina, como eu disse, estou com você. Você não precisa fundamentalmente desse diploma universitário. Eu ensinei você durante anos em uma faculdade comunitária local e eles tinham um diploma de associado em segurança cibernética há vários anos, mas eles estavam literalmente ensinando essas pessoas como usar, vou namorar comigo mesmo, NetWitness e ArcSight e alguns de essas ferramentas, certo? Eles os estavam ensinando como usá-los. E quando eu ainda estava no governo naquela época, eu estava contratando essas pessoas a torto e a direito porque você pode literalmente colocá-las na sua meia.

Matthew McCormack: E então eu acho que a ideia de que há tantas peças para a segurança cibernética e então não estou dizendo que você quer que operemos você, mas se tornou muito parecido com um remédio, certo? Da mesma forma nem todos os médicos são médicos, certo? Algum médico é bom em articulações, algum médico é bom em dermatologia. Você tem todos esses especialistas diferentes que são bons em suas diferentes coisas. A segurança se tornou isso, certo? Você tem seus pen testers, você tem seus especialistas em treinamento. Se você trabalha em uma empresa do tamanho da nossa, precisa de gerentes de programas e projetos que possam gerenciar esses projetos multimilionários.

Matthew McCormack: Então, quando olho para minha equipe de 300-400 pessoas, você tem origens diferentes, listras de cores diferentes e direi que alguns dos melhores profissionais de segurança são profissionais de psicologia. E quando falo em faculdades, rotineiramente vejo pessoas dizendo: “Ah, estou estudando psicologia ou sociologia, mas estou realmente interessado em segurança cibernética”. "Ótimo porque grande parte da segurança cibernética é o que o usuário faz." E as pessoas que entendem como influenciar os usuários, quando estão tentando fazer com que os usuários não cliquem em um phishing, não posso simplesmente enviar um e-mail dizendo: "Não seja burro e clique neste link", vou ter que descobrir como influenciar as pessoas e essas são pessoas com formação em psicologia. E então há todos os tipos diferentes.

Jason Clark: Conheço alguns CISOs que se formaram em psicologia, certo? Alguns CISOs realmente bons começaram como psicólogos e depois fizeram a transição. Eles não falam muito sobre isso, mas esse é um dos segredos do seu sucesso. De certa forma, acho que é tudo uma questão de ser diferente, certo? Sendo único. Não siga apenas o caminho principal que todo mundo já percorreu. O que você pode trazer para a mesa que ninguém mais tem?

Matthew McCormack: E na verdade é uma das minhas irritações e, obviamente, não sou reitor de universidade e não pretendo ser um. Uma das minhas irritações são as universidades que colocam seus programas de segurança cibernética em suas escolas de engenharia ou ciências da computação. Esse é 100% o lugar errado para colocar isso, certo? A segurança cibernética não é uma disciplina da ciência da computação e nem sequer é uma disciplina da engenharia. Sim, sou engenheiro. Sim, eu cresci assim. E isso influenciou como me tornei um CISO? Sim, com certeza e tenho 100 colegas que não são engenheiros, certo? É um negócio, certo? A segurança cibernética é uma disciplina de risco empresarial. E quando você olha para uma escola de negócios, "Ei, você vai ter uma aula de risco, uma aula de seguros, uma aula de finanças, uma aula de psicologia, uma aula de comportamento organizacional", quando fiz meu MBA , as aulas que fiz na escola de administração estavam infinitamente mais relacionadas ao que faço no dia a dia do que as aulas que fiz na escola de engenharia. E então me mata quando vejo universidades colocarem sua ciência da computação ou seus programas de segurança em suas escolas de ciências da computação ou de engenharia. 100% no lugar errado.

Jason Clark: Eu concordo. O MBA, para mim, teve um impacto significativo na maneira como eu via minha organização, eu mesmo, minha função. Honestamente, conseguir meu bacharelado foi insignificante para mim, certo? Realmente não mudou minha vida, a não ser que consegui a caixa de seleção que desejo, mas fazer meu MBA mudou meu pensamento. Então isso foi significativo. Se voltarmos, você mencionou algo sobre as diferentes funções se tivesse que mudar de carreira e assumir um cargo de gerente, por qualquer motivo, em que domínio você gostaria de estar? Qual é o seu domínio favorito em segurança no qual você gostaria de operar nesse nível?

Matthew McCormack: Treinamento, certo? Porque eu acho que, para mim, é uma das áreas absolutamente mais críticas, né? 100%, porque ainda é 90% do usuário, certo? O que o indivíduo faz que expõe? Gastamos milhões e milhões e milhões em ferramentas para impedir alguém de fazer alguma coisa e então olho para a percentagem do meu orçamento, isso é formação e é minúsculo, mas é assim que as coisas são. E há uma tendência na indústria de treinamento em segurança que está tentando se tornar mais interativa, mais atual e arrancada das manchetes. Ainda é muito difícil. Mas direi que uma das áreas que ainda está no espaço da segurança cibernética, que ainda está tão aberta para um pensamento diferente da próxima geração, é o treinamento, certo? Porque é assim que você interage com as pessoas.

Jason Clark: Isso está certo. E você pode medir isso. Você pode medir as diferenças nas mudanças, certo? Adorei essa resposta, Matt, porque vou te contar, fazendo muitas entrevistas, faço essa pergunta o tempo todo. Como você sabe, contratei mais de 50 CISOs em minha carreira, certo? Já tenho 30 trabalhando para mim e tenho 10 aqui na Netskope, mas também faço muitas entrevistas para CISOs para CIOs em nome deles, certo? Três CIOs estão me pedindo para participar de seu processo de entrevistas que estão em empresas diferentes no momento, apenas do ponto de vista de amizade. E então eu diria que entrevistei centenas de CISOs neste momento e sempre fiz esta pergunta: você é o primeiro CISO que respondeu ao treinamento.

Matthew McCormack: Provavelmente porque sou um péssimo programador. Provavelmente é por isso. Você nunca iria querer que eu codificasse nada para você.

Jason Clark: Geralmente é [inaudível 00:37:07] ou: "Oh, quero estar perto do negócio" e, mais comumente, é: "Quero ser o arquiteto. Quero brincar com a tecnologia", ou adoro o SOC. Eu adoro lutar a luta, certo?" Mas de vez em quando, você encontra uma pessoa que simplesmente diz: “Eu adoro RI” e eu digo: “Ah, há algo errado com isso. Lá se vai sua vida. Você está bem em nunca ter férias e trabalhar todas as sextas à noite. Isso é legal." Isso é realmente único, Matt. Acho que isso é importante e acho que é qualquer pessoa que esteja ouvindo. Na verdade, isso é algo para se pensar. Você pode fazer muito com treinamento. Há muitas oportunidades aí, especialmente pensando em inventar tecnologia. E eu sei que você e eu estamos treinando uma empresa que deseja fazer algo neste espaço. Portanto, deveríamos passar mais algum tempo falando sobre isso.

Jason Clark: Seguindo em frente, mais um tempinho aqui, algumas perguntas rápidas para você, certo? Se você pudesse fazer algo diferente em sua carreira ou voltando às suas últimas funções de CISO, o que faria de diferente?

Matthew McCormack: Honestamente, acho que retrospectiva é ótima, certo? Acho que esperava que o SaaS ... Não pensei que viria tão rápido. Achei que teria um pouco mais de tempo para preparar minha infraestrutura para ponto-ponto como serviço. Chegou mais rápido do que eu pensava.

Jason Clark: Isso é comum, certo? Na verdade o que é engraçado é que você sabe que o Netskope está nesse espaço, certo? E assim geramos relatórios para as pessoas. Chegamos e as pessoas pensam que têm cerca de 100 SaaS e então, quando mostramos a elas, elas têm 1.000 ou 2.000 e mostramos a elas essa contagem de tráfego e que seu tráfego de SaaS é mais da metade do tráfego do que seu tráfego da web. E você simplesmente ouve isso: "Oh, uau." E a próxima frase diz: "Isso aconteceu rápido", certo? Está certo. É por isso que falamos sobre você dizer que o risco de terceiros é o risco que mais cresce. E acho que isso é impulsionado pelo SaaS ou pela tecnologia incorporada, como você disse, no exemplo da SolarWinds. Então, outro golpe rápido, certo? Como é a aposentadoria para você?

Matthew McCormack: Não tenho ideia. Acho que não estou nem perto disso, certo? Fiquei muito tempo no governo. Eu tenho que continuar trabalhando. Acho que, para mim, o que realmente gosto de fazer fora das peças operacionais do dia a dia de um CISO é ser mentor de muitos CISOs, dar palestras em universidades e frequentar escolas de ensino médio. Acho que apenas defesa de direitos e, para mim, não se trata de defesa de direitos: “É assim que você protege as redes. É por isso que o PlayStation do seu filho está em risco." Defesa de apenas encorajar as pessoas a entrar na disciplina. Nossa, Jason, se você olhar para trás, na UMA, é literalmente cego, mas uma sorte cega e estúpida, que caímos no que eu acho que acabou de ser abençoado, certo?

Matthew McCormack: Se você tivesse me dito em 97, quando comecei a fazer isso, que a segurança cibernética se transformaria na indústria que é, eu nunca teria acreditado em você. É apenas um aspecto da sorte cega e estúpida. Mas agora, precisamos de mais e CISOs, obviamente, certo? Porque existem milhões de empresas, não existem milhões de CISOs. Como podemos ajudar a criar um pipeline de futuros líderes cibernéticos, mas também essa pirâmide? Como podemos atrair milhões de pessoas a mais para a disciplina e simplesmente convencê-las de que você não precisa ser um cientista da ciência ou um engenheiro para fazer isso, certo? Tudo que você precisa é ser curioso, certo?

Matthew McCormack: O que eu quero é alguém que olhe para alguma coisa e diga: “Bem, isso é interessante. Isso não faz sentido. Deixe-me descobrir o porquê." Essa é a pessoa que daria um bom segurança. Se você é alguém que olha para algo e diz: “Não entendo por que parece assim, mas vou descobrir o porquê”, então você está certo para esta área, certo? Então, como podemos atrair mais pessoas? Quando eu terminar as operações, quando estiver pronto para desligar meu telefone nos fins de semana e fazer coisas assim, imagino que vou gastar muito tempo tentando convencer ou educar os mais jovens a entrarem no mundo. disciplina.

Jason Clark: Eu adoro isso. Na verdade, obviamente, você já está começando, está fazendo isso agora, certo? Você simplesmente vai fazer mais. Acho que você falou sobre o espaço e como nos inserimos nele. Sinceramente, pensei em deixar a segurança em 2000, certo? Sempre que o vírus ILOVEYOU acontecia, eu pensava: “Já resolvemos isso”. Eu disse: “É AV. Temos filtros de spam, certo?" Eu literalmente estava começando a ficar um pouco entediado e comecei a receber meu CCIE. Passei no escrito. Eu disse: “Oh, a voz é o futuro, certo? Voz sobre IP pode ser minha carreira." Eu literalmente estava preocupado com a possibilidade de haver um beco sem saída em termos de segurança e então o mundo inteiro mudar, certo?

Matthew McCormack: Bem, veja agora pós-COVID, quando as empresas passarem de 2% remotos para 98% remotos no decorrer de um mês, e aqui estamos nós, por mais louco que pareça, vamos acabar pressionando dois anos de COVID e emprego remoto. Isso mudou fundamentalmente o mundo, obviamente. Basta olhar para o valor de mercado das empresas que fornecem ferramentas de colaboração online, certo? Através do teto. Então, o que você faz quando não tem pessoas nos escritórios? E não se trata apenas de “Como posso proteger suas transações?” Agora você volta ao treinamento deles. Como você os treina quando eles não estão vindo para o escritório? Como você faz com que eles façam ... É mais complicado entregar seu laptop quando você sai quando não está no escritório.

Matthew McCormack: De repente, a segurança sofreu outra curva e a indústria mudou, indo direto ao ponto, sobre "Tudo bem, o vírus ILOVEYOU foi lançado. Sim, resolvemos isso. Temos AV. O que vem a seguir?" Deus, se a cada ano nossa indústria não mudar, certo? O celular mudou isso. Cloud mudou isso. Agora, o emprego remoto mudou isso. E haverá outra mudança em dois anos. Acho que uma das razões pelas quais permanecemos em segurança é que a cada ano é algo diferente.

Jason Clark: As últimas três perguntas aqui, mas são respostas rápidas, são respostas de 15, 20 segundos, certo? Três perguntas. Então, a primeira é: qual talento ou habilidade que não está no seu currículo?

Matthew McCormack: Isso não está no meu currículo. Quer dizer que sim, mas não coloco no currículo?

Jason Clark: Isso você tem, pode ser um hobby, certo?

Matthew McCormack: Sim, adoro construir, certo? Quer se trate de um muro de contenção. Quando o COVID apareceu, construí uma casa na árvore para meus filhos e parei de colocar luz e água também, mas fora isso, provavelmente é essencialmente uma casinha.

Jason Clark: Isso é muito legal. Tudo bem, segundo, se você não estivesse na área de redes e segurança, se não estivesse fazendo o que está fazendo, em que outro setor você estaria?

Matthew McCormack: Na verdade, na escola, eu era engenheiro industrial, que projetava fábricas, pesquisa operacional e estatística. Adoro isso porque é pegar coisas não estruturadas e limpá-las em nossa sala de cirurgia. Poof, é isso que você... Adoro entrar nas fábricas e ver como você pode modernizar as máquinas, movimentar todas as coisas. Isso foi fascinante para mim, mas a Marinha disse: "Poof, você seria um criptologista melhor", e aqui estou, mas eu realmente gostaria ou gostei significativamente do design e das estatísticas da fábrica.

Jason Clark: Parece que você sabe como contar para seus filhos, certo? Você pode começar a observá-los e já poderá ver os talentos e habilidades. Então eu tenho meu filho de quatro anos, ele é o construtor, né? Ele é o único que está construindo esses conjuntos de LEGO enormes, aos quatro anos, e sozinho, simplesmente se concentrava neles e construía coisas no quintal.

Matthew McCormack: Eu também tenho um que é do mesmo jeito. É engraçado que desde muito jovem você possa ver exatamente algumas dessas mesmas características, que meus pais me disseram: "Sim, certo?" E então sim, é interessante também. Eu sei desde os 13 anos, mas eu sabia desde que ele era jovem que ele seria engenheiro. Eu simplesmente sabia.

Jason Clark: O mesmo, certo? Mecânico, prático, algum tipo de engenheiro também. Meu outro é quase um cientista. Ele quer misturar produtos químicos e outras coisas, certo? E então a última pergunta rápida é um conselho importante se alguém ligar para você e for um CISO pela primeira vez.

Matthew McCormack: E este é um conselho que dou, assim como você, orgulho-me do fato de ter ajudado a desenvolver muitas pessoas que estão em funções de CISO agora. E então uma das peças que sempre dou a eles é: "Você está no seu trabalho porque é inteligente. As pessoas com quem você está reunido naquela sala estão trabalhando porque são inteligentes. Você não é a pessoa mais inteligente da sala. Aceite conselhos de outras pessoas na sala. E a segurança é uma disciplina colaborativa, certo? Você precisará trabalhar com o CTO e o CIO e o CFO e o conselheiro geral e todas essas diferentes disciplinas.

Matthew McCormack: Então aprenda a falar a língua deles, certo? Aprenda a falar advogado. Aprenda a escrever um business case porque se você vai pedir milhões de dólares por uma iniciativa, o CFO vai querer saber qual é o seu retorno. Entenda que todos com quem você vai interagir, todos os seus colegas, estão em seus empregos porque eles também são muito inteligentes. Então comece sabendo que você é uma entre muitas pessoas inteligentes, você não é a única pessoa inteligente."

Jason Clark: Adorei. Acho que é um bom conselho. Certa vez, em minha primeira reunião do conselho aos 26 anos como CISO, entrei e estava nervoso. Eu estava tremendo. E o presidente desta empresa disse: “Filho, venha aqui”, e disse: “Escute, você é o especialista aqui, certo? Eles são caras espertos, sim, mas fazem parte dos conselhos, mas não conhecem o ciberespaço como você conhece o ciberespaço. Você é o especialista. Seja dono de suas coisas, certo?" E então ele se virou e disse: "E tenho outra coisa para você." E ele disse: "Aqui estão duas fotos de Johnnie Blue." E ele disse: “Ele será seu amigo. Nós vamos voltar. Você começará em 15 minutos." Eu estava tipo, "Ok, funcionou." E, a propósito, nunca tive isso na minha vida antes.

Matthew McCormack: E acho que todos nós temos histórias. E o que descobri é que normalmente tenho uma situação semelhante, de quando estava no IRS, onde tentava defender uma nova iniciativa cibernética, e o chefe da unidade de negócios com 26.000 pessoas, e ele disse: "Ei, " comecei a discussão com "Filho", e o que descobri em minha carreira é que sempre que alguém inicia uma discussão com "Filho", geralmente será seguido por algum conselho, certo? Diz algo que você não sabe atualmente. Então eu definitivamente ouvi isso. Sempre que alguém começa, é isso. Acontece menos agora que fiquei mais velho. Mas sempre que alguém começava algo com “Filho”, eu sabia que o que viria a seguir era algo que eu deveria ouvir.

Jason Clark: Exatamente. Desde que você era criança, certo? Bem, de qualquer forma, estamos sem tempo, mas Matt, isso foi incrível. Muito obrigado. Isso foi divertido. Muitos insights excelentes, eu acho, para todos lá fora e eles conheceram você ainda melhor. Vamos fazer isso de novo e definitivamente voltar e falar mais sobre as coisas que podemos fazer juntos pela indústria.

Matthew McCormack: Parece bom. Obrigado, Jasão. Eu realmente aprecio. Foi muito divertido.

Rolo de anúncios:O podcast dos visionários da segurança é desenvolvido pela equipe da Netskope. Procurando a plataforma de segurança em nuvem certa para possibilitar sua jornada de transformação digital? O Netskope Security Cloud ajuda você a conectar usuários com segurança e rapidez diretamente à Internet, de qualquer dispositivo a qualquer aplicativo. Saiba mais em Netskope.

Narrador: Obrigado por ouvir os Visionários de Segurança. Reserve um momento para avaliar e comentar o programa e compartilhe-o com alguém que você conhece e que possa gostar dele. Fique ligado nos episódios que serão lançados a cada duas semanas e nos vemos no próximo.