Estabelecendo uma mentalidade de segurança desde o início com Amanda Crawford

Amanda Crawford: Se você usa um computador ou a internet, você tem um papel a desempenhar para manter nosso estado seguro. Se você é um desenvolvedor, isso significa que a segurança precisa ser injetada durante todo o processo de desenvolvimento. Se você é um gerente de rede, as ferramentas precisam ser ajustadas para poder responder a essas ameaças. Então, papel por papel, cada um de nós realmente precisa considerar como faz parte da equipe.

Palestrante 2: Olá e bem-vindos à Security Visionaries. A maioria das pessoas aprende sobre a importância da segurança em seus anos de faculdade. No entanto, líderes da indústria como Amanda Crawford acreditam que isso deve começar já no ensino fundamental, já que as gerações mais jovens são mais nativas digitais do que nunca. Amanda é diretora de informações do Texas Department of Information Resources, onde sua equipe faz parceria com o PTA para fornecer práticas recomendadas e dicas sobre segurança cibernética. Sua equipe também oferece liderança em tecnologia, soluções e inovação para todos os níveis do governo do Texas.

Palestrante 3: O podcast Security Visionaries é desenvolvido pela equipe da Netskope. Na Netskope, estamos redefinindo a segurança de nuvem, dados e rede com uma plataforma que fornece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados em qualquer lugar. Para saber mais sobre como a Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada atrevida, visite netskope.com.

Orador 2: Por favor, aproveite esta entrevista entre Amanda Crawford e seu anfitrião, Mike Anderson. Mike Anderson: Bem-vindo ao episódio de hoje de Security Visionaries. Sou seu anfitrião, Mike Anderson. Sou nosso Diretor Digital e de Informação aqui na Netskope. Hoje, estou animado por ter Amanda Crawford. Ela é nossa CIO para o estado do Texas que está se juntando a mim hoje. Bem-vindo esta manhã ao nosso podcast. Então, conte ao público um pouco sobre você, seu papel no estado do Texas.

Amanda Crawford: Olá, Mike. Obrigado. Estou feliz por estar aqui. Tenho o privilégio de atuar como Diretor Executivo do Departamento de Recursos de Informação do Texas, bem como Diretor de Informações do Estado do Texas. Eu já estive nessa função, caramba, estou perdendo um pouco a noção e principalmente com os anos de pandemia que tudo parecia uma parada meio estranha. Fará quatro anos, creio eu, em fevereiro. E com a função de CIO por um pouco menos de tempo, originalmente vim e ingressei na agência como Diretor Executivo. E então, quando o CIO anterior se aposentou, o conselho me pediu para assumir essa função também. E então, certamente foi um momento emocionante para estar neste papel e é um que eu realmente gosto.
O Texas é um modelo altamente federado. Nós brincamos na comunidade de tecnologia do estado que se você viu um estado, você viu um estado. Cada estado é configurado um pouco diferente. Então, aqui com o papel da minha agência para DIR, como chamamos, estamos realmente aqui para definir a estratégia de tecnologia do estado, fornecer segurança e, em seguida, oferecer soluções para todos os níveis do governo do Texas. Então, damos suporte a clientes no nível estadual, no nível local e, na verdade, podemos fornecer soluções para outros estados também. Estamos muito ocupados, como você pode imaginar.

Mike Anderson: Sou muito grato por todo o trabalho que você faz porque, como você sabe, também sou texano, então me beneficio de todo o excelente trabalho que você está fazendo e realmente aprecio você proteger todas as nossas informações para todo o nosso povo no estado do Texas. Então, isso também é extremamente importante. É interessante porque, quando você e eu nos conhecemos, estávamos gravando um webinar para a National Association of State CIOs, NASCIO, e abordamos o tópico de segurança e você disse, você usou a frase: "Segurança é um esporte de equipe". Portanto, o tema desta temporada do nosso podcast é segurança é um esporte de equipe. Eu adoraria ouvir sua perspectiva apenas como CIO, sua abordagem, seus sentimentos sobre por que a segurança é tão importante e onde isso se classifica em sua priorização e onde você se concentra?

Amanda Crawford: Bem, acho que é prioridade em tudo. Tem que ser o número um, talvez apenas o segundo, e eu nem sei, acho que eles dividiriam o primeiro lugar com conectividade. Uma das coisas que somos encarregados de fazer aqui é fornecer essas soluções para os texanos e para o governo que os atende. E podemos criar as ferramentas inovadoras mais recentes com os novos modelos de prestação de serviços, mas se os texanos não puderem se conectar a esses serviços e se eles não forem seguros, nada disso realmente importa. Então, essa frase de que a segurança cibernética é um esporte de equipe, eu a uso muito porque parece ressoar com as pessoas e é algo que as pessoas parecem ser capazes de entender e compreender.
Como você sabe em sua função, Mike, e o que a Netskope faz é que realmente precisamos de todos nós trabalhando juntos nisso para podermos alcançar a verdadeira segurança. Portanto, se você usa um computador ou a Internet, tem um papel a desempenhar para manter nosso estado seguro. Se você é um desenvolvedor, isso significa que a segurança precisa ser injetada durante todo o processo de desenvolvimento. Se você é um gerente de rede, as ferramentas precisam ser ajustadas para poder responder a essas ameaças. Portanto, papel por papel, cada um de nós realmente precisa considerar como faz parte da equipe.

Mike Anderson: Isso é ótimo. Você mencionou antes um modelo federado para o estado do Texas. Como você se alinha do ponto de vista de priorização de segurança em todos os grupos federados? Como esse tipo de jogo se encaixa em todo o conceito de esporte de equipe?

Amanda Crawford: Eu diria que, no que diz respeito ao conceito de esporte de equipe com segurança, particularmente em torno da política, nossa responsabilidade da liderança estadual e do estatuto é definir as políticas de segurança para agências estaduais e ensino superior. E então nós definimos essas políticas e padrões, então eu acho que é o manual, o treinador que colocaria lá tão longe quanto levaria a analogia do suporte de equipe até onde fosse. E então, quando se trata dos governos locais, o que fazemos é divulgar as melhores práticas e fazemos muitas conferências e educação e fornecemos outros recursos. Portanto, embora possamos não ter o encargo legal de definir esses padrões de segurança para os governos locais, ainda divulgamos manuais, práticas recomendadas e focamos na abordagem de todo o estado para ajudar a reunir todos e tornar esse ecossistema mais saudável do ponto de vista da segurança. Isso é o que fazemos.
Direi muitas coisas que, por causa desse modelo federado, trabalhamos muito por meio de colaboração, influência, construção de relacionamentos, porque não temos essa abordagem rígida para pessoas que não obedecem. É realmente uma questão de explicar para as pessoas por que a segurança é importante, por que ter esses padrões e práticas é importante e fazer aquela educação para trazer as pessoas e aumentar essa postura de segurança para o estado.

Mike Anderson: Isso é ótimo. Se você deseja que as pessoas cumpram, acabei de ler o livro É assim que dizem que o mundo acaba. E então, se você quiser que alguém cumpra, apenas faça com que eles leiam esse livro e então eles não terão problemas em fazê-los obedecer em segurança. Não dormi bem nas últimas semanas quando comecei a ler esse livro.

Amanda Crawford: Eu ia dizer que está na minha lista, mas pelos motivos que você listou, estou um pouco hesitante em mergulhar nele.

Mike Anderson: Sim, é definitivamente revelador. Portanto, se falarmos sobre nossa jornada para CIO ou jornada e tecnologia, comecei como desenvolvedor de software, então sempre me interessei por escrever código e escrever aplicativos. Quando você olha para a sua carreira e olha para a tecnologia, qual é a área da tecnologia que é a parte que eu realmente amo? Todas as outras coisas são muito legais e importantes, mas o que é essa coisa de tecnologia na qual você realmente se apega?

Amanda Crawford: Bem, para mim, e talvez venha da minha experiência anterior a esta função, mas são as pessoas por trás da tecnologia. Quero dizer, porque para mim uma das coisas que gosto de dizer é que talvez sejamos uma agência de tecnologia, mas somos alimentados por humanos. E não podemos fazer o que fazemos sem as pessoas por trás disso, então para mim é fascinante neste mundo da tecnologia e aqui no setor público as diferentes personalidades, as diferentes pessoas que se reúnem e são atraídas para esta missão e as formas que podemos colaborar e trabalhar juntos para realizá-lo. Sempre há desafios em tecnologia. Acho que o setor público tem um conjunto único de desafios. E, para mim, não podemos fazer isso sem as pessoas por trás disso, porque são elas que impulsionam as iniciativas, fazem a divulgação, aumentam a adoção. E acho que há equipes fantásticas aqui no Texas que estão trabalhando nesses esforços.

Mike Anderson: Isso é ótimo. Sim, sempre fui um grande defensor de que somos todos pessoas em primeiro lugar. Sempre digo aos meus líderes que seu papel como líder é acender o fogo nas pessoas que não estão sob seu comando. Então, como você inspira as pessoas a realizar grandes coisas? Então, sim, o lado das pessoas é definitivamente ótimo. Se você olhar para o estado do Texas hoje, todo mundo está adotando a nuvem. E para muitas pessoas a nuvem pode significar software como serviço, pode significar ambientes de nuvem pública. Conte-me mais sobre o estado do Texas. Como é a adoção da nuvem no estado do Texas e como será daqui a dois ou três anos?

Amanda Crawford: Eu gostaria de dizer que talvez no setor público estejamos um pouco à frente no que diz respeito à adoção de políticas e leis que nos ajudem nessa jornada para a nuvem, nos dê o pontapé inicial. E ficando com isso um pouco, voltando às diferenças entre os estados, uma das coisas que me sinto muito feliz por termos aqui no Texas é que temos um apoio muito forte da liderança estadual e temos a estrutura estatutária para nos permitir fazer as coisas que precisamos fazer e conduzir essas prioridades de TI.
Uma delas foi que o Texas tinha uma política de considerar a nuvem em primeiro lugar por um tempo e certamente bem antes do início da pandemia. Como todos sabemos e provavelmente já foi discutido, o conceito de adoção da nuvem, transformação digital e modernização está sendo acelerado pela pandemia, então realmente vimos a adoção da nuvem avançar ainda mais durante aqueles momentos em que tivemos que ser capaz de escalar rapidamente e se adaptar rapidamente para poder atender os texanos de uma nova maneira. A outra coisa, certamente no que diz respeito à nuvem, estamos vendo uma adoção maior. Estamos vendo os números aumentarem tanto quanto diferentes aplicativos migrando para a nuvem. Ainda temos um longo caminho a percorrer com o roteiro para garantir que esses aplicativos sejam apropriados para a nuvem e adaptáveis, mas é uma progressão sólida.

Mike Anderson: Isso é ótimo. É interessante, quando estávamos em Washington gravando o webinar da última vez e conversando com alguns dos outros CIOs do estado, conversamos sobre os dados que você precisa trocar nos ambientes. Cada tipo de grupo federado tem sua ilha de dados que deseja conectar a outras ilhas dentro da organização. E então, quando você faz isso, a segurança se torna um fator importante e como faço para proteger a transmissão desses dados entre as organizações? Então, fale-me um pouco sobre como você cria segurança nessa interação entre todos esses diferentes grupos federados dentro do estado?

Amanda Crawford: Então, isso é um desafio. Eu diria que parte disso é ser capaz de... Isso também pressupõe que esses diferentes silos de dados conversem entre si e sejam capazes de compartilhar, em vez de serem apenas silos de excelência, mas estamos trabalhando para isso. E, novamente, voltando à pandemia e à resposta que tivemos com as agências de saúde em particular e com que rapidez eles tiveram que mudar seu modelo para poder realmente reunir todos esses dados, para ter dados limpos que poderiam realmente ajudar conduzir a tomada de decisão para a liderança do estado, isso foi tão importante.
Uma coisa, porém, ao ir para a peça de segurança que nossa legislatura reconheceu foi como vemos tantas agências e vemos a adoção da nuvem avançando, o que faremos para garantir que essas transições e movimentos para a nuvem sejam seguros? Então, na última sessão legislativa, nossa legislatura aprovou um projeto de lei que criou o Texas Risk Authorization and Management Program, ou TX-RAMP, que exige que agências estaduais e instituições de ensino superior, todos os seus produtos e serviços em nuvem sejam certificados, seja por meio FedRAMP, StateRAMP ou TX-RAMP. Esses produtos e serviços de computação em nuvem devem ser certificados para atender aos mesmos padrões que nossas agências estaduais devem cumprir para garantir que os dados do Texan sejam protegidos quando eles estiverem utilizando esses serviços. Então, novamente, isso está direcionando essa postura de segurança em primeiro lugar, falando sobre vamos falar sobre a adoção da nuvem, mas vamos garantir que estamos fazendo isso de maneira inteligente e segura.

Mike Anderson: Bem, definitivamente parece que você está incorporando segurança por design em seus processos. Como passamos por essa aceleração nos últimos dois anos, como isso mudou sua equipe? Como você insere essa mentalidade de segurança em todas as pessoas da equipe? O que você fez no estado para ajudar a construir essa mentalidade de segurança dentro do estado e realmente acelerar a segurança por design?

Amanda Crawford: Então, eu acho que, voltando à analogia do esporte de equipe, ela também deve vir de cima. Tem que ser algo priorizado pela liderança e pelo pessoal fora da tecnologia e não apenas pelas pessoas que lidam com isso dia após dia. Então é algo que é prioritário para o nosso estado através do legislativo, falado através das iniciativas que eles aprovaram. Para o nosso governador, a segurança cibernética é uma prioridade dele há muito tempo. E está sempre no orçamento do governador e nas suas iniciativas. Tivemos a segurança cibernética como algo que ele deseja priorizar para garantir a segurança dos dados para os texanos.
A outra coisa que acho realmente importante é ter um programa de segurança em todo o estado. Acho que no setor público o valor de ter uma posição em todo o estado e um programa em todo o estado, temos a Diretora de Segurança da Informação em todo o estado, Nancy Rainosek, que trabalha aqui no DIR. E temos um programa de dados do estado com o diretor de dados do estado, Ed Kelly, que também trabalha aqui no DIR.
E o que vimos com essas iniciativas estaduais que estão impulsionando políticas, educação, divulgação e relacionamento, vimos esses esforços realmente darem frutos porque parte disso não é apenas o aspecto técnico, mas é a parte educacional e falar sobre o importância disso. Realmente fizemos um esforço concentrado para atrair os líderes de negócios e não apenas os tecnólogos da agência para garantir que eles entendam por que a segurança é importante. Todos nós podemos falar sobre isso, mas os riscos financeiros, há riscos políticos, há riscos de reputação e depois há apenas os riscos para os texanos por essa interrupção nos serviços, a perda de dados, que são enormes e a segurança é uma mensagem que realmente ressoa com apropriadores e com líderes empresariais. Acho que eles estão entendendo e entendem porque isso é algo que precisa ser priorizado.

Mike Anderson: Bem, novamente, assim que você tiver a chance de ler isto, É assim que dizem que o mundo acaba, envie a todos uma cópia desse livro. Sempre que você estiver tentando obter orçamento para iniciativas de segurança cibernética, envie-lhes esse livro e prometo que funcionará.

Amanda Crawford: Ok, entendi.

Mike Anderson: Estou curioso, então você mencionou o CISO, muitas organizações como a Netskope, nosso CISO é um colega meu, trabalhamos muito juntos. Em algumas organizações, o CISO é um subordinado direto do CIO. Como está configurado no estado do Texas?

Amanda Crawford: Então, aqui em nossa agência, o CISO estadual se reporta diretamente a mim. Porque temos responsabilidade não apenas pelo aspecto de resposta a incidentes de estratégia política para incidentes em todo o estado e isso é feito por meio do escritório estadual do CISO, mas também temos responsabilidade operacional pela segurança por meio de nossas operações. Portanto, temos uma equipe de operações cibernéticas encarregada de proteger a rede estadual. Somos o provedor de serviços de Internet para agências estaduais e bloqueamos, defendemos e fazemos todas as coisas que você pode pensar que faríamos e deveríamos fazer nessas redes estaduais. Portanto, essas posições são relatadas através de mim.
Mas cada agência, novamente no modelo federado, algumas são um pouco diferentes. Em algumas agências, você tem o CISO que se reporta diretamente ao CIO. E outros, você tem o CISO que se reporta talvez em um lado administrativo ou está se reportando por meio de uma função de risco. Agências diferentes fazem as coisas de maneira um pouco diferente. Costumo me meter em maus lençóis quando opino sobre qual é a melhor estrutura. Acho que, no final das contas, o imperativo é que o CISO e o CIO trabalhem juntos. Eles precisam entender a importância de ambas as funções e precisam ter acesso aos líderes de negócios da agência para serem eficazes.

Mike Anderson: Sim, com certeza. Esse conceito de esporte de equipe é fundamental. Alguém me disse, outro colega nosso disse, quando meu CISO espirra eu fico doente. E é assim que eles estão conectados.

Amanda Crawford: Eu amo isso, sim.

Mike Anderson: É interessante também, você mencionou a rede e essa é uma das que vemos é que tende a haver desconexões. Se você observar às vezes as equipes de infraestrutura, as equipes de rede são as responsáveis muitas vezes por colocar os dedos nos teclados e implementar muitas das ferramentas de segurança que são compradas por organizações, estados e assim por diante. Como você conduziu esse alinhamento para garantir que as equipes que dão suporte e administram a rede e a equipe de segurança estejam trabalhando juntas e tenham a mesma prioridade?

Amanda Crawford: Sim, definitivamente é algo que pode ser um desafio. Nossas equipes fazem muito juntas e confiam muito umas nas outras. Então, uma das coisas, por exemplo, se houver um incidente com uma agência governamental em qualquer nível, seja uma cidade ou condado, mesmo que seja algo que diga que nossa equipe de segurança de rede não tem responsabilidade operacional, nós iremos envolvê-los na discussão. Um, para que vejam como o outro lado da agência está respondendo ao evento. Mas dois, sabemos que eles têm informações que podem compartilhar. Eles têm ideias sobre como responder à ameaça, como lidar com ela, o que é exatamente e vice-versa.
Portanto, embora dependendo da natureza do incidente e de quem está envolvido, outra pessoa pode estar na liderança. Reunimos todas essas equipes porque, novamente, sentimos que todos ficam melhores juntos e se fortalecem para garantir que estamos alinhados com essas prioridades. E acho que parte disso vem de ter planos, políticas e procedimentos claros, um bom gráfico de raça e também fazer exercícios de mesa para que todos saibam o que fazer quando os eventos acontecerem, quem está no comando, quais são os papéis de todos. Não significa que sempre será perfeito, mas todos nós sabemos que não há substituto para praticar de fato em um incidente.
E a outra coisa é que a equipe do CISO estadual faz parceria com nossa equipe de rede e nossa equipe de operações cibernéticas quando eles começam a falar sobre quais ferramentas vamos usar. À medida que aumentamos nossa capacidade de conjunto de ferramentas para acomodar o crescimento, principalmente durante a pandemia, queríamos ter certeza de que receberíamos informações de todos para garantir que estávamos obtendo os conjuntos de ferramentas certos para poder responder a esse aumento de crescimento em nosso capacidade da rede.

Mike Anderson: Não, isso é ótimo. Esse alinhamento é muito importante. Eu sempre digo às pessoas que se for prioridade um para uma equipe e prioridade três para a outra, sempre haverá atrito. Então você tem que alinhar essas prioridades. Essa é a chave lá.

Amanda Crawford: Certo. E, novamente, pode haver divergências, mas tudo bem. Acho que crescemos tendo essas conversas e estando abertos para ouvir de todos os lados sobre a melhor forma de lidar com essas questões.

Mike Anderson: Não, absolutamente. Outra de nossas colegas aqui no estado do Texas, Kim Mackenroth, ela me contou sobre uma campanha que ela fez lá dentro. Ela é a CIO da Textron, se você ainda não teve a chance de conhecê-la, ela é uma pessoa incrível, incrível. Ela realizou uma campanha com seu CISO chamada Human Firewall, onde para as pessoas que exibiam os comportamentos corretos que faziam sua conscientização de segurança, não eram vítimas de todos os ataques de phishing simulados, recebiam camisetas e bonés e recebiam uma carta pessoal de o CIS. Foi tão emocionante ver nosso CISO aqui na Netskope fazer a mesma coisa. Existe algum tipo de campanha ou coisas assim que você faz para tentar construir essa mentalidade de segurança, como tornar sua equipe ou pessoas no estado firewalls humanos?

Amanda Crawford: Certo, certo. Em primeiro lugar, adoro essa frase e foi a primeira vez que a ouvi quando você e eu estávamos conversando naquele painel juntos e eu a adotei também. Acho que já disse isso algumas vezes em várias audiências legislativas nesse ínterim, falando sobre segurança. E é ótimo porque ressoa e as pessoas entendem isso. Então, obrigado por compartilhar isso, porque eu acho fantástico.
Portanto, obviamente, temos diferentes campanhas de segurança internamente. Claro, no Texas, todos os funcionários públicos por estatuto em todos os níveis do governo são obrigados a fazer um treinamento de segurança obrigatório todos os anos e esse treinamento deve ser certificado por nossa agência. Então, acho que é uma coisa importante, obviamente, ter esse treinamento. Mas então ir além e fazer exercícios de phishing e coisas assim para encorajá-los.
Uma coisa que temos no Texas que também é uma criação estatutária é o Programa Cyberstar. E com o Programa Cyberstar, que permite que entidades do setor público e do setor privado se candidatem a ser um Cyberstar quando cumprirem certos padrões de segurança para mostrar que a segurança é uma prioridade para eles e que isso é algo importante para eles . E então eu acho que ter esse reconhecimento de que você é um Cyberstar certamente pode ajudar a promover esse fortalecimento de todo o ecossistema. É sempre mais fácil enganar um ser humano do que um computador e essa é uma das razões pelas quais sempre tentamos enfatizar isso com nossa legislatura. Por favor, sabemos que precisamos de financiamento para ferramentas e nunca vou dizer que é o suficiente. Nunca vou dizer: "Não, por favor, chega de dinheiro, não há mais nada que possamos fazer". Porque sabemos que sempre há algo que precisamos fazer. Mas temos que ser capazes de fazer a parte educacional e de divulgação também.

Mike Anderson: Sim, é importante especialmente quando pensamos no mês de conscientização sobre segurança cibernética e pensamos em como levar esse treinamento aos sistemas escolares e às crianças. Quer dizer, na verdade, eu segmento minha rede em casa e tenho os dispositivos dos meus filhos conectados à rede de convidados porque eles estão sempre trazendo um dispositivo e apenas conectando-o ao wi-fi e é como, não, eu não quero comprometer . Não sei de onde veio esse aparelho.
Seria interessante, adoraria ver você falar sobre parceria pública e privada. Seria ótimo ver como poderíamos ativar CIOs, estado do Texas e além honestamente, mas como vamos trabalhar juntos na conscientização de segurança para educar as gerações atuais, as gerações futuras e apenas incorporar isso em nossa mentalidade desde o início idade.

Amanda Crawford: Eu não poderia concordar mais. E acho que certamente o mês de conscientização sobre segurança cibernética é um ótimo momento para todos nós da comunidade, privados e públicos, nos unirmos e promovermos isso. Adoraria visitar todos vocês de diferentes maneiras que poderíamos fazer isso e com outras pessoas do setor, porque acho que é uma grande oportunidade. A outra coisa é que é fantástico ver tantas faculdades juniores e faculdades agora com foco em segurança, fornecendo esses caminhos para treinar a futura força de trabalho de que precisamos tão desesperadamente nessa área. Sei que provavelmente será controverso dizer que vi no TikTok, mas há um vídeo no TikTok de um jovem que acabou de se formar na Western Governor's University, falando sobre o baixo custo de sua educação e segurança cibernética. E antes mesmo de se formar, ele recebeu uma oferta de emprego de seis dígitos e ele estava promovendo o valor dessa educação e divulgando-a. Portanto, esperamos que outras crianças que estão no TikTok façam isso e talvez excluam suas contas.
Eu adoraria ver, acho que para o seu ponto, como você também estava falando, precisamos começar mais cedo do que isso. Quero dizer, temos que começar cedo porque todas essas crianças são nativos digitais e precisam saber desde cedo. Então vamos falar sobre ensino fundamental, ensino médio. Fiquei muito orgulhoso de ter nossa agência como parceira do PTA do Texas e lançamos um vídeo sobre segurança cibernética com as melhores práticas e dicas para pais e filhos em parceria com o PTA. E é meu entendimento que isso é mostrado nos PTAs em todo o estado. Então, acho que é apenas uma maneira, novamente, de começarmos cedo e colocar essa mentalidade de segurança no lugar.

Mike Anderson: E talvez só precisemos separar e atribuir escolas a cada líder de segurança de TI para falar em uma escola. E fazemos algum tipo de campanha de mídia social com uma hashtag e filmamos você mesmo na escola e falamos sobre o firewall humano e talvez você possa se registrar para obter um firewall humano ou algo assim. Torná-lo divertido. Psicologia humana.

Amanda Crawford: Eu adoro isso.

Mike Anderson: Sim.

Amanda Crawford: Sim, eu adoro isso. É uma ótima ideia.

Mike Anderson: Vamos lá. Internamente aqui na Netskope, falo sobre a criação de cidadania digital. A segurança cibernética é um componente chave para isso, mas também queremos que as pessoas não comprem coisas que não deveriam. Queremos que as pessoas usem as ferramentas que já temos e não tragam coisas novas. Idealmente, queremos apenas que as pessoas sempre façam a coisa certa quando estão lidando com tecnologia. Quais são algumas técnicas, práticas ou coisas que você fez para criar cidadania digital em sua organização e até mesmo no modelo federado? Amanda Crawford: Claro, como mencionei anteriormente, existe o Certificado Cyberstar para público e privado. Voltando ao treinamento de segurança obrigatório para todos os funcionários públicos, garantimos que ele permaneça atualizado e atualizado. Então, uma das coisas que fazemos porque certificamos os programas aqui no DIR, os programas de treinamento, e assim estamos avaliando quais são essas ameaças e ajustando os produtos ou tópicos de treinamento obrigatórios. Por exemplo, em 2021, o spear phishing foi adicionado como um novo tópico de treinamento porque estávamos vendo um aumento disso nas ameaças que estavam chegando lá. E também desenvolvemos um vídeo de treinamento gratuito para que não precisasse ser um treinamento pago. Portanto, se você tivesse um distrito escolar que simplesmente não tivesse orçamento para fazer isso, eles poderiam usar esse vídeo e ele está disponível em inglês e espanhol. Então, isso é realmente, novamente, olhando para toda essa abordagem imobiliária sobre como aumentar essa cidadania digital.
Mas você está certo, não se trata apenas de segurança, mas de todas as coisas que podem acontecer. E então fazemos parceria com outros órgãos aqui no estado, o escritório do procurador-geral trabalhando muito nas questões de proteção ao consumidor e fraude de identidade e coisas assim que acontecem. Acho que isso é algo em que todas as agências, podemos ter um pouco desse quebra-cabeça sobre como tornar todos mais inteligentes nesse espaço e mais conscientes do que pode acontecer. Vou lhe dizer, acho que é uma maneira pela qual, como estado, provavelmente poderíamos trabalhar um pouco mais juntos, uma mensagem mais coesa e coordenada em torno deles para garantir que estamos transmitindo essa mensagem aos texanos.

Mike Anderson: Não, isso é ótimo. Tudo bem, vou girar um pouco agora. Vamos usar nossas bolas de cristal que temos e prever o futuro. Então, duas partes para a questão. Se você está ansioso para dizer 2025, daqui a alguns anos, quais são as coisas que você sente como líderes de TI e segurança, os CIOs, nas quais gostaríamos de ter investido? E então, se você avançar mais cinco anos para o final desta década até 2030, qual você acha que seria essa resposta? Quais são as coisas em que gostaríamos de ter gasto mais tempo? E pode ser segurança, pode ser qualquer coisa. O que a bola de cristal te diz?

Amanda Crawford: Claro. Então, para mim, a bola de cristal vai voltar para as pessoas e acho que investir mais em equipes, investir mais não apenas em recrutamento, mas em retenção, em desenvolvimento de equipe e treinamento em todas essas coisas, acho que isso deve ser priorizado . Acho que relacionado a isso, acho que, do ponto de vista da segurança, acho que os CIOs desejarão ter investido melhor em suas comunicações relacionadas à segurança em suas organizações. Quando as pessoas certas estão tendo as conversas certas e aproveitando as ferramentas sobre o risco de segurança como uma prática normal, como estamos normalizando e começando no início da fase de concepção de um projeto até o fim, tudo, apenas fica mais fácil. E na verdade está incluindo os indivíduos que realmente possuem as diferentes partes desse risco, desse risco de segurança na conversa. É difícil prever qual será o cenário de ameaças em evolução e quais serão os recursos dos agentes de ameaças, mas, obviamente, investir nessas ferramentas para detectar e prevenir ataques parece que deve ser uma prioridade, não importa o quê. Ficar por dentro, ficar ligado nessa evolução da comunidade.
E tudo pode compensar, porque sabemos que os custos certamente aumentam à medida que investimos mais nisso. Mas quando você olha para o custo total de resposta a um incidente que está diretamente correlacionado com o período de tempo entre a invasão e a detecção e resposta, investindo nessas funções preventivas de segurança, incluindo treinamento e educação e incluindo o firewall humano e formalizando a segurança da construção em algo em todos os níveis, inclusive no processo de aquisição, acho que paga dividendos. Então, essa é a minha bola de cristal.

Mike Anderson: Essa é uma boa bola de cristal. Eu vou a vários eventos de CIO e os grandes tópicos são sobre como a inteligência artificial e o aprendizado de máquina vão funcionar? Quero dizer, há muito potencial porque todos nós aprendemos agora que gosto de falar com um bot. Mas eu gosto de autoatendimento em vez de falar ao telefone, então isso apresenta muitas oportunidades para nós, mas também é a segurança disso. Porque penso que quando entramos em aprendizado de máquina e IA, uma das coisas em que pensei é que hoje estamos treinando a máquina, mas o que acontece se as pessoas começarem a inserir dados incorretos na máquina e como isso afeta as decisões que são feitos? Para mim, é assim que entra esse cenário de ameaças? Então, isso também será interessante de assistir.

Amanda Crawford: Sim, temos que garantir que, à medida que as máquinas fiquem mais inteligentes, nós também fiquemos. Certo?

Mike Anderson: Com certeza. Nós não queremos acabar, era Wally onde eles tinham todos os humanos que estavam apenas sendo marchados por robôs? Sim, nós não queremos isso.

Amanda Crawford: Sim. Wally.

Mike Anderson: Então você mencionou as pessoas e uma das coisas que temos é uma lacuna de talentos, especialmente em cibersegurança, acho que o último número que ouvi foi quando eu estava na RSA, temos um milhão de vagas em segurança cibernética apenas nos EUA. sozinho. E a diversidade que eu sinto é uma parte tão importante disso. O que você acha de algumas das coisas que podemos fazer como líderes para obter mais diversidade? E diversidade, pode ser diversidade de gênero, pode ser diversidade étnica, pode ser neurodiversidade. Quais são algumas coisas que você acha que podemos fazer para realmente ajudar a consolidar isso e também criar os caminhos para as pessoas perceberem que também podem se tornar um CIO ou líder no futuro?

Amanda Crawford: Certo. Eu acho que é muito importante a questão e o desafio da diversidade. E penso particularmente na segurança, quando voltamos novamente ao conceito de firewall humano e às coisas que temos de fazer, quando vemos que os ataques que estão a chegar, dependendo talvez do seu nível socioeconómico, nível de educação, onde você foi criado, sua cultura, você pode ser vítima de táticas diferentes que outros não podem. E dependendo disso, a idade também é um fator importante. Ter uma força de trabalho diversificada que compreende os gatilhos para os diferentes grupos, que ajuda a fortalecer novamente as ferramentas, a educação, a divulgação, as coisas que podemos fazer para prevenir. Então é tão crítico. Isso realmente fortalece o ambiente de trabalho e conseguimos essa diversidade de pensamento, o que, mais uma vez, acho que nos torna muito mais fortes. Então acho que precisamos começar cedo, como conversamos. Temos que desenvolver interesse e talento.
CyberStart America é um ótimo programa. É um programa gratuito de treinamento em segurança para estudantes do ensino médio. É uma ótima maneira de envolver as crianças no mundo cibernético. Como você e eu conversamos antes, vamos começar nas escolas primárias. Fazemos muita divulgação para estágios aqui no estado. Também visitamos HBCUs e faculdades comunitárias, por isso não estamos olhando apenas para universidades tradicionais de quatro anos.
Acho que envolver estudantes universitários em TI e segurança desde o início é fundamental. Portanto, uma das nossas iniciativas que temos, a legislatura e o governador assinaram a lei na última sessão, foi fazer um programa piloto, um centro piloto de operações de segurança regional em parceria com uma das universidades públicas aqui no Texas. E esta iniciativa fornecerá monitoramento, resposta, educação e divulgação aos governos locais no Texas e utilizará estudantes. E assim estamos recebendo estudantes para ajudar no fornecimento desses títulos de rede para essas entidades locais. Portanto, nosso programa piloto é com a Angelo State University, onde 46% dos alunos são hispânicos. E por isso estamos entusiasmados porque não só é uma instituição educacional excelente, mas também há muitas oportunidades para ajudar a trazer mais prática e o conjunto de habilidades para um grupo onde provavelmente não vemos a mesma representação que vemos dos outros. Então, estamos entusiasmados com essa oportunidade.
E acho que também considero candidatos prontos para uso que tenham o conjunto de habilidades, mas não o currículo. Estamos buscando aptidão e atitude mais do que apenas experiência? Por exemplo, minha formação é jurídica. Quer dizer, sou um advogado em recuperação e vim para esta agência depois de mais de 17 anos na Procuradoria-Geral da República. Então, aprendo todos os dias sobre os aspectos técnicos da minha função, mas obviamente, tendo essa aptidão para a função e a oportunidade, trago também uma nova perspectiva e uma perspectiva diferente para esta função do que alguém que talvez tenha crescido em tecnologia. Então, acho que todas essas coisas, se tivermos a mente um pouco mais aberta em algumas de nossas seleções de empregos, podem realmente ajudar.

Mike Anderson: Concordo totalmente. Quero dizer, isso é incrível. Adoro o que você está fazendo com Angelo State. Sempre me lembro do San Angelo porque costumava jogar futebol com eles. Eu estudei aqui no Texas e joguei na faculdade, então tive que tirar isso da cabeça lá. E eu tenho três filhos em escolas no estado do Texas que estão na faculdade agora, então isso é ótimo.

Amanda Crawford: Eu também. Estou animado para expandir o programa. Essa é uma de nossas iniciativas legislativas: na verdade, temos duas outras universidades em ação e esperamos financiamento para elas. Portanto, esperamos ter outros dois desses regionais [inaudível 00:32:44] chegando. Então estamos entusiasmados.

Mike Anderson: Então é sempre interessante. Temos uma grande lacuna de talentos. Mas às vezes eu oriento estudantes universitários e o que descubro é que eles estão procurando emprego porque todo mundo está procurando... Então você disse habilidades, as pessoas estão procurando alguém que já tenha experiência, mas ainda assim temos um lacuna de talentos. E eu sinto que o que você está fazendo com as escolas e universidades estaduais para basicamente dar-lhes o treinamento de que precisam para que tenham essa experiência, acho que vai valer a pena.

Amanda Crawford: Bem, estou otimista. E sim, porque concordo e esse é realmente um dos meus discursos. Subirei no palanque quando falarmos sobre os desafios que temos com o recrutamento no governo estadual para isso. E eu digo, bem, precisamos parar de esperar que teremos alguém com 15 anos de experiência em engenharia de rede que queira trabalhar para o estado pelos salários que você está pagando. Novamente, pare de colocar a experiência como o critério de trabalho número um. Podemos treinar. Podemos dar experiência às pessoas. Só precisamos de pessoas aqui que sejam inteligentes e tenham essa mentalidade missionária e estejam prontas para arregaçar as mangas e trabalhar para o Texas.

Mike Anderson: Sim, não posso concordar mais. Você pode contratar as habilidades sociais e treinar as habilidades básicas.

Amanda Crawford: Sim, com certeza.

Mike Anderson: Sim, eu estive lá. É como ERP, quero alguém que tenha 10 anos de experiência SAP em um mercado onde não há ninguém com experiência SAP. Ok, vamos contratar alguém e você pode ensinar.

Amanda Crawford: Certo, certo.

Mike Anderson: Então, sim, definitivamente poderíamos ter outra conversa sobre isso. Portanto, a confiança zero se tornou o tema do dia, está rotulada em tudo. Do ponto de vista governamental, a confiança zero é algo que você está adotando do ponto de vista do estado do Texas? Onde isso influencia a forma como você pensa sobre o futuro da segurança?

Amanda Crawford: É uma parte fundamental da nossa estratégia. A chave para a confiança zero, é claro, como você sabe, é que os usuários só tenham acesso exatamente ao que precisam, nada mais, nada menos. E isso realmente inverte a moeda na forma como abordamos esse acesso a dados, sistemas e redes. Sinceramente, acho que leva muito tempo para uma organização mudar completamente essa arquitetura do modelo atual para um ambiente totalmente de confiança zero. Mas estamos vendo organizações governamentais mergulhando no assunto, determinando se há áreas onde podem utilizar princípios de confiança zero para proteger melhor esses dados, redes e sistemas. Então faz parte da estratégia. É claro que o diabo está nos detalhes de como fazer isso, mas acho que é a chave para podermos proteger os dados que temos.

Mike Anderson: Esperamos que possamos educar mais sobre isso também, sobre o que é e o que não é. É como transformação digital ou nuvem, todos rotularam isso. Mas é tipo, ah, as pessoas compram coisas assim, então se chamarmos nosso produto, talvez alguém nos dê alguma atenção. Então temos que-

Amanda Crawford: Inovação.

Mike Anderson: Sim.

Amanda Crawford: Sim. Eu fico tipo, o que é inovação. Sim, de qualquer maneira.

Mike Anderson: Vamos passar agora para uma das minhas partes divertidas, aqui estão algumas perguntas rápidas para você. Então, vou apresentar alguns deles e apenas nos dar sua primeira resposta e pensamentos. Então a primeira pergunta é: vou dar duas partes. Uma delas é: qual foi o melhor conselho de liderança que você já recebeu? E a segunda parte é: qual foi o pior conselho de liderança que você já recebeu?

Amanda Crawford: Ah, tudo bem. Uau. Então o melhor seria, meu Deus, ouvir mais do que falar. Acho que provavelmente seria, na verdade, não são apenas conselhos de liderança, mas conselhos de vida. O pior conselho provavelmente é que comando e controle, que você é o chefe para obter as respostas certas. Todos nós conhecemos alguém em liderança que acho que vale a pena saber que você não tem todas as respostas certas, e é por isso que você contrata equipes fortes e se cerca de pessoas que são mais inteligentes do que você para que você possa fazer o certo decisões.

Mike Anderson: Sim. Sempre espero que as pessoas gostem desse comando e controle, você nunca pode sair de férias porque as coisas param quando você sai. Adoro o conselho de liderança porque um chefe desde o início [inaudível 00:36:20] me disse: você tem dois ouvidos, dois olhos e uma boca. Use-os nessa proporção.

Amanda Crawford: Isso é ótimo. Isso é realmente bom. Sim, acredito piamente que liderança é uma mentalidade e não uma posição. Uma das minhas principais funções é realmente capacitar minha equipe em todos os níveis para entender que eles lideram e são donos de sua posição e é assim que tornamos a organização mais forte.

Mike Anderson: Tudo bem. Mais um aqui, Última refeição. O que é?

Amanda Crawford: Oh meu Deus. Bem, acho que você entenderá, Mike, sendo do Texas. Provavelmente terá que ser churrasco no Texas. Acho que é um bom peito do Texas, e é claro que comer muito pode fazer com que você chegue à sua última refeição mais cedo ou mais tarde. Mas sim, eu provavelmente diria algo assim. Eu realmente adoro boa comida italiana. Morei na Itália duas vezes e quando era criança, por isso sou um pouco esnobe da comida italiana. Então eu teria que dizer que se eu tivesse uma massa realmente boa do sul da Itália com frutos do mar frescos, uma massa de verdade com frutti di mare, algo assim também estaria no topo da minha lista.

Mike Anderson: Uau. Sim, minha esposa e eu passamos duas semanas de férias na Itália neste verão e, como estávamos, tudo bem, como podemos descobrir um plano onde possamos morar na Itália por um mês por ano? Isso seria simplesmente incrível.

Amanda Crawford: Eu sei. Acho que o mundo, todos ficariam mais felizes se pudessem viver na Itália durante um mês por ano. Eu realmente acho que muitos dos nossos problemas seriam resolvidos. Seríamos apenas mais felizes.

Mike Anderson: Bem, acho que eles estavam tentando oferecer dinheiro às pessoas para se mudarem para o sul da Itália porque acho que li o relatório há alguns anos e talvez [inaudível 00:37:49].

Amanda Crawford: Ah, estou dentro.

Mike Anderson: Absolutamente. Qual é a música que você canta quando vai ao karaokê?

Amanda Crawford: Ah, músicas de karaokê. Eu tenho um monte. Bem, tipo isso. O amor nos manterá juntos, de Captain & Tennille. Sempre uma boa. Se estou me sentindo um pouco atrevido, talvez Rehab, de Amy Winehouse. Mas no que diz respeito à música para dançar, acho que se o September by Earth Wind and Fire tocar, você não poderá deixar de se mover quando essa música tocar.

Mike Anderson: Absolutamente. Pessoalmente, tendo a gravitar em torno de cantar junto, porque todo mundo está cantando. Eles não me ouvem. E é melhor para todos os presentes quando eu faço isso.

Amanda Crawford: Isso é exatamente certo.

Mike Anderson: Tudo bem, então qual foi o último livro que você leu e o que você gostou nele?

Amanda Crawford: Li um livro que minha filha recomendou, acabei de terminar. Foi uma leitura leve. Chamava-se Escritores e Amantes, de Lily King. Foi fantástico. Nada a ver com tecnologia, um pouco sobre ser um universitário no final dos anos oitenta, início dos anos noventa, então eu pude me identificar e foi ótimo. Era um ótimo livro. Eu realmente gostei disso.

Mike Anderson: Sim, parece ótimo. Minha esposa faz parte do Jen Hatmaker Book Club e recebe livros de Jen Hatmaker todos os meses.

Amanda Crawford: Ah, sim, Jen é ótima. Ela tem ótimas recomendações. Bem, conte para sua esposa. Eu recomendo. Acho que este pode ter sido um dos, acho que Jenna Bush, como um clube do livro, talvez, mas minha filha é uma leitora voraz e comecei a tirar coisas da estante dela porque ela tem um ótimo gosto para livros e vou apenas leia o que ela faz.

Mike Anderson: Ah, isso é ótimo. Tudo bem, a última dica rápida é: bem, quem você mais admira e por quê?

Amanda Crawford: Oh meu Deus. Acho que vou continuar com o tema que falei. Há tantas pessoas que admiro por diferentes razões, mas acho que, coletivamente, como uma comunidade agora, as pessoas que estão no topo da mente são as pessoas no governo e certamente no governo estadual com quem trabalho e realmente no governo em todos os níveis para estaduais e locais que se uniram tanto enquanto felizmente saímos da pandemia, mas todas as coisas que eles fizeram para trabalhar duro. Eu trabalho com um grupo de servidores públicos dedicados. Eles não recebem crédito suficiente. Não há nenhuma glória nisso e eles estão nisso pela missão. E então, para mim, pessoas que são motivadas pela missão e que estão fazendo a coisa certa pelas razões certas, mesmo quando ninguém está olhando, essas são pessoas que admiro e tenho sorte de viver e trabalhar em um estado onde nós temos nosso pessoal do governo que está em todos os níveis de governo que tem exatamente essa mentalidade. Então eles são muito admiráveis.

Mike Anderson: Sim, temos pessoas incríveis, incríveis. Bem, isso foi incrível. Eu realmente aprendi muito com essa conversa. Adoro as coisas que você está fazendo, o firewall humano e a federação da segurança em todo o grupo, a adoção da nuvem. Esta foi uma conversa incrível porque sou um colega residente. Eu me beneficio de todo o excelente trabalho que você e sua equipe estão realizando pelo estado do Texas. Então, muito obrigado. Há mais alguma coisa, alguma palavra de sabedoria de despedida que você daria às pessoas que estão ouvindo este podcast?

Amanda Crawford: Coma mais churrasco no Texas e habilite o MFA. Certo? É isso?

Mike Anderson: Tudo bem. Incrível. Obrigado.

Amanda Crawford: Tudo bem. Obrigado, Mike. Isso foi ótimo. Realmente aprecio isso. Eu me diverti muito. Obrigado.

Mike Anderson: Eu também. Tenha um ótimo dia. Obrigado.
Obrigado por assistir ao episódio de hoje do podcast Security Visionaries com minha convidada especial, Amanda Crawford, CIO do Estado do Texas. Foi uma conversa emocionante e sempre gosto de resumir algumas das principais conclusões que tirei de nossa conversa. E as três coisas são, antes de mais nada, no trabalho de Amanda, onde ela está tentando impulsionar a segurança em todas as agências estaduais, temos que garantir que temos uma política federada que garanta a segurança e como aplicamos a segurança na nuvem e em toda a transformação que fazemos. o que você está fazendo tem que ser federado. Temos que trazer todos junto nessa jornada.
Em segundo lugar, temos de começar a incorporar a segurança nas nossas pessoas desde muito jovens. Temos que entrar nas escolas primárias, nas escolas secundárias, nas escolas médias, nas faculdades, nas faculdades. Temos que garantir que a segurança seja integrada nas pessoas das nossas comunidades. Porque, novamente, as pessoas são sempre o nosso elo mais fraco quando se trata de segurança. E por último, mas não menos importante, está a diversidade. E pensamos na diversidade, são pessoas de diferentes origens socioeconômicas. Está atraindo pessoas talvez de faculdades historicamente negras ou talvez de áreas carentes. Trazer essa diversidade nos ajudará a pensar de forma diferente, porque essa diversidade é o que nos ajudará a ficar à frente dos maus atores que desejam o mal para nós. E honestamente, essa diversidade de pensamento é importante em tudo o que fazemos. Espero que você tenha gostado do episódio de hoje do podcast Security Visionaries. Eu sei por que fiz isso. E espero que você assista ao nosso próximo episódio e obtenha mais insights desses grandes líderes de segurança e TI.

Palestrante 2: O podcast Security Visionaries é desenvolvido pela equipe da Netskope. Rápida e fácil de usar, a plataforma Netskope oferece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados onde quer que estejam. Ajudar os clientes a reduzir riscos, acelerar o desempenho e obter visibilidade incomparável de qualquer atividade na nuvem, na Web ou em aplicativos privados. Para saber mais sobre como o Scope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada atrevida, visite NETSKOPE.com.

Palestrante 3: Obrigado por ouvir os Visionários de Segurança. Reserve um momento para avaliar e comentar o programa e compartilhe-o com alguém que você conhece e que possa gostar dele. Fique ligado nos episódios que serão lançados a cada duas semanas e nos vemos no próximo.