Max Chan: No se convierta en adversario de su organización de seguridad, forme o no parte de su grupo. Al final del día, considérelo realmente como su responsabilidad personal y mírelo a través de la lente del precio final. Eso asegurará el éxito. Eso asegurará el tono correcto desde arriba a través de las organizaciones para garantizar que todos adopten esa vigilancia que tanto se necesita para proteger la empresa.
Orador 2: Hola y bienvenidos a Security Visionaries. Acaba de escuchar al invitado de hoy, Max Chan, director de información de Avnet. Asegurar su empresa y hacerlo con éxito comienza desde arriba. Desde hablar con la junta directiva hasta capacitar a los empleados, los CIO son personalmente responsables de comunicar los riesgos y las soluciones a las personas de toda su organización. Max Chan se asegura de que su empresa mantenga un entorno de TI sólido y seguro a través de una comunicación cuidadosa. Antes de sumergirnos en la entrevista de Max, aquí hay unas breves palabras de nuestro patrocinador.
Orador 3: El podcast Security Visionaries está desarrollado por el equipo de Netskope. En Netskope, estamos redefiniendo la seguridad de la red, los datos y la nube con una plataforma que proporciona acceso optimizado y seguridad de confianza cero para personas, dispositivos y datos dondequiera que vayan. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar preparados para cualquier cosa en su viaje SASE, visite NETSKOPE.com.
Orador 2: Sin más preámbulos, disfrute del episodio 14 de Visionarios de la seguridad con Max Chan, director de información de Avnet y su anfitrión, Mike Anderson.
Mike Anderson: Hola a todos. Bienvenido al episodio de hoy del podcast Security Visionaries. Soy su anfitrión, Mike Anderson, director digital y de información aquí en Netskope. Hoy me acompaña mi amigo y colega, Max Chan, CIO de Avnet. Max, ¿cómo estás hoy?
Max Chan: Mike, estás bien, realmente es un placer hablar contigo aquí hoy. Les digo cuando me envían la invitación, no sé por qué estoy aquí, porque no me profeso ser un visionario de la seguridad de ninguna manera. Entonces, tal vez puedas iluminarme a lo largo de la conversación de hoy.
Mike Anderson: La seguridad es un deporte de equipo, así que estoy seguro de que tendremos mucho de qué hablar y la clave es contratar buenas personas en nuestros equipos que sepan cómo liderar el programa de seguridad. Sin embargo, antes de entrar en eso, solo para establecer el trasfondo, tal vez les cuente a todos un poco sobre Avnet, porque no todos están familiarizados. Obviamente lo soy, porque he trabajado con Avnet a lo largo de mi carrera como cliente y socio. Entonces, tal vez también nos cuente sobre su camino para convertirse en CIO.
Max Chan: Absolutamente. Por lo tanto, Avnet es uno de los mayores proveedores de soluciones tecnológicas que se especializa en soluciones de cadena de suministro para todas las distribuciones de tecnología. De hecho, nos ocupamos de toda la cadena de valor de esa solución tecnológica, desde el diseño hasta la introducción de nuevos productos, hasta la producción en masa y la salida al mercado. Trabajamos con nuestros socios proveedores y con nuestros clientes en cualquier paso de sus cadenas de valor. Mientras seamos capaces de aportarles valor, podremos desempeñar un papel en su cadena de suministro.
Mike Anderson: Eso es genial. Cuéntenos un poco sobre su viaje para convertirse en CIO. Obviamente, recibió el premio CIO 100 a principios de este verano. Tuve que estar allí contigo cuando recibiste ese premio. Entonces, cuéntenos un poco sobre ese viaje para convertirse en CIO y luego abordaremos un poco más el tema de seguridad con el que está tan familiarizado.
Max Chan: Curiosamente, todavía me considero un novato en Avnet. Sólo llevo 11 años en la empresa. Avnet ha estado en el negocio durante poco más de 100 años y gran parte del equipo directivo ha estado en la empresa durante más de 20 años. Cuando comencé en Avnet, me pidieron que fuera a Hong Kong para asumir un rol de CIO divisional para el negocio de Asia Pacífico. Lo hice durante los primeros tres años y medio en la empresa, implementando una plantilla regional para ERP para el negocio. allí, además de implementar una instancia regional de CRM para el negocio. Después de haber hecho eso después de los primeros tres años y medio, regresó a Phoenix, Arizona, para asumir un rol de aplicación global que evolucionó con el tiempo hasta convertirse en CIO divisional para el negocio de América, antes de que le ofrecieran el puesto de CIO global durante aproximadamente cuatro años. hace cuando el anterior CIO, mi predecesor, abandonó la organización.
Mike Anderson: Ese es un gran viaje, definitivamente esa experiencia internacional definitivamente jugará un papel importante. Nos aseguraremos y abordaremos un poco eso desde el punto de vista de la seguridad, porque le garantizo que usted sabe más sobre seguridad de lo que dice. Antes de pasar al tema específico de la seguridad, sé que recibió el premio al CIO 100. Sé que es genial. Siempre te gusta hablar sobre el gran trabajo que está haciendo tu equipo, tal vez solo un minuto sobre los interesantes proyectos en los que estás trabajando allí. Luego, profundizaremos en algunos temas de seguridad.
Max Chan: Al igual que muchas empresas, nos centramos en las transformaciones digitales. Me gusta explicar un poco más lo que eso significa para Avnet, porque transformaciones digitales, las mismas dos palabras significan cosas diferentes para todos. En lo que a nosotros respecta, hay tres componentes clave para la transformación digital, siendo el primero la habilitación digital. Esa es la típica transformación digital de la que habla la gente cuando analizamos las interacciones internas y externas. Hacemos un lugar de trabajo digital. Nos fijamos en la IA, el aprendizaje automático y las automatizaciones. Ahí es donde buscamos crear el mayor valor para la organización, para el negocio, introduciendo transacciones o interacciones sin fricciones, de máquina a máquina, así como capacidades que nos permitieron ser mejores proveedores de servicios para nuestro socio proveedor, así como para nuestro cliente. . Sigues escuchándome mencionar a los socios proveedores, porque son un componente importante en todo nuestro ecosistema, ¿verdad?
Avnet está en el negocio del papel. Se trata de nuestro proveedor. Se trata de nuestro cliente. Se trata de empleados, y es por eso que la habilitación digital se esfuerza por crear ese panel único, una única fuente de prueba, una capa de integración sólida a través de API M, microservicios que nos permitan llevar los datos hacia donde deben ir para su consumo posterior. Entonces, ese es el primer componente clave de nuestras transformaciones digitales. Los otros dos aspectos que son más fundamentales para la transformación digital que tenemos son en realidad nuestra migración a la nube y nuestra modernización de ERP. Lo consideramos un componente fundamental para lograr la habilitación digital de la que hablo. La idea aquí es realmente impulsar las modernizaciones y trasladamos toda la carga de trabajo a la nube, aprovechando las capacidades inherentes que podemos obtener de la nube, a diferencia de lo que estamos haciendo aquí en las instalaciones. Las modernizaciones de ERP son, como su nombre indica, un viaje largo, pero importante para nuestro éxito general.
Mike Anderson: Es un gran trabajo. Definitivamente estoy de acuerdo en que cada uno tiene una definición diferente de lo que significa la transformación digital y es importante aclarar en términos simples lo que eso significa para su organización. Hiciste un gran trabajo al hacerlo. Cuando pienso en las transformaciones que están realizando en torno a la habilitación, las API y la modernización de la nube, el tema de este año de este podcast es la seguridad como deporte de equipo. Porque, ahora que pensamos en nuestro viaje a la nube, debemos asegurarnos de tener la postura de seguridad adecuada en torno a nuestros entornos de nube. Tenemos que asegurarnos de no tener puntos ciegos cuando habilitamos a nuestros clientes y pensamos en las API. El CISO gobierna la política y el programa, pero obviamente tenemos que integrarlo en nuestra gente no solo en TI, sino en toda la organización. Entonces, tal vez enmarque un poco. ¿Cómo piensas sobre ese desafío? ¿Y cómo se puede garantizar que la seguridad esté presente en la mentalidad y como un deporte de equipo en Avnet?
Max Chan: Me gustó cómo lo expresaste. La seguridad es un lugar de equipo, ¿verdad? Mencionaste antes, Mike, que el CISO y el equipo de seguridad esencialmente están definiendo la estrategia, creando el marco, asegurándose de que realmente estemos midiendo las cosas correctas para que podamos mejorar lo correcto para proteger el medio ambiente, para proteger el medio ambiente. organizaciones. Sin embargo, el equipo de seguridad no tiene los recursos para realizar gran parte de la ejecución posterior. Por ejemplo, tomemos un parche de vulnerabilidad muy, muy simple. Cuando la organización de seguridad identifica áreas donde necesitamos proteger nuestro entorno mediante parches, no contamos con un grupo grande de equipo de seguridad que pueda ir a todo el entorno para ver lo que tenemos y proteger el entorno. Necesitamos el equipo de operaciones. Necesitamos que el equipo de aplicaciones identifique cuáles son críticas y también observe el impacto potencial de los parches que pueden tener en el medio ambiente para ejecutarlos.
Luego, el equipo de seguridad ayudaría, a falta de un mejor término, a administrar el programa, asegurándose de que lo que decimos que haríamos se haya hecho y se haya informado a las organizaciones y ayudaría a rastrearlo. El otro aspecto es que en cualquier deporte normalmente tenemos jugadores de respaldo. Trabajar con socios confiables como Netskope y otros nos permitió aprovechar los recursos y otros actores según fuera necesario para aumentar lo que quizás no tuviéramos para completar el trabajo a tiempo. Todos sabemos que desde la perspectiva de las amenazas a la seguridad, cada minuto que se pierde, cada día que se pierde, supone un riesgo adicional para las organizaciones. Ahí es donde entran los jugadores de respaldo, los socios que tenemos para ayudar a reducir ese riesgo brindándonos recursos oportunos para hacer el trabajo a tiempo.
Mike Anderson: Definitivamente apreciamos esa asociación. Cuando pienso en el papel allí, cuando miramos a nuestro grupo, obviamente la ciberseguridad, vemos a Gartner Research y vemos cualquier encuesta de cualquier firma de analistas. La seguridad es, si no el número uno, sí el número dos en todas las agendas, porque representa, como usted dijo, ese riesgo. Siempre pensamos en cuál es el riesgo empresarial, al igual que la cadena de suministro. ¿Cómo eliminamos el riesgo de nuestra cadena de suministro con diversidad de proveedores?
Max Chan: Bueno, con gente de Avnet que sabe cómo se puede hacer un reemplazo pin a pin, lo que le permite tener grupos más diversos y diversificados a los que quizás no tenga acceso directamente. Pero lo siento, eso es sólo un tapón para nosotros.
Mike Anderson: No, oye, eso es genial. Me encanta. Los enchufes son geniales. También es genial. Sé que siempre ha sido un gran defensor de presentar el gran trabajo que están haciendo su empresa y sus equipos, y eso es genial. Todo eso también se aplica al deporte de equipo, porque nuestro trabajo muchas veces es mejorar el equipo que nos rodea. Cuando piensa en otros CIO, ¿qué consejo les daría cuando están pensando? Si fuera la primera vez que un CIO asume el puesto, ¿qué recomendación les daría en materia de seguridad?
Max Chan: Antes de responder esa pregunta, creo que soy afortunado de tener la seguridad dentro de mi alcance o área de responsabilidad. Muchos de los que están escuchando pueden no estar de acuerdo conmigo en que nuestra seguridad tiene que ser independiente. Lo entiendo. No estoy en desacuerdo con eso. Sin embargo, según las necesidades de nuestra organización, soy realmente afortunado de tener la seguridad en mi área de responsabilidad. Ya sea que tenga o no informes de seguridad como CIO, debe asumir la responsabilidad personal de la organización ante las organizaciones desde el punto de vista de la seguridad. Al final del día, todo se reduce a proteger el medio ambiente, garantizar que tengamos los procesos correctos, las personas adecuadas y la tecnología adecuada. Y antes hablaste de deportes de equipo, Mike. Las colaboraciones que se necesitan no sólo entre TI y la seguridad, sino también entre la seguridad de TI y toda la empresa para tener realmente éxito en la protección de su entorno.
Por lo tanto, no se convierta en un adversario de su organización de seguridad, ya sea que formen parte de su grupo o no. Al final del día, considérelo realmente como su responsabilidad personal y mírelo a través del lente de la empresa. Eso asegurará el éxito. Eso asegurará el tono correcto desde arriba a través de las organizaciones para garantizar que todos adopten esa vigilancia que tanto se necesita para proteger la empresa. Mike habló sobre la necesidad de contratar a las personas adecuadas. Eso es muy cierto. ¿Cómo se puede tener el líder de seguridad adecuado, el CISO, por así decirlo? ¿Cómo puede asegurarse de tener la estrategia y la estructura adecuadas para apoyar a las organizaciones? Y, ¿qué necesitan sus organizaciones de soporte para poder mantener a la empresa al tanto de posibles amenazas y riesgos para la empresa? Entonces, ese equipo que va a formar dentro de sus organizaciones o como una organización separada es realmente clave para su éxito, así como para el éxito de toda la empresa.
Mike Anderson: No, no podría estar más de acuerdo y usted mencionó en gran medida por qué es tan importante trabajar de manera multifuncional en toda la organización. Mientras hablamos de ese tema específicamente, vayamos allí por un minuto. Escuché a alguien decir antes, cuando el CISO estornuda, la persona que a menudo se resfría es el jefe de infraestructura, porque usted volvió a su punto de parcheo. Ellos son los que tienen las manos y los pies en el suelo para implementar esos parches y hacer ese trabajo. Obviamente, ambos dependerán directamente de usted. ¿Cómo ayuda a impulsar esa asociación entre esas dos organizaciones para alinear las prioridades? Porque esa desalineación obviamente, como sabemos, ocurre cuando tienes diferentes equipos con diferentes prioridades. A menudo causa fricciones en la organización. ¿Qué está haciendo para impulsar esa alineación entre esos equipos y asegurarse de que tengan esa asociación estrecha?
Max Chan: Creo que comienza con el tono en la parte superior. La forma en que lo hago es que de mis cuatro prioridades estratégicas para las organizaciones de TI, una de ellas es la seguridad. Me aseguro de que cada equipo dentro de las organizaciones de TI, ya sea una aplicación de TI, una relación comercial, una infraestructura, etc., tengan la seguridad y el cumplimiento como uno de sus objetivos de desempeño, como una de sus metas. Todos desempeñan un papel para garantizar el éxito a la hora de mantener a raya las amenazas cibernéticas. Eso de arriba es muy importante.
La otra cosa es impulsar esa colaboración a nivel de liderazgo superior. El líder de seguridad, el líder de aplicaciones, el líder de infraestructura y el líder de redes tienen que estar todos en la mesa al mismo tiempo, analizando qué es la clave del éxito en lo que respecta a la organización, una de ellas es la seguridad. Con la mayor conciencia sobre la seguridad en la industria en todo el mundo hoy en día, especialmente en los últimos años, las empresas son cada vez más conscientes de la necesidad de la seguridad. De hecho, hemos tenido socios que buscan renovar su asociación con Avnet, queriendo comprender mejor lo que hacemos desde el punto de vista de la seguridad para garantizar que nos protegemos a nosotros mismos y a ellos cuando tenemos esa asociación cercana en el negocio. Todas esas cosas realmente impulsan ese entendimiento común, sentido común de importancia y conciencia cuando se trata de la necesidad de incorporar la seguridad en todo lo que hacemos.
Mike Anderson: No, no puedo estar más de acuerdo. Tocaste esa necesidad. En lo que respecta a la cadena de suministro, siempre decimos que si está creando un producto y un componente no se puede enviar porque esa persona se ve comprometida o recibe un ataque de ransomware, eso puede tener un efecto paralizante en su cadena de suministro posterior. Cuando piensa en seguridad, eso debería ser parte de esa conversación con los directores de la cadena de suministro y las organizaciones para asegurarse de que si va a adquirir un producto básico o materia prima de una sola fuente, asegúrese de tener la seguridad al frente y al centro. en esa conversación.
Porque, si usted es la única fuente y esa persona se ve comprometida, puede tener un efecto dominó y crear riesgos en la generación de ingresos, que obviamente es uno de los riesgos que nos importan mucho. Mencionó que el negocio es cada vez más consciente de la seguridad. Obviamente, muchas veces escuché a alguien hace un par de semanas decir que el trabajo de la organización de seguridad es bloquear bits y el trabajo del equipo de infraestructura es mover bits. Obviamente, hay fricciones ahí, pero también, si lo piensas, la gente simplemente no puede ir a ninguna parte ni hacer nada. Tenemos que mejorar la higiene de nuestra gente dentro de nuestra organización. Lo hizo para su estructura de informes directos en torno a ese objetivo de seguridad. ¿Qué están haciendo sus pares en toda la organización para asegurarse de que la seguridad ocupe un lugar central cuando piensan en sus organizaciones?
Max Chan: Eso es algo que iniciamos, un programa que iniciamos probablemente hace unos cuatro años, cuando asumí el rol de CIO y tengo informes de seguridad sobre mí. Una de las cosas clave que reconocimos es que las personas probablemente sean la primera línea de defensa en lo que respecta a la seguridad. Entonces, desde entonces, hemos estado implementando diligentemente una serie de campañas, campañas de concientización, etc., en todos los niveles de la organización, comenzando con la junta directiva y la alta dirección y siguiendo hasta llegar a las organizaciones. Buscamos crear conciencia sobre el phishing, el smishing, el malware y los diferentes canales de donde proviene, cómo está evolucionando y realmente seleccionamos algún ejemplo de la vida real que hayamos visto y se lo reproducimos al empleado para crear conciencia.
Estoy muy contento de ver cómo esto ha mejorado la resiliencia a lo largo del tiempo en todas las organizaciones. Porque, cuando lo iniciamos por primera vez, también introdujimos un programa de simulación en el que queríamos tomar una base sobre qué tan conscientes son las personas en materia de seguridad y con qué facilidad pueden ser engañadas para que hagan clic en el enlace incorrecto o conecten un dispositivo USB. intencionalmente, no intencionalmente, sin saber qué podría haber dentro de eso. Quizás hemos ido demasiado lejos al crear tanta conciencia en todas las organizaciones. Nuestro cortafuegos humano se vuelve tan fuerte que, o informan en exceso a la seguridad, al SOC, al centro de operaciones de seguridad, todo lo que consideran sospechoso, o comienzan a recoger, escribir y educarse unos a otros sobre, está bien, no deberían enviar información. este correo electrónico, porque tienes un error ortográfico aquí. Tienes una dirección incorrecta allí y un error tipográfico aquí.
Fue divertido verlo, pero también fue una gran sensación saber que nuestro mensaje se ha transmitido a través de las organizaciones. Pero, volviendo a mi punto anterior, el tono en la cima es muy crítico, lograr la aceptación de la alta dirección, hacer que ellos, los presidentes regionales, los presidentes de BU y los líderes funcionales, hablen el mismo idioma. De vez en cuando tenemos al líder de seguridad en el ayuntamiento para recordarle a la gente algunas de las cosas que están sucediendo y lo fácil que es engañarlos, ¿verdad? El otro beneficio del sitio es que también podemos evitar estafas. Puede que no sea necesariamente ciberseguridad, pero la estafa también es uno de los resultados potenciales de las personas que aprovechan la tecnología para intentar que usted abra su bolso. Hacer esto nos permitió reducir la cantidad de estafas que consideramos también un beneficio a través de las organizaciones.
Mike Anderson: No, absolutamente. Es interesante. La semana pasada, se publicó un artículo donde ahora hay imitaciones. No sé si viste esto en LinkedIn donde las personas se hacen pasar por CISO en LinkedIn. Existe todo este concepto de falsificaciones profundas y de fingir quién es alguien. Es una amenaza en constante evolución. Todas las amenazas evolucionan cada día de diferentes maneras. Ese es sólo un ejemplo de uno de los más nuevos.
Max Chan: Sí, sonreí cuando vi eso, porque tú y yo sabemos que la gente ha estado aprovechando LinkedIn para crear perfiles falsos y estafar a alguien para usarlo potencialmente como un canal para implementar malware, o lo que sea, siendo el último haciéndose pasar por CISO. Fue bastante interesante. Recuerdo que seguí molestando a LinkedIn y enviándoles mensajes diciendo: "Oye, puedo reconocer que este es un perfil falso mucho antes de que la IA pudiera reconocerlo y eliminarlo". De hecho, uno de mis pasatiempos favoritos.
Mike Anderson: Eso es genial. Bueno, eso lleva los deportes de equipo a todo un nivel. Está mejorando aún más el ecosistema que nos rodea. Quiero volver atrás y tocar el tema, ya hablaste sobre el tablero antes. Cuando trabajas en colaboración con tu CISO y, obviamente, tienes un gran CISO, también paso tiempo con él. ¿Cómo fue el rumbo de la conversación con tu junta directiva? ¿Cómo se habla de seguridad cuando se trata de la junta directiva? ¿Y cómo ha ayudado tu CISO? Obviamente, muchas veces tienes que salirte del lenguaje técnico cuando hablas con tu junta directiva sobre seguridad. Háblame un poco de esa interacción.
Max Chan: Si sabes cómo trabajar con la junta directiva, en realidad se reduce a tres cosas que quieren saber sobre cualquier tema, especialmente la seguridad. La número uno es ¿por qué me cuentas esto, verdad? ¿Por qué le está contando a la junta esto en particular, ya sea una estafa, un phishing, lo que está sucediendo en Ucrania, etcétera, verdad? ¿Por qué les decimos esto? Número dos, ¿cómo está afectando esto a Avnet como empresa? ¿Cuáles son los riesgos o amenazas potenciales que podemos enfrentar por las cosas que les contamos? Y por último, pero no menos importante, ¿qué estamos haciendo al respecto? Con estas tres cosas, pueden tener una buena idea de si esto es algo sobre lo que necesitan perder el sueño o, si es Avnet, la gerencia lo maneja bien.
Básicamente, el CISO ayuda a priorizar y observar todas las cosas que están sucediendo y cuáles son las más críticas para Avnet como organización. Obviamente, la otra cosa que traemos a la junta directiva, mi CISO les informaría, bueno, cuáles son los indicadores críticos que estamos rastreando para que sepan y tengan la sensación de que lo estamos haciendo bien, que lo estamos haciendo bien. , o estamos luchando? Así es como nos asociamos para comunicarnos y colaborar con la junta. Si hay inquietudes, entonces nos comunicaremos con la junta para obtener posibles consejos u orientación. Pero así es como colaboramos para trabajar con ellos.
Mike Anderson: Eso es genial. Luego, una de las preguntas que recibo a menudo, y por eso les voy a lanzar una pregunta un poco curva, me imagino que su CEO y su junta directiva hacen la pregunta: ¿cómo sabemos que estamos haciendo lo suficiente? cuando se trata de este tema? ¿Cómo respondes a esa pregunta? Max Chan: Siempre digo que no, porque las amenazas a la seguridad o las amenazas a la ciberseguridad evolucionan todos los días. Sé que dentro del entorno que tenemos, dentro de todas las cosas que hacemos hoy, estamos abordando al menos más del 75, 80, 85% de lo que sabemos. Sin embargo, existe este 25% adicional que siempre está evolucionando y que puede surgir mañana, pasado, la semana que viene, y del que debemos mantenernos siempre al tanto. Entonces, intentamos lo que sabemos. Siempre estamos atentos a lo que quizás no sepamos.
Entonces es cuando a veces también hay que escuchar a la junta, porque muchos de los miembros de la junta forman parte de otras juntas. A veces dicen: "Oye, me enteré de esto por la otra empresa, la otra junta directiva en la que estoy". ¿Qué estamos haciendo al respecto?". Si esas son cosas que son completamente nuevas para nosotros, entonces está bien, las retiraremos. Volveremos con nuestro hallazgo la próxima vez: sí, estamos cubiertos o eso es irrelevante para nosotros debido a esto, esto y esto. O no, no teníamos eso en nuestro radar, pero ahora lo estamos rastreando. Entonces, siempre regresamos con un plan de acción para el cierre, pero hoy en día no hay un 100%, porque siempre hay un 25% persistente que nunca sabemos qué sucederá mañana.
Mike Anderson: No, estoy 100% de acuerdo. Escuché esto. Fue en uno de los simposios de TI de Gartner aquí recientemente. Tuve la oportunidad de ir a asistir al de Australia. Estaban hablando de este concepto de acuerdos de nivel de protección. Todo se reduce a ¿cuánto está dispuesto a gastar en relación con lo estricto que desea que sea el control? Porque nunca podrás llegar al 100%, porque no hay ninguna cantidad en dólares que puedas escribir para eso. Pero, ¿cuál es su apetito por el riesgo? Se basa en cuánto desea invertir en torno al control y en asegurarse de que su junta directiva entienda cuál es esa inversión para que, en caso de que algo suceda, no sea una falla del control siempre y cuando se cumpla con el control. Podría ser que todos estuviéramos de acuerdo en que esta era la inversión que buscábamos hacer al respecto. Eso es-
Max Chan: No, ese es un punto excelente, ¿verdad? la gente está aprovechando la norma ISO 27001. La gente está mirando NIST CFS. Hagas lo que hagas, sé muy consciente de cuál es tu apetito por el riesgo, qué es exactamente lo que la empresa está dispuesta a sacrificar o qué es capaz de absorber. A partir de ahí, elabore un programa que tenga sentido para usted, no para todas las instituciones financieras o de atención médica o lo que sea que requiera el más alto nivel de madurez en lo que respecta a seguridad, etc. Pero, basándose en eso, y en Mike, usted planteó un gran punto: que la alineación con la junta directiva, la alineación con la alta dirección es fundamental para garantizar que tengamos las expectativas correctas y el cuadro de mando adecuado para gestionar el éxito de ese resultado.
Mike Anderson: Absolutamente, siempre. También dejó claro que no todas las organizaciones son iguales. Muchas veces, si tiene un miembro de la junta directiva de un banco o de una organización de atención médica, pero luego está en su junta como fabricante o alguien en la cadena de suministro o distribución, la dinámica es diferente. La postura de riesgo es diferente cuando trabajo allí. Porque, desde el punto de vista de la fabricación, quiero poder seguir enviando productos. Por lo tanto, alterar mi cadena de suministro y mi capacidad de generar ingresos es el mayor riesgo. Mientras que si soy un banco, los datos y la filtración de datos y que se difunda información sobre su gente, sus clientes o sus usuarios es obviamente tan importante como un sistema que falla en ese mundo. Entonces, eso es 100% cierto.
También me encanta el firewall humano. De hecho, tenemos camisetas que envió nuestro CISO que se llaman firewall humano y que enviamos a nuestros empleados para promover ese concepto. Por cierto, me encanta que uses ese término. Aquí pasaremos a algunas predicciones futuras. Pero, antes de hacer eso, quiero decir que sabes mucho más sobre seguridad de lo que crees. Creo que tiene muchos buenos consejos para las personas que escuchan este podcast sobre cómo deberían pensar sobre la seguridad en sus organizaciones. Realmente está haciendo un gran trabajo en todos los niveles, así que felicitaciones a usted y a su organización.
Max Chan: Gracias. Viniendo de Mike Anderson de Netskope, me siento honrado. Mike Anderson: Entonces, volvamos al futuro. Siempre es un momento divertido aquí. Entonces, si avanzamos rápidamente hasta el final de la década, 2030 o incluso 2025, ¿en qué cree que los CIO hubieran deseado haber invertido mirando hacia atrás?
Max Chan: Algunas cosas. Creo que esta es una gran era en el espacio de la tecnología, porque a partir de lo que hemos pasado en los últimos dos años y medio, tenemos tantos empleados que comenzaron a disfrutar del poder de la libertad y el poder de la tecnología que permite esa libertad y aún ser productivo. Hoy en día, este es un buen momento para que cualquier CIO piense en una transformación digital de una manera muy estructurada que sea relevante para sus organizaciones en este momento. Este es un buen momento para hacer eso. ¿Qué ha funcionado durante los últimos 10, 20, 30 años? Pregúntame, lo sé. Hemos existido por más de 100 años. Lo que ha estado funcionando bien no funcionará en los próximos cinco o diez años si no se da un giro, si no se transforma. Entonces, las transformaciones son clave. Cuando hablo de transformación, no lo pienses como un ejercicio de innovación en el que incursionas en algo, pero nunca pienses en escalar. Esos serán simplemente pasatiempos para su equipo, para sus organizaciones.
Tan pronto como encuentre algo que sepa que va a funcionar y que va a cambiar la forma en que hace negocios, la forma en que interactúa con su cliente, su proveedor, su empleado o sus socios estratégicos, necesita escalar rápidamente. A escala es mucho más difícil que las innovaciones. Entonces, busca ayuda. Buscar socios que puedan ayudarlo a escalar lo que necesita es clave, lo que también lleva a mi segundo punto aquí, que es identificar y establecer asociaciones estratégicas con personas que pueda aprovechar para ayudarlo a desarrollar sus soluciones.
Y lo que es más importante, no se puede pasar por alto la seguridad, simplemente porque ésta será cada vez más grande y más importante. Ahora bien, no estoy diciendo que salgan y formen un ejército de equipos de seguridad, porque eso tampoco es práctico. Pero, si no cuenta con un marco establecido, establezca ese marco. Comience a observar lo que es importante, comprenda el apetito, cree esa conciencia dentro de las organizaciones e impulse realmente la mejora continua de la postura de seguridad de su organización. Si no lo hace, sus socios, su cliente, su proveedor lo exigirán. Si no lo tienes te van a dejar.
Mike Anderson: No, ese es un gran consejo. Una de las cosas cuando pensamos en nuestros equipos y habilidades es que la diversidad también es importante. Además, a medida que evolucionamos más líderes desde el punto de vista del CIO, ¿qué ideas tiene sobre cómo promover la diversidad dentro de sus equipos? ¿Qué estás haciendo para hacer crecer a nuestros futuros líderes desde el punto de vista de la diversidad?
Max Chan: Creo que lo primero que todos debemos reconocer es que la diversidad se presenta en formas muy diferentes. Si todavía tienes la mentalidad de que la diversidad se define por una de las dos cosas... sé que sabes de lo que estoy hablando aquí, y la gente que escucha entenderá de qué se trata, entonces no vas a tener éxito. en la promoción de la diversidad. Para mí lo primero es la diversidad de pensamiento. No te rodees de personas que siempre sean agradables contigo. Realmente rodee a personas con enfoques diferentes, mentalidades diferentes, antecedentes diferentes, educación diferente, etcétera, dentro de sus organizaciones de liderazgo. Creo que ese es el número uno.
Número dos, estoy muy feliz de poder decir que la mayoría de mis subordinados directos a nivel de liderazgo de TI han estado en la empresa durante al menos 10 años o más, la mayoría de ellos. En cuanto a tu punto, Mike, la oportunidad interna que les permite pasar de un rol a otro a lo largo de los años y llegar a una posición de liderazgo es la mejor manera de desarrollar líderes leales y apasionados para las organizaciones que van a desarrollar. centrarse en el éxito de las organizaciones. Por último, pero no menos importante, no dude ni tenga miedo de trasladar a alguien de un dominio a otro. Alguien que estaba haciendo aplicaciones, si puede desarrollar una pasión y un interés en el área de seguridad, se le debería dar la oportunidad de desarrollarse técnicamente, así como de incursionar en esa área desde un nivel inferior y ver cómo crece. Creo que así es como he tenido la suerte de rodearme de miembros del equipo que han asumido diferentes roles y desempeñado diferentes roles a lo largo de su carrera en Avnet antes de unirse a mí aquí en mi equipo de liderazgo.
Mike Anderson: Eso es genial y esa diversidad de experiencias es definitivamente importante. De hecho, una de las cosas que siempre le pediría a la gente que hiciera también es si tienes la oportunidad de trabajar dentro de una unidad de negocio y aprender esa parte del negocio, porque primero tienes que entender lo que vas a hacer. cambiar. No se puede simplemente cambiar algo sin antes entenderlo completamente. Eso es algo que usted ha hecho mucho en todo ese viaje de habilitación digital. Entonces, aprovechar esas oportunidades y exportar talento a la organización y luego importarlo nuevamente también puede aportar otra diversidad de experiencias que pueden ayudar a su organización.
Max Chan: Muy cierto.
Mike Anderson: Entonces, la última pregunta aquí antes de pasar a nuestros comentarios rápidos, hablamos sobre palabras de moda. Una de las palabras de moda que surge con frecuencia es confianza cero. Creo que todos los proveedores de seguridad del mundo no confían en nada. ¿Es ese un término que incluso se menciona en torno a Avnet? Si es así, ¿cómo lo definiría para las personas? Porque, obviamente, cuando el presidente emite una orden ejecutiva que dice que todos deben adherirse a la confianza cero, comienza a haber conversaciones desde los niveles de la junta directiva. ¿Es ese un tema del que hablas? ¿Y cómo definirías eso dentro de Avnet?
Max Chan: Lo es, pero no porque sea una palabra de moda que esté ahí fuera. Pero en realidad son reconocimientos de cómo trabaja la gente hoy y en el futuro. Vamos a estar trabajando con personas que prefieren estar remotas, o vamos a empezar a trabajar con recursos que no necesariamente son de tiempo completo en las organizaciones. ¿Cómo creamos ese entorno que permita a los empleados, contratistas o socios ser realmente productivos, obtener lo que necesitan de forma segura y sin perder el ritmo, para que podamos ser ágiles y rápidos en la entrega de valor a las organizaciones? Así es como lo estoy pensando. Estoy tratando de reducir el tiempo necesario para brindar a las personas acceso a los datos correctos, al recurso correcto en el momento correcto, cuando lo necesiten, en lugar de que sea una implementación muy sofisticada.
Entonces, desde esa perspectiva, comenzamos a considerar que la confianza cero es el enfoque correcto para llegar allí. También redujo la frustración que las personas podrían tener hoy en día al depender de TI, del equipo de identidad, etc., de tener que configurarles un acceso específico para acceder a un recurso específico. Siempre que no tengan cierto acceso, deben regresar y configurarlo nuevamente. Tal vez sea diferente de cómo la gente piensa al respecto, pero en mi proceso simple, eso es a lo que quiero llegar: una mejor experiencia de usuario que permita a las personas acceder fácilmente a los recursos adecuados cuando y cuando lo necesiten.
Mike Anderson: Eso es genial. Si pensamos en la definición de trabajo híbrido, ¿cómo puedo permitir que las personas sean seguras y productivas trabajando desde donde quieran, ya sea una oficina, una cafetería o un destino de vacaciones?
Max Chan: Exactamente.
Mike Anderson: Muy bien, aquí está la parte divertida de esto. No tiene nada que ver con la tecnología, pero tiene que ver con Max, la persona. A esto lo llamamos nuestros golpes rápidos. Entonces, la primera pregunta que tengo para usted: ¿cuál es el mejor consejo de liderazgo que haya recibido?
Max Chan: El mejor consejo de liderazgo que he recibido es actuar desde el instinto. Me especialicé en matemáticas en la universidad y, a veces, puedo ser demasiado analítico antes de tomar decisiones. Sin embargo, hace muchos, muchos, muchos años, antes de asumir un rol de gerente o líder senior, el consejo que recibí fue cómo se puede tomar una decisión, porque en el fondo sabes que es correcto, basado en tal vez 30 , ¿40% de la información que tienes? Creo que eso es realmente lo que me llevó a donde estoy hoy.
Mike Anderson: No, definitivamente es un gran consejo. Confiar en tu instinto siempre es importante. Siguiente pregunta, ¿cuál sería tu última comida?
Max Chan: Nunca lo pensé, pero si alguna vez tengo la opción, un vaso de agua será suficiente.
Mike Anderson: Muy simple, muy simple.
Max Chan: Muy simple. Tengo herencia china. Creemos que venimos de la nada. Nos iremos sin nada. Entonces, un vaso de agua es suficiente.
Mike Anderson: Muy bien. Debo decir que eres la primera persona que recibe esa respuesta, pero es muy reveladora. Entonces, la última aquí, canción favorita, ¿y qué nos dice sobre ti?
Max Chan: Tengo que decir "My Shot" del musical Hamilton. Esa es la canción a la que sigo volviendo, porque soy el tipo de persona que no tiene problema en ponerse ruda y siempre tener hambre. Así es como puedo ofrecer valor a las organizaciones sin tener que darle mucha importancia. Creo y me aseguro de que mi equipo haga lo mismo. Construyamos algo. Demostremos el valor. Y consigamos que la empresa se comprometa antes de que le demos mucha importancia. Así que no me rendiré. "My shot" de Hamilton sería mi canción favorita de todos los tiempos.
Mike Anderson: Bueno, eso es genial. Bueno, Max, quiero agradecerte mucho por pasar tiempo con nosotros hoy y compartir tus ideas y el increíble trabajo que tú y tu equipo están haciendo en Avnet y también en el ecosistema. Así que gracias por eso. Gracias por el tiempo.
Espero que haya disfrutado la conversación de hoy con Max Chan CIO de Avnet. Sé que lo hice. Quiero resumir algunas de las conclusiones clave. La primera es que, como CIO, no podemos actuar como adversarios de nuestra organización de seguridad. Mejor dicho, tenemos que asegurarnos de marcar la pauta desde arriba hacia abajo en la organización. Para garantizar que no solo dentro de TI, sino en toda la organización, todos estén trabajando para garantizar que la empresa esté segura. Y asegurarnos de que contamos con las estructuras de apoyo adecuadas para ayudar a nuestros líderes de seguridad a lograr ese objetivo. La segunda es que cuando hablamos con la junta directiva sobre seguridad, realmente debemos centrarnos en tres cosas: una es ¿por qué les contamos algo sobre un evento de seguridad? ¿Por qué deberían importarles? ¿Y luego cuáles son los riesgos y amenazas potenciales que podemos enfrentar como empresa y cómo afectará eso la capacidad de la empresa para operar, desde un punto de vista comercial? Y luego, ¿qué están haciendo específicamente dentro de la organización de seguridad y TI para asegurarse de que evitemos esas posibles amenazas o riesgos para nuestro negocio? Y, por último, se trata realmente de hacer que nuestros equipos sean más diversos. Y comienza con la creación de diversidad en nuestra organización, reuniendo a personas de diferentes orígenes, enfoques y mentalidades para asegurarnos de que tengamos una visión integral en lo que respecta a la seguridad. En segundo lugar, queremos crear oportunidades para que las personas se muevan dentro de la organización para que podamos continuar desarrollando esa diversidad y desarrollar líderes realmente leales y apasionados en toda nuestra organización, realmente esos defensores. Y, por último, no tengamos miedo de trasladar a alguien de nuestra organización de un dominio a otro, incluso fuera de la organización de TI, porque pueden convertirse en nuestros defensores, especialmente en lo que respecta a la seguridad dentro de otras partes de nuestra empresa. Espero que hayas disfrutado nuestra conversación con Max. Estén atentos a nuestro próximo episodio del podcast Security Visionaries. Soy Mike Anderson, soy su anfitrión, soy el CIO y director digital de Netskope.
Orador 3: El podcast Security Visionaries está desarrollado por el equipo de Netskope. Rápida y fácil de usar, la plataforma Netskope proporciona acceso optimizado y seguridad de confianza cero para personas, dispositivos y datos dondequiera que vayan, ayudando a los clientes a reducir el riesgo, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad en la nube, web o aplicación privada. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar preparados para cualquier cosa en su viaje SASE, visite NETSKOPE.com.
Orador 5: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa y compartirlo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos vemos en la próxima.