0:00:01.6 Max Havey: Hola y bienvenidos a otra edición de Security Visionaries, un podcast sobre el mundo de los ciberdatos y la infraestructura tecnológica, que reúne a expertos de todo el mundo y de distintos ámbitos. Soy su anfitrión, Max Havey, y hoy estamos hablando sobre los roles de CIO y CISO con nuestra invitada, Jadee Hanson, CISO en Vanta. Jadee, bienvenida al espectáculo.
0:00:21.2 Jadee Hanson: Gracias por recibirme.
0:00:22.4 Max Havey: Para empezar, ¿podría hablarnos un poco de su carrera Background? Sé que ha trabajado para varias empresas y ha desempeñado muchos roles de liderazgo en seguridad diferentes a lo largo de los años. ¿Puede darnos un poco de información en Background?
0:00:31.8 Jadee Hanson: Seguro que sí. Sí. Me metí en el mundo cibernético muy joven. De hecho, comencé a hacer trabajo cibernético en mi escuela secundaria, lo creas o no, trabajé para el coordinador de tecnología en mi escuela secundaria. Hicimos todo tipo de cosas diferentes para la escuela. Me hizo armar computadoras para ahorrar dinero para nuestro distrito escolar, que fue algo así como mi entrada al mundo de la tecnología y al mundo de la cibernética. Comencé mi carrera en Deloitte haciendo pruebas de penetración, trabajo de auditoría de seguridad, y fue entonces cuando pasé a mi primer puesto de gestión. Luego me trasladé a Target Corporation, donde decidí formar parte de todas las funciones del equipo cibernético allí. Cuando finalmente decidí que ya no quería viajar tanto y pasar a un papel más de startup, me cambié a Code 42. En Target tuve una introducción al mundo de las startups porque hice mucha diligencia debida para algunas de las empresas que Target Corp compró.
0:01:35.0 Jadee Hanson: De hecho, compramos algunas pequeñas empresas de tecnología con sede en Silicon Valley cuando estaba en Target. Y así me introduje un poco en el mundo de las startups de esa manera y realmente disfruté de la cultura del mundo de las startups, de lo rápido que se movió y decidió unirse a Code 42 y estuvo en Convery dos en el papel de CIO CISO durante unos ocho años y luego recientemente se mudó a Vanta. Y Vanta, también somos una empresa de software de seguridad, y realmente estamos creando un producto que cambia la forma en que las personas piensan sobre la gobernanza, el riesgo y la sección de cumplimiento de un programa de seguridad.
0:02:18.6 Max Havey: Absolutamente. Sé que en tu puesto anterior hablaste de tener una especie de CIO y un papel de CISO. ¿Puedes contarnos un poco sobre cómo fue navegar por ese tipo de doble rol operando tanto en el lado de la tecnología como en el de la seguridad? Sé que a menudo pueden ser fuerzas opuestas, así que ¿puede hablarnos un poco de cómo funciona eso?
0:02:34.7 Jadee Hanson: Sí, creo que muchos de los oyentes probablemente sepan que los CIO están como siempre impulsando las inversiones en nuevas tecnologías mientras que el papel del CISO es plantear con cautela los riesgos de las nuevas tecnologías. Y así, mi broma era que, al ocupar ambos roles, podía tener una discusión interna conmigo mismo todos los días, pero los roles de CIO y el rol de CIO que tenía es realmente un rol de líder empresarial estratégico. Y creo que así es como me vio mi jefe mientras estaba en Code 42 liderando el equipo de seguridad. Así que, mientras era el CISO en code 42, reportaba directamente a nuestro CEO y tuve la oportunidad de ser parte de muchas de las decisiones comerciales estratégicas que se tomaban. Y creo que mi líder en ese momento me vio más allá de un líder cibernético y reconoció que tenía un fuerte sentido del negocio y eso es lo que finalmente terminó dándome el puesto de CIO. Y sí creo que el papel del CIO y el papel del CISO son más parecidos de lo que probablemente son diferentes ambos papeles de nivel c en una Organización. Y en ese sentido, ambas funciones deben centrarse en tener ese gran sentido empresarial y la gran capacidad de evaluar el riesgo para asegurarse de que está tomando las decisiones tecnológicas adecuadas para la Organización.
0:04:01.5 Max Havey: Y creo que tal vez estaba un poco a la cabeza en mi pregunta antes, pero al asumir esos dos roles entonces, ¿te encontraste con ese tipo de fuerzas opuestas de la forma en que los equipos de tecnología están tratando de optimizar el rendimiento la mayor parte del tiempo o de los valores tratando de asegurarse de que haya controles adecuados al respecto? ¿Te estabas encontrando con ese tipo de problemas mientras hacías esos dos roles al mismo tiempo?
0:04:19.9 Jadee Hanson: Sí, quiero decir que creo que se trata de compensaciones, se trata de compensaciones al 100% y de comprender y evaluar cada decisión tecnológica desde un punto de vista como el análisis de costes y beneficios, el análisis de riesgos y resultados para tomar realmente la mejor decisión y tener ambas funciones Informe directamente a mí. Creo que eso sin duda ayudó a cerrar esa brecha en Code 42 y luego también en Vanta, tengo a los equipos de TI que me reportan directamente, y creo que es un modelo que muchos CISO en empresas más pequeñas tienen implementado hoy en día y que ciertamente creo que funciona muy bien. Si está desempeñando correctamente el papel de CISO, en última instancia está intentando identificar iniciativas empresariales que impulsen el éxito de la Organización, lo que en realidad no es tan diferente del propio papel de CIO. Y si puedes alinear la función del CISO y la función del CIO juntas para abordar esos objetivos de negocio acordados, los equipos que trabajan debajo de ti, creo que hacen un gran trabajo uniéndose para abordar resultados comunes.
0:05:27.8 Max Havey: Absolutamente. Y en esa misma línea, ¿cuáles son algunas de las estrategias con las que se encontró mientras desempeñaba estas funciones duales que recomendaría a otros CISO que también buscan salvar esa brecha dentro de su Organización? ¿Qué tipo de estrategias o consejos les ofrecerías al respecto?
0:05:40.3 Jadee Hanson: Sí. Creo que una de las estrategias más impactantes que impulsé dentro de los equipos es el concepto de procesos integrados. Por lo tanto, hay muchos resultados deseados diferentes que requieren la participación de la seguridad y la TI, y al desarrollar este proceso conjunto para obtener los resultados, se descubre que los equipos realmente se unen. Es muy parecido a lo que dije antes en términos de encontrar objetivos conjuntos para que cada equipo esté comprometido con el resultado final o el éxito final. Un ejemplo simple sería como un proceso de parcheo de día cero. Ciertamente, la seguridad tiene un interés personal en que las cosas se parcheen y se completen, pero definitivamente necesitan confiar en TI para que esto suceda. Y así, al implementar un marco y un proceso en el que ambas partes están involucradas y son responsables del resultado final, se ve que los equipos trabajan mucho más juntos.
0:06:38.8 Max Havey: Absolutamente. Esa responsabilidad igualitaria, creo que la funcionalidad cruzada es una palabra que también se usa en eso. Y la temporada pasada nuestro tema giró en torno a la idea de la seguridad como deporte de equipo. Y creo que reunirlo de esa manera y pensar en esos objetivos conjuntos es una excelente manera de pensar en la seguridad y la infraestructura como un deporte de equipo.
Max Havey: Definitivamente. Es el mismo tipo de pensamiento multifuncional y trabajar de manera interdisciplinaria al mismo tiempo que se trabaja de forma independiente y se encuentra la manera de unir esas cosas para que pueda hacerlo de la mejor manera posible y obtener el mejor resultado posible.
0:06:55.0 Jadee Hanson: Sí, absolutamente. En gran parte estamos influyendo sin autoridad y por eso intentamos que todo el mundo sea responsable de la seguridad y muchas veces le digo a la Vanta Organización, la seguridad es responsabilidad de todos y realmente requiere la participación de todos.
0:07:14.1 Max Havey: Como alguien que también tiene años de experiencia como CIO, ¿cómo está influyendo eso en la forma en que está enfocando su papel como CISO ahora?
0:07:21.0 Jadee Hanson: Sí, de nuevo, volveré al concepto de que el papel del CISO es realmente un papel de líder estratégico dentro de la Organización y queremos lo mejor para el negocio y queremos los mejores resultados empresariales. Y eso no es diferente del rol del CIO. Por eso, cuando pienso en el papel del director de informática, mi trabajo antes consistía en elegir la tecnología adecuada para la Organización, asegurarme de que tomábamos las decisiones correctas, asegurarme de que éramos responsables desde el punto de vista financiero. El rol de CISO que tengo hoy, tengo elementos de TI como parte de eso, pero realmente es muy similar en el sentido de que, desde una perspectiva de seguridad, quiero influir en los lugares correctos para que tengamos los resultados comerciales correctos. Quiero asegurarme de que estamos aplicando las prácticas de seguridad correctas para asegurarnos de que no tengamos ningún tipo de impacto secundario del evento. Y por eso no lo veo realmente tan diferente. Creo que muchos de los puestos de nivel c en una Organización tienen su área de especialización, pero al fin y al cabo, realmente se trata de tomar decisiones estratégicas para influir en el negocio de forma positiva.
0:08:34.8 Max Havey: Absolutamente. Hasta cierto punto, está encontrando formas de ayudar a tomar esas decisiones, independientemente de su función, ya sea un CISO o un CIO, todavía está tomando esas decisiones a nivel empresarial y ayudando a habilitar el negocio en general, independientemente de si está hablando de seguridad o tecnología o alguna amalgama de ambos.
0:08:50.5 Jadee Hanson: Sí, absolutamente.
0:08:53.8 Max Havey: Una palabra que sigues diciendo y en la que quiero hacer doble clic aquí. Al hablar de la idea de crear influencia entre todos estos equipos diferentes y trabajar de manera interdisciplinaria, ¿cuáles son algunas formas en que se crea esa influencia para tratar de ayudar a las personas a comprender mejor las necesidades de, por ejemplo, un equipo de tecnología o de un equipo de seguridad para que vean por qué esto es algo importante que deberían tomar en serio?
0:09:11.0 Jadee Hanson: Sí, creo que mucho de esto tiene que ver con un enfoque similar. Y así, cuando pienso en la forma en que trabajamos en Vanta, nos centramos mucho en los principios de ser accesibles y ser un socio y colaborar y, desde luego, no ser el departamento del no, sino el departamento del acuda a nosotros con un Problema y ayudemos a llegar al mejor resultado para la Organización. Creo que teniendo ese tipo de enfoque en toda la Organización acabamos consiguiendo el impacto adecuado. De nuevo, volveré al hecho de que realmente estamos influyendo sin autoridad. No podemos tomar las decisiones en cada Organización. Y por eso parte de nuestro trabajo más importante es conseguir la influencia adecuada en la Organización, educarles con los aspectos educativos adecuados que necesitan para asegurarnos de que nos tomamos el tiempo necesario para explicarles el porqué. No todo el mundo ve lo que nosotros estamos viendo desde el panorama externo. Por lo tanto, hay que tomarse el tiempo para asegurarse de que entiendan que estas son las amenazas que estamos viendo externamente y que pueden afectar a lo que estás haciendo. Y describiendo eso para que no vengamos y digamos que hay que hacerlo de esta manera, sino que realmente estemos educando como parte de eso.
0:10:28.7 Max Havey: Esa parte de la educación parece especialmente importante cuando hablamos de la idea de que el CISO sea cada vez más frecuente en las salas de juntas y que sea más frecuente hablando con ejecutivos de alto nivel dentro de una empresa. Creo que poder influir y educar a la gente que no es técnica, que no tiene ese tipo de Background con la seguridad o con la tecnología para ayudarles a entender, creo que es una clave para todo esto.
0:10:48.6 Jadee Hanson: Sí, absolutamente. Nuestro trabajo es realmente tomar los conceptos que conocemos y convertirlos en un lenguaje empresarial de alto nivel que se convierta en un impacto similar para ellos. Por ejemplo, ¿cómo podría afectar esto a tus objetivos finales?
0:11:05.3 Max Havey: Absolutamente. Y pensando un poco más en grande, más adelante aquí, se habla mucho de la idea de convergencia cuando se habla de los CISO y los roles de los CIO. ¿Qué tipo de visión tiene al mirar el futuro de este tipo de roles, qué tipo de cambios cree que están reservados para el rol del CISO en los próximos años en lo que se refiere al lado tecnológico de las cosas?
0:11:27.3 Jadee Hanson: En cuanto a la convergencia de las funciones del CIO y de las funciones del CISO, permítanme abordar esto primero. Creo que en muchas empresas, como las pequeñas y medianas, el papel del CISO acabará teniendo responsabilidad. Y por lo tanto, casi se podría argumentar que es algo así como un rol combinado sin el aspecto nombrado CIO. En las grandes empresas, creo que seguirán estando en gran medida separadas, pero veo un mundo en el que estas dos Organización trabajan muy de la mano y se ven más como iguales en lo que se refiere al futuro del papel del CISO para los próximos años. Creo que es importante recordar que el papel de CISO sigue siendo un papel de nivel C relativamente nuevo. Así que creo que va a haber cambios constantes a medida que las cosas avancen. Dicho esto, hay dos cambios principales que creo que nos esperan más en los próximos años y el primero es una mayor importancia estratégica o una mayor responsabilidad dentro de la Organización.
0:12:33.5 Jadee Hanson: Así que los CISO están empezando a ser vistos cada vez más que como simples líderes tecnológicos en una Organización y en su lugar son vistos como uno de los líderes estratégicos de la empresa que mantienen ese interés colectivo por los resultados empresariales positivos entre el resto del equipo de liderazgo. Creo que es un cambio muy diferente a lo que hemos visto en el pasado. Los CISO están empezando a desempeñar ese papel integral en la configuración de la estrategia empresarial, equilibrando los riesgos correctos y luego la resiliencia a medida que la empresa crece. Y a nivel empresarial, casi vemos que este aumento de la importancia estratégica está siendo impulsado en gran parte por todos los aspectos de lo que está sucediendo con la SEC y la SEC que responsabilizan a las grandes empresas públicas de las acciones de los CISO, y los CISO ahora están en ese nivel de ser responsables de las divulgaciones clave para los requisitos de los accionistas. lo que sin duda está elevando el papel del CISO, lo que lleva a un papel mucho más amplio e impactante para ese CISO.
0:13:40.2 Jadee Hanson: Creo que el segundo tipo de cambio que veo en los próximos años para el rol del CISO es este cambio del rol de solo ese juego de seguridad entre pares al de la estrategia y el riesgo de tecnología similar. Así que un poco más de esa convergencia del CIO y un poco más de la convergencia del director de riesgos. Así que en muchos casos los CISO de hoy en día tienen muchas de las mismas responsabilidades que el CIO y el director de riesgos, ya hemos hablado de esto antes, pero muchas responsabilidades para tomar decisiones tecnológicas clave dentro de la Organización acaban aterrizando en el laboratorio de los CISO. Y entonces el papel del CISO hoy en día se ha movido más allá de sólo la seguridad y la tecnología, sino que tiene un asiento en la mesa para evaluar la seguridad como las soluciones están siendo traídos a la Organización.
0:14:32.9 Max Havey: Y tener esa visibilidad en la parte delantera si los CISO se hacen responsables de más cosas, como las presentaciones y divulgaciones de la SEC y cosas de ese tipo. Creo que ser capaz de tener ese tipo de visión de qué tecnología es riesgosa, qué prácticas podemos hacer para eliminar este riesgo, tener esas cosas en el frente en comparación con cuando te enteras de ellas a medida que suceden. Creo que es una estrategia clave para mejorar su seguridad y su tecnología al mismo tiempo que he escuchado de muchos líderes de seguridad a lo largo de los años que llevo trabajando en este programa es que tener un enfoque proactivo es una de las claves para ser un buen CISO y para tener una buena estrategia de seguridad como Organización.
0:15:11.1 Jadee Hanson: Sí, al 100%. Tantas veces como podemos involucrarnos temprano, hay un montón de estudios por ahí sobre el costo de hacer un cambio de seguridad temprano e incluso como el ciclo de desarrollo en comparación con tratar de implementar un cambio en un producto después de que el producto se haya enviado. Y, ciertamente, el costo es increíblemente bajo si puedes involucrarte temprano e influir en las personas adecuadas para que tomen las decisiones correctas en lugar de después del hecho.
0:15:38.0 Max Havey: Absolutamente. Y supongo que para terminar, ¿qué es lo que más le entusiasma como alguien que ha estado en el sector de la seguridad en funciones de CISO y CIO? ¿Qué le entusiasma de ver este tipo de roles converger y ver las responsabilidades que se unen en torno a la tecnología y la seguridad?
0:15:53.6 Jadee Hanson: Creo que lo que me emociona es que, desde la perspectiva del CISO, hemos estado saltando de un lado a otro diciendo: "Oye, preséntanos atención" durante años y recientemente creo que hemos conseguido mucha atención, mucha atención centrada en el papel del CISO. Y creo que en muchos casos eso es bueno. Ciertamente, tenemos más que hacer para asegurarnos de que los organismos gubernamentales entiendan nuestro espacio realmente profundamente. Pero dicho esto, creo que tener la visibilidad del puesto y de lo que hacemos y de cómo operamos es muy, muy importante. Y eso me emociona. Creo que también lo que estoy viendo en el Sector de como más y más decisiones tecnológicas se convierten en parte de la función de CISO también. Por lo tanto, se podría pensar en la toma de decisiones del CIO sobre tecnología, y esta asociación con el CISO y ahora se ve como los CISO liderando diferentes equipos de tecnología y la toma de decisiones en el rol de CISO, lo cual creo que es increíblemente importante. Y es realmente emocionante porque creo que, en ese sentido, el CISO no solo se aferra y trata de ponerse al día, sino que es parte del proceso de toma de decisiones.
0:17:12.8 Max Havey: Definitivamente, ya no juegan a ponerse al día y finalmente obtienen su tiempo en el centro de atención, su tiempo para brillar y su momento para liderar el grupo.
0:17:18.0 Jadee Hanson: Absolutamente.
0:17:18.9 Max Havey: Absolutamente. Bueno, Jadée, muchas gracias por tomarte el tiempo aquí hoy. Esta fue una excelente conversación que profundizó en la dicotomía entre los roles del CIO y el CISO y cómo convergen. Así que muchas gracias por tomarse el tiempo. Realmente lo apreciamos.
0:17:30.2 Jadee Hanson: Sí, absolutamente. Muchas gracias por invitarme.
0:17:32.7 Max Havey: Absolutamente. Y has estado escuchando el podcast Security Visionaries. He sido su anfitrión, Max Havey, y si le ha gustado este episodio, compártalo con un amigo y suscríbase a Security Visionaries en su podcast Plataforma favorito. Allí podrá escuchar nuestro catálogo de episodios anteriores y estar atento a los nuevos, que saldrán cada dos semanas, presentados por mí o por mi copresentadora, la maravillosa Emily Wearmouth. Y con eso, nos vemos en el próximo episodio.
Por qué Netskope 
){kind=icon}
