セキュリティトランスフォーメーションの未来についてエミリーヒースと話し合う

Emily Heath(00:00):この状況は変化しており、CSOは将来最も高給の専門家の一部になると正直に信じており、過去数年間ですでにその方向に向かっています。 私たちはすでに多くの変化を見てきましたが、これはあなたがこの量のリスクを引き受けるのに十分なお金を人々に支払うことができないようになるので、ビジネスで最も高給の仕事の1つになるでしょう。

プロデューサー(00:25):こんにちは、Netskopeの最高セキュリティ責任者兼最高戦略責任者であるジェイソンクラークが主催するセキュリティビジョナリーへようこそ。 本日のゲストであるDocuSignのシニアバイスプレジデント兼最高信頼およびセキュリティ責任者であるエミリーヒースから話を聞きました。 あなたはあなたがどれだけ働いたかではなく、あなたがどれだけの責任を持っているかに対して報酬を得ると言われています。 そして、今日の現代のビジネスの世界では、リスク管理は大きな責任です。 サイバーセキュリティの脅威が見出しを支配するにつれて、最高セキュリティ責任者であろうと最高情報セキュリティ責任者であろうと、セキュリティリーダーの役割は、経営幹部の最も重要な機能の1つになります。

プロデューサー (01:06): 彼らは、データ、お金、およびビジネスに不可欠なその他すべてを保護する責任があります。 その役割は決して簡単ではなく、エミリーが指摘するように、この負担を負うことができる個人は、世界で最も人気のあるエグゼクティブの一部になるでしょう。 そして、エミリーは挑戦から後退していません。 実際、彼女は仲間のCSOにもそうしないように勧めています。 DocuSignの最高信頼およびセキュリティ責任者に就任する前は、ユナイテッド航空とAECOMのCSOを務め、その他のさまざまなテクノロジーおよび戦略のリーダーシップの役割を果たし、英国警察の詐欺チームの探偵としてキャリアをスタートさせました。 しかし、エミリーから詳細を聞く前に、スポンサーから一言紹介します。

スポンサー(01:50):セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 Netskopeは、今日のビジネスのスピードで高速でデータ中心のクラウドスマートユーザーエクスペリエンスを提供するために必要なすべてのものを提供する生意気なリーダーです。 詳しくは Netskope.comをご覧ください。

プロデューサー (02:08): 前置きは早めに、ホストのジェイソン・クラークとDocuSignのシニアバイスプレジデント兼最高信頼セキュリティ責任者であるエミリー・ヒースと一緒に、セキュリティビジョナリーのエピソード3をお楽しみください。

ジェイソンクラーク(02:21):セキュリティビジョナリーへようこそ、私は NetskopeのCSOです。 今日は、とても特別なゲストであり、親友であるエミリー・ヒースが加わりました。 エミリー、お元気ですか?

エミリーヒース(02:31): ジェイソン、いつもお会いできてうれしいです。 うまくやっています、ありがとう。

ジェイソンクラーク(02:34):私はこの会話について考えていました。 エミリーに会ったのはいつですか? 初めて会ったのはいつだったか覚えていますか?

エミリーヒース(02:42):神様、今あなたは数年で行きます、相棒。 おそらく、ダラスのセキュリティアドバイザーアライアンスだったのかわかりませんか?

ジェイソンクラーク(02:51):そうです。

エミリーヒース(02:51):そうですか? はい、そうでした。

ジェイソンクラーク(02:53):はい、ダラスのアドバイザーアライアンスと私はあなたを覚えています、私はそれが実際にバーにあったことを覚えています、そして私たちは両方とも注文していたと思います

. エミリーヒース(03:02): それは良い選択でしょう。

ジェイソン・クラーク(03:05): そして、私たちは、ねえ、そして私たちはちょうど話し始めました。 おそらく6、7年前のことだと思います。

エミリーヒース(03:09):ええ。

ジェイソン・クラーク(03:10): はじめに、初めてのセキュリティの仕事について教えてください。

エミリーヒース(03:14):おやおや。 さて、私の最初のセキュリティの仕事は25年か30年ほど前にさかのぼります。 私はかつてイギリスの警察官でした、私は長年探偵でした。 そして、これは、サイバーが当時実際には問題ではなかったが、コンピューター犯罪が問題になり始めていた時代のようなものです。 それで、私は詐欺班と呼ばれる金融犯罪ユニットで働いていました、そしてそれはコンピュータ犯罪を担当するユニットでした。 当時、それは私にとって完全に異質でした、つまり、あなたがビジネスや家を襲撃しに行った当時、あなたは契約書や文書でいっぱいの何百もの銀行家ボックスを持って出てきました。 そして、それが今どのようにサイバーに変換されているかを見るのはまさにそのような番です。 しかし、サイバーの観点からは、おそらくそれがコンピューターを解剖しようとする最初の仕事だったと思います。

ジェイソン・クラーク(04:09): そして、今日のあなたの仕事とDocuSignでの現在の役割について少し教えてください。

エミリー・ヒース(04:12):ええ、今のDocuSignでの私の仕事は、実際には少し多様です。 ですから、私は最高信頼およびセキュリティ責任者なので、それにはいくつかの側面があります。 あなたが想像する通常のサイバーセキュリティ関連のもの、セキュリティアーキテクチャ、エンジニアリング、セキュリティ運用、およびそれらすべてがあります。 また、ガバナンス リスクとコンプライアンス グループもあります。 私は詐欺、物理的なセキュリティ、健康と安全も持っています。 そして、仕事の信頼側は、実際には仕事の非常に顧客向きの側面です。 多くの人が知っているDocuSignは、お客様のエコシステムの一部であり、セキュリティと信頼が非常に重要であるため、本当に信頼できるプラットフォームです。 だから今はお客さんとたくさんの時間を過ごしましたが、それは大好きです。

ジェイソン・クラーク(04:53): これは、[聞こえない00:05:00]テクノロジー組織であるすべての企業にとって進化し続けるものだと思います。 [聞こえない00:05:02]経済、つまり、最高信頼およびセキュリティ責任者が顧客と非常に関与していることが標準になると思います。

エミリーヒース(05:11):ええ、その通りです。

ジェイソンクラーク(05:12):したがって、ここでの最初の種類のセグメントはタブートピックです。

ジェイソンクラーク(05:26):このセグメントは、セキュリティのタブー、誤解、論争に関するものです。 ちなみに、あなたは私に何でも尋ねることができます、あなたが育てたいものは何でも育てることができます。 しかし、これに関する最初の質問は、今日のサイバーセキュリティで最も急速に高まっているリスクは何だと思いますか? それはほとんどの企業に影響しますか?

エミリーヒース(05:43):ええ。 神様、それらの数が非常に多いので、1つを選ぶのは難しいです。 ランサムウェアは、サイバーに関して犯罪の収益化について考えるだけで頭に浮かぶものだと思いますが、これらの攻撃はもはや組織に不便をかけたり、権利を自慢したりするだけでなく、この犯罪には多額のお金があります。 誰かが[聞こえない00:06:07]ショットガンを持って銀行に足を踏み入れ、せいぜい20,000ドルを持って立ち去る時代は過ぎ去りました。 つまり、あなたはこれらのタイプの犯罪について数百万、数千万について話しているということです。 ですから、身代金は、私たちはその始まりを見ているだけだと思います。 そして、企業が身代金を支払っていることをますます目にすればするほど、それは問題を急増させるだけです。 ですから、残念ながら、それはトレンドであり、すぐにどこにも行かないと思います。

ジェイソン・クラーク(06:30):つまり、基本的には新しい銀行強盗ですよね?

エミリーヒース(06:34):ええ。

ジェイソンクラーク(06:34):それで、このタブートピックのようなこの感覚について、あなたの考えは何ですか、企業が身代金を支払うか支払わないべきかについてどう思いますか? その周りの法律はどうあるべきですか?

エミリーヒース(06:45):神様、それはとても難しいものです。 法律がどこに関与できるかさえわかりません。 ビジネスを行うためのコストがあるため、それは本当に滑りやすい坂道であり、これがビジネスを行うための新しいコストになる場合、私は何らかの形や形でそれを提唱しているわけではありませんが、すべての組織は異なり、それがあなたに当たるまで、そしてあなたの業務が不自由になるまで、身代金を支払うべきかどうかを言うのは本当に難しいです。 つまり、とにかくあなたがその反対側から抜け出すという保証は決してないことを私たちは皆知っています。 しかし、最近身代金を支払った企業のいくつかを見ると、私たちは部屋にいないので、実際のビジネス機能への影響はわかりません。 そして、私はただ、これが法律の問題になるかどうかはわかりません、それはビジネスの問題です。

ジェイソンクラーク(07:34):ええ。 私は時々それが人生を意味することができることを意味しますよね? つまり、電気をオンに戻したり、必要な医療システムをオンに戻したりすることは、法律のために行われる選択ではありませんよね? そして、あなたがそれを見るとき、身代金は明らかに非常に、非常に難しい問題であり、私たちは明らかにすべてを改善する必要があります。 身代金について考えると、それは1つですが、人々が気付いていないと思うものは何ですか? CSOとして最も急速に増大しているリスクは何ですか? 多くのIT組織、多くの取締役会が気づいていないことを成長させていると思いますか? ですから、毎日ニュースで身代金が流れていますが、それらのリーダーが知っておくべき急速に増大するリスクであると考えることができるものは他にありますか?

Emily Heath(08:24):ええ、現在、多くの経験豊富なセキュリティ専門家が業界を去っているのを目にするテーマが少しあります。 そして、私の恐れは、大きな穴が開くことですよね? このビジネスはしばらく前から存在していますが、過去4、5年ほどの規模ではありません。 そして、多くのセキュリティ専門家は、ベンダー側に行くために業界を去るか、VC側に行くために去っています。 セキュリティの仕事を辞めている才能と専門知識は恐ろしいものです。 リーダーとして、明日のリーダーに投資していることを確認するのが私たちの仕事であることとは別に、それをどのように解決するかはわかりません。 そして、組織として、セキュリティビジネスのシニアリーダーと本当に才能のある人々の大きな才能のギャップに対するこの素晴らしい組織意識があるかどうかはわかりません。

ジェイソンクラーク(09:25):将来について話すので、これについては少し後で話しましょうが、お金は増えると思いますが、CSOの仕事は非常に難しく、非常に困難で、非常に負担がかかります。

エミリーヒース(09:37):超ストレス。

ジェイソンクラーク(09:37):つまり、ジェイソンを見て、最後の休暇をあきらめた、または私が最高だった、RBCのデイブフェアマン、彼は言った、ジェイソン、私は結婚式で最高の男でした、そして私は結婚式に行くかここにとどまるかのどちらかに言われました、しかしあなたが結婚式に行くならばあなたは仕事がありません。 そして、それは感情的に負担がかかります。 ですから、脅威が悪化し、問題が難しくなり、これまで以上に多くのデータがあり、世界に57ゼタバイトのデータがあり、2025年までに175ゼタバイトになるという状況に陥っていると思います。 ですから、その攻撃対象領域が拡大していることを考えると、人々が見つけるのが難しくなっていると思います。 今おっしゃったように、それは大きな未知のリスクだと思います。 だから、少し深く掘り下げるようなものです。

ジェイソン・クラーク(10:46):チェシャー警察からサイバーにどのようにピボットしたかを説明し、その移行について教えてください。

エミリーヒース(10:55):私が探偵だったとき、私はしばらくの間キャリアを休みました、そしてあなたは3年までキャリアブレイクを取ることができます。 そして、私はそうしました、そしてオチは私がコーディングする方法を独学したということです、誰にも言わないでください。 しかし、私はコーディングの仕方を独学で学び、実際にキャリアブレイク中に自分のウェブデザインビジネスを始めました。 警察に戻る頃には、そこには大きな世界があり、本当に探検したい世界があることに気づきました。 それで、私の以前のウェブクライアントの1人が実際にある日私に電話をかけてきて、ねえ、ロンドンのMGMスタジオでのこの機会に興味がありますか? そして、DVDが物だった時代にスタートアップのために働いていました、それは映画スタジオのDVD流通とサプライチェーンと在庫管理のすべてを管理するスタートアップでした。 それで私は軍隊を去り、法執行機関を去り、その仕事をしました。 それはセキュリティの仕事ではありませんでした。 ITとテクノロジーのさまざまな分野を担当した後、セキュリティまで一周しました。

エミリーヒース(11:48): しかし、私はスタジオのソフトウェア実装のリードプログラムマネージャーでした、それが私が米国に行き着いた方法です、おそらくほぼ20年前、ソニーピクチャーズに買収されたMGMと一緒に働いたので、私は長年ソニーと一緒に働きました。 そして最終的に、PCIと呼ばれる小さなものが登場し、インフラストラクチャチーム、PMO、Webデザインチーム、エンジニアを運営していたとき、当時の上司は、ねえ、エミリー、あなたは警官だと言いました。 あなたは警官でしたね。 あなたは法律を理解しています、あなたはこの暗号化のこととこのPCIのこと、入ってくるこれらの法律を理解できますか? ですから、私が法務、コンプライアンス、セキュリティタイプの役割に就くことになったのは本当に偶然でした。 しかし、自分のキャリアと人生を振り返って、それがすべて1つの大きなジグソーパズルであることに気付くのはおかしいです。 あることが次のことにつながる方法をその時点では理解していません。 そして、振り返ってみると、おやおや、私がその仕事をしていなかったら、私はこの仕事で成功するように設定されていなかったことに気づきます。

エミリーヒース(12:50): そして、テクノロジーの経験と法執行機関の経験が相まって、家に帰ってきたような気分でした。 そして、それらは2つの非常に異なるものですが、法執行機関から持ち込むスキルセット、スキルセットは人々に関するものでした。 それは、あなたはあらゆる分野の人々を扱っているということでした。 そして、私はそれを組織内の構成員に翻訳しますよね? つまり、私たちは非常に多くの異なるビジネスユニットからの非常に多くの異なる利害関係者に対処しており、企業の世界をナビゲートすることは法執行機関に非常によく似ており、さまざまなキャラクターを管理しているだけです。 ですから、本当に家に帰ってきたような気分になり、CIOルートではなくCSOルートを選択するために非常に慎重な道を歩みました。 私は数年前にどちらかの道を行く機会があり、私はこのルートを選びました、そして私は個人的に私にぴったりのルートを選びました。

ジェイソンクラーク(13:44):私は常にCSOから尋ねられ、約15の異なるCSOを指導し、CIOまたは暫定CIOになるこの機会があると言われています。 そして、私は実際に一般的に彼らをコーチしません。 CSOに焦点を当て、重要性を増す専門分野としてセキュリティに焦点を当てます。 そして、私は基本的に彼らに、財政的には彼らがもっと同じことをすると信じていると彼らに言います。 あなたはPCIでのあなたの経験のようなものについて話しました、私は私のキャリアの始まりにもPCIに感謝します。 私は軍隊を離れていて、ニューヨークタイムズが危険にさらされました、そして私が27歳のときにニューヨークタイムズでCSOの仕事に就きました、なぜなら彼らはCSOの称号を持っている必要があり、それはクレジットカードの紛失と彼らのビジネスユニットの1つによって引き起こされたからですそして私は介入するように頼まれました。 そして、サイバーセキュリティの経験があり、軍隊だったために管理経験があったという事実を持つ27歳が他にできるのはいつですか、それは非常識です。 それは今日は起こらないでしょう、27歳はそんなに早くCSOです。 ですから、PCIにも感謝しています。

エミリーヒース(14:53):ええ、知っています。 なぜサイバーをキャリアとして選んだのかと人々が尋ねるようなものです。 そして私は言った、私はそれを選んだのではなく、それは私を選んだ。 間違いなく紆余曲折があります。

ジェイソンクラーク(15:04):それは素晴らしかったです。 つまり、あなたはCSOであり、ユナイテッド航空のCSOだったときに会いましたが、そこでは多大な責任がありました。 それとDocuSignでの現在の役割の違いと類似点は何ですか?

エミリーヒース(15:22):ええ。 つまり、ユナイテッド航空は、巨大で大きなグローバル航空会社よりもはるかに複雑になるとは思いません。 そのような組織の規模と複雑さだけでも信じられないほどです。 そして明らかに、DocuSignに来るよりもはるかに大きな会社であるため、規模と複雑さの違いは非常に異なりますが、私たちが扱う問題の種類はほとんど同じです。 そして、どこに行っても、どの会社に行っても、新しい会社に入社する他のCSOの友人にアドバイスをしても、私は自分自身に5つの基本的な質問をします。 そして、それは本当にあなたにとって最も重要なことが何よりもまず何に帰着しますか? ユナイテッドのような会社にとって、最も重要なのは人命です。 あなたは人々を飛ばしています、安全は一番です。 DocuSignのような会社である私たちは非常にデータ駆動型の会社であるため、人々が私たちを信頼する契約が私たちにとって最も重要なものです。

エミリーヒース(16:19):では、最も重要なことは何ですか? それはどこですか。 どのように保護していますか? 最も脆弱で危険にさらされているのはどこですか? そして、それがファンに当たって跳ね返る必要があるとき、あなたはどれほど回復力がありますか? そして、あなたが新しい仕事に就いて、それがどんな会社であるか、それがどんなエンティティであるかに関係なく、これらの5つの質問を自問するならば、それらの5つの質問は依然として非常に関連性があると思います。 なぜなら、自分にとって最も重要なことを理解していれば、間違いなく目の前にあるタスクに優先順位を付けるためのフレームワークがあるからです。 したがって、課題は同じであり、同じ種類の人々、同じ種類の敵であり、規模と複雑さは非常に異なりますが、セキュリティプログラムの実行方法は基本的に同じことです。

ジェイソンクラーク(17:06):はい、100%です。 それはただ異なる複雑さです。 スケールは1つですが、会社の場合は別のセットがあり、難しくも簡単でもありません。 あなたが言ったとき、それがファンに当たったとき、私はそれがファンに当たったときにあなたが言った方法が大好きです、私はすぐに飛行機、映画飛行機のシーンを想像しましたよね? たわごとが文字通りファンに当たったところ、それは私が想像するものです[聞こえない00:17:35]。 だから見てください、私はあなたの肩書き、最高信頼およびセキュリティ責任者が大好きです。 それで、あなたが持っている追加の責任と、これがあなたの会社またはあなたの顧客がそこに信頼という言葉であなたを認識する方法をどのように変えるかについて少し話してください?

エミリーヒース(17:53):ええ。 ですから、私にとっての信頼は、セキュリティ面は私たち全員が理解していることです。 それはナットとボルトを固定し、テクノロジーとそれらすべてのものを保護することです。 この信頼の概念を重ね始めるとき、それはその無形性についてです。 それはあなたが人々と築いている関係です。 ですから、私たちが顧客との関係を構築しているとき、あなたはあなたが知らない人々を信頼することはできません。 したがって、私が顧客と過ごす時間は、私たちがしていることについて完全に透明であることが私の義務であり義務であると考えているため、顧客との関係を構築することです。 信頼関係を築くための基盤は、まさにそこに根付いていると思います。 ですから、私はフレームワークとしてのゼロトラストや、セキュリティ領域内の伝統的に信頼と呼ばれてきたもののように信頼について話しているのではなく、それをはるかに超えています。 それは本当にたくさんです、あなたはあなたの散歩を歩かなければなりません。 あなたは現れなければなりません。 あなたは透明でなければなりません。 あなたは率直で正直でなければなりません。

エミリーヒース(18:54): そして、それは実際には単なるセキュリティ以上のものです。 たとえば、ESGプログラム、環境、社会、ガバナンスプログラムの運営も支援しています。 最高信頼責任者の役割の一部として、それは単なるセキュリティではないので、信頼の他の要素は何ですか、そしてそれはあなたの組織にとって何を意味しますか? ですから、私はDNIのようなトピックに深く関わっており、ご存知のように、多様性と包括性、帰属意識を大いに支持しています。 あらゆる組織が実行するESGタイプのプログラムは、すべて信託の傘下にあります。 つまり、従来のセキュリティ、物理的セキュリティ、サイバーセキュリティタイプの領域だけでなく、組織の信頼と、それが顧客、パートナー、従業員にとって何を意味するかに関するものです。

エミリー・ヒース(19:40):つまり、他のすべての会社と同じように進化していることです。 信頼という言葉は、それが私たちにとって実際に何を意味するのか、そして実際にそれについて何かをしているのを知らない限り、使うべきではないと強く感じています。 これは単なる言葉ではなく、あり方であり、あなたが何をするかだけでなく、あなたが私にそれをしている間のあなたが誰であるかです。 関係とその透明性の精神と関係があります。 そして、私が言ったように、あなたはあなたが知らない人々を信頼することはできません。

ジェイソンクラーク(20:08):お元気ですか、これは会社の目的の周りにたくさんありますよね? そして、あなたは意図的にあなたの顧客とあなたの従業員から感情を呼び起こそうとしていますよね? それを実現するために、マーケティングとどのように提携していますか?

エミリー・ヒース(20:23):ええ、私たちは実際に現在いくつかのブランディングとマーケティングを行っており、信頼は私たちの中心的な柱の1つです。 DocuSignは18年ほど前から存在しており、ほとんどの人は電子署名で私たちを知っています。 そして、私たちはそれをはるかに超えて、私たちが契約クラウドと呼ぶものに進化し、今ではスマート契約クラウドであり、信頼はその基本的な部分です。 そして、人々が実際に私たちを信頼していること、彼らのすべての敏感な合意について考えるなら、私は善のための彼らの署名を意味します。 私たちは、あなたが私たちを信頼できない場合、誰を信頼できますか? DocuSignの当初から存在していた組織としての要素が埋め込まれていますが、今では、私たちがお客様のエコシステムの一部であり、それを真剣に受け止めなければならないという事実において、それがいかに重要であるかを理解しています。 そうです、それは文化に関するものであり、組織にとって重要なことに関するものです。 しかし、私が言ったように、それはあなたがそれをやっている間あなたが誰であるかでもあります。

ジェイソン・クラーク(21:25):では、この不幸なパンデミックが過去18か月間に発生したため、これはあなたの役割、そして明らかにDocuSignの従業員が職務に従事して遂行しようとするときにどのように変化し、影響を与えましたか?

エミリーヒース(21:45):ええ。 ですから、COVIDの当初から、すでにかなり多くのリモートワーカーがいたので、ありがたいことに、SlackやZoomなどのテクノロジーがすでにサポートしていたので、その点で一部の企業よりも進んでいました。 しかし、私たち全員が知っているように、自宅のコンピューターやそのような種類のすべてでリモートで作業している完全な労働力ができたとき、それは明確な変化です。 当時はCOVID19タスクフォースと呼ばれていましたが、これは本質的に古典的な危機対応であり、部門横断的なチームをまとめるものでした。 最初は一日に何度も会って、それから毎日、そして毎週の会議に行きました。

エミリーヒース(22:27): しかし、これはすべての部門から組織全体をまとめて、従業員と顧客全体のすべての可動部分を検討できるようにする方法でした。 COVID以来、必要なすべての機器が揃っていることを確認し、すべての従業員にオンボーディングを行ってもらいました。 私たちは非常に成長し、何千人もの人々を新入社員としてオンボーディングし、そのすべてに多くのロジスティクスが伴います。 ですから、CSOや危機対応に慣れている人々が、この種のイニシアチブに本当に最適に適しているのはここだと思います。 なぜなら、私たちは危機対応の筋肉を持っており、部門横断的なチームを集めてそれを組織することに慣れているからです。 そして、それはただでした、誰も私にそれをするように頼まなかったので、私はただその役割を引き受け、会社をまとめて私の役割を果たしました。 そして、私のチームは、組織の他のメンバーと同様に、並外れた仕事をしました。

エミリーヒース(23:32): しかし、他の多くの会社と同じように、多くの従業員にとって大変だったと思います。 誰もが少しCOVIDの燃え尽き症候群の疲労とズームの疲労とそれらすべてのものを持っています。 私たちはこの機会を利用して、従業員の声に真剣に耳を傾け、彼らが何を望んでいるかを確認しています。 したがって、今後ははるかに分散した労働力とより多くのリモート労働力が存在する可能性が高くなります。 私たちはほぼ完全にホテルになるので、専用のデスクやオフィスはもうありません。 そして、それは私たちの従業員が望んでいることであり、彼らは柔軟性を求めているので、私たちはその機会を利用して彼らにまさにそれを与えています。

ジェイソン・クラーク(24:08):ですから、それが挑戦的であったことは間違いありません。 私は多くのCSOを聞いてきましたが、私たち自身とCSOのラモントの例を使用しても、彼がステップアップする瞬間でした。 彼は私たちのCOVIDコミュニティをリードし、その一部であり、DNIもリードしています。 これは、従業員を可能な限り受け入れ、関与させていることを確認する瞬間です。 だから私はあなたが正しいと思います、私たちはすでにこの筋肉を持っています。 結局のところ、ITだけを考え、セキュリティを忘れて、自宅で仕事をすることは、ITなしでは、デジタルなしでは、テクノロジーなしでは、VPNなしでは、クラウドなしでは実際には不可能だったと思います。 これをどのように行ったでしょうか? 私たちはビジネスを失うという決定を下さなければならなかったでしょう、さもなければ人々は潜在的により多くの脆弱性とより多くの死を持つでしょう。 ですから、ITは興味深い種類の静かなヒーローだったと思います。

エミリーヒース(25:19): そして、それはまるで社会として私たちが違った考え方を強いられているようなものです。 多くの企業は、私たち全員がこの状況に陥らなければ、彼らが取った措置を講じることは決してなかったでしょう。 そしてもちろん、ビジネスの観点から見ると、それは信じられないほどのことでした。 それは私たちの会社の成長にとって素晴らしいことでしたが、パンデミックの最初の段階で私を本当に驚かせたのは、私たちが文字通り州部門や連邦政府とPPEを動かそうとしている塹壕にいたことでした。 そして、政府機関の動きが非常に遅いというこの種の一般的な誤解があります。 時々そうですが、彼らがこのように危機に陥ったとき、彼らが行った仕事、そして私たちがその最前列の席を持っていたとき、私たちのカスタマーサポートの人々は朝、昼、夜、彼らと一緒に塹壕で働いていました彼らがデジタル化できるようにセットアップしました彼ら自身のビジネスと私たちが機器を動かさなければならなかったこれらの状況のようなもの。 そして、それは私たち全員を本当に迅速に方向転換することを余儀なくさせました。 そして、ある意味で多くの企業がそのデジタルトランスフォーメーションを飛躍させたのは、今ではそれができることがわかったからだと思います。

Jason Clark (26:39): 私自身の顧客が実際の DocuSign に採用しているのをたくさん見てきました。 それは彼らの変革の大きな部分を占めています。 特にヘルスケアは、ヘルスケアにおいて非常に大きいです。 したがって、脆弱な感じと呼ばれる次のセグメントに移行します。

ジェイソン・クラーク(27:04): このセグメントでは、何を避けようとしているのかを説明します。 私たちの脆弱性は何ですか? そして再び、ただ脆弱に感じます。 非常にオープンであること、私たち二人はすでにこの会話に参加しています。 そのため、多くの場合、人々はリスクを異なる方法で測定します。 例のように、水中のサメ。 私は休暇中、たくさんの友達と一緒に2週間しか行かず、水中にサメがいました。 そして、私が一緒にいた人の一人は、サメがいる、サメがいる、サメがいる、みんなにサメがいると叫ぶなど、ライフガードにできるだけ早く泳ぎました。 そして、誰もがこの人を見ているだけで、ライフガードは行きます、はい、私たちはサメを飼っています。 彼らは誰も噛みません。 そして、それは、あなたは何をしているのですか? おやおや、私たちはこれに反応しなければなりません。 そして、私は、サメの死は60億人から70億人のうち年間それほど多くないようなものです。

ジェイソン・クラーク(27:56):リスクの数学を実際に見ているのではなく、直感から意思決定を行うセキュリティやITにどの程度いると思いますか? または、チェックボックスを駆動しようとしていますか? 他の誰もが製品を購入しているために製品を購入する、または他の誰もがこれをしているためにこれを行っていたように、セキュリティの中でこの問題が実際にないかもしれないことについてどう思いますか? それは本当のリスクですか? ちなみに、私はちょうど金融の誰かと電話をしていました、監査人と常連が私たちがしなければならないと言っているので、私たちはセグメンテーションをやっています、そしてそれはこれまでで最も愚かなことだと思います。 私はすでに最終、エンドポイント、ネットワーク層でセグメント化されており、これらの他の5つのプロジェクトを行う必要がありますが、監査人と規制当局がそうしなければならないと言っているため、これは私の今年の最大のプロジェクトです。

エミリーヒース(28:42):ええ、私はそれを完全に理解することができます。 私たちが常に科学とデータ主導になりたいのと同じくらい、それが理想だと思いますよね? あなたは常にあなたの前にデータと事実を持ちたいと思っていますが、問題の真実はそれが必ずしもそれほど具体的ではないということです。 そして、CSOが最善の判断、経験、専門知識を駆使して意思決定を行うこともあると思います。 そうでなければ、ある時点で決定を下して先に進む必要があることを意味するので、それが適切だと思うこともあります。 そして、それらは時々あなたがバックミラーを見て行くことになるものです、私はこれについて正しい決定をしましたか、それとも私はそれを別の方法で行うことができましたか? しかし、その時点では、そのすべてのデータを収集するために、数週間、数日、または数か月先にあると私が推測するメリットが常に得られるとは限りません。 そして、あなたが望んでいたとしても、それはおそらくすべてが存在するわけではありません。

エミリー・ヒース(29:39):ですから、私たちが行う仕事には、少しの芸術と少しの科学があり、それらの電話をかけるために最善の判断を下さなければなりません。 なぜなら、私たちが試みているのは、技術的ではない人や状況を説明し、それらを運用リスクやビジネスリスクに変換することであり、最終的にはそれが私たちの仕事だからです。 決定A、決定B、または決定Cを直接指すデータを取得するのは必ずしも簡単ではありません。 ですから、私たちがしていることには少し芸術と科学があります。 そして、それに直面しましょう、あなたが青写真とこの仕事をする方法を示した棚から選ぶことができる本があったら、私たちは皆それを気に入るはずです。 しかし、現実には、それは存在せず、私たちは新しい脅威、新しい敵、そしてあなたが最善の判断を使わなければならない毎日新しい運用方法に直面しています。

エミリーヒース(30:38): そしてそれは経験から来ています。 キャリアの早い段階で、おそらく最良の決定ではない決定を下すことがありますが、そこから学びます。 そして、私にとって大きなことは、これが、弁護士が私たちにそうしないように言ったときに私たちがお互いに物事を共有するので、セキュリティコミュニティが本当に特別な理由です。 私たちはお互いを気にかけており、誰も見出しで他の誰かに会いたくないので、私たちはお互いに物事を共有しています。 私はこのようなコミュニティを経験したり、見たり、聞いたりしたことがありません。 そして、それは本当に特別です、それは何か他のものです。

ジェイソンクラーク(31:10):それは素晴らしいことです。 私は同意します、何もありません。 私たちが一つであるのは、おそらく私たちに共通の敵がいるからです。 そして、それは途方もないものであり、最終的には、私たちの多くがこの業界を愛し、業界を変えていないと思う理由です。 ですから、先ほどのあなたのポイントまでこれを少し考えてみると、私たちはこの業界について話しているようなものです。 セキュリティリーダーが業界を離れるリスクの一部について話しましたが、それはなぜだと思いますか? なぜ彼らは言っていると思いますか、大丈夫、あなたは何を知っていますか? 私は何か違うことをするつもりです、私はこれを3回やりました。 私たちはこの業界が大好きですが、なぜ彼らは運営中のCSOギグを離れるのですか? それはうまくいくので、彼らが7桁を作ることができることは間違いありません。 彼らはゲームのトップで働いているのに、なぜ人々がこれらの仕事を辞めるのを見ているのですか、ほとんどの場合、正直なところ、他のことをするのにお金が少なくなりますか?

エミリー・ヒース(32:11):ええ、それは私たちが以前に話していたことの組み合わせだと思います。 ほら、この仕事は間違いなくここ数年でより多くの可視性を得ています、そしてそれはあなたが過去にCSOが頼むのを聞いたことがあるものです、そして今それはすべて実を結びつつあると思います。 そして、それには良い面と悪い面があります。 あなたはすべての可視性を望んでいます、あなたは会社がそれを真剣に受け止めることを望んでいます、まあ何を推測してください、彼らはそれを真剣に受け止めています。 その裏側は、それに伴うプレッシャーです。 これは非常にリスクの高い仕事です。 また、私たちが制御できない非常に多くの側面やコンポーネントを持つプログラムを管理しているため、リスクの高い仕事です。 私たちは、すべての団体が成功するために、特定の方法で物事を行うために、多くの、多くの異なる構成員に依存しています。 つまり、何千ものアプリケーションを持っている多くの企業について考えると、アクセス制御がそれらの10、20、または100を嗅ぎ分けることができなかったとしましょう。 それはCSOのせいであるだけでなく、不可能です。 The CSO's one person, the security teams can only do so much.

エミリー・ヒース(33:22): その結果、それはより知名度の高い仕事ですが、リスクは計り知れません。 今でもCSOが訴えられているという話を聞き始めていると思います。 ゲームは変化しており、この状況は変化しており、CSOは将来、最も高給の専門家の一部になると正直に信じています。 そして、それは過去数年間ですでにその方向に向かっており、すでに多くの変化が見られました。 しかし、これはビジネスで最も高給の仕事の1つになるでしょう、なぜならそれはあなたがそれに伴うかもしれない訴訟のためにこの量のリスクを引き受けるのに十分なお金を人々に支払うことができないようになるからです。 そして、あなたはそれがその役割にとって何を意味するのかを考え始めます、それは非常に、非常に異なる球技です。

エミリー・ヒース(34:12):あなたは今、取締役会が通常何に責任があり、それに伴うリスク、またはCEOが責任を負うリスク、またはそのことについてはCFOの領域で話しています。 ですから、リスクと純粋な責任だけが高まり続けており、人々は燃え尽き症候群に苦しんでいると思います。 そして、それはすべて財政的ではなく、間違いなく財政的要素がありますが、それはすべて財政的ではありません。 それが生活の質であり、厳しいポイントが来ますよね? それは簡単なルートではなく、簡単な役割でもありません。 ご存知のように、あなたはそれをしました。

ジェイソンクラーク(34:52):それは価値がありません。 ええ、それは、大丈夫、私はこれを何度もやったが、それは難しくなっているようなポイントになります。 そしてさて、あなたが今言ったように、私は十分に節約しました。 そして、法的な懸念は厄介だと思います。 そして、それはCSOのようではありません、私が驚いていることの1つは、彼らが私の契約で必ずしもパラシュートを取得していないということです。 私は素晴らしい[聞こえない00:35:20]になっているかもしれませんが、彼らも保護されるべきです。 私はCSOと多くの会話をしていて、彼らが何かを決定したり、同意しない何かに署名したりするように迫られていますが、彼らはそれを見ています、まあ私はこの高価な家を持っていて、私立学校などを持っていますそれが何であれ、私は上司にノーと言う余裕はありませんその時は去ってしまうからです。

ジェイソンクラーク(35:41):そしてそれは良くありません。 あなたがあなたの組織に同意しない場合、あなたは彼らに挑戦したい、そしてあなたは言っている、私はそのリスクを承認しない、彼らが保護されることができる、多分それは6ヶ月の収入の標準ですか? しかし、今は2〜3か月です。 そして、私はそれがあまりにも頻繁に起こるのを見てきました。 しかし、全体として、私はジェイソン・ウィッティと話していたと思います、そして彼がJPモルガンを去ったばかりであることは公にされています。 それはただの問題です、私たちは私たちの専門知識でもっと多くのことができるので、あなたが言及したエミリー、ベンチャーキャピタルについて話し始めるとき、潜在的にもストレスが少なく、あるいはさらに高い収入で行うことができます。 しかし、問題は、私たちが何をするにしても、次世代の準備ができていることを確認する必要があるということです。

エミリーヒース(36:44):私は守られていますよね。 つまり、責任の問題のポイントに到達しており、取締役と役員はその責任をカバーしていますが、CSOはそうではありません。 ですから、ある時点で別の会話をする必要があります、さもなければそれはあなたがこの仕事をするのに十分なお金を人々に払うことができないようになるでしょう。 なぜなら、CSOが誠意を持って取った行動または他の誰かがとらなかった行動のいずれかの最終結果または潜在的な結果である場合、その結果が彼らにすべてを失う可能性がある場合、または神が刑務所を禁じている場合、あなたはもう仕事をしている人々にそれをさせるつもりはありません。

ジェイソンクラーク(37:20):その通りです。 身代金を支払うように言われた場合や、リーダーシップから報奨金を支払うように言われた場合のように。 そうです、それは怖いです。 しかし、私たちはこれを乗り越え、最終的にはあなたと私、そして他の多くの人々が他の人のためにそこにいなければならないと思います。 彼らがアドバイスを必要とするとき、私たちは彼らを指導します、私たちは彼らの背中を持っています。 それで、私はこのトピックに興味がありました、あなたにとって退職後の生活はどのように見えますか?

エミリーヒース(37:51):私はまだそこにいませんが、まだタンクにたくさん残っています。 しかし、私にとっての引退生活は、このコミュニティから本当にプラグを抜くことができるかどうかはわかりません。 つまり、私は今日、公開ボードとプライベートボードに座っており、上場企業としてノートンLifeLockの取締役会に所属しており、プライベートGRCプラットフォーム企業であるLogic Gateの取締役を務めています。 CSOが持っている経験と深さのために、取締役会の生活には多くの価値がありますが、それでも理解が不足している分野であり、追加する価値がたくさんあります。 ですから、それは私の将来の一部であり続けると確信しています。 私はあなたがしたように、あなたがしたように、私たちが次世代を助けなければならない重要な部分であるという理由だけで、まったく利益がなく、経済的利益もまったくないのと同じように、多くのアドバイスをします。 そして、私はそれがなくなることはないと思います。 その一部があります。 いつの日か、私は運用生活の外に移行しますが、まだそこにいません。 私が言ったように、私はまだ私のためにタンクにもっと持っています。 しかし、セミリタイアは、私が想像するいくつかの理事会に参加し、非営利団体やアドバイザリーの仕事をしているように見えるかもしれないと思います。

ジェイソンクラーク(39:07):取締役会、コーチング、アドバイス、業界の支援。

エミリーヒース(39:10):ええ、その通りです。

ジェイソン・クラーク(39:12):しばらくの間、どこかのビーチや山に座っています。

エミリーヒース(39:15):うん。 おそらくヨーロッパを旅行する、多分プロヴァンスかそのようなもの。 プロヴァンスから数回のズーム通話を受けても大丈夫かもしれません。

ジェイソンクラーク(39:21):少し。 はい、私はしたいです、私の夢は毎年夏にそれをして、毎年夏の間そこから働くことです。

エミリーヒース(39:29):どうぞ。

ジェイソンクラーク(39:31):大丈夫、未来について考えています。 私たちがそれについて話しているとき、私たちが時間内に前進することができれば、CSOは彼らが投資して将来に報われることを望んでいると思いますか? 5年後、10年後のことを考えて、人以外にできる最も重要な投資は何ですか?

エミリーヒース(40:04):人以外に、保険。 おそらく保険はそれらの1つであり、非常に深刻です。 しかし、より多くのテクノロジーについて話しているのであれば、クラウドセキュリティに適切に投資していない企業はまだたくさんあります。 彼らが持っているクラウドセキュリティのビットとネイティブのAWSとAzureタイプの機能に依存している人々は、ある程度は問題ありませんが、世界が完全にクラウドになり、誰もがベアメタルから離れるとき、既存のクラウドプロバイダー、構成、シークレット、管理、およびそれに付随するすべてのものに関するセキュリティスタック。 多くの企業がクラウドセキュリティに正直にリップサービスを払っているのではないかと心配しています。

ジェイソンクラーク(40:54):それは、私自身の質問に対する私の答えは、データセキュリティを考えるということです。 それがデータに関するものであるように、それが私たちが保護しているものです。 DocuSign、それはこれらの署名、これらの契約、それはデータに関するものであり、私の会話では、データセンターにあるデータに慣れており、この大きな境界があるため、データ保護の考え方が非常に未熟であると感じています。 そして、それは私のデータがどこにあり、どのように保護されているかを理解するための非常に投資不足の領域だと思いますか? そこにあるリスクは何ですか? どのような影響がありますか? それはどれくらい敏感ですか? それが増殖するからです。

エミリーヒース(41:31):もう一度これらの5つの質問ですよね? それはこれらの5つの質問です、私にとって最も重要なことは何ですか? それはどこですか。 どのように保護していますか? 私はどれほど脆弱で危険にさらされていますか?そして、それがファンに当たったとき、私はどのくらい準備ができていますか? それを分解するととても簡単に聞こえますが、それがセキュリティプログラムの基本です。 そして、それは会社ごとに異なります。 そして、それを行うのは難しいです、そのすべてを発見するのは難しいです。 これらの質問には、すべてのデータがどこにあるかを理解し、それらをサポートしている資産を理解し、ちなみに、それらはすべて正しい方法でプロビジョニングされているという仮定が満載されているためです。彼らはすべてのセキュリティまたはすべてのアクセス制御を持っている必要がありますか? とてもシンプルに聞こえますが、私は同意できませんでした。 私たちにとって、その多くをクラウドに変換するのは、明らかにそれが環境が向かっている場所の多くだからだと思います。

ジェイソンクラーク(42:19):つまり、クラウドはソリューションがどこにあるかではないため、最初は難しくなると思いますが、最終的には私たちにとって簡単になると思います。 [聞こえない00:42:30]のように、できることはたくさんあります。 ですから、一時的には奇妙な場所のようですが、最終的には、そして将来、私たちは本当に良くなると思います。 だから最後のセグメント、クイックヒット。 あなたへの簡単な質問とちょうど迅速な答え。 準備はできたか?

エミリーヒース(42:54):私は準備ができています、それを持ってきてください。

ジェイソンクラーク(42:57):わかりました。 履歴書に載っていない才能やスキルは何ですか?

エミリーヒース(43:02):私はレイキヒーラーであり、訓練を受けたレイキヒーラーです。

ジェイソンクラーク(43:05):うわー、それはかなりクールです。

エミリーヒース(43:08):まったく違うもの。

ジェイソンクラーク(43:10):それが何であるかさえわかりません。 それは何ですか、エミリー?

エミリーヒース(43:13):それは実践的な癒しのテクニックです。

ジェイソンクラーク(43:15):ああ、かっこいい。 私はそれを研究するつもりです。 2つ目は、ネットワーキングとセキュリティに携わっていなかったら、何をしていたでしょうか。

エミリーヒース(43:23):私はシェフになります。 私は絶対に料理が大好きです。 私はただ、それは私のジャムです、それは私がリラックスする方法です。 私はただ、食べ物で人々を幸せにするのが大好きです。

ジェイソンクラーク(43:34): そして、私もシェフであり、それは非常に難しい質問ですが、あなたの好きな料理の種類は何ですか?

エミリーヒース(43:43):ああ、それは難しいです。 イタリア料理が最高なので、ボロネーゼのレシピを15年ほど完成させてきました。 私は時々炭水化物が少し好きすぎることを意味しますが、イタリア料理は私にとってそれがあるところです。

ジェイソンクラーク(44:01):ああ、私のものはおそらくアジア人です。 ただアジアン、たくさんのアジアンフレーバー。 しかし、私たちはどこかでアマルフィ海岸でしばらく会い、たむろしていくつかの良いものを持っている必要があります-

エミリーヒース(44:15):そうしましょう。

ジェイソンクラーク(44:18):そして最後の質問ですが、初めてのCSOへの一番のアドバイスは何ですか?

エミリーヒース(44:23): ああ、助けを求めると思います。 前に話したように、このコミュニティは素晴らしく、あなたの旅を喜んで助けてくれる人がたくさんいます。 最初はもっと助けを求め、すべてが解決されていないことを知るためにもう少し謙虚になればよかったのにと思います。 そして、それはこのキャリアに来る人々が考える1つの大きな間違いです、彼らはそれをすべて知らなければならないということです、彼らはこれらすべての動く部分を知るために。 それは不可能です。 つまり、マルウェアをリバースエンジニアリングする必要がある場合、私はそれを行うのに世界で最悪の人であり、それを行うことができる本当に賢い人々が私のチームにいました。 私がすべてを知る方法はありません。 だからあなたは助けを求め、指導を求めます。 このCSOコミュニティには、あなたの道に沿ってあなたを助けるために少しでもぎくしゃくする意欲的で信じられないほどのリーダーがたくさんいるので、助けを求めることを恐れないでください。

ジェイソンクラーク(45:17):私はそれが大好きです、それは素晴らしいです。 だから見て、それは私たちが持っているすべての時間です。 エミリー、これはすごいです。 そして、私は私たちが持っているすべての会話が大好きで、おそらく4時間簡単に行くことができたと思います。 人々が助けを求めたい場合、メンターシップなどのためにあなたと関わりたい場合、私があなたを手放す前に、彼らがあなたと関わるための最良の方法は何ですか?

エミリーヒース(45:44):ええ、LinkedInで私にpingするのが最も簡単な方法です。 これは最も速く、最も簡単な方法です。 私がすでに関わっている多くのネットワークがあり、ジェイソン、あなたも知っているように、私は多くの人々を指導し、指導しています。 あなたはこのコミュニティにも多くの時間を費やしています。 そして、私たちは100人を引き受けることはできませんが、私が好きなのは、あなたが道を持っていて、あなたが行って尋ねることができる場所を持っているなら、ねえ、私はこのことに苦労しています、あなたはこの状況で何をしましたか? ちなみに、私はいつもCSOとそれをしています。 私が苦労していることがあれば、私は同じことをします、私は友人に手を差し伸べて言います、見てください、これは私が本当に苦労していることです、どうやってそれをしましたか? だから私はLinkedInで私に手を差し伸べ、ツイッターで私にpingを送ると言うでしょう。 とにかくあなたの多くはすでに私のメールアドレスと私の携帯電話番号を持っています。 しかし、はい、私はコミュニティのためにここにいます、そして私も私のためにそこにいてくれたコミュニティに感謝したいと思います。

ジェイソンクラーク(46:36):完璧です。 さて、私たちに参加してくれてありがとう、そしてみんなに感謝します。

エミリーヒース(46:40):ありがとう、ジェイソン。

スポンサー(46:43):セキュリティビジョナリーポッドキャストは、Netskopeのチームによって提供されています。 デジタルトランスフォーメーションの旅を可能にする適切なクラウドセキュリティプラットフォームをお探しですか? この Netskope Security Cloud は、ユーザーを任意のデバイスから任意のアプリケーションに直接安全かつ迅速に接続するのに役立ちます。 詳しくは Netskope.comをご覧ください。

プロデューサー(47:04):セキュリティビジョナリーを聞いていただきありがとうございます。ショーを評価してレビューし、知っている人と共有してください。 隔週でリリースされる新しいエピソードをお楽しみに、次のエピソードでお会いしましょう。