Max Chan: Não seja um adversário da sua organização de segurança, quer ela faça parte do seu grupo ou não. No final do dia, realmente veja isso como sua responsabilidade pessoal e olhe através das lentes do preço final. Isso garantirá o sucesso. Isso garantirá o tom certo de cima para baixo em todas as organizações para garantir que todos adotem a vigilância tão necessária para proteger a empresa.
Palestrante 2: Olá e bem-vindos à Security Visionaries. Você acabou de ouvir o convidado de hoje, Max Chan, diretor de informações da Avnet. Proteger sua empresa e fazê-lo com sucesso começa no topo. Desde falar com o conselho até capacitar os funcionários, os CIOs são pessoalmente responsáveis por comunicar riscos e soluções às pessoas em toda a organização. Max Chan está garantindo que sua empresa mantenha um ambiente de TI robusto e seguro por meio de uma comunicação cuidadosa. Antes de mergulharmos na entrevista de Max, aqui vai uma breve palavra do nosso patrocinador.
Palestrante 3: O podcast Security Visionaries é desenvolvido pela equipe da Netskope. Na Netskope, estamos redefinindo a segurança da nuvem, dos dados e da rede com uma plataforma que fornece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados, onde quer que estejam. Para saber mais sobre como a Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada SASE, visite NETSKOPE.com.
Palestrante 2: Sem mais delongas, aproveite o episódio 14 de Visionários de segurança com Max Chan, diretor de informações da Avnet e seu anfitrião, Mike Anderson.
Mike Anderson: Olá a todos. Bem-vindo ao episódio de hoje do podcast Security Visionaries. Sou seu anfitrião, Mike Anderson, diretor digital e de informações aqui da Netskope. Hoje, estou acompanhado por meu amigo e colega, Max Chan, CIO da Avnet. Max, como você está hoje?
Max Chan: Mike, está bem, é muito bom falar com você aqui hoje. Digo a você que quando você me envia o convite, não sei por que estou aqui, porque não me declaro um visionário de segurança de forma alguma. Então, talvez você possa me esclarecer durante a conversa de hoje.
Mike Anderson: A segurança é um esporte de equipe, então tenho certeza de que teremos muito o que conversar, e o segredo é contratar boas pessoas em nossas equipes que saibam como liderar o programa de segurança. Antes de entrarmos nisso, apenas para definir o cenário, talvez conte a todos um pouco sobre a Avnet, porque nem todos estão familiarizados. Obviamente estou, porque trabalhei com a Avnet ao longo da minha carreira como cliente e parceiro. Então, talvez também conte-nos sobre sua jornada para se tornar um CIO.
Max Chan: Absolutamente. Portanto, a Avnet é uma das maiores fornecedoras de soluções de tecnologia especializada em soluções de cadeia de suprimentos para todas as distribuições de tecnologia. Na verdade, estamos cuidando de toda a cadeia de valor dessa solução tecnológica, desde o design até o lançamento de novos produtos, até a produção em massa e o lançamento no mercado. Trabalhamos com nossos parceiros fornecedores e também com os clientes em qualquer etapa de suas cadeias de valor. Desde que sejamos capazes de lhes agregar valor, poderemos desempenhar um papel na sua cadeia de abastecimento.
Mike Anderson: Isso é ótimo. Conte-nos um pouco sobre sua jornada para se tornar um CIO. Obviamente, você recebeu o prêmio CIO 100 no início deste verão. Eu tive que estar lá com você quando você recebeu esse prêmio. Então, conte-nos um pouco sobre essa jornada para se tornar um CIO e depois entraremos em mais detalhes sobre o tópico de segurança com o qual você está tão familiarizado.
Max Chan: Curiosamente, ainda me considero um novato na Avnet. Estou na empresa há apenas 11 anos. A Avnet está no mercado há pouco mais de 100 anos e muitos membros da equipe de liderança estão na empresa há mais de 20 anos. Quando comecei na Avnet, fui convidado a ir a Hong Kong para assumir uma função de CIO de divisão para os negócios da Ásia-Pacífico, fiz isso durante os primeiros três anos e meio na empresa, implementando um modelo regional de ERP para o negócio lá, bem como implantar uma instância regional de CRM para o negócio. Tendo feito isso após os primeiros três anos e meio, voltou para Phoenix, Arizona, para assumir uma função de aplicação global que evoluiu ao longo do tempo para um CIO de divisão para os negócios das Américas, antes de receber a oferta do cargo de CIO global por cerca de quatro anos. atrás, quando o CIO anterior, meu antecessor, deixou a organização.
Mike Anderson: Essa é uma ótima jornada, definitivamente essa experiência internacional definitivamente acontecerá. Faremos questão de abordar um pouco disso do ponto de vista de segurança, porque garanto que você sabe mais sobre segurança do que imagina. Antes de entrarmos no tópico específico de segurança, sei que você recebeu o prêmio CIO 100. Eu sei que é ótimo. Você sempre gosta de falar sobre o excelente trabalho que sua equipe está realizando, talvez apenas um minuto sobre os projetos interessantes em que está trabalhando. Em seguida, mergulharemos em alguns tópicos de segurança.
Max Chan: Assim como muitas empresas, nosso foco está nas transformações digitais. Gosto de desvendar um pouco mais o que isso significa para a Avnet, porque transformações digitais, as mesmas duas palavras significam coisas diferentes para cada pessoa. No que nos diz respeito, existem três componentes principais para a transformação digital, sendo a primeira a capacitação digital. Essa é a típica transformação digital de que as pessoas falam quando olhamos para as interações internas e externas. Fazemos um local de trabalho digital. Analisamos IA, ML e também automações. É aí que procuramos criar o máximo valor para a organização, para o negócio, introduzindo transações ou interações sem atrito, máquina para máquina, bem como capacidades que nos permitiram ser melhores prestadores de serviços ao nosso parceiro fornecedor, bem como ao nosso cliente. . Você continua me ouvindo falar de fornecedor parceiro, porque ele é um componente importante em todo o nosso ecossistema, certo?
A Avnet está no negócio de papel. É tudo sobre o nosso fornecedor. É tudo sobre o nosso cliente. É tudo uma questão de funcionário, e é por isso que a capacitação digital se esforça para criar aquele painel único de vidro, fonte única de prova, uma camada de integração sólida por meio de API M, microsserviços que nos permitem levar os dados até onde eles precisam ir para consumo posterior. Então, esse é o primeiro componente culminante de nossas transformações digitais. Os outros dois aspectos que são mais fundamentais para a transformação digital que temos são realmente a nossa migração para a nuvem e a nossa modernização do ERP. Vemos isso como um componente crítico para alcançarmos a capacitação digital de que falo. A ideia aqui é realmente impulsionar modernizações, e movemos toda a carga de trabalho para a nuvem, aproveitando os recursos inerentes que podemos obter da nuvem, em oposição ao que estamos fazendo aqui no local. Modernizações de ERP são, como o nome sugere, uma longa jornada, mas importante para o nosso sucesso geral.
Mike Anderson: É um ótimo trabalho. Concordo definitivamente que cada pessoa tem uma definição diferente do que significa transformação digital e é importante esclarecer em termos simples o que isso significa para a sua organização. Você fez um ótimo trabalho fazendo isso. Quando penso nas transformações que você está fazendo em torno da capacitação, das APIs e da modernização da nuvem, o tema deste ano deste podcast é a segurança como um esporte de equipe. Porque, agora que pensamos em nossa jornada para a nuvem, precisamos ter certeza de que temos a postura de segurança correta em nossos ambientes de nuvem. Precisamos ter certeza de que não teremos pontos cegos quando capacitarmos nossos clientes e pensarmos em APIs. O CISO governa a política e o programa, mas obviamente temos de incorporar isso no nosso pessoal, não apenas na TI, mas em toda a organização. Então, talvez enquadre um pouco. O que você acha desse desafio? E como você garante que a segurança esteja na mentalidade e como esporte de equipe na Avnet?
Max Chan:Gostei de como você colocou isso. Segurança é um ponto de equipe, certo? Você mencionou anteriormente, Mike, que o CISO e a equipe de segurança estão essencialmente definindo a estratégia, criando a estrutura, garantindo que estamos realmente medindo as coisas certas para que possamos melhorar o que é certo para proteger o ambiente, para proteger o organizações. No entanto, a equipe de segurança não tem recursos para realizar grande parte da execução downstream. Por exemplo, vamos dar uma correção de vulnerabilidade muito, muito simples. Quando a organização de segurança identifica áreas onde precisamos proteger nosso ambiente por meio de patches, não temos um grande grupo de equipe de segurança que possa ir a todo o ambiente para ver o que temos e proteger o ambiente. Precisamos da equipe de operações. Precisamos que a equipe de aplicações identifique o que é crítico e também analise o impacto potencial dos patches que podem ter no ambiente para executá-los.
Então, a equipe de segurança ajudaria, por falta de um termo melhor, a gerenciar o programa, garantindo que o que dissemos que faríamos fosse feito e relatado às organizações e ajudaria a rastrear isso. O outro aspecto é que, em qualquer esporte, normalmente temos jogadores reserva. Trabalhar com parceiros confiáveis como a Netskope e outros nos permitiu aproveitar os recursos e outros participantes conforme necessário para aumentar o que talvez não tenhamos para concluir o trabalho em tempo hábil. Todos sabemos que, do ponto de vista das ameaças à segurança, cada minuto desperdiçado, cada dia desperdiçado representa um risco adicional para as organizações. É aí que entram os jogadores de apoio, os parceiros que temos, para ajudar a reduzir esse risco, fornecendo-nos recursos oportunos para fazer o trabalho dentro do prazo.
Mike Anderson: Definitivamente apreciamos essa parceria. Quando penso sobre a função lá, quando olhamos para nosso grupo, obviamente segurança cibernética, vemos a Gartner Research e qualquer pesquisa de qualquer empresa de análise. A segurança é, se não o número um, o número dois em todas as agendas, porque representa, como disse, esse risco. Sempre pensamos em qual é o risco da empresa, assim como na cadeia de suprimentos. Como eliminamos os riscos da nossa cadeia de fornecimento com a diversidade de fornecedores?
Max Chan: Bem, com pessoas da Avnet que sabem como você pode realmente fazer uma substituição de pino por pino, permitindo que você tenha grupos mais diversificados aos quais você talvez não tenha acesso diretamente. Mas, sinto muito, isso é apenas um plug para nós mesmos.
Mike Anderson: Não, ei, isso é ótimo. Eu amo isso. Os plugues são ótimos. Também é ótimo. Eu sei que você sempre foi um grande defensor de apresentar o excelente trabalho que sua empresa e suas equipes estão realizando, e isso é ótimo. Tudo isso vale também para o esporte coletivo, porque muitas vezes nosso trabalho é melhorar o time que nos rodeia. Quando você pensa em outros CIOs, que conselho você daria a eles quando estivessem pensando, se fosse um CIO pela primeira vez assumindo a função, que recomendação você daria a eles em relação à segurança?
Max Chan: Antes de responder a essa pergunta, acho que tenho sorte de ter a segurança sob meu escopo ou área de responsabilidade. Muitos de vocês que estão ouvindo podem discordar de mim que nossa segurança tem que ser independente. Entendo. Eu não discordo disso. No entanto, com base nas necessidades da nossa organização, tenho muita sorte de ter a segurança sob minha área de responsabilidade. Quer você tenha ou não relatórios de segurança como CIO, você precisa assumir a responsabilidade pessoal da organização para as organizações do ponto de vista da segurança. No final das contas, tudo se resume a proteger o meio ambiente, garantindo que temos os processos certos, as pessoas certas, a pilha de tecnologia certa. E você falou sobre esportes coletivos, Mike, antes. As colaborações necessárias não apenas entre TI e segurança, mas entre segurança de TI e todo o negócio para realmente ter sucesso na proteção do seu ambiente.
Portanto, não seja um adversário de sua organização de segurança, independentemente de ela fazer parte do seu grupo ou não. No final do dia, realmente veja isso como sua responsabilidade pessoal e olhe para isso através das lentes da empresa. Isso garantirá o sucesso. Isso garantirá o tom certo de cima para baixo em todas as organizações para garantir que todos adotem a vigilância tão necessária para proteger a empresa. Mike falou sobre a necessidade de contratar as pessoas certas. Isso é muito verdade. Como você pode ter o líder de segurança certo, o CISO, por assim dizer? Como você pode garantir que possui a estratégia e a estrutura corretas para apoiar as organizações? E quais são as necessidades de suas organizações de suporte para manter a empresa informada quando se trata de ameaças e riscos potenciais para a empresa? Portanto, a equipe que você vai construir dentro de suas organizações ou como uma organização separada é realmente fundamental para o seu sucesso, bem como para o sucesso de toda a empresa.
Mike Anderson: Não, eu não poderia concordar mais e você acabou de mencionar por que é tão importante trabalhar de forma multifuncional em toda a organização. Enquanto falamos especificamente sobre esse tópico, vamos lá por um minuto. Já ouvi alguém dizer antes, quando o CISO espirra, quem costuma ficar resfriado é o chefe de infraestrutura, porque você voltou ao seu ponto de correção. São eles que têm as mãos e os pés no chão para realmente implantar esses patches e fazer esse trabalho. Obviamente, ambos serão subordinados diretos a você. Como você ajuda a impulsionar essa parceria entre essas duas organizações para alinhar prioridades? Porque esse desalinhamento obviamente, como sabemos, ocorre quando você tem equipes diferentes com prioridades diferentes. Muitas vezes causa atrito na organização. O que você está fazendo para impulsionar esse alinhamento entre essas equipes e garantir que elas tenham uma parceria estreita?
Max Chan: Acho que começa com o tom no topo. A forma como faço isso é que, das minhas quatro prioridades estratégicas para as organizações de TI, uma delas é a segurança. Garanto que cada equipe dentro das organizações de TI, seja aplicativo de TI, seja relacionamento comercial, seja infraestrutura, etc., tenha segurança e conformidade como um de seus objetivos de desempenho, como uma de suas metas. Todos desempenham um papel para garantir o sucesso em manter as ameaças cibernéticas sob controle. Isso no topo é muito importante.
A outra coisa é impulsionar essa colaboração no nível da liderança sênior. O líder de segurança, o líder de aplicações e o líder de infraestrutura, o líder de rede, têm que estar todos à mesa ao mesmo tempo, olhando para o que é chave para o sucesso no que diz respeito à organização, sendo um deles a segurança. Com a maior consciência da segurança na indústria em todo o mundo hoje, especialmente nos últimos anos, as empresas estão cada vez mais conscientes da necessidade de segurança. Na verdade, tivemos parceiros que procuram renovar a sua parceria com a Avnet, querendo compreender melhor o que fazemos do ponto de vista da segurança, a fim de garantir que nos protegemos, bem como a eles, quando temos essa parceria estreita no negócio. Todas essas coisas realmente impulsionam esse entendimento comum, senso comum de importância e consciência quando se trata da necessidade de incorporar segurança em tudo o que fazemos.
Mike Anderson: Não, não posso concordar mais. Você tocou nessa necessidade. Do lado da cadeia de suprimentos, sempre dizemos que se você está construindo um produto e um componente não pode ser enviado porque essa pessoa foi comprometida ou atingida por ransomware, isso pode ter um efeito paralisante em sua cadeia de suprimentos downstream. Quando você pensa em segurança, isso deve fazer parte da conversa com seus diretores e organizações da cadeia de suprimentos para garantir que, se você pretende obter uma única fonte de produto ou matéria-prima, certifique-se de ter segurança em primeiro plano. naquela conversa.
Porque, se você for o único fornecedor e essa pessoa ficar comprometida, isso pode ter efeitos colaterais e criar riscos na geração de receita, o que é obviamente um dos riscos com os quais nos preocupamos muito. Você tocou no negócio tornando-se mais consciente da segurança. Obviamente, muitas vezes ouvi alguém há algumas semanas dizer que o trabalho da organização de segurança é bloquear bits, e o trabalho da equipe de infraestrutura é mover bits. Obviamente, há atrito aí, mas também, pensando bem, as pessoas simplesmente não podem ir a lugar nenhum, fazer nada. Temos que melhorar a higiene do nosso pessoal dentro da nossa organização. Você fez isso para sua estrutura de subordinação direta em torno desse objetivo de segurança. O que seus colegas estão fazendo em toda a organização para garantir que a segurança esteja no centro das atenções quando eles pensam sobre suas organizações?
Max Chan: Isso é algo que iniciamos, um programa que iniciamos provavelmente há cerca de quatro anos, quando assumi o papel de CIO e recebi relatórios de segurança. Uma das principais coisas que reconhecemos é que as pessoas são provavelmente a primeira linha de defesa no que diz respeito à segurança. Assim, desde então, temos lançado diligentemente uma série de campanhas, campanhas de conscientização, etc., em todos os níveis da organização, começando pelo conselho e até o C-suite e descendo pelas organizações. Analisamos a criação de conscientização sobre phishing, smishing, malware e os diferentes canais de onde ele vem, como está evoluindo e realmente pegamos algum exemplo da vida real que vimos e o repetimos para o funcionário para criar conscientização.
Estou muito, muito feliz em ver como isso melhorou a resiliência ao longo do tempo nas organizações. Porque, quando começamos, também introduzimos um programa de simulação onde queríamos ter uma base sobre o quão conscientes as pessoas estão quando se trata de segurança e quão facilmente elas podem ser enganadas e clicar no link errado ou conectar um dispositivo USB intencionalmente, sem querer, sem saber o que pode estar dentro disso. Talvez tenhamos ido longe demais ao criar tanta consciência nas organizações. Nosso firewall humano se torna tão forte que eles reportam demais para a segurança, o SOC, o centro de operações de segurança, tudo o que consideram suspeito, ou começam a pegar, escrever e educar uns aos outros sobre, ok, vocês não deveriam enviar este e-mail, porque você cometeu um erro ortográfico aqui. Você tem um endereço incorreto e um erro de digitação aqui.
Foi divertido assistir, mas também foi uma ótima sensação saber que nossa mensagem foi transmitida pelas organizações. Mas, voltando ao meu ponto anterior, o tom no topo é muito crítico, conseguir a adesão do alto escalão, fazer com que eles, os presidentes regionais, os presidentes das BU, os líderes funcionais, todos falem a mesma língua. Temos o líder de segurança na prefeitura de vez em quando para lembrar às pessoas algumas das coisas que estão acontecendo e como elas podem ser facilmente enganadas, certo? O outro benefício do site é que também podemos evitar fraudes. Pode não ser necessariamente segurança cibernética, mas o golpe também é um dos resultados potenciais de pessoas que aproveitam a tecnologia para tentar fazer com que você abra o cordão da bolsa. Fazer isso nos permitiu reduzir o número de golpes que também consideramos um benefício para as organizações.
Mike Anderson: Não, absolutamente. É interessante. Na semana passada, foi postado um artigo onde agora há personificações. Não sei se você viu isso no LinkedIn, onde as pessoas se passam por CISOs no LinkedIn. Existe todo esse conceito de falsificações profundas e falsificação de quem alguém é. É uma ameaça em constante evolução. Todas as ameaças evoluem todos os dias de maneiras diferentes. Esse é apenas um exemplo de um dos mais novos.
Max Chan: Sim, eu estava sorrindo quando vi isso, porque você e eu sabemos que as pessoas têm aproveitado o LinkedIn para criar perfis falsos para enganar alguém e potencialmente usá-lo como um canal para implantar malware, ou o que quer que seja, o mais recente sendo se passando por CISO. Foi bastante interessante. Lembro-me de continuar incomodando o LinkedIn e enviando para eles sobre, ei, posso reconhecer que este é um perfil falso muito antes de a IA ser capaz de reconhecer e remover esse perfil. Então, um dos meus passatempos favoritos, na verdade.
Mike Anderson: Isso é ótimo. Bem, isso leva os esportes coletivos a um nível completo. Está tornando o ecossistema ao nosso redor ainda melhor. Quero voltar e comentar, você falou sobre o quadro antes. Quando você trabalha em colaboração com seu CISO e obviamente tem um ótimo CISO, também passei um tempo com ele. Como foi o andamento da conversa com sua diretoria? Como você fala sobre segurança quando se trata do conselho de administração? E como o seu CISO ajudou? Obviamente, você precisa sair do assunto técnico muitas vezes quando fala com seu conselho sobre segurança. Fale comigo um pouco sobre essa interação.
Max Chan: Se você sabe como trabalhar com o conselho, na verdade isso se resume a três coisas que eles querem saber sobre qualquer assunto, especialmente segurança. A número um é por que você está me contando isso, certo? Por que você está contando ao conselho essa coisa em particular, seja uma fraude, seja um phishing, seja o que está acontecendo na Ucrânia, etc., certo? Por que estamos dizendo isso a eles? Número dois, como isso está impactando a Avnet como empresa? Quais são os riscos ou ameaças potenciais que podemos enfrentar devido às coisas que lhes contamos? E, por último, mas não menos importante, o que estamos fazendo a respeito? Com essas três coisas, eles podem então ter uma boa noção de, ok, isso é algo que eles precisam perder o sono ou, se for Avnet, a gerência tem um bom controle sobre isso.
O CISO essencialmente ajuda a priorizar e observar todas as coisas que estão acontecendo e o que é mais crítico para a Avnet como organização. Obviamente, a outra coisa que trazemos para o conselho, meu CISO estaria contando a eles sobre, ok, quais são os indicadores críticos que estamos monitorando para que eles saibam e tenham a sensação de que estamos indo bem, estamos indo bem , ou estamos lutando? É assim que fazemos parceria para nos comunicarmos e colaborarmos com o conselho. Se houver preocupações, entraremos em contato com o conselho para obter possíveis conselhos ou orientações. Mas é assim que colaboramos para trabalhar com eles.
Mike Anderson: Isso é ótimo. Então, uma das perguntas que recebo com frequência, e por isso vou fazer uma pequena pergunta curva aqui, imagino que seu CEO e seu conselho façam a pergunta: como sabemos que estamos fazendo o suficiente quando se trata deste assunto? Como você responde a essa pergunta? Max Chan: Sempre digo que não, porque as ameaças à segurança ou à segurança cibernética evoluem a cada dia. Eu sei que dentro do ambiente que temos, dentro de todas as coisas que fazemos hoje, estamos pelo menos abordando mais de 75, 80, 85% do que sabemos. Porém, há esses 25% adicionais que estão sempre evoluindo e que podem surgir amanhã, depois, na próxima semana, que precisamos estar sempre atentos. Então, tentamos o que sabemos. Estamos sempre atentos ao que talvez não saibamos.
É aí que às vezes você também tem que ouvir o conselho, porque muitos dos membros do conselho fazem parte de outros conselhos. Às vezes eles dizem: “Ei, ouvi falar disso de outra empresa, do outro conselho em que participo. O que estamos fazendo sobre isso?" Se essas são coisas completamente novas para nós, tudo bem, vamos retirar isso. Voltaremos com nossa descoberta na próxima vez, sim, estamos cobertos, ou isso é irrelevante para nós por causa disso, disso e disso. Ou não, não tínhamos isso no nosso radar, mas agora estamos rastreando isso. Então, sempre voltando com um plano de ação para o fechamento, mas não existe 100% hoje em dia, porque sempre tem esses 25% remanescentes que a gente nunca sabe o que vai acontecer amanhã.
Mike Anderson: Não, concordo 100%. Eu ouvi isso. Foi em um dos simpósios de TI do Gartner aqui recentemente. Tive a oportunidade de ir assistir aquele na Austrália. Eles estavam falando sobre esse conceito de acordos de nível de proteção. Tudo se resume a quanto você está disposto a gastar em relação ao quão rígido você deseja que o controle seja? Porque você nunca pode chegar a 100%, porque não há nenhuma quantia em dólares que você possa escrever para isso. Mas qual é o seu apetite por risco? É baseado em quanto você deseja investir em torno do controle e em garantir que seu conselho entenda qual é esse investimento, para que quando se trata de algo acontecer, e não seja uma falha do controle, desde que você cumpra o controle. Pode ser que todos concordemos que este era o investimento que pretendíamos fazer em torno disso. Esse é o-
Max Chan: Não, esse é um excelente ponto, certo? as pessoas estão aproveitando a ISO 27001. As pessoas estão olhando para o NIST CFS. Faça o que fizer, esteja muito atento e ciente de qual é o seu apetite de risco, o que exatamente a empresa está disposta a sacrificar ou o que é capaz de absorver. A partir daí, elabore um programa que faça sentido para você, não para todas as instituições financeiras ou de saúde ou o que quer que exija o mais alto padrão de maturidade quando se trata de segurança, etc. Mas, com base nisso, e Mike, você mencionou um ponto importante, que o alinhamento com o conselho, o alinhamento com o C-suite é muito crítico para garantir que tenhamos as expectativas certas e que tenhamos o scorecard certo para gerenciar o sucesso a partir desse resultado.
Mike Anderson: Com certeza, sempre. Você também destacou que nem todas as organizações são criadas iguais. Muitas vezes, se você tem um membro do conselho que faz parte do conselho de um banco ou de uma organização de saúde, mas ele faz parte do conselho como fabricante ou alguém da cadeia de suprimentos ou distribuição, a dinâmica é diferente. A postura de risco é diferente quando estou lidando com isso. Porque, do lado da fabricação, quero poder continuar a enviar produtos. Portanto, interromper a minha cadeia de abastecimento e a capacidade de gerar receitas é o maior risco. Considerando que, se eu for um banco, os dados e uma violação de dados e a divulgação de informações sobre seu pessoal, seus clientes ou seus usuários são obviamente tão importantes quanto um sistema caindo naquele mundo. Então, isso está 100% correto.
Eu também adoro o firewall humano. Na verdade, enviamos camisetas que nosso CISO chama de firewall humano, que enviamos aos nossos funcionários para promover esse conceito. A propósito, adoro que você use esse termo. Vamos nos concentrar em algumas previsões futuras aqui. Mas, antes de fazer isso, quero dizer que você sabe muito mais sobre segurança do que pensa. Acho que você tem muitos bons conselhos para as pessoas que estão ouvindo este podcast sobre como devem pensar sobre a segurança em suas organizações. Está realmente fazendo um ótimo trabalho em todos os níveis, então parabéns para você e sua organização.
Max Chan: Obrigado. Vindo de Mike Anderson, da Netskope, sinto-me humilde. Mike Anderson: Então, vamos voltar para o futuro. Este é sempre um momento divertido aqui. Então, se avançarmos para o final da década, 2030 ou mesmo 2025, o que você acha que os CIOs gostariam de ter investido em olhar para trás?
Max Chan: Algumas coisas. Acho que esta é uma grande era no espaço tecnológico, porque pelo que passamos nos últimos dois anos e meio, temos tantos funcionários que começaram a desfrutar do poder da liberdade e do poder da tecnologia que permite essa liberdade e ainda ser produtivo. Este é um excelente momento para qualquer CIO hoje pensar numa transformação digital de uma forma muito estruturada que seja relevante para as suas organizações neste momento. Este é um ótimo momento para fazer isso. O que tem funcionado nos últimos 10, 20, 30 anos? Pergunte-me, eu sei. Estamos no mercado há mais de 100 anos. O que tem funcionado bem não funcionará nos próximos cinco, dez anos se você não girar, se não transformar. Portanto, as transformações são fundamentais. Quando falo sobre transformação, não pense nisso como um exercício de inovação em que você se envolve em algo, mas nunca pense em escalar. Isso será apenas um hobby para sua equipe, para suas organizações.
Assim que você encontrar algo que você sabe que vai funcionar e mudar a maneira como você faz negócios, a maneira como você interage com seu cliente, seu fornecedor, seu funcionário ou parceiros estratégicos, você precisa escalar rapidamente. Em escala é muito mais difícil do que as inovações. Então, procure ajuda. Olhar para parceiros que podem ajudá-lo a dimensionar o que você precisa é fundamental, o que também leva ao meu segundo ponto aqui, que é identificar e estabelecer parcerias estratégicas com pessoas que você pode aproveitar para ajudá-lo a desenvolver suas soluções.
Não menos importante, não se pode ignorar a segurança, simplesmente porque ela só vai ficar maior e mais importante. Agora, não estou dizendo para sair e construir um exército de equipes de segurança, porque isso também não é prático. Mas, se você não tiver uma estrutura estabelecida, estabeleça-a. Comece a olhar para o que é importante, entendendo o apetite, criando essa consciência dentro das organizações e realmente impulsionando o aprimoramento contínuo da postura de segurança da sua organização. Se você não fizer isso, seus parceiros, seu cliente, seu fornecedor vão exigir isso. Se você não tiver, eles vão te deixar.
Mike Anderson: Não, é um ótimo conselho. Uma das coisas quando pensamos em nossas equipes e habilidades é que a diversidade também é importante. Além disso, à medida que desenvolvemos mais líderes do ponto de vista do CIO, quais são suas ideias sobre como promover a diversidade em suas equipes? O que você está fazendo para desenvolver nossos futuros líderes do ponto de vista da diversidade?
Max Chan: Acho que a primeira coisa que todos precisamos reconhecer é que a diversidade vem em formatos e formas muito diferentes. Se você ainda pensa que a diversidade é definida por uma das duas coisas... Eu sei que você sabe do que estou falando aqui, e as pessoas que estão ouvindo entenderão o que é, então você não terá sucesso na promoção da diversidade. Para mim, a primeira coisa é a diversidade de pensamento. Não se cerque de pessoas que sempre concordam com você. Cerque realmente pessoas com abordagens diferentes, mentalidade diferente, formação diferente, educação diferente, etc., dentro de suas organizações de liderança. Eu acho que esse é o número um.
Número dois: estou muito, muito feliz em dizer que a maioria dos meus subordinados diretos no nível de liderança de TI está na empresa há pelo menos 10 anos ou mais, a maioria deles. Para você, Mike, anteriormente, a oportunidade interna que lhes permite passar de uma função para outra ao longo dos anos e chegar a uma posição de liderança é a melhor maneira de desenvolver líderes leais e apaixonados pelas organizações que irão. focar no sucesso das organizações. Por último, mas não menos importante, não hesite ou tenha medo de mover alguém de um domínio para outro. Alguém que estava fazendo aplicações, se conseguir desenvolver uma paixão e um interesse na área de segurança, deveria ter a oportunidade de se desenvolver tecnicamente, bem como de se aventurar nessa área a partir de um nível inferior e ver como cresce. Acho que foi assim que tive a sorte de me cercar de membros da equipe que assumiram funções diferentes, desempenharam funções diferentes ao longo de sua carreira na Avnet, antes de se juntarem a mim aqui na minha equipe de liderança.
Mike Anderson: Isso é ótimo e essa diversidade de experiências é definitivamente importante. Na verdade, uma das coisas que eu sempre peço às pessoas que façam também é se você tiver a oportunidade de trabalhar dentro de uma unidade de negócios e aprender essa parte do negócio, porque primeiro você precisa entender o que vai fazer. mudar. Você não pode simplesmente mudar algo sem primeiro entendê-lo completamente. Isso é algo que você fez muito em toda a jornada de capacitação digital. Portanto, aproveitar essas oportunidades e exportar talentos para a organização e depois importá-los de volta também pode trazer outra diversidade de experiências que pode ajudar sua organização.
Max Chan: É verdade.
Mike Anderson: Então, na última pergunta aqui antes de chegarmos aos nossos sucessos rápidos, falamos sobre chavões. Uma das palavras da moda que circulam com frequência é confiança zero. Acho que todos os fornecedores de segurança do mundo têm confiança zero. Esse é um termo que surge na Avnet? Se sim, como você definiria isso para as pessoas? Porque, obviamente, quando o presidente emite uma ordem executiva dizendo que todos precisam aderir à confiança zero, isso começa a gerar conversas desde os níveis do conselho. Esse é um assunto sobre o qual você fala? E como você definiria isso dentro da Avnet?
Max Chan: É, mas não porque seja uma palavra da moda que está por aí. Mas, na verdade, são reconhecimentos de como as pessoas trabalham hoje e no futuro. Estaremos trabalhando com pessoas que preferem trabalhar remotamente, ou começaremos a trabalhar com recursos que não necessariamente estão em tempo integral nas organizações. Como criamos esse ambiente que permite que funcionários, prestadores de serviços ou parceiros possam realmente ser produtivos, obter o que precisam com segurança e sem perder o ritmo, para que possamos ser ágeis e rápidos na entrega de valor às organizações? É assim que estou pensando. Estou tentando reduzir o tempo necessário para dar às pessoas acesso aos dados certos, ao recurso certo, no momento certo, como e quando precisarem, em vez de ser uma implementação muito sofisticada.
Então, dessa perspectiva, começamos a considerar que a confiança zero é a abordagem certa para chegarmos lá. Também reduziu a frustração que as pessoas podem ter hoje em dia, dependendo da TI, da equipe de identidade, etc., da necessidade de configurar um acesso específico para chegar a um recurso específico. Sempre que não tiverem determinado acesso, eles precisarão voltar e configurar novamente. Talvez seja diferente de como as pessoas pensam sobre isso, mas no meu processo simples, é isso que eu quero chegar, uma melhor experiência do usuário, permitindo que as pessoas tenham acesso aos recursos certos facilmente, como e quando precisarem.
Mike Anderson: Isso é ótimo. Se pensarmos na definição de trabalho híbrido, a questão é: como posso permitir que as pessoas se sintam seguras e produtivas trabalhando onde quer que queiram trabalhar, seja num escritório, numa cafetaria ou num destino de férias?
Max Chan: Exatamente.
Mike Anderson: Tudo bem, então aqui está a parte divertida disso. Não tem nada a ver com tecnologia, mas tem tudo a ver com Max, a pessoa. Chamamos isso de nossos sucessos rápidos. Então, a primeira pergunta que tenho para você: qual foi o melhor conselho de liderança que você já recebeu?
Max Chan: O melhor conselho de liderança que recebi é agir com base no instinto. Eu me formei em matemática na faculdade e às vezes posso ser excessivamente analítico antes de tomar decisões. No entanto, muitos, muitos, muitos anos atrás, antes de assumir um cargo de gerente ou líder sênior, o conselho que recebi é como você pode tomar uma decisão, porque você sabe no seu íntimo que isso é certo, com base em talvez 30 anos. , 40% das informações que você tem? Acho que foi isso que realmente me trouxe onde estou hoje.
Mike Anderson: Não, isso é definitivamente ótimo, ótimo conselho. Confiar em seu instinto é sempre importante. Próxima pergunta, qual seria sua última refeição?
Max Chan: Nunca pensei nisso, mas se eu tiver escolha, um copo de água será suficiente.
Mike Anderson: Muito simples, muito simples.
Max Chan: Muito simples. Eu tenho uma herança chinesa. Acreditamos que viemos do nada. Partiremos sem nada. Então, um copo de água é suficiente.
Mike Anderson: Tudo bem. Devo dizer que você é a primeira pessoa que teve essa resposta, mas isso é muito esclarecedor. Então, a última aqui, música favorita, e o que ela nos diz sobre você?
Max Chan: Eu tenho que dizer “My Shot” do musical Hamilton. Essa é a música que continuo voltando, porque sou o tipo de pessoa que não tem problema em ficar irritado e estar sempre com fome. É assim que consigo entregar valor às organizações sem ter que dar muita importância a isso. Acredito e garanto que minha equipe faça o mesmo. Vamos construir algo. Vamos mostrar o valor. E vamos convencer o negócio antes de fazermos disso um grande alarido. Então, não vou desistir. “My shot” de Hamilton seria minha música favorita de todos os tempos.
Mike Anderson: Bem, isso é ótimo. Bem, Max, quero agradecer muito por passar um tempo conosco hoje e compartilhar seus insights e o trabalho incrível que você e sua equipe estão fazendo na Avnet e também no ecossistema. Então, obrigado por isso. Obrigado pelo tempo.
Espero que você tenha gostado da conversa de hoje com Max Chan, CIO da Avnet. Eu sei que sim. Quero resumir algumas das principais conclusões. A primeira é que, como CIOs, não podemos bancar o adversário com nossa organização de segurança. Melhor dizendo, temos que garantir que definimos o tom de cima para baixo na organização. Para garantir que não apenas dentro da TI, mas em toda a organização, todos trabalhem para garantir que a empresa esteja segura. E certifique-se de que temos as estruturas de apoio adequadas para apoiar os nossos líderes de segurança na consecução desse objetivo. A segunda é que quando falamos com o conselho sobre segurança, precisamos realmente nos concentrar em três coisas: uma é por que estamos contando algo sobre um evento de segurança? Por que eles deveriam se preocupar com isso? E então quais são os riscos e ameaças potenciais que podemos enfrentar como empresa, e como isso afetará a capacidade de operação da empresa, do ponto de vista comercial? E então, o que eles estão fazendo especificamente na organização de TI e segurança para garantir que evitemos essas ameaças ou riscos potenciais aos nossos negócios? E, por último, trata-se realmente de tornar nossas equipes mais diversificadas. E tudo começa com a construção da diversidade em nossa organização, trazendo pessoas de diferentes origens, abordagens e mentalidades para garantir que tenhamos uma visão completa quando se trata de segurança. Em segundo lugar, queremos criar oportunidades para as pessoas circularem pela organização, para que possamos continuar a desenvolver essa diversidade e desenvolver líderes realmente leais e apaixonados em toda a nossa organização, realmente esses defensores. E, por último, não tenha medo de mover alguém da nossa organização de um domínio para outro, mesmo fora da organização de TI, porque eles podem se tornar nossos defensores, especialmente da segurança em outras partes da nossa empresa. Então, espero que você tenha gostado da nossa conversa com Max. Fique ligado em nosso próximo episódio do Podcast Security Visionaries. Sou Mike Anderson, sou seu anfitrião, sou o CIO e diretor digital da Netskope.
Palestrante 3: O podcast Security Visionaries é desenvolvido pela equipe da Netskope. Rápida e fácil de usar, a plataforma Netskope oferece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados onde quer que estejam, ajudando os clientes a reduzir riscos, acelerar o desempenho e obter visibilidade incomparável de qualquer atividade na nuvem, na Web ou em aplicativos privados. Para saber mais sobre como a Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada SASE, visite NETSKOPE.com.
Palestrante 5: Obrigado por ouvir os Visionários de Segurança. Reserve um momento para avaliar e comentar o programa e compartilhe-o com alguém que você conhece e que possa gostar dele. Fique ligado nos episódios que serão lançados a cada duas semanas e nos vemos no próximo.
Por que Netskope 
){kind=icon}
