Quale descriveresti come il tuo risultato più memorabile nel settore della sicurezza informatica?
All’inizio della mia carriera, mi sono state presentate sfide che all’inizio sembravano scoraggianti ma si sono trasformate nei miei risultati più orgogliosi. Uno dei quali è stato quello di scrivere il primo manuale di politica informatica per Boeing insieme a vari organismi standard.
All’epoca ero VP di IT Risk Management e CISO presso AT&T Wireless, dove ci furono concessi 10 mesi per rivedere la sicurezza di Boeing. Con una fusione di 41 miliardi di dollari che dipendeva dall’assenza di carenze nell’audit di sicurezza, ero terrorizzato. Ci sono state molte lezioni non intenzionali apprese lungo il percorso, ma ce l’abbiamo fatta e la conferma che ho sentito è stata surreale.
Cosa ti ha fatto pensare per la prima volta a una carriera nella sicurezza informatica?
Mi sono interessato per la prima volta alla sicurezza delle informazioni quando il mio professore della scuola di specializzazione nella mia classe di ingegneria del software ha crittografato l’esame finale. Abbiamo dovuto creare strumenti per decifrare i codici per tutto il semestre perché ha crittografato 10 domande con 10 algoritmi diversi e 10 chiavi diverse e ci ha concesso 24 ore per risolverle. Mi sono divertito così tanto con quell’esame e volevo fare di più! Ho finito per fare la tesi di laurea sulla crittografia hardware veloce e, di conseguenza, Boeing mi ha assunto.
Quale stile di filosofia di gestione utilizzi con la tua posizione attuale?
In VMware, non possiedo linee di gestione dedicate, ma ho bisogno di portare a termine le cose influenzando gli altri. Niente dipende esclusivamente da me e il risultato dipende dalla qualità del lavoro delle persone con cui lavoro. Anche se a volte ricevo più riflettori, mi assicuro sempre che i miei team sappiano che apprezzo il loro lavoro e do credito dove è dovuto.
Quale pensi sia l’attuale argomento di discussione sulla sicurezza informatica?
In una conferenza a cui ho partecipato di recente, la sala era gremita per una discussione sulle minacce informatiche. Le persone vogliono sempre più controllare l’evoluzione della criminalità informatica. Ma ritengo che la nostra attenzione dovrebbe essere rivolta più specificamente alla gestione del rischio.
Le aziende sono ancora impegnate in un gioco di whack-a-mole, in cui non prendono di mira le aree giuste dell’ambiente di controllo. Ciò richiede una solida strategia di gestione del rischio. Mi piace pensare che VMware sia la migliore azienda di sicurezza, in particolare quando si tratta di riduzione del rischio.
Stiamo eseguendo carichi di lavoro su vSphere, il modo più sicuro per farlo, con la visibilità e il contesto completo di VMware Contexa. Strumentiamo anche il livello di virtualizzazione per automatizzare molte funzioni di sicurezza di routine e possiamo eseguire la sicurezza in runtime con VMware Carbon Black per le app moderne.
Come affronti lo stress e ti rilassi fuori dall’ufficio?
Recentemente ho restaurato il pianoforte a coda di mia nonna del 1900 e ho ripreso seriamente a suonare il pianoforte. Giocavo molto quando ero più giovane e mi dà davvero gioia e mi rilassa. Un altro modo in cui mi piace rilassarmi è fare passeggiate a piedi nudi nell’erba con mio marito e il mio cane al mio fianco.
Se potessi tornare indietro e cambiare una decisione di carriera quale sarebbe?
Non mi piace pensare a cosa avrei fatto diversamente, anche se vorrei riconoscere prima il valore di entrare in contatto con altre persone. Nei miei primi giorni, ho lottato per bilanciare il lavoro con il tempo per parlare con coloro che mi circondavano, sia dentro che fuori dal lavoro, che è parte del motivo per cui sono diventato cappellano. Il ruolo mi ha richiesto di connettermi profondamente con le persone in un modo che non ho mai avuto il tempo di fare al lavoro.
Quali sono attualmente le principali aree di investimento nel settore della sicurezza informatica?
L’area di investimento numero uno in questo momento deve essere nelle persone, in particolare data la carenza di talenti che il nostro settore deve affrontare. Coerentemente, le aziende stanno lottando per trovare il talento di cui hanno bisogno per aumentare la profondità sul proprio banco con un fatturato elevato e persone che lasciano definitivamente il settore. Sappiamo che un errore può essere costoso nel trattenere i talenti, quindi è necessario un maggiore investimento nella salute e nel benessere mentale per aiutare i difensori in prima linea a funzionare al meglio.
Ci sono differenze nel modo in cui le sfide della sicurezza informatica devono essere affrontate nelle diverse regioni?
Credo nella semplicità. Nella mia carriera ho dimostrato che quando si adotta un approccio basato sul rischio o sui risultati dall’alto verso il basso, si semplifica la strategia ed è più facile da capire per i team. Un approccio chiaro, basato sul rischio e sui risultati è essenziale per un’unità di sicurezza informatica, indipendentemente dalla posizione.
Quali cambiamenti nel tuo ruolo lavorativo hai visto nell’ultimo anno e come li vedi svilupparsi nei prossimi 12 mesi?
Stiamo lavorando duramente per supportare tutti i team sul campo con i loro account interessati alla sicurezza, per assicurarci che abbiano accesso ai dati corretti per aiutare a prendere decisioni migliori. Avere le conversazioni giuste con i nostri clienti, in particolare quelli faccia a faccia, sarà in cima alla nostra agenda nei prossimi 12 mesi. Le relazioni CISO devono davvero essere mantenute di persona, quindi entrare in contatto con la comunità è fondamentale.
Che consiglio daresti a qualcuno che aspira a ottenere una posizione di livello C nel settore della sicurezza?
Una volta un manager mi ha detto che avrei dovuto aggiungere che aspiravo a essere un amministratore nel piano delle prestazioni della mia azienda. Abbastanza sicuro, il mio regista mi ha chiamato fuori su questo, ma per dire che non gli importava quale ruolo volevo. Mi ha ispirato a pensare a cosa volevo realizzare e a come lo avrei realizzato. Questo è il pensiero che incoraggerei per i CISO in erba di oggi.
Clicca qui sotto per condividere questo articolo