El fundador de #RISK, Nick James, en conversación con Steve Wright

 

Transcripción:

Nick James:

Hola, soy Nick James, fundador de la serie de eventos #RISK que comienza en Londres en noviembre de 2022. Estoy encantado de que me acompañe hoy Steve Wright. Steve es una de las principales autoridades del Reino Unido en materia de protección de datos, privacidad y seguridad. Y después de una carrera de 30 años trabajando para organizaciones como Unilever, Bank of England, PWC y Deloitte, hace tres años creó su propio negocio, Privacy Culture. Steve, bienvenido.

Steve Wright:

Encantado de estar aquí, Nick. Gracias.

Nick James:

Realmente, realmente bueno verte de nuevo. Solo quería hacer la primera pregunta sobre por qué decidiste llamar a la empresa Cultura de Privacidad.

Steve Wright:

Sí, es una buena pregunta. Es bastante simple, de verdad. Nació de la frustración. De lo que me di cuenta fue que, cuando era responsable de protección de datos y responsable de seguridad de la información de John Lewis Partnership, gasté mucho dinero, mucho tiempo y me esforcé mucho en educar y capacitar a las personas. Y lo que fue realmente una lucha en ese entonces y todavía lo es, ¿cómo mido lo que es bueno?

Steve Wright:

Entonces comencé a trabajar en una especie de métrica, un marco, y ese marco se desarrolló. Y luego, cuando comencé con Privacy Culture, dediqué más y más tiempo y esfuerzo a eso, trabajé con una universidad para luego idear una forma de medir las actitudes y comportamientos de las personas, porque lo que sentí que era el riesgo era predominantemente nosotros. Éramos el eslabón débil en todas las estrategias que estaba implementando para Unilever y para John Lewis y el Banco de Inglaterra. Se trataba de cómo el aspecto de las personas podía defraudar todas estas cosas geniales, todo este dinero que estábamos gastando en tecnología.

Steve Wright:

Entonces llegué a la conclusión de que se trataba de cultura y, por lo tanto, monté Privacy Culture con el único objetivo de medir y comparar y luego capacitar a las personas para que piensen de manera diferente, actúen de manera diferente. Así que la cultura de la privacidad se me ocurrió una mañana de verano y pensé, sí, eso es todo. De eso se trata en realidad. Lo que quiero hacer es ayudar a las organizaciones a incorporar realmente una cultura de privacidad. Por eso se llama Cultura de Privacidad.

Nick James:

Steve, gracias. Entonces hace lo que dice en la lata. Quería recurrir a la gobernanza ambiental y social, ESG. Obviamente, ha catapultado la agenda corporativa en los últimos años. ¿Dónde ve el papel de la privacidad en ESG?

Steve Wright:

Es una gran pregunta, Nick, porque creo que vamos a ver más liderazgo intelectual en este espacio. Por el momento, es justo decir que falta un poco. Tenemos este delta, este vacío entre lo que estamos viendo o lo que ya está ahí, y luego lo que habrá que hacer. Así que me complace informarles que en realidad lanzamos un pequeño proyecto, un mini proyecto para ver esto y comenzar a hacer algo de ese mapeo.

Steve Wright:

Lo que puedo decirles es que si tomo un ejemplo, el ejemplo más fácil es la retención y la eliminación. Ahora, todos sabemos que eso es parte de las regulaciones para las que no debe guardar datos… Obviamente, será sobre la base legal correcta, pero también, ¿es inapropiado? ¿Retiene o retiene los datos durante más tiempo del necesario para fines de procesamiento? Y esa pregunta se refiere directamente a las pautas de retención y eliminación, que es un gran desafío para las personas tanto en ciberseguridad como en riesgo en TI y en privacidad. Y creo que el aspecto ESG de la eliminación de la retención se puede traducir de nuevo a, bueno, si estamos comprando todo este espacio adicional porque, como sabemos, el almacenamiento en disco es muy, muy barato.

Steve Wright:

Lo que debemos hacer es pensar en los impactos ambientales de ese espacio de almacenamiento en disco o esa capacidad que le está costando al medio ambiente. Entonces, en otras palabras, si tomo la E, el lado ambiental, ¿cuál es el CO2 o la huella de carbono de retención y eliminación? Por lo tanto, no se trata solo de los aspectos legales de la privacidad y la seguridad y la tecnología per se, sino que se trata de cuál es la huella. Y, de hecho, puede traducir eso en muchas otras áreas, si le gusta su responsabilidad corporativa, que algunas personas dicen que es de lo que se trata ESG.

Steve Wright:

En cuanto a los derechos, si piensa en el aspecto social de ESG, ¿cuáles son los derechos que deben defenderse? Entonces, si pensamos mucho en el riesgo y pensamos en la confianza y cómo esa relación entre lo que hacemos, lo que decimos que vamos a hacer como organización, y ¿cómo se traduce eso en algunos de esos derechos? Entonces, puede comenzar a ver el tipo de relación tenue entre el medio ambiente, lo social y luego, obviamente, el lado de la gobernanza, especialmente en torno a los datos: ¿cómo nos aseguramos de que los procesos de gestión de datos, el acceso a los datos, dónde están los datos? , ¿cómo salvaguardamos eso desde una perspectiva de gobierno y cómo garantizamos a los clientes y a nuestros empleados que contamos con los controles correctos y los mecanismos correctos para garantizar ese gobierno?

Steve Wright:

Eso probablemente también se relaciona con tu próxima pregunta, Nick, que trata sobre la ética de los datos. Entonces, puede ver que ESG en ese breve ejemplo puede cubrir un amplio espectro de artículos y requisitos específicos tanto en la Ley de Protección de Datos del Reino Unido como en GDPR, así como una gran cantidad de otras leyes de privacidad en todo el mundo. Al mismo tiempo, también se puede asignar a estándares de seguridad como la serie ISO 27 y/o el marco NIST. Entonces, comenzamos un proyecto para analizar ese mapeo, y tenemos una hoja de cálculo de Excel que se ha formulado actualmente, y estamos trabajando con algunos académicos líderes y algunas personas de la industria para tratar de lograrlo. y descubra cuál es esa relación directa entre ESG y DPO y privacidad y ciberseguridad.

Nick James:

Guau. Steve, no solo una respuesta completa a una pregunta, sino que anticipó mi próxima. La ética, de la que hablamos, es obviamente una consideración importante en el mundo de GRC. Quería hacerle una pregunta en particular sobre la implicación del sesgo en la inteligencia artificial como IA y qué se debe o se puede hacer al respecto.

Steve Wright:

Bueno, de nuevo, es una gran pregunta y es… El problema… Bueno, por dónde empezar con esto, Nick, porque es un riesgo y es un riesgo inherente cuando tienes gente creando sistemas y programas y diseñándolos porque esos los prejuicios están en nosotros. Nuevamente, esto se remonta a la cultura, donde el entorno en el que nos criamos o las condiciones a las que estamos sujetos a medida que crecemos y evolucionamos a veces pueden formular esos sesgos y esto se traduce con bastante razón en cierta IA y ML. Y desafortunadamente, es… Bueno, es desafortunado, pero también es afortunado, en realidad pueden surgir algunas cosas buenas de eso. Entonces, no creo que sea necesariamente algo negativo, pero definitivamente hay un argumento para tener un marco ético apropiado cuando se trata de…

Steve Wright:

Bueno, póngalo de esta manera. Creamos nuestro propio proyecto ML aquí en Privacy Culture. Estamos tomando todos esos datos, pero establecemos el marco ético en torno a lo que se consideró espeluznante, espeluznante o poco ético. Y lo hemos aplicado, y puede crear comprobaciones para asegurarse de que no está pasando por encima de esas líneas rojas, si lo desea, o que no está navegando demasiado cerca del viento. Pero desafortunadamente el sesgo en la IA porque está programado por humanos siempre estará ahí. Y se trata solo de asegurarse de que exista un buen marco ético para que pueda verificarlo. Y eso no es complicado. Puede parecerlo, pero en realidad es bastante sencillo. Creo que lo importante aquí, a lo que usted ha aludido, es que todo se trata de riesgo, y se trata solo de que se establezcan procedimientos éticos apropiados para asegurarse de no sobrepasar esa marca y no salir de esos límites de riesgo. .

Steve Wright:

Y solo el pensamiento final sobre esto, Nick, es para mí, esto está muy en el corazón de la privacidad. A menudo me preguntan cuál es el conflicto entre ser un experto en ciberseguridad y ser un experto en privacidad. Y el conflicto, especialmente cuando tenía ese rol, era el de la ética, porque una cosa es salvaguardar datos y proteger datos, y otra muy distinta es pensar éticamente en lo que estás haciendo con los datos. ¿Y es así? ¿Y me sentiría feliz con ese uso de datos, y mucho menos con la legalidad de los mismos? ¿Me sentiría bien? Entonces creo que todo se remonta a una cuestión de riesgo y proporcionalidad y asegurarse de que sea apropiado. Y obviamente que es lícito.

Nick James:

Steve, quiero decir, esto no es una pregunta, pero supongo que es una observación sobre lo que dijiste. Si estamos viendo cosas que están siendo construidas por humanos, entonces una de las consideraciones que debemos asegurarnos es que tenemos una diversidad de humanos que están creando estas cosas para que el punto de vista de todos se tenga en cuenta desde el principio. Y no lo estamos viendo solo desde el punto de vista de un programador masculino blanco, que obviamente arrojará sesgos de izquierda, derecha y centro. Y no políticamente de izquierda, derecha y centro. No.

Steve Wright:

No puedo estar más de acuerdo, Nick. Creo que es una buena observación. Está. La diversidad y la inclusión son en realidad algo que nos importa mucho en Privacy Culture. Somos muy conscientes, como dijiste, de tener ese tipo de programador estereotípico, un programador de 20 y tantos años, tal vez hombre. Da la casualidad de que tenemos un científico de datos, en realidad es un hombre. Y también tenemos otro que es hembra. Así que tenemos ese buen equilibrio. Y eso realmente funciona muy, muy bien porque cuando estamos trabajando en proyectos como ese, lo abordamos desde diferentes partes del cerebro. Y eso realmente se manifiesta, especialmente cuando están programando.

Nick James:

Steve, nuestro eslogan para #RISK es que ahora el riesgo es asunto de todos. ¿Cree que los acontecimientos recientes han cambiado para siempre el panorama mundial de riesgos?

Steve Wright:

Oh, esa es una muy buena pregunta. Bueno, depende de a qué eventos te refieras, pero no creo que los eventos recientes cambien necesariamente mis pensamientos o mis procesos. Simplemente afecta mis pensamientos y mis procesos. Y creo que eso es lo que pasa con el riesgo, es inherente a todos nosotros. Cruzar la calle, lo hacemos sin siquiera pensar, pero si vamos a comprar una casa o si vamos a ir de vacaciones a algún lugar, entonces los eventos y circunstancias que están sucediendo ahora pueden afectar eso y pueden obligarte a pensar. un poco diferente sobre eso. Así que supongo, no creo que sea necesariamente algo nuevo. Creo que lo hemos estado haciendo durante miles de años. Es solo que lo que es más agudo ahora es que hemos mejorado en articular ese riesgo.

Steve Wright:

Y tienes que recordar, cuando dejé la universidad, estudié para ser un suscriptor en prácticas. Así que mi primer trabajo fue tratar de ver y comprender el perfil de riesgo de estas diferentes organizaciones para que luego pudiéramos encontrar la prima correcta. Eso no ha cambiado y fue muy natural para mí. Y estoy seguro de que le pasa a mucha gente. Tratamos de hacer cosas y pensar en cuáles son las implicaciones y cuáles son los resultados y cuál podría ser un resultado bueno o malo. Y esperemos que sea un buen resultado. Así que creo que es solo que el #RISK y, de hecho, todo el buen trabajo que hacen el GRC World Forum y otras organizaciones en este espacio lo trae a la mente y proporciona más claridad y ejemplos de dónde se hace el riesgo.

Steve Wright:

Habiendo dicho eso, Nick, sigo trabajando con varias empresas de primer nivel. Y hay cosas que pasan en las organizaciones, como puntos ciegos ante la formulación de ciertos riesgos. Y así, las organizaciones pueden estar felices de pensar que tienen el marco de riesgo en su lugar. Y la rigidez de ese marco de riesgo es buena en algunos aspectos, pero en realidad en nuestro tipo de sentido empresarial del mundo de inicio, necesita tomar muchos más riesgos y necesita probar cosas. Y así es como aprendemos. Lo intentamos, fallamos, lo intentamos de nuevo. Pero si tenemos ese aspecto de una buena fórmula de riesgo para luego articular cuáles son esos riesgos, un poco como la evaluación de impacto de riesgo de privacidad o la evaluación de impacto de seguridad, eso es solo un tipo preventivo de lo que podría salir mal, qué pasaría si los escenarios , que todos deberíamos estar haciendo.

Steve Wright:

Y supongo que mi punto final es solo que creo que hemos mejorado mucho en articular eso, pero al mismo tiempo, tengo una preocupación de que nos hemos vuelto tan dependientes de esos marcos de riesgo, esas metodologías. que nos falta. Es algo así como las incógnitas desconocidas, por así decirlo.

Nick James:

No pongamos a Rumsfeld en esto [inaudible 00:16:41]. Hemos hablado mucho sobre la gobernanza, el riesgo, la ética, la seguridad, la privacidad y cómo todos están inextricablemente vinculados. La gran pregunta, supongo, es, ¿crees que los directorios, crees que el C-suite entiende esto y, por lo tanto, cómo pueden los líderes marcar la pauta?

Steve Wright:

Sí, en realidad creo. Cuando estaba en PWC hace muchas, muchas lunas, recuerdo haber hablado sobre ciberseguridad con la junta. Y en realidad no se llamaba ciberseguridad en ese entonces. Fue dificil. Fue muy, muy difícil. Pero creo que ahora, la seguridad cibernética, por ejemplo, la ética, ciertamente los datos probablemente se encuentren entre los cinco principales riesgos para la mayoría de las juntas. Sin embargo, creo que el desafío, Nick, sigue siendo que… De hecho, leí durante el fin de semana que hay una posible regulación proveniente de la SEC, que es excelente para las empresas reguladas, pero no tanto para las no reguladas. están pensando en hacer que algunos de esos requisitos sean obligatorios para todas las organizaciones en términos de riesgo cibernético, etcétera, lo cual es muy interesante. Pero creo que todavía tenemos una pequeña brecha y esa brecha específicamente se trata de la propiedad.

Steve Wright:

Tuve el placer de trabajar en John Lewis Partnership. Y una de las primeras tareas que completamos fue incorporar a los propietarios de datos relevantes a la junta, como el director de recursos humanos, el director de marketing y el director de finanzas para datos de pensiones, etcétera, responsables y responsables. Y creo que ahí es donde todavía tenemos mucho camino por recorrer. Y creo que en el sector de la privacidad, especialmente, menos en la ciberseguridad, ahora hay un miembro de la junta que tiene la responsabilidad de la cibernética.

Steve Wright:

Pero creo que para responder a su pregunta específica sobre ¿pueden los líderes marcar la pauta? Absolutamente. Creo que hay mucho más margen para que los líderes de las empresas salgan y digan: esta es nuestra posición sobre los datos. Esta es nuestra posición sobre la confianza. Esta es nuestra posición sobre la ciberseguridad y sea lo suficientemente audaz y valiente como para decirlo. Y supongo que el único ejemplo es que organizaciones como Alan Jope de Unilever salieron y dijeron: “Ya no apoyamos a las empresas rusas por X, Y y Z”. Esa es una declaración audaz y valiente dado el tamaño de Unilever y el mercado de Rusia. Pero él y la junta obviamente se sintieron obligados a decir eso y hacer esa declaración, lo cual es algo bueno. Siento que no hay suficiente de eso. Y especialmente en lo que respecta a la privacidad de los datos, me gustaría ver más de ese liderazgo de esa junta que realmente se levante y diga, mira, realmente nos tomamos la privacidad en serio. Creemos en la confianza. Y esto es lo que queremos decir con eso. Esto es lo que entendemos por ética de datos. Esto es lo que entendemos por buenas prácticas de datos. Sí, eso definitivamente falta.

Steve Wright:

Pero tengo esperanzas. Tengo muchas esperanzas, Nick, de que debido a que la industria de la seguridad cibernética estaba en esta posición ahora hace unos 10 o 12 años, espero que venga más de eso. Al igual que en mis primeros días cuando estaba en PWC, cuando íbamos y hablábamos con los directorios y podías verlos vidriosos y no estaban realmente interesados, ahora están muy interesados. Y espero que suceda lo mismo con la privacidad de los datos y los datos en su conjunto. Y creo que eso está empezando a suceder, pero me gustaría ver más.

Nick James:

Steve, gracias por eso. Quería referirme a algo que ustedes en Privacy Culture lanzaron el año pasado, la primera Encuesta de cultura de privacidad de los empleados. Me preguntaba si puede compartir algunos de los hallazgos clave con nosotros.

Steve Wright:

Si seguro. Gracias por mencionar eso, Nick. Ese fue un trabajo realmente emocionante. Comenzamos un año antes de la pandemia, por lo que el momento no fue el mejor, pero logramos salir y traer una docena de organizaciones diferentes de diferentes sectores a nivel mundial, que representan a miles y miles de empleados en 54 países. Completamos la encuesta, un piloto en todas esas diferentes organizaciones. Así que teníamos, como dije, diferentes sectores, diferentes idiomas que superar, y los resultados fueron sorprendentes. Y las buenas noticias, bueno, no dejaré que el gato salga de la bolsa todavía, pero el año siguiente, se acerca el primer aniversario, por lo que publicaremos la próxima Encuesta de cultura de privacidad global de 2022 de manera inminente.

Steve Wright:

Pero hablando del año pasado, sí, hubo tres o cuatro, que realmente fueron fuertes y no te sorprenderán. Lo más importante fue la gestión de riesgos. Lo que encontramos específicamente en nuestra encuesta entre todas las personas que ingresaron fue que el personal no sabía o no se sentía capacitado en torno a las evaluaciones de riesgo e impacto de la privacidad y, en particular, sobre la privacidad por diseño. Eso es bastante crucial porque, si lo desea, eso es lo que detiene la entrada de agua, en primer lugar. Por lo tanto, no estaba integrado, no estaba operativo, las personas no estaban capacitadas al respecto. Compraron herramientas, que hacían lo que decían en la lata, pero simplemente no llegaron. Y todavía no lo es, tengo que decirlo.

Steve Wright:

Y creo que también, estaba en torno al entrenamiento y simplemente la falta de él. Y cuál fue el hallazgo más importante fue que era inconsistente. Era soso y aburrido y era literalmente de talla única. Y entonces la gente lo estaba haciendo simplemente como un ejercicio de cumplimiento. El otro, al que he aludido en la pregunta ESG, se refería a la retención y eliminación. Naturalmente, grandes problemas en torno a eso, porque la eliminación de la retención es particularmente difícil cuando tiene sistemas heredados, algunos de los cuales no son compatibles, han vencido el contrato, pero todavía los está usando, o está reteniendo esos datos en varias formas diferentes.

Steve Wright:

Y creo que el otro, que era un problema menor, pero que sin duda estaba hirviendo, era sobre la transparencia. Entonces, en otras palabras, nuevamente, volviendo a nuestra prisa por prepararnos para GDPR en 2018, hubo muchos avisos de privacidad, políticas de privacidad, mucha actividad de cookies, pero lo que realmente no se estaba traduciendo en el negocio, abajo en las organizaciones fue este vivir y respirar de esos avisos de privacidad. Una vez más, no estaban en cierto modo operacionalizados. Eran casi pedazos de papel que pegaron en el sitio web y decían, sí, nos tomamos la privacidad muy en serio. Pero en realidad, cuando se trataba de eso, no estaba llegando. La gente no se sentía empoderada. La gente no sabía adónde acudir para obtener información, las solicitudes de acceso de los interesados se perdían entre las grietas porque sus equipos de atención al cliente no habían sido capacitados o readaptados y todo ese tipo de problemas. Así que sí, en general fue solo una encuesta fascinante. Nos hemos comprometido a hacerlo durante los próximos 10 años. Y entonces estamos llegando al segundo año.

Nick James:

Excelente. Gracias, Steve. Tengo una última pregunta. Y esto es desde un punto de vista comercial, no desde un punto de vista personal, y le pregunto esto a mucha gente, pero la pregunta es, ¿qué te mantiene despierto por la noche?

Steve Wright:

Bueno, supongo, quiero decir, ya sea que estoy en el negocio ahora, lo que me mantiene despierto por la noche, supongo que es, bueno, dos cosas en realidad, el flujo de efectivo porque ese es un problema que todos sufrimos. Muchos de nuestros clientes, de hecho, la mayoría de nuestros clientes son grandes organizaciones globales, tardan una década en pagar. Así que el flujo de caja es un verdadero desafío. Lo que para ellos son 60 o 30 días es mucho tiempo para una pequeña empresa.

Steve Wright:

Pero en realidad, el otro, que realmente me preocupa más, se trata más de hacia dónde nos dirigimos en términos de nuestra sociedad, no solo en el Reino Unido, sino también a nivel mundial. Ahora tengo adultos jóvenes, y hay una gran desconexión entre ellos, y creo que es provocada por esta imagen de mentalidad casi propia y cómo te ves en tu persona de tu teléfono. Y siento que me preocupa que nuestros hijos hayan aprendido o no se identifiquen con lo que son y lo que son como seres humanos. Quiero decir, eso es un poco filosófico, lo sé, Nick, pero eso es lo que me preocupa ahora, que los jóvenes realmente ya no saben quiénes son, y que todos están tratando de ser personajes de otra cosa.

Nick James:

Steven, fascinante. Y en cierto modo entiendo exactamente lo que estás diciendo sobre ese último punto. Y no creo que sean solo los jóvenes-

Steve Wright:

Tal vez no.

Nick James:

Es todo el mundo. Steve, muchas gracias. Pongamos algo en el diario para ponernos al día y encontrarnos en tiempo real muy pronto.

Steve Wright:

Me encantaría que. Muchas gracias, Nick, ya todo el equipo por todo lo que haces allí. Es brillante. Y realmente nos encanta trabajar con ustedes y asistir a sus eventos. Así que gracias por traer esto a la mesa.

Nick James:

Fantástico. Gracias, Steve. Salud.