El fundador de #RISK, Nick James, en conversación con Victoria Guilloit

 

Transcripción:

Nick James:

Hola, soy Nick James. Soy el fundador de #Risk, una serie de eventos que comienza en Londres en noviembre de 2022. Estoy encantada de presentar a otra de nuestras embajadoras de #Risk, Victoria Guilloit.

Victoria Guilloit:

Muchas gracias, Nick. Estoy encantado de estar aquí.

Nick James:

Los 20 años de experiencia de Victoria en varios sectores de la seguridad de la información, incluida la banca de inversión, los bienes de consumo, el comercio minorista y el gobierno. Vicky, mi primera pregunta, las líneas entre la seguridad cibernética, la privacidad, la gestión de riesgos y el cumplimiento que alguna vez fueron rectas y delineadas ahora están emergiendo borrosas. ¿Cómo ha visto cambiar el panorama de riesgos durante, digamos, los últimos 10 años?

Victoria Guilloit:

Creo que es un poco como yo, sorprendentemente rápido y no necesariamente de la forma que podría haber imaginado. Estas disciplinas definitivamente estaban mucho más aisladas hace 10 años. Y la seguridad cibernética, por ejemplo, ciertamente se consideraba un riesgo comercial, pero la privacidad generalmente solo se presentaba en ese mundo como una categoría de información personal que se debía proteger. Y luego tuvimos la aplicación de GDPR y eso fue un cambio sísmico en el panorama de privacidad y protección de datos. Y esto realmente brindó una enorme oportunidad para que las OSC contextualizaran el riesgo y el cumplimiento a nivel del mar y aseguraran sus presupuestos con la amenaza de la filtración de datos, por supuesto, y las importantes multas que siguieron. Y luego, por supuesto, está la explosión de las redes sociales. Ahora tenemos IA, tenemos aprendizaje automático y el continuo crecimiento asombroso del delito cibernético. Y siempre parece estar un paso por delante. Aparentemente, pronto será la tercera economía más grande del mundo después de EE. UU. y China, si es que aún no lo es. Y eso significa que estas funciones aisladas realmente necesitan trabajar juntas sin problemas para proteger y hacer avanzar a sus organizaciones.

Nick James:

Wow, esa es una estadística asombrosa. La tercera economía podría ser el delito cibernético. Sí, aterrador. Hemos hablado muchas veces sobre esto en el pasado, pero la cultura. ¿Cómo se crea una cultura de seguridad en una organización?

Victoria Guilloit:

Dios mío, siempre se siente como una cosa realmente grande y difícil de manejar para empezar, pero lo intentaré. Y hemos hablado de ello muchas veces y espero poder dar una respuesta coherente esta vez, pero con un toque de algo un poco diferente. Entonces, una buena cultura empresarial, comencemos por ahí. Debería ser fácil de observar porque las personas que trabajan allí se sentirán cómodas y será una empresa en la que tal vez querrán aspirar a trabajar. Y dirán, todo se siente bien. La mayor parte del tiempo van a disfrutar yendo a trabajar. Y lo más importante, la puerta del jefe siempre estará abierta o al menos su oído estará abierto y se sentirá seguro al hacer preguntas, se sentirá bien informado desde arriba y desde todos los niveles sobre la dirección del viaje en la organización. . Y como cualquier líder empresarial sabe, cualquier organización, una cultura saludable como esa requiere una cantidad considerable de esfuerzo y una cantidad de esfuerzo realmente sostenida será como este cisne deslizándose por la parte superior, remando furiosamente por debajo.

Victoria Guilloit:

Y así, desarrollar e integrar su cultura de privacidad y seguridad no será diferente. En cierto sentido, necesitas seguir trabajando en ello. Y lo más importante, si considera a su empleado, y esto es realmente clave para mí como ser humano y no un posible error humano, es un buen lugar para detenerse. Porque no importa cuántas salvaguardas técnicas o de procedimiento existan, los piratas informáticos piratearán y la gente cometerá errores. Su gente tiene un trabajo que hacer ante todo. Y si quiere que consideren la privacidad y la seguridad, cualquier consejo que les dé debe estar en el contexto del propósito comercial y su función, y cualquier proceso o procedimiento que vaya a introducir.

Victoria Guilloit:

Por ejemplo, la inseguridad de la privacidad por diseño en el desarrollo de sistemas, que sus datos se clasifican y etiquetan, las instancias de datos potenciales y las solicitudes de derechos se informan rápidamente. Todas estas cosas deben ser súper fáciles y eficientes. No se trata de un e-learning general anual, aunque eso es un comienzo si no hay nada más en marcha. Es un programa continuo y llevará tiempo. Se necesitará paciencia, recursos, patrocinio, propiedad, colaboración, compromiso, comunidad y, por último, y lo que es más importante, gestión de riesgos. Esa fue una respuesta muy larga, Nick, me di cuenta.

Nick James:

De nada. Y supongo que esta es una pregunta complementaria, una vez que haya hecho tantas de esas cosas como sea posible, ¿cómo mide la efectividad de la capacitación, la educación y la concientización?

Victoria Guilloit:

Esa es una gran pregunta. Y uno, con mucha frecuencia me preguntan y a menudo me rascan mucho la cabeza, ¿cómo vamos a hacer esto realmente? Pero esencialmente, incluso si un empleado sabe muy poco sobre privacidad o seguridad, pero tiene confianza y esa es la clave para hablar rápidamente, si algo no parece correcto, está en un lugar bastante bueno. Alguien me dijo hace algunos años que en la evaluación posterior de un incidente de datos, si se determina que el incidente potencial era conocido pero no informado, entonces su programa de concientización, educación y capacitación está fallando. Y creo que ese es un consejo bastante sabio. Mucha gente de seguridad habla sobre el informe de incidentes, después de la capacitación sobre el tema y eso es absolutamente lo que debe esperar. Y luego, con el tiempo, debería mejorar a medida que las personas entiendan lo que se debe informar. Y al mismo tiempo y más alerta para proteger la información sensible y estar atento a los correos electrónicos no solicitados.

Victoria Guilloit:

Ahora tiene tecnología y procesos de prevención de pérdida de datos que ayudan a las organizaciones a comprender también cómo se comportan sus empleados. Y si es necesario mejorar su concienciación, educación y formación. Y siempre es útil medir la opinión de los propios empleados a través de una encuesta o un taller; en realidad, es una de mis cosas favoritas porque implica una conversación. Y la mayoría de las veces, siempre debemos recordar que los empleados realmente quieren hacer lo correcto y darles una voz lo ayudará a comprender dónde sus procesos podrían ser difíciles de navegar, o si su capacitación es confusa y necesita mejorarla.

Nick James:

Esa es una gran respuesta. Lo que hemos visto en los últimos dos años es que la transformación digital se acelera a un ritmo que no esperábamos debido a la pandemia. ¿Cómo cree que la ciberseguridad debería encajar en los programas de transformación?

Victoria Guilloit:

Sí, esa también es una muy buena pregunta. Y sabes, por lo que observé en ese momento durante la pandemia, la seguridad cibernética realmente estaba liderando desde el frente y todavía están en estas iniciativas. Solían estar rezagados un poco diciendo, bueno, ¿cómo vamos a demostrarle al negocio que somos un facilitador y cómo vamos a tratar de unirnos a esa transformación o cualquier otro proyecto tecnológico y no costar demasiado tiempo o dinero. Pero ahora, creo que la pregunta de las empresas es más bien dónde estamos trabajando, si nuestros datos están realmente seguros. Porque hay mucho más reconocimiento ahora que los datos viajan fuera de la oficina a nuestros hogares y a cualquier otro lugar, ahora que podemos trabajar de una manera más flexible e híbrida. Que las personas, ya sean consumidores o clientes, clientes de una organización esperan que sus datos estén protegidos. Y las empresas realmente están empezando a reconocer eso. Por lo tanto, ya no será una idea de último momento, ni una solución costosa adicional. Va a ser un impulsor en sí mismo y un acelerador para el cambio empresarial.

Nick James:

Y eso nos lleva, creo, muy bien a mi siguiente pregunta, que trata sobre la confianza, a la que usted aludió en esa respuesta. Debido a que las organizaciones ahora priorizan la confianza en el mundo digital en el que todos vivimos, y un marco de cumplimiento y riesgo de gobierno sólido es un componente fundamental para generar y mantener la confianza. Pero, ¿qué tan importante es tener un equipo diverso en esta mezcla?

Victoria Guilloit:

Sí, esa es una gran pregunta. Así que solo voy a abordar esto desde un ángulo particular que he experimentado yo mismo y he visto tantos cambios y me apasiona. Y creo que es por eso que la diversidad, la fuerza y las habilidades son realmente importantes. Así que voy a recordar los días en seguridad cuando cualquiera que no fuera un aficionado a la tecnología era un usuario y en realidad me llamaban la dama de la conciencia de token. Realmente no hice mucho. Simplemente me senté a un lado y realmente no sabía nada sobre seguridad. Pero los tiempos realmente han cambiado y el valor y la importancia de un rol que es capaz de traducir y comunicar de manera efectiva la jerga de seguridad y privacidad de riesgo de gobierno y cumplimiento en el idioma del negocio y pueden entenderlo y pueden comportarse en consecuencia y minimizar el riesgo es ahora reconocido como crucial para la eficacia del programa de GRC, la gestión del riesgo y el logro del cumplimiento. Así que ha habido un cambio sísmico realmente solo en esa área en particular. Por lo tanto, es crucial que tengamos diversos roles.

 

Nick James:

Vicky, gracias por eso. ¿Cómo continuamos cambiando la cultura para que las empresas se mantengan al día con las regulaciones, legislaciones y amenazas cambiantes, particularmente cuando regresamos a la oficina o tal vez continuamos en un entorno híbrido de trabajo desde el hogar?

Victoria Guilloit:

Un par de puntos aquí. Entonces, debido a la cultura, la cultura no se queda quieta. Así que tenemos que seguir el ritmo, pero puede resultar bastante abrumador. Y creo que este es el punto de la conversación al que puedo recurrir para promover lo que realmente hacen la cultura de la privacidad y otros servicios especializados. A menudo veo que los equipos dentro de los negocios están crujiendo por las costuras, tratando de hacer todo por sí mismos. Y este es el punto en el que empiezan a romperse. Y una amenaza en realidad se convierte potencialmente en un desastre. Para que las empresas realmente se mantengan al día con lo que está sucediendo, deben ser realmente efectivas en la comprensión y responsabilidad de sus riesgos comerciales. Al hacerlo, realmente reconocerán dónde y cuándo necesitan ayuda especializada para mantenerse al día con los cambios legislativos. Como la formación dirigida, por ejemplo. Cuando tenga una ley de privacidad en particular en una región o país en particular que entre en vigencia, eso en realidad cambiará potencialmente lo que su gente debe hacer y lo que necesita saber. Ahora, el trabajo flexible significa que los gerentes realmente necesitan encontrar formas de mantener unidos a sus equipos, para promover continuamente la confianza.

Victoria Guilloit:

Como mencioné anteriormente y confianza, y esto significa hacer que la persona que trabaja sea un poco más, el trabajo en persona, lo siento, un poco más de un evento cuando en realidad se están reuniendo. De modo que haya un poco de socialización para que las personas del equipo hablen entre sí que potencialmente no siempre hablan entre sí y garantizar que también haya reuniones regulares en línea y uno a uno con el gerente. Porque un trabajador remoto que realmente no se siente parte del equipo también puede carecer de confianza para hablar. Entonces, por ejemplo, si detectan un correo electrónico extraño, las máquinas se comportan de manera extraña, es posible que no se sientan seguros de hablar con nadie o con el gerente de línea, y eso podría conducir a un posible incidente de datos o cualquier otra cosa. Ese es solo un ejemplo de la falta de confianza en un empleado.

Nick James:

Brillante. me encanta eso Realmente se trata de socializar y comunicarse. Y quiero decir, eso es lo que construye grandes equipos y construye grandes culturas dentro de grandes equipos. Mi pregunta final es una que le hago a mucha gente y es desde un punto de vista empresarial en lugar de un punto de vista personal, pero ¿qué te mantiene despierto por la noche?

Victoria Guilloit:

Oh, cracky muchas cosas. Pero como dices, es realmente difícil no traer lo personal a esto. ¿Existe tal confusión ahora, no existe, entre el trabajo y la vida personal? Creo que hoy en día trato de no pensar demasiado en el futuro porque sabes, de cualquier manera, el futuro no está prometido. Y solo espero estar haciendo lo correcto hoy para mí y para el equipo y estoy haciendo lo mejor que puedo para tener éxito. Quiero decir, creo que probablemente me preocupe quedarme atrás, que es donde la comunicación con el equipo, especialmente con los que vienen detrás de nosotros, es muy importante porque ellos son los que realmente saben lo que viene y ellos realmente me emociona. Así que espero que lo que traigo sea útil y marque una diferencia para el negocio y para nuestros clientes. Y con suerte, lo que hago y algo de lo que digo inspirará a todos los que vienen detrás de mí.

Nick James:

Brillante. Muchas gracias Vicki. Y bueno, creo que lo único que debemos recordar es que probablemente necesitemos ponernos al día en persona pronto y socializar y comunicarnos.

Victoria Guilloit:

Definitivamente. Eso suena genial para mi.

Nick James:

Maravilloso. Que tengas un gran día y te hablaré pronto.

Victoria Guilloit:

Que tengas un maravilloso día, Nick. Muchas gracias por invitarme.

Nick James:

Adiós.

Victoria Guilloit:

Adiós.