Clarke Rodgers (00:08):
Darren, muchas gracias por estar aquí hoy.

Darren Kane (00:10):
Gracias a ti, Clarke, por esta oportunidad.

Clarke Rodgers (00:11):
Es un placer. Bien, si te parece, háblame un poco sobre ti, tu experiencia y tu función en NBN.

Darren Kane (00:18):
Vale. Bueno, soy padre de cuatro hijos y estoy casado. Actualmente soy Chief Security Officer de NBN, la Red Nacional de Banda Ancha de Australia, una empresa comercial de propiedad exclusiva del gobierno que brinda servicios mayoristas de banda ancha a unos 8,6 millones de hogares en Australia y tiene capacidad para conectarse a más de 11 millones de hogares.

Llevo ocho años y algo en ese puesto. Anteriormente, trabajé 11 años y medio en puestos de seguridad, incluido el liderazgo de seguridad corporativa en Telstra. Antes de eso, trabajé seis años y medio en el Gobierno, en nuestra Comisión Australiana de Inversiones en Valores, su SEC. Y antes de eso, unos 13 años en la Policía Federal de Australia. Por lo tanto, mi experiencia se ha centrado principalmente en la aplicación de la ley y la seguridad durante casi 40 años.

Clarke Rodgers (01:05):
Vaya. La cuestión es que me reúno con muchos CISO de clientes y hemos visto cómo el papel del CISO ha evolucionado con el tiempo; es decir, hay que reconocer que en los últimos 10 o 15 años, el puesto de CISO ha progresado de manera constante hasta convertirse en alguien con quien hay que contar sí o sí. Y lo curioso de esto es que se quedan en segundo plano, y solo los traes al frente cuando ya no queda más remedio. Ahora, los CISO informan de manera regular a las juntas directivas. Forman parte de la alta dirección, en realidad son parte del negocio en general. ¿Puedes contarme un poco cómo has visto evolucionar ese puesto en tu experiencia, y quizás específicamente en Australia?

Darren Kane (01:44):
En primer lugar, la función del CISO, la función del Chief Information Security Officer, es increíblemente importante. A medida que las empresas se han vuelto más eficientes y eficaces, basándose en plataformas tecnológicas y avanzando en la era digital, el papel del CISO para administrar los riesgos de seguridad en ese espacio ha crecido de manera exponencial. Pero también lo ha hecho todo lo que se encuentra en esas plataformas tecnológicas.

Por lo tanto, la función del CISO de centrarse únicamente en la seguridad de la información se ha vuelto casi redundante. Ahora se les pide que se centren realmente en aspectos como la privacidad, la respuesta frente a incidentes y la continuidad empresarial, en particular en cuestiones relacionadas con la tecnología operativa. Y así como tenemos sistemas de control de acceso para puntos de acceso de edificios, así como tenemos requisitos de investigaciones forenses digitales, etc., te das cuenta de que el papel del CISO, como lo llamas, el CISO, ha crecido y crecido para abordar problemas distintos a la seguridad de la información.

Así que yo soy de los que dicen: “Quita la letra I”. Si necesitas tener un CISO para los grandes puestos corporativos actuales, creo que lo que realmente deberías tener es un CSO. Y todas esas áreas de responsabilidad de las que hablé son increíblemente importantes hoy en día. Programas de confianza interna, privacidad y violación de la privacidad, respuesta a incidentes... es un conjunto enorme de responsabilidades. Y para que el CEO, la alta dirección y la junta directiva realmente confíen en que se trata de un esfuerzo unificado, no es raro que una persona sea responsable de ello. Esa persona ahora es el CSO.

También me gustaría añadir que la importancia tanto del CISO como del CSO en la empresa o entidad modernas se ha vuelto muy, muy significativa. La junta, la alta dirección, especialmente el área de gobernanza, entienden ahora los riesgos que representa la seguridad. Por lo tanto, la persona a la que se le ha encomendado la tarea de encargarse de eso tiene un papel más importante y se espera que sea capaz de articular y comunicarse, así como de gestionar y liderar.

Clarke Rodgers (03:57):
Entonces, antes que nada, me gusta eso de quitar la letra “I”, ¿sabes? Necesitamos una camiseta con esa frase. Pero para retomar un poco ese tema, hablaste sobre la administración del riesgo general para la organización. En ese puesto de Chief Security Officer, o el de Chief Information Security Officer, ¿cómo se equilibra la necesidad de que la organización innove y tenga éxito desde una perspectiva empresarial con todo lo que hay que hacer desde la perspectiva de los riesgos de seguridad, el cumplimiento y la privacidad? ¿Cómo “vendes” los aspectos de seguridad a los líderes empresariales sin dejar de innovar para los clientes?

Darren Kane (04:40):
Eso es un desafío. No cabe duda. Y creo que en el pasado todos hemos sido culpables de ello, incluido yo. De hecho, desafío continuamente a la empresa para que comprenda y aprecie el riesgo del que realmente somos responsables. Y al hacerlo, a menudo exageramos el riesgo y exigimos que se aborde mediante una mayor dotación de recursos o un apoyo financiero real. Y por dotación de recursos, obviamente me refiero a la fuerza laboral.

Y también es un reconocimiento del riesgo que gestionamos. Ahora, creo que eso funcionó durante un tiempo mientras hacíamos todo tipo de esfuerzos para asegurarnos de que entendieran y apreciaran el riesgo. Pero ahora, como señalas, la mayoría de las juntas directivas competentes y, desde luego, los altos directivos competentes tienen una comprensión increíble de los riesgos de seguridad. Su problema es qué estamos haciendo al respecto para controlarlo y cómo lo gestionamos dentro del apetito.

Y esto va en lo que decías, de que si se sigue vendiendo el riesgo de manera exagerada, se transmite un mensaje gastado. Por lo tanto, la forma en que lo abordo es trabajar con la alta dirección, que brinda apoyo, y la junta directiva, que es comprensiva, y ayudarlos a entender la importancia de una buena madurez en materia de seguridad, una postura sólida y una buena higiene. Y cuáles son las ventajas y oportunidades que se derivan de ello. El hecho es que si se sienten seguros de que estamos gestionando el riesgo para aumentar el apetito, ¿pueden quitarme la financiación y colocarla en otra parte del negocio, tal vez en torno a la resiliencia?

Clarke Rodgers (06:21):
Correcto.

Darren Kane (06:21):
¿Pueden dormir un poco más tranquilos por la noche y concentrarse en otras cuestiones, como la fuerza laboral? Por lo tanto, mi enfoque es que la seguridad sea vea como un aspecto facilitador y no como algo negativo o que bloquee. La mejor analogía que puedo utilizar es que si se puede pensar en una entidad como un vehículo de alto rendimiento, y que el CEO es el conductor, uno pensaría que los frenos del vehículo, que representan al grupo de seguridad, están ahí para detener ese vehículo. Y esa es la idea más común que se tiene sobre nosotros.

No estoy de acuerdo con eso. Creo que los frenos están ahí para que el CEO, el conductor del vehículo, pueda llevar ese automóvil hasta su límite.

Clarke Rodgers (07:06):
E ir más rápido, por así decirlo.

Darren Kane (07:07):
Hasta el límite de su rendimiento, gracias a que tienen la confianza y el conocimiento de que pueden pisar el freno si es necesario. De modo que el grupo de seguridad actual permite a la empresa aprovechar al máximo sus capacidades de rendimiento.

Clarke Rodgers (07:22):
Me encanta. Me encanta. Entonces, ¿te comunicas directamente con la junta directiva?

Darren Kane (07:25):
Lo hago, con bastante frecuencia, a través del comité de ordenanzas y, en ocasiones, ad hoc con la junta, pero ciertamente dos veces al año como requisito. Y, obviamente, a través de la alta dirección. Soy subordinado directo de la alta dirección y lo hago con la frecuencia que sea necesaria.

Clarke Rodgers (07:40):
¿En qué tipo de información, sin entrar en detalles específicos, pero en qué tipo de información están interesadas las juntas directivas o la alta dirección actualmente? Porque durante años fue: “He instalado parches en estas máquinas. Teníamos todas estas vulnerabilidades. He instalado este nuevo software de seguridad para, si hay suerte, eliminar esas vulnerabilidades”. ¿Siguen interesados en los detalles técnicos o les estás comunicando el riesgo de una manera diferente?

Darren Kane (08:10):
Creo que estoy comunicando el riesgo de una manera diferente. Lo que acabas de describir es bastante detallado y se basa más en un informe de administración para el comité ejecutivo que para la junta directiva. Pero soy un CSO, el Chief Security Officer, por lo que asumo la responsabilidad empresarial por todo lo relacionado con los riesgos de seguridad en toda la NBN, lo que incluye el acceso mayorista a 8,6 millones de hogares. Entre el 85 y el 86 % de todos los datos de Australia pasan por nuestra red.

Clarke Rodgers (08:39):
Vaya.

Darren Kane (08:40):
Cuando informo a las juntas directivas y a la alta dirección, adopto un enfoque muy holístico. Si me piden que segmente algo, proporcionaré datos más detallados. Pero en el entorno actual, los problemas geopolíticos, el entorno de amenazas, los problemas en Ucrania, los problemas en el Indo-Pacífico y los problemas con la cadena de suministro, por ejemplo, son muy, muy importantes. Obviamente, el riesgo cibernético, los ciberataques estatales y la ciberdelincuencia son un problema importante, como en cualquier otro lugar del mundo.

Por lo tanto, hay una gama muy amplia de temas sobre los que puedo informar. Si se aborda y se me pregunta de forma específica sobre ciberseguridad, sin duda daré información al respecto y sobre cómo estamos gestionando los controles establecidos para gestionarla. Pero a veces, intento mantener una visión más amplia y general de lo que informo.

Clarke Rodgers (09:36):
¿Y normalmente cuantificas el riesgo en términos de pérdidas y ganancias y dinero? O sea, lo que realmente estoy tratando de decir es, si yo soy un miembro de la junta, ¿en qué idioma quiero hablar?, y entonces ¿cómo adaptas tú tu conversación con ellos?

Darren Kane (09:52):
No, mira, es una buena pregunta. Tradicionalmente, se trata de métricas estrictas, como señalaste antes. Sin embargo, creo que el futuro está en el análisis cuantitativo y en la capacidad de identificar realmente el riesgo en el idioma de la empresa. La entidad en realidad funciona tanto con dinero como con sentido común. Así que no creo que sea apropiado cuando informo a las juntas directivas, al comité ejecutivo o a cualquier otra persona utilizar palabras como “superficie expuesta a ataques”, “amenaza interna” o “agente malintencionado”. Incluso el ejemplo y la tendencia más recientes de nuestro sector, la expresión “confianza cero”.

Clarke Rodgers (10:32):
Correcto.

Darren Kane (10:33):
Y yo me esfuerzo en que la junta directiva y cualquiera que trabaje conmigo confíe en mí. Así que usar una palabra que es casi anticristo para mí es realmente un mal intento de informarles sobre lo que estoy intentando hacer. Por lo tanto, creo que el análisis cuantitativo y el uso del dinero para identificar realmente el riesgo como un costo global frente al costo de control y, luego, el riesgo residual, es probablemente el mejor enfoque. No lo he perfeccionado, pero sin duda es algo que estoy pensando hacer.

Clarke Rodgers (11:02):
Eso es impresionante. Así que, cambiando un poco de tema: dotación de personal, ¿verdad? Todavía no he conocido a un CISO o un CSO que esté satisfecho con la cantidad de personal de seguridad que trabaja para ellos, en el sentido de que afirmen “cuento con suficiente gente”. Siempre nos vendría bien más gente. Además, he hablado con varias personas que tienen diferentes ideas sobre cómo ampliar el equipo de seguridad en toda su organización sin tener que contratar a más personal con credenciales de seguridad. ¿Qué estás haciendo en la NBN para poner realmente la seguridad al alcance de todos y en toda la empresa cuando puede que tengas un personal de seguridad limitado?

Darren Kane (11:46):
Soy partidario de la renovación tanto como de la retención. O sea, y de hecho, de alguna manera, me centro en la renovación. Solo tengo una cantidad limitada de dinero que puedo ofrecer para retener empleados. Solo hay una cantidad limitada de progreso, desarrollo y otras oportunidades que puedo ofrecer para retenerlos.

A fin de cuentas, la industria necesita talento. Si tengo personal con talento y es su momento para irse a otra empresa, simplemente les deseo buena suerte. Mi trabajo es garantizar que lo que quede de la sucesión y gestión de talentos, y luego las personas que atraemos a la organización, sean capaces de llenar ese hueco. Por lo tanto, mi enfoque realmente son los programas de posgrado y una pasantía reciente, de lo que estoy increíblemente orgulloso. Y si tienes cinco segundos, te hago un resumen rápido.

Clarke Rodgers (12:35):
Adelante, por favor.

Darren Kane (12:37):
Nos dimos cuenta de que necesitábamos más diversidad en nuestra oferta de posgrado y pasantía. Así que miembros de alto rango del SLT y del Grupo de Seguridad se dirigieron a Box Hill TAFE, un centro de formación profesional. Se trataba de un Box Hill TAFE en Melbourne, Victoria, y ofrecimos pasantías a personas que intentaban desarrollar una carrera en ciberseguridad. Intentamos dirigirnos a personas que buscaban una carrera secundaria o reincorporarse al mercado laboral, y se dio la casualidad de que dimos con cinco mujeres maravillosas, que volvían a trabajar por diversos problemas o porque eran madres, etc., que no contaban con ninguna experiencia en ciberseguridad.

Clarke Rodgers (13:18):
Vaya.

Darren Kane (13:19):
Inicialmente les ofrecimos una pasantía de seis meses, que esperábamos extender, incluso en estos tiempos. Y nuestro objetivo era asegurarnos de que, si surgía la oportunidad de contratarlas, lo hiciéramos. Pero, en caso contrario, les brindábamos 12 meses de experiencia en el sector para que, cuando se postularan a puestos externos a nosotros o de la empresa, lo tuvieran en su currículo. Y me complace decir que recientemente una de las cuatro principales empresas de consultoría eligió a una de ellas.

Clarke Rodgers (13:46):
Vaya, eso es fantástico.

Darren Kane (13:47):
Y estamos haciendo todo lo posible para buscarle empleo a las demás. Y cuando hablas con estas pasantes o con estas mujeres, ves que son personas increíblemente capaces que realmente buscaban una oportunidad y una posibilidad de destacar. Y creo que ese es el ejemplo que nuestra industria en general, a nivel mundial, debería adoptar, y es que la mayoría de las personas a las que se necesitará emplear en la empresa deben tener una mente curiosa y una gran actitud. No es necesario que tengan las habilidades técnicas porque todos sabemos que en realidad contratas por la actitud; las habilidades son cosa de formación.

Por lo tanto, para responder brevemente a tu pregunta, me centro en la renovación más que en la retención. Y estoy increíblemente orgulloso de los graduados del Grupo de Seguridad. Ahora tenemos unos ocho o nueve CISO en Melbourne que pasaron por la NBN.

Clarke Rodgers (14:37):
Vaya, eso es genial.

Darren Kane (14:38):
Sí. Así que, desde mi punto de vista, lo que hacemos es tanto para fortalecer la industria como para desarrollar la NBN.

Clarke Rodgers (14:47):
Bueno, tu historia sobre el programa de pasantías es fantástica. Como sabes, hablo con muchos CISO y ellos hablan sobre la diversidad en sus equipos, la diversidad de opiniones, la diversidad de trayectorias y la diversidad de experiencias. ¿Puedes contarnos algo sobre ese tipo de diversidad en tu equipo? No todos provienen de una formación en computación, no todos son investigadores de seguridad empedernidos. Tal vez tenías a alguien de recursos humanos, tal vez tenías a alguien con experiencia financiera que terminó siendo un gran profesional de la seguridad.

Darren Kane (15:19):
De nuevo, sonrío porque tu pregunta es especialmente relevante para mí. Creo firmemente en el hecho de que si vas a proteger una aldea, necesitas que lo hagan aldeanos de todos los ámbitos. Tengo una historia genial. Un tipo contactó conmigo. Durante la pandemia, durante el confinamiento, trabajaba para una de nuestras aerolíneas nacionales. Un miembro de personal de alto rango, un capitán que entrenó a otros capitanes en Airbus. Lo despidieron. Terminó yendo a un centro de formación profesional, Box Hill TAFE, y me contactó mediante LinkedIn. Una historia interesante.

Obviamente le respondí y le dije: “Estoy interesado”. Y le dije: “Bueno, ¿cómo te va?”. Sin que yo lo supiera, había solicitado un puesto en la NBN algún tiempo después y lo contratamos.

Clarke Rodgers (16:08):
Claro.

Darren Kane (16:09):
Llegó con una pasión por volar, pero anteriormente había trabajado en un organismo de seguridad en Australia Occidental. Así que había algo de mezcla.

Clarke Rodgers (16:19):
Tenías esa conexión.

Darren Kane (16:20): Sí, conexión. Así que le dimos un contrato de 12 meses, y todo lo que tenía era su formación en Box Hill TAFE durante 12 meses, el curso de certificación. Y, obviamente, una gran competencia, como líder y como gerente de personas, además de lógicamente una gran habilidad para pilotear Airbus y Boeings.

Increíblemente exitoso. Se ajustaba como un guante. Tenía muchas ganas de contratarlo a tiempo completo. La pandemia termina, volvemos a nuestra forma normal; bueno, intentamos volver a nuestra vida cotidiana. Justo cuando estaba a punto de aceptar el puesto que le ofrecíamos, le ofrecieron el puesto de capitán sénior permanente en la aerolínea. Y había un gran artículo sobre su regreso al aire después de haber tenido esa experiencia.  

Clarke Rodgers (17:14):
Impresionante.

Darren Kane (17:15):
Sí. Un ejemplo excelente de lo que decías. No tenía nada que ver con la experiencia ni con la capacidad. Tenía que ver con las habilidades de comunicación y la capacidad de involucrarse de verdad, y la voluntad de aprender. Y estoy descubriendo que si puedes encontrar personas con algunos de esos atributos, o con todos, tendrás éxito, porque lo único que buscan es una oportunidad y eso les hará crecer.

Clarke Rodgers (17:41):
Además, las perspectivas diferentes son muy útiles en cada parte del departamento de seguridad.

Darren Kane (17:46):
Por supuesto. Y una de las cosas que no son tan importantes en Australia, porque no somos tan diversos en cuanto a las habilidades lingüísticas, pero nos estamos dando cuenta cada vez más de que la diversidad de orígenes, la diversidad de religiones y, ciertamente, la diversidad de género se están volviendo muy, muy importantes. Si eres un líder y gerente competente, comprenderás la importancia de la diversidad y lo que aporta a un equipo.

Clarke Rodgers (18:13):
Entonces, con los aproximadamente 8,6 millones de clientes de NBN, más todos los centros de datos que tiene y el hecho de que la tecnología sigue expandiéndose en la vida de todos, ¿qué papel desempeña la sostenibilidad en la forma en que la NBN gobierna sus recursos y piensa al respecto, y en la forma en que afecta a los clientes?

Darren Kane (18:34):
Bueno, si piensas en lo que ofrecemos como producto en la NBN, permitimos a las personas trabajar desde cualquier lugar, trabajar desde casa. Así que tienes problemas con la huella de carbono, tienes problemas con la oficina sin papel. Hay lugares en los que no dejamos una huella de carbono por el hecho de que utilizamos la tecnología para mejorarla.

Tenemos 8,6 millones de instalaciones conectadas, y es posible que haya varias personas en casa. Pero lo que veo es que se trata de una oportunidad para cerrar la brecha digital en Australia, para dar acceso a todos los que lo necesitan, pero también para garantizar que podamos utilizar la tecnología para, quizás, incluso reducir la huella de carbono.

Si piensas en la posibilidad de trabajar desde casa, ciertamente creo que no fueron las carreteras y el ferrocarril lo que salvó a la economía australiana desde el punto de vista de la infraestructura durante los confinamientos por la COVID, sino la conectividad.

Clarke Rodgers (19:33):
Por supuesto.

Darren Kane (19:34):
Y la oportunidad para que las personas aprendan nuevas formas de trabajar ha llegado a través de esa tecnología. Obviamente, eso conlleva la posibilidad de trabajar de forma híbrida o remota, para que más personas vivan en zonas remotas y rurales de Australia, lo que reducirá la huella de carbono al no tener que viajar ida y vuelta al trabajo.

Por lo tanto, desde mi punto de vista, puedo ver que la tecnología y la forma en que la utilizaremos en el futuro, en particular a través de la conectividad, sin duda ofrecerán reducciones de carbono y una mayor sostenibilidad.

Clarke Rodgers (20:09):
Desde luego. Bueno, sé que no tienes una bola de cristal delante de ti, pero creo que has estado en la industria de la seguridad, me parece que dijiste, durante casi 40 años o más. ¿De qué crees que hablaremos dentro de cinco años?

Darren Kane (20:26):
Para 2025, llevaré 40 años en esto. No creo haber experimentado nunca un panorama de amenazas como al que nos enfrentamos actualmente. No creo que en esta industria podamos apreciar lo que creo que la IA generativa y el machine learning aportarán a la industria en forma de oportunidades y avances tecnológicos. Creo que, en todo caso, también intensificará ese panorama de amenazas, así que creo que es muy emocionante.

Creo que los datos y el volumen de datos generarán un crecimiento exponencial y una capacidad para gestionarlo realmente. Me preocupa mucho, supongo, asegurarme de que la comunidad no deje el riesgo de la seguridad en manos de quienes pagan por la seguridad. ¿Tiene sentido eso? Mi mantra es que la seguridad ahora va a ser responsabilidad de todos.

Clarke Rodgers (21:34):
Interesante.

Darren Kane (21:35):
No puedes decir que eres el Chief Security Officer y que el equipo asuma ahora el riesgo, porque ese riesgo solo se puede gestionar dentro de los límites aceptables si se garantiza que todos los que participan en ese espacio lo comprendan. Ya sea la persona de la limpieza que se asegura de que la gente cierre la puerta. O el asistente personal con un dedo índice flojo que no entiende que ha hecho clic en un enlace. O, por supuesto, los profesionales de ciberseguridad que nos protegen o los CISO. Todas esas personas tienen ahora la responsabilidad, a medida que avanzamos en los próximos tres a cinco años, de garantizar que valoran y entienden cómo establecer controles para gestionar el riesgo.

Y creo que una de las cosas que debemos alentarlos a hacer es que nos informen cuando crean que pueden haber visto algo o hecho algo para que podamos gestionarlo. Y los simulacros de suplantación de identidad y otras cosas son ejemplos de una experiencia de aprendizaje. No debería ser una experiencia disciplinaria.

Clarke Rodgers (22:37):
Entonces, si ese va a ser el futuro, ¿qué estás haciendo ahora desde una perspectiva de cultura de seguridad para ayudar a desarrollar esa fuerza mental en los puestos ajenos a la seguridad, de modo que piensen en la seguridad todo el tiempo?

Darren Kane (22:54):
Creo que lo más importante es que no estamos exagerando el riesgo. Por lo tanto, lo que me gusta intentar hacer es vender las ventajas, vender la oportunidad, no siempre decir constantemente: “No hagas esto por el riesgo que conlleva”. Vuelvo a la analogía del automóvil. Los frenos están ahí para utilizarlos si los necesitas, pero sal y disfruta de la vida.

Clarke Rodgers (23:13):
Me encanta. Darren, gracias por participar y estar presente hoy.

Darren Kane (23:15):
Gracias, ha sido una gran oportunidad. Fantástico. ¡Gracias!