Clarke Rodgers (00:08):
Mike, grazie mille per esserti unito a me oggi.

Mike Wagner (00:10):
Grazie, Clarke. Lieto di essere qui.

Clarke Rodgers (00:12):
Dunque, potresti parlarmi del tuo ruolo e delle tue responsabilità?

Mike Wagner (00:16):
Clark, sono il CISO di una società chiamata Kenvue. Kenvue faceva parte del gruppo Johnson & Johnson. Probabilmente conosci già questa azienda grazie ad alcuni dei prodotti che produciamo, come Tylenol, Motrin, Aveeno, Neutrogena e Johnson's Baby.

Il mio ruolo in azienda è assicurare che i dati, i sistemi e le persone siano adeguatamente protetti dalle minacce esistenti. Mentre ci assicuriamo di essere protetti, stiamo anche consentendo all'azienda di garantire un accesso più rapido, semplificato ed economico per i nostri consumatori, per i nostri clienti, per i nostri fornitori e sicuramente per la nostra forza lavoro.

Clarke Rodgers (01:01):
Andando un po' più a fondo, a prima di questo ruolo, puoi dirmi qualcosa sul tuo background nel campo della sicurezza? Capisco che non sia necessariamente iniziato con l'essere un CISO.

Mike Wagner (01:11):
È vero, sì. Ho frequentato l'Air Force Academy e ho fatto parte dell'organizzazione Air Force Cyber, fondamentalmente, ricoprendo ruoli diversi. Uno di questi ruoli era presso l'Office of Special Investigations, nell'area di Washington durante l'11 settembre. Sono andato via all'inizio degli anni 2000, ma sono rimasto come riservista. Quindi è stato bello procedere su un piccolo percorso parallelo con l’America aziendale e l’Air Force.

In una carriera come quella nella sicurezza informatica, si completano a vicenda molto bene perché ottieni informazioni e sei in grado di restare attivo dalla parte dei riservisti o della Guardia Nazionale. E puoi applicare quelle tecniche, quelle lezioni e quelle informazioni in ambito aziendale. Nell'ambito aziendale, ero stato in un paio di settori diversi. Ho iniziato con le telecomunicazioni. Ho lavorato per un breve periodo nei servizi finanziari e negli ultimi 15 anni circa ho lavorato principalmente nel settore sanitario.

Negli ultimi cinque-sei anni mi sono concentrato sulla nostra catena di approvvigionamento, sulla nostra impresa e sulla catena di approvvigionamento nel resto del mondo. Mi sono concentrato molto sulla parte OT della sicurezza mentre l'azienda stava seguendo la sua strategia di catena di approvvigionamento digitale. Mi sono assicurato che nella rete aziendale venissero aperte diverse finestre, che fossero protette e che si avesse solo l'accesso appropriato. Inoltre, trattavo con tutti i nostri fornitori, la logistica, la rete, i fornitori di logistica terzi, eccetera. Mi accertavo che fossero al posto giusto e collaboravo con loro in caso di incidenti.

Clarke Rodgers (03:01):
Interessante. Allora, puoi parlarci un po' della tua transizione dalla vita militare a quella aziendale? È stato un passaggio importante oppure, visto che il cibernetico si fa strada velocemente in tutti i settori, non è stata così dura?

Mike Wagner (03:16):
Sai, la cosa interessante è che quando sei un ufficiale dell'esercito, esci e boom, hai 22 anni e hai tipo 25 sottoposti. Nel mondo aziendale, devi metterti alla prova un po' di più. Semplicemente non ti danno subito quel tipo di credibilità. Dal punto di vista della leadership, si trattava solo di tornare alle basi, creare fiducia, costruire credibilità, relazionarsi a ciò che le persone stavano facendo.

Ma da un punto di vista professionale, in termini di capacità tecniche, informatiche e militari e protezione di una rete, le stesse tecniche e tattiche si applicano alla protezione di una rete aziendale. Inoltre, puoi essere motivato anche dal tuo scopo personale. Lo scopo personale è estremamente importante per tutti noi: difendere le reti, difendere i dati, difendere le persone.

Clarke Rodgers (04:11):
Abbiamo questa missione.

Mike Wagner (04:13):
Sì, fa parte del mio scopo. È parte del mio DNA.

Clarke Rodgers (04:17):
Grandioso. Quindi, sia nel mondo aziendale che più in piccolo nel tuo ruolo, i CISO si sono evoluti nel tempo. In passato era un ruolo estremamente tecnico e poco focalizzato sul business, ma ora vediamo che CISO e CSO fanno davvero parte della dirigenza senior delle organizzazioni: riferiscono regolarmente al consiglio di amministrazione e parlano più di business che non di bit, byte e firewall. Come hai portato avanti questa transizione? Abbiamo parlato di fiducia solo un minuto fa. Come si guadagna la fiducia degli altri dirigenti senior della propria organizzazione?

Mike Wagner (04:58):
Credo che una delle maggiori competenze per qualsiasi professionista della sicurezza, sicuramente per un CISO, sia la capacità di relazionarsi con le persone. Avere una connessione, qualcosa in comune che li induca ad ascoltare ciò di cui stai parlando. Una volta che riesci a creare quella connessione e fissare un obiettivo per educare le persone su cos'è la sicurezza informatica e perché è importante per loro, diventa molto più semplice.

E queste sono solo le basi, ma bisogna arrivare a quel livello dirigenziale e assicurarsi che capiscano la sicurezza informatica, che capiscano che si tratta di una responsabilità aziendale. E a dire il vero, dovrebbero utilizzare i nostri servizi per facilitare la loro attività.

Siamo una grande azienda che si occupa della salute dei consumatori. Abbiamo oltre un miliardo di consumatori e vogliamo continuare a crescere. I consumatori compreranno sempre di più direttamente da noi. Quindi, dobbiamo riuscire a orientarli verso i nostri prodotti che riteniamo li rendano persone migliori e più sane, sia che si tratti di creme solari, di Tylenol o magari di prodotti per i loro bambini.

Vogliamo semplificare l'accesso. Vogliamo essere certi che sappiano che possiamo proteggere i loro dati. E sicuramente dobbiamo lavorare non solo con il consumatore, ma anche con i nostri grandi clienti, i fornitori e la forza lavoro. Dobbiamo rendere l'esperienza utente, l'esperienza delle persone che si interfacciano con i nostri sistemi, molto più semplice, fluida e sicura.

Clarke Rodgers (06:33):
Quindi, ciò che hai appena descritto è una sfida comune per tutti i CISO, giusto? Si tratta di costruire quella cultura della sicurezza al di fuori dell'organizzazione di sicurezza. Alla fine le persone capiscono che avere la sicurezza integrata presto e spesso è una cosa buona. Quindi, come procedi o che tipo di programmi hai messo in atto per contribuire a costruire quella cultura della sicurezza nella tua organizzazione?

Mike Wagner (06:58):
Un programma che abbiamo messo in atto e che ha avuto davvero successo è questo: ho parlato un po' della tecnologia operativa o OT. Siamo un produttore globale. Abbiamo decine di stabilimenti e centinaia di fornitori di servizi logistici terzi. Abbiamo messo in atto quello che chiamiamo un programma OT Champion, in cui conosciamo e disponiamo di un punto di contatto che è un sostenitore della sicurezza all'interno del business della catena di approvvigionamento.

Clarke Rodgers (07:28):
Oh, interessante.

Mike Wagner (07:29):
Proprio così. Quello che intendo è che formiamo le persone, una specie di programma di "formazione dei formatori". Ma più di questo, per loro siamo una risorsa. Siamo loro sostenitori e loro sostengono il nostro programma. Ha avuto successo perché ci ha permesso di penetrare in aree in cui altrimenti non saremmo riusciti ad arrivare.

Prima abbiamo parlato di ciò che abbiamo in comune con l'essere nell'esercito. È come quando le truppe degli Stati Uniti vanno all'estero: si affidano alla gente del luogo per spostarsi. Conoscono la geografia, conoscono il terreno. Sanno dove stare attenti e quale sarà la posizione migliore in cui trovarsi. È più o meno con lo stesso tipo di mentalità che coinvolgere o delegare le persone all'interno dell'azienda, in questo caso nella catena di approvvigionamento, può aiutarci ad avere più successo; in cambio, li aiutiamo a proteggere l'azienda e a non comparire sui giornali. Consegniamo i nostri prodotti ai consumatori che ne hanno bisogno.

Clarke Rodgers (08:33):
E di quel programma, così come lo avete rilasciato, i dirigenti aziendali hanno capito i vantaggi che ne derivano?

Mike Wagner (08:40):
Ah, certo. Poiché la sicurezza è diventato argomento sempre più diffuso, i dirigenti aziendali di queste unità sanno che i loro dipendenti sono collegati al nostro programma. E in molti casi, abbiamo già parlato con i loro leader. Quindi stanno tranquilli, il motore è già stato oliato, il punto di ingresso è più agevole. Sono preparati e pronti a ricevere l'input e la formazione che stiamo dando loro.

Clarke Rodgers (09:15):
Quando segnalate loro un rischio, come lo fate e come concretizzate la sicurezza? Tradizionalmente, immagino, per i CISO della vecchia scuola, il rapporto sarebbe una panoramica delle matrici di vulnerabilità, dei programmi di patch e cose del genere che spesso non trovano riscontro nei consigli di amministrazione. Come state comunicando i rischi ai consigli di amministrazione?

Mike Wagner (09:38):
La poniamo in termini di rischio aziendale e di impatto sull'azienda. Sicuramente stiamo lavorando per ridurre al minimo tale impatto attraverso i controlli che abbiamo messo in atto. Parliamo anche del nostro programma e di come si sta evolvendo e di come le funzionalità del nostro programma consentano all'azienda di crescere. Molte persone pensano alla sicurezza come a un gioco difensivo, come ad esempio nel settore delle assicurazioni.

Clarke Rodgers (10:04):
Certo.

Mike Wagner (10:05):
Consideriamo la sicurezza non solo da un punto di vista difensivo, ma anche di accesso. Anzi, l'accesso è un fattore che incoraggia. Ho già menzionato l'accesso per i consumatori, l'accesso per i nostri clienti, l'accesso per i nostri fornitori, sicuramente per la nostra forza lavoro. Se riusciamo a rendere l'accesso più semplice e fluido, possiamo consentire all'azienda di andare più velocemente. Nei nostri processi di sviluppo, ci assicuriamo che la sicurezza sia spostata a sinistra e faccia parte della pipeline man mano che lanciamo nuove release per la tecnologia. Queste sono state le lezioni che abbiamo imparato all'inizio del percorso e che ci hanno permesso di essere un vero partner dell'azienda e con molta credibilità.

Clarke Rodgers (10:49):
Fantastico. Quindi, cambiamo argomento e parliamo di come assegnare personale al tuo programma di sicurezza. Hai già parlato del tuo programma per i campioni e del lato OT delle cose. Al di fuori dell'OT, esiste un modo che possa effettivamente moltiplicare le forze per il team di sicurezza all'interno dell'organizzazione?

Mike Wagner (11:10):
Sicuramente contiamo sul coinvolgimento di persone con competenze di ingegneria del software. Abbiamo assunto parecchi militari. Competenze come la comprensione dell’implementazione del software e del codice sono molto più importanti e sono state oggetto di maggiore attenzione di recente. Sicuramente l'intelligenza artificiale può aiutare il nostro programma di sicurezza ma come possiamo coprire un'impronta di produzione globale con un numero fisso di dipendenti? Non vediamo l'ora di esplorare altre opzioni che l'IA può fornire.

Dal punto di vista umano, tengo d'occhio le persone che fanno parte dell'Air Force e dei diversi forum militari. Abbiamo avuto programmi in cui abbiamo coinvolto veterani dopo la fine del loro periodo di servizio. Alcuni di questi programmi consentono ai veterani di conseguire una laurea mentre lavorano. Quindi ha avuto molto successo.

Per i veterani che fanno parte dell'azienda, abbiamo una serie fantastica di vantaggi. Siamo molto amichevoli con i militari, nel senso che possono dimettersi con due settimane di preavviso o se vengono richiamati, per esempio. Sicuramente ci assicuriamo che i benefici per i nostri veterani siano tanti e continui.

Ho sentito dire che molte volte le persone hanno difficoltà ad assumere e che l'assunzione di bravi talenti è una delle sfide che i CISO dovranno affrontare nei prossimi anni e che hanno dovuto affrontare in passato. Uso spesso l'analogia, mi sento come un allenatore di football universitario. Esco e assumo personale prima ancora che i posti di lavoro siano aperti. Mi rivolgo ai talenti, stabilisco relazioni, frequento diversi forum in cui so che ci saranno buoni talenti.

E alla fine faccio degli affari, ma con le persone. Stringere mani, mantenere i contatti, stabilire una connessione con persone speciali e, alla fine, sperare di avere successo. E nel caso della creazione dello staff informatico per Kenvue, siamo stati abbastanza fortunati da coinvolgere alcune persone di grande talento provenienti da grandi aziende per assicurarci che la nostra organizzazione informatica fosse dotata di personale estremamente efficiente e produttivo.

Clarke Rodgers (13:50):
È una storia fantastica. Rimanendo sul versante della cultura, ancora una volta, poiché il ruolo del CISO si è evoluto nel tempo, i CISO e il dipartimento di sicurezza in generale sono stati spesso considerati il dipartimento del "No". È vero? E i nostri clienti CISO di maggior successo oggi considerano il dipartimento di sicurezza un fattore abilitante e un dipartimento del "Sì, ma...". È vero? Quindi meno poliziotto, più allenatore. Come vanno le cose nella tua organizzazione e come è avvenuta questa transizione nel corso degli anni?

Mike Wagner (14:29):
Vogliamo essere riconosciuti come facilitatori. Vogliamo assicurarci che il dipartimento della sicurezza informatica non sia considerato solo responsabile della difesa, ma anche degli accessi. Quindi come siamo riusciti a farlo? Attraverso la formazione. Quando forniamo formazione e sensibilizzazione all'azienda, si stabilisce una relazione. Che si tratti di "Ehi, guarda cosa è successo a uno dei nostri concorrenti" o magari a un'azienda che conosci o a un fornitore di servizi logistici terzo a cui potrebbe essere stato chiesto un riscatto, capiscono che non vogliono trovarsi in quella stessa posizione.

Quindi, attraverso questa formazione, l'azienda è stata davvero molto brava con noi nel consentirci di prescrivere una buona strada da percorrere. Sono fermamente convinto che i nostri rapporti con i fornitori di servizi cloud stiano rendendo le cose non solo più sicure, ma consentono anche la velocità con cui tale tecnologia deve essere implementata, in maniera più rapida, migliore ed economica. E all'azienda piace. Voglio dire, se l'azienda vede che riusciamo a fornire il prodotto ai nostri clienti a un prezzo accessibile, in maniera più rapida, migliore ed economica, allora accetteranno.

Clarke Rodgers (15:52):
Grandioso. So che non hai una sfera di cristallo, ma se dovessimo avere di nuovo questa conversazione tra cinque anni, di quali sfide e opportunità per i CISO parleremmo?

Mike Wagner (16:08):
Beh, penso che tra cinque anni saremo molto più maturi e capiremo meglio come questi robot dotati di intelligenza artificiale funzioneranno, contribuendo ad aumentare la forza che già abbiamo. Penso che la formazione continuerà in modo che l'azienda sia ancora più attrezzata per comprendere cosa stiamo facendo. Certo, ora siamo al tavolo di comando. Penso che continueremo e matureremo, non solo come voce tecnologica ma anche come voce imprenditoriale.

Non sono così sicuro che il CISO sarà nel dipartimento IT o sotto il CIO. Penso che ci siano diversi punti in cui potrebbe essere, ma sicuramente penso che sarà un grande contributo e una parte importante delle decisioni aziendali che vengono prese e dei diversi fornitori e clienti con cui abbiamo a che fare.

Clarke Rodgers (17:15):
Grandioso. Mike, grazie mille per esserti unito a me oggi.

Mike Wagner (17:19):
Ottimo! Grazie mille, Clarke.