Clarke Rodgers (00:08):
Darren, grazie mille per esserti unito a me oggi.

Darren Kane (00:10):
Grazie a te, Clarke, per l'opportunità.

Clarke Rodgers (00:11):
È un piacere. Potresti parlarmi un po' di te, del tuo background e del tuo ruolo in NBN.

Darren Kane (00:18):
Va bene. Beh, sono sposato e sono padre di quattro figli. Attualmente sono il Chief Security Officer presso l'Australia's National Broadband Network, una società commerciale interamente controllata dal governo, che fornisce servizi a banda larga all'ingrosso a circa 8,6 milioni di sedi in tutta l'Australia, con la possibilità di connettersi a oltre 11 milioni di locali.

Ricopro questo ruolo da otto anni e mezzo. In passato, per 11 anni e mezzo ho ricoperto ruoli nell'ambito della sicurezza, inclusa una sorta di sicurezza aziendale diretta presso Telstra. Prima di allora, ho lavorato per sei anni e mezzo con il governo, con la vostra SEC, la nostra Australian Securities Investment Commission. E prima ancora, circa 13 anni nella polizia federale australiana. Quindi, il mio background è stato in gran parte nelle forze dell'ordine e nella sicurezza da quasi 40 anni.

Clarke Rodgers (01:05):
Wow. Ho incontrato numerosi CISO dei clienti e ho visto questo ruolo evolversi nel tempo; è giusto dire che negli ultimi 10 o 15 anni c'è stata una progressione costante dell'ufficio di sicurezza verso una figura che dobbiamo assolutamente avere. E forse la cosa divertente è che lasci questa figura nascosta e la tiri fuori solo quando è assolutamente necessario. Ad oggi, i CISO riferiscono regolarmente ai consigli di amministrazione. Sono a tutti gli effetti dei dirigenti, fanno parte dell'azienda in generale. Puoi dirci qualcosa su come hai visto questo ruolo evolversi nella tua esperienza, e magari in particolare in Australia?

Darren Kane (01:44):
In primo luogo, il ruolo del CISO, Chief Information Security Officer, è incredibilmente importante. Man mano che le aziende sono diventate più efficienti ed efficaci, basandosi su piattaforme tecnologiche ed entrando nell'era digitale, il ruolo del CISO nella gestione dei rischi di sicurezza in quell'ambito è cresciuto in modo esponenziale. Ma lo stesso vale per tutto ciò che si trova su quelle piattaforme tecnologiche.

Quindi, il ruolo del CISO di concentrarsi solo sulla sicurezza delle informazioni è diventato in realtà quasi ridondante. Ora viene chiesto di concentrarsi effettivamente su aspetti come la privacy, la risposta agli incidenti, la continuità aziendale, in particolare le questioni relative alla tecnologia operativa. E poiché disponiamo effettivamente di sistemi di controllo degli accessi per la creazione di punti di accesso, poiché abbiamo requisiti per le indagini forensi digitali e così via, stiamo scoprendo che il ruolo del CISO, come lo chiami tu, il CISO, è cresciuto fino a coinvolgere effettivamente questioni diverse dalla sicurezza delle informazioni.

Io sono senza dubbio uno che pensa che l’IO deve scomparire. Se hai bisogno di un CISO nei grandi ruoli aziendali di oggi, credo che dovresti davvero avere un CSO. E tutte quelle aree di responsabilità di cui ho parlato sono incredibilmente importanti al giorno d'oggi. Programmi privilegiati affidabili, privacy e violazione della privacy, risposta agli incidenti: questa è una vasta gamma di responsabilità. E per il CEO, i dirigenti e il consiglio di amministrazione che hanno effettivamente fiducia in questo sforzo semplificato, non è insolito avere una persona responsabile per questo. Quella persona ora è il CSO.

Vorrei anche aggiungere che l'importanza sia del CISO che del CSO nell'azienda moderna o nell'entità moderna è diventata estremamente significativa. Il consiglio di amministrazione, i vertici e il governo in particolare comprendono ora i rischi che la sicurezza rappresenta. Quindi, l'individuo a cui è stato assegnato il compito di gestirla ha un ruolo più significativo e ci si aspetta che sia in grado di articolare e comunicare, oltre che di gestire e guidare.

Clarke Rodgers (03:57):
Mi piacciono le persone che non sono troppo concentrate sull’IO. Dobbiamo scriverlo su una maglietta. Tornando a questo punto, hai parlato della gestione del rischio complessivo per l'organizzazione. Come fa un CSO o un CISO a conciliare la necessità dell'organizzazione di innovare e avere successo dal punto di vista aziendale con tutte le cose che devono essere fatte dal punto di vista del rischio di sicurezza, della conformità e della privacy? Come si possono "vendere" gli aspetti di sicurezza ai leader aziendali pur continuando a innovare per i propri clienti?

Darren Kane (04:40):
Questa è una sfida. Non ci sono dubbi. E penso che in passato ne siamo stati tutti colpevoli, me compreso. In realtà sfido continuamente l'azienda a comprendere e apprezzare il rischio di cui siamo effettivamente responsabili. E così facendo, spesso catastrofizziamo il rischio e chiediamo che affrontino il rischio fornendo ulteriore supporto in termini di risorse o un effettivo sostegno finanziario. E per risorse intendo ovviamente la forza lavoro.

È anche il riconoscimento del rischio che abbiamo gestito. Ora, penso che abbia funzionato per un po', mentre in realtà stavamo facendo ogni sorta di sforzo per garantire che comprendessero e apprezzassero il rischio. Ma ultimamente, secondo quanto dici, i consigli di amministrazione più competenti e i dirigenti sicuramente competenti hanno ora un’incredibile comprensione del rischio per la sicurezza. Il loro problema è: cosa stiamo facendo per controllarlo e come gestirlo in base alle necessità?

E questo è il punto, cioè che se continui a vendere il rischio semplicemente come una catastrofe, diventa difficile. Il mio approccio consiste nel lavorare con i dirigenti che mi supportano e con il consiglio di amministrazione che è comprensivo, li aiuto a comprendere l'importanza di una buona maturità in materia di sicurezza, di un atteggiamento forte e di igiene. E soprattutto, quali sono i vantaggi e le opportunità che ne derivano. Il fatto è che se hanno la certezza che stiamo gestendo il rischio in maniera vincente, possono poi togliermi i finanziamenti e collocarli da qualche altra parte nel business, e magari destinarli alla resilienza?

Clarke Rodgers (06:21):
Giusto.

Darren Kane (06:21):
Possono davvero dormire un po' più serenamente la notte e concentrarsi su altre questioni come la forza lavoro? Il mio approccio è che la sicurezza dovrebbe essere vista come un fattore abilitante piuttosto che qualcosa che dice “no” o come un ostacolo. La migliore analogia che posso usare è che se si riesce a pensare a un'entità come a un veicolo a motore ad alte prestazioni di cui l'amministratore delegato è il conducente, si potrebbe pensare che i freni del veicolo a motore, che sono il gruppo di sicurezza, siano lì per fermare il veicolo a motore. Questa è l’idea più comune nei nostri confronti.

E chiaramente non sono d'accordo. Credo che i freni siano presenti in modo che l'amministratore delegato, il conducente del veicolo, possa portare l'auto ai suoi limiti.

Clarke Rodgers (07:06):
Con questa certezza, vai più veloce.

Darren Kane (07:07):
Fino al limite della sua prestazione, in quanto esistono la fiducia e la consapevolezza di poter premere i freni e fermarsi se necessario. In questo modo il gruppo di sicurezza corrente consente all'azienda di raggiungere il limite delle proprie capacità prestazionali.

Clarke Rodgers (07:22):
Mi piace. Mi piace. Quindi, fai rapporto tu stesso al consiglio?

Darren Kane (07:25):
Lo faccio spesso tramite il comitato di ordinanza e partecipo in occasioni particolari, sicuramente due volte all'anno. E ovviamente, fino al vertice aziendale, faccio rapporto diretto al gruppo dirigenziale e lo faccio tutte le volte che è necessario.

Clarke Rodgers (07:40):
A che genere di informazioni, senza entrare nei dettagli specifici, sono interessati i consigli di amministrazione o i dirigenti? Perché per anni è stato: "Ho applicato patch a così tante macchine. Avevamo così tante vulnerabilità. Ho inserito questo nuovo software di sicurezza per eliminare queste vulnerabilità". Sono ancora interessati a bit e byte o state comunicando loro il rischio in un modo diverso?

Darren Kane (08:10):
Penso di comunicare il rischio in un modo diverso. Ciò che hai appena descritto è piuttosto dettagliato e più un rapporto di gestione all'EXCO che non al consiglio di amministrazione. Ma sono un CSO, il Chief Security Officer, quindi ho la responsabilità aziendale per tutto ciò che riguarda i rischi per la sicurezza in tutta la NBN, che include l'accesso completo a 8,6 milioni di sedi. L'85-86% di tutti i dati in Australia passa attraverso la nostra rete.

Clarke Rodgers (08:39):
Wow.

Darren Kane (08:40):
Quando parlo ai consigli di amministrazione e ai dirigenti adotto un approccio molto olistico. Se mi viene chiesto di approfondire qualcosa, fornirò dati più dettagliati. Ma nel contesto attuale, le questioni geopolitiche, le minacce ambientali, i problemi in Ucraina, i problemi nell'Indo-Pacifico, i problemi con la catena di approvvigionamento, ad esempio, sono estremamente significativi. Ovviamente il rischio informatico, lo stato nazionale e la criminalità informatica sono un problema significativo, come in qualsiasi altra parte del mondo.

Quindi, c'è un’ampia gamma di questioni di cui posso parlare. Se tu mi rivolgessi una domanda specifica sulla sicurezza informatica, fornirei sicuramente alcuni dettagli in merito e spiegherei come stiamo utilizzando i controlli in atto per gestirla. Ma a volte cerco di mantenere una visione più ampia e globale di ciò che riporto.

Clarke Rodgers (09:36):
In genere quantificate il rischio in termini di P&L e denaro? Immagino che, in quanto membro del consiglio, quello che cerchi di capire veramente sia che lingua vuoi parlare e decidere quindi come adattare la tua conversazione a loro.

Darren Kane (09:52):
Questo è un ottimo punto. Tradizionalmente, si tratta di parametri difficili, come hai detto prima. Ma penso che il futuro risieda nell'analisi quantitativa e nella capacità di identificare effettivamente i rischi nel linguaggio aziendale. Quindi l'entità in realtà lavora con i dollari e con le percezioni. Pertanto, non credo sia appropriato quando parlo a consigli di amministrazione, EXCO o chiunque altro, usare espressioni come "superficie di attacco", come "minaccia interna", un linguaggio da "cattivo". Anche l'esempio e la tendenza più recenti nel nostro settore, cioè "Zero Trust".

Clarke Rodgers (10:32):
Giusto.

Darren Kane (10:33):
Il mio impegno è fare in modo che il consiglio e chiunque lavori con me si fidino. Quindi provare a usare una parola che per me è quasi un anticristo è davvero un brutto tentativo di informarli su ciò che sto cercando di fare. Penso che l'analisi quantitativa e l'utilizzo del denaro per identificare effettivamente il rischio come costo complessivo rispetto al costo di controllo, e quindi il rischio residuo, siano probabilmente l'approccio migliore. Non l'ho perfezionato, ma è sicuramente qualcosa che sto cercando di fare.

Clarke Rodgers (11:02):
Grandioso. Spostandoci su un altro argomento, il personale. Quindi, devo ancora incontrare un CISO o un CSO che sia soddisfatto della quantità di personale di sicurezza che lavora per loro, nel senso che ritiene "di averne abbastanza". Possiamo sempre fare di più. Ho parlato con diverse persone che hanno idee diverse su come ampliare il team di sicurezza in tutta l'organizzazione senza dover assumere personale addetto ai badge di sicurezza aggiuntivi. Cosa state facendo alla NBN per mettere davvero la sicurezza davanti a tutto e a tutti all'interno dell'azienda quando potreste avere uno staff di sicurezza limitato?

Darren Kane (11:46):
Considero il rinnovamento tanto importante quanto la fidelizzazione. Quindi, in qualche modo, il mio obiettivo è il rinnovamento. Posso offrire solo una quantità limitata di denaro per fidelizzare il personale. Posso offrire solo un numero limitato di opportunità di avanzamento, di sviluppo e altro per fidelizzare il personale.

In fin dei conti, il settore ha bisogno di talenti. Se ho un talento con me ed è il suo momento di cambiare aria, gli auguro buona fortuna. Il mio compito è garantire che ciò che resta della successione e della gestione dei talenti, e quindi chi attraiamo effettivamente nell'organizzazione, sia in grado di colmare il vuoto. Il mio focus è davvero sui programmi di laurea e su un recente stage, di cui sono incredibilmente orgoglioso. Se hai qualche minuto, te lo spiego velocemente.

Clarke Rodgers (12:35):
Certamente.

Darren Kane (12:37):
Abbiamo capito che avevamo bisogno di maggiore diversità nel nostro percorso di laureati e stagisti. Quindi i membri anziani dello SLT e del Security Group hanno preso di mira il TAFE di Box Hill, ovvero il tuo community college. Quindi è stato un TAFE di Box Hill a Melbourne, Victoria, e abbiamo offerto stage a persone che stavano cercando di costruire una carriera nella sicurezza informatica. Abbiamo provato a rivolgerci a coloro che cercavano una carriera secondaria o un ritorno al lavoro, ed è successo che abbiamo trovato cinque donne meravigliose, che tornavano al lavoro dopo una maternità o altri problemi minori, e che tradizionalmente non avevano alcuna esperienza nella sicurezza informatica.

Clarke Rodgers (13:18):
Wow.

Darren Kane (13:19):
Inizialmente abbiamo offerto loro uno stage di sei mesi, che speravamo di prolungare, anche in questi tempi. Il nostro obiettivo era assicurarci che se si fosse presentata l'opportunità di assumerle, l'avremmo fatto. Ma se non avessimo potuto, avremmo dato loro 12 mesi di esperienza nel settore, in modo che in una eventuale candidatura per ruoli esterni o all'interno della stessa azienda, lo avrebbero potuto inserire nel loro curriculum. Sono molto lieto di dire che una di queste persone è stata recentemente acquisita da una delle quattro principali società di consulenza.

Clarke Rodgers (13:46):
Fantastico.

Darren Kane (13:47):
E stiamo facendo tutto il possibile per procurare un'occupazione alle altre. Quando parli con i tirocinanti o con queste donne, ti rendi conto che sono persone incredibilmente capaci che cercano davvero un'opportunità e una possibilità per eccellere. Credo che questo sia l'esempio che il nostro settore in generale, a livello globale, dovrebbe seguire, vale a dire che la maggior parte delle persone che dovrai impiegare nell'azienda devono avere una mente curiosa con un ottimo atteggiamento. Non devono avere necessariamente bisogno di competenze specialistiche perché sappiamo tutti che in realtà assumi per l'atteggiamento, formi il personale per le competenze.

Quindi, per rispondere in breve alla tua domanda, mi concentro sul rinnovamento piuttosto che sulla fidelizzazione. E sono incredibilmente orgoglioso degli ex studenti del Security Group. A Melbourne ci sono circa otto o nove CISO che ora provengono dalla NBN.

Clarke Rodgers (14:37):
È grandioso.

Darren Kane (14:38):
Proprio così. Quindi, dal mio punto di vista, è tanto quello che facciamo per rafforzare il settore quanto per costruire la NBN.

Clarke Rodgers (14:47):
La tua storia sul programma di tirocinio è fantastica. Come saprai, parlo con molti CISO e ognuno di loro racconta della diversità all'interno dei loro team, della diversità di opinioni, della diversità di background, della diversità di esperienze. Puoi condividere qualcosa su questo tipo di diversità nel tuo team? Non tutti avevano un background informatico, non tutti sono ricercatori di sicurezza incalliti. Forse avevi qualcuno delle Risorse umane, forse avevi qualcuno con un background finanziario che alla fine è diventato un ottimo professionista della sicurezza.

Darren Kane (15:19):
Ancora una volta, sorrido perché la tua domanda è proprio sulla mia lunghezza d’onda. Credo fermamente nel fatto che se vuoi proteggere un villaggio, hai bisogno che gli abitanti del villaggio di ogni ceto sociale contribuiscano. Ho una bella storia. Un tizio mi ha chiamato. Durante la pandemia, durante il lockdown, lavorava per una delle nostre compagnie aeree nazionali. Un membro dello staff molto anziano, un capitano che ha addestrato altri capitani su Airbus. È stato licenziato. Ha finito per frequentare un community college chiamato Box Hill TAFE, e mi ha contattato su LinkedIn. Una storia interessante.

Ovviamente ho risposto e ho detto che ero interessato. E ho detto: "Bene, dove devo venire a prenderti?" A mia insaputa, qualche tempo dopo aveva fatto domanda per un ruolo presso la NBN e lo abbiamo assunto con un contratto.

Clarke Rodgers (16:08):
Giusto.

Darren Kane (16:09):
Arrivava dalla sua passione per il volo, ma in precedenza aveva lavorato nelle forze dell'ordine nell'Australia occidentale. Quindi c'era un vero e proprio mix.

Clarke Rodgers (16:19):
C’era quel legame.

Darren Kane (16:20): Sì, una vera connessione. Gli abbiamo offerto un contratto di 12 mesi nonostante tutto ciò che avesse era la sua formazione al Box Hill TAFE per 12 mesi, il corso di certificazione. Ovviamente, aveva una grande competenza, sia come leader che come responsabile delle persone, oltre alle sue capacità nel pilotare Airbus e Boeing.

Incredibilmente riuscito. Era perfetto. Volevo davvero farlo lavorare a tempo pieno. Poi la pandemia finisce, torniamo al nostro normale, beh... proviamo a tornare al nostro normale stile di vita. Proprio mentre stava per accettare il ruolo che gli avevamo offerto, gli è stato offerto il ruolo di capitano senior permanente nella compagnia aerea. Ed è stato scritto un ottimo articolo su di lui che tornava a volare dopo aver avuto quell'esperienza.  

Clarke Rodgers (17:14):
Wow.

Darren Kane (17:15):
Proprio così. Ottimo esempio di ciò che hai detto finora. Non aveva niente a che fare con l'esperienza o la capacità. Aveva a che fare con le capacità comunicative e la capacità di impegnarsi effettivamente e la volontà di imparare. E sto scoprendo che se riesci a trovare persone con quel tipo o tutte quelle qualità, avrai successo, perché tutto ciò che cercano è un'opportunità, che crescerà con loro.

Clarke Rodgers (17:41):
E poi le diverse prospettive sono così utili in ogni parte del tuo dipartimento di sicurezza.

Darren Kane (17:46):
Esattamente. E una delle cose che non è così importante in Australia, perché non siamo così diversi per quanto riguarda le competenze linguistiche, ma stiamo scoprendo che laggiù la diversità di origine, di religione e così via, e sicuramente la diversità di genere stanno diventando estremamente importanti. Se sei un leader e un manager competente, non puoi non capire l'importanza della diversità e ciò che apporta a un team.

Clarke Rodgers (18:13):
Quindi, con circa 8,6 milioni di clienti di NBN, più tutti i data center presenti e il fatto che la tecnologia continua a espandersi nella vita di tutti, che ruolo gioca la sostenibilità nel modo in cui NBN gestisce e pensa le proprie risorse e come influisce sui clienti?

Darren Kane (18:34):
Ciò che offriamo come prodotto in NBN consente alle persone di lavorare da qualsiasi luogo, di lavorare da casa. Quindi ci sono problemi di impronta di carbonio e problemi di ufficio senza carta. Ci sono luoghi in cui non lasciamo un'impronta di carbonio perché utilizziamo la tecnologia per migliorarla effettivamente.

Abbiamo 8,6 milioni di locali collegati e potrebbero esserci più persone a casa. Ma a mio avviso si tratta di un'opportunità per colmare il divario digitale in Australia, per fornire l’accesso a tutti coloro che ne hanno bisogno, ma anche per garantire che possiamo utilizzare la tecnologia per ridurre le emissioni di CO2.

Se si pensa alla possibilità di lavorare da casa, credo che non siano state le strade e le ferrovie a salvare l'economia australiana dal punto di vista delle infrastrutture durante i recenti lockdown dovuti al COVID: è stata la connettività.

Clarke Rodgers (19:33):
Certo.

Darren Kane (19:34):
E l'opportunità per le persone di apprendere nuovi modi di lavorare è arrivata grazie a quella tecnologia. Da ciò deriva ovviamente la possibilità di dedicarsi al lavoro ibrido o a distanza, per un maggior numero di persone che vivono in Australia remota e rurale, di ridurre l'impronta di carbonio evitando di viaggiare da e verso il lavoro.

Quindi, dal mio punto di vista, posso vedere che la tecnologia e il modo in cui la utilizzeremo effettivamente in futuro, in particolare attraverso la connettività, offriranno sicuramente riduzioni delle emissioni di carbonio e una maggiore sostenibilità.

Clarke Rodgers (20:09):
Naturalmente. Quindi, so che non hai una sfera di cristallo davanti a te, ma sei nel settore della sicurezza, credo tu abbia detto, da quasi o poco più di 40 anni. Di cosa pensi che parleremo tra cinque anni?

Darren Kane (20:26):
Nel 2025 farò 40 anni di carriera. Non credo di aver mai sperimentato un panorama di minacce come quello che stiamo affrontando attualmente. Non credo che in questo settore possiamo apprezzare ciò che credo l’IA generativa e il machine learning apporteranno al settore in termini di opportunità e progressi tecnologici. Penso che, semmai, aumenterà anche il panorama delle minacce, quindi penso che sia davvero entusiasmante.

Penso che i dati e il volume di dati avranno una crescita esponenziale, così come la capacità di gestirli effettivamente. Ho molte preoccupazioni, suppongo, sull'assicurarmi che la comunità non lasci il rischio di sicurezza a coloro che pagano per la sicurezza. Ha senso? Il mio mantra è che la sicurezza ora diventerà una responsabilità di tutti.

Clarke Rodgers (21:34):
Interessante.

Darren Kane (21:35):
Non puoi dire di essere il Chief Security Officer e che il team ora si assume il rischio, perché quel rischio può essere gestito solo con l’intenzione, garantendo che tutti si impegnino in quell'ambito. Sia l'addetto alle pulizie che si assicura che chiudano la porta dietro di loro che la PA occupata con l'impiegato pigro che non capisce di aver cliccato su un link. Sia, ovviamente, i professionisti della sicurezza informatica nella nostra difesa o i CISO. Tutte queste persone hanno ora la responsabilità, nei prossimi tre-cinque anni, di garantire che apprezzino e comprendano come mettere in atto i controlli per gestire il rischio.

E penso che una delle cose che dobbiamo incoraggiarli a fare sia parlare apertamente quando pensano di aver visto o fatto qualcosa in modo che possiamo gestirlo. E le esercitazioni di phishing e altre cose sono esempi in cui si tratta di un'esperienza di apprendimento. Non dovrebbe essere un'esperienza disciplinare.

Clarke Rodgers (22:37):
Quindi, se questo sarà lo stato futuro, cosa state facendo ora, da una sorta di cultura della sicurezza, per aiutare a costruire quella forza mentale in ruoli che esulano dalla sicurezza in modo che pensino sempre alla sicurezza?

Darren Kane (22:54):
Penso soprattutto che non stiamo catastrofizzando il rischio. Quindi, quello che mi piace cercare di fare è vendere il lato positivo, vendere l'opportunità, non dire sempre: "Non farlo a causa del rischio". Risale a quell'analogia con l'automobile. I freni sono a tua disposizione se ne hai bisogno, ma esci e goditi la vita.

Clarke Rodgers (23:13):
Mi piace. Darren, grazie per essere stato qui con me oggi.

Darren Kane (23:15):
È stato molto bello e una grande opportunità. Fantastico Grazie!