Clarke Rodgers (00:08):
Mike, muito obrigado pela sua participação.

Mike Wagner (00:10):
Obrigado, Clarke. É um prazer estar aqui.

Clarke Rodgers (00:12):
Você pode nos contar um pouco sobre seu cargo e suas responsabilidades.

Mike Wagner (00:16):
Clark, sou CISO de uma empresa chamada Kenvue. A Kenvue fazia parte da família de empresas Johnson & Johnson. Você provavelmente já ouviu falar de alguns dos produtos que fabricamos, como Tylenol, Motrin, Aveeno, Neutrogena e Johnson's Baby.

Meu papel na empresa é garantir que os dados, os sistemas e as pessoas estejam protegidos adequadamente contra ameaças existentes. Ao mesmo tempo em que garantimos que estamos protegidos, também estamos capacitando os negócios para garantir um acesso mais rápido, mais simplificado e econômico para nossos consumidores, clientes, fornecedores e, sem dúvida, para nossa força de trabalho.

Clarke Rodgers (01:01):
Indo um pouco mais fundo, você pode me contar um pouco sobre sua experiência em segurança antes de assumir esse cargo? Sei que você não começou necessariamente como CISO.

Mike Wagner (01:11):
Sim, é verdade. Bem, fui para a Academia da Força Aérea dos Estados Unidos e trabalhei em diferentes funções na organização de segurança cibernética da Força Aérea. Uma dessas funções foi no escritório de investigações especiais na área de Washington durante o 11 de setembro. Eu me desliguei no início dos anos 2000, mas continuei como reservista. Foi bom ter um pequeno caminho paralelo com a América corporativa e a Força Aérea.

Em uma carreira como segurança cibernética, ambas se complementam muito bem, pois você adquire informações e pode colocá-las em prática no lado reservista ou da guarda nacional e também é capaz de aplicar essas técnicas, lições e informações no espaço corporativo. No espaço corporativo, estive em alguns setores diferentes. Comecei nas telecomunicações. Tive uma rápida passagem por serviços financeiros e, nos últimos 15 anos, trabalhei principalmente no setor de saúde.

Nos últimos cinco ou seis anos, meu foco esteve na nossa cadeia de suprimentos, nossos empreendimentos e na cadeia de suprimentos global, bem como na parte da segurança relacionada às tecnologias operacionais à medida que a empresa desenvolvia sua estratégia de cadeia de suprimentos digital, garantindo que diferentes janelas fossem abertas e permanecessem protegidas na rede corporativa e que somente o acesso apropriado estivesse sendo liberado e também lidando com todos os nossos fornecedores, sistemas de logística, rede, fornecedores terceirizados de logística, etc, garantindo que todos estivessem alinhados e/ou trabalhando com eles em caso de incidentes.

Clarke Rodgers (03:01):
Interessante. Você pode falar um pouco sobre sua transição da vida militar para a vida corporativa? Foi uma grande transição para você ou talvez não tão difícil pelo fato de a segurança cibernética meio que permear tudo?

Mike Wagner (03:16):
Sabe, o interessante é que, quando você é um oficial do exército, você entra e, pronto, com 22 anos de idade você tem 25 pessoas subordinadas a você. No mundo corporativo, você precisa se provar um pouco mais. Eles simplesmente não te dão esse tipo de credibilidade imediatamente. Então, no sentido de liderança, foi um simples retorno ao básico: cultivar confiança e credibilidade e envolver-se com o que as pessoas estavam planejando e fazendo.

Mas, do ponto de vista profissional, em termos de habilidades técnicas, cibernéticas e militares e de proteção de uma rede, as mesmas técnicas e táticas se aplicam à proteção de uma rede corporativa. Além disso, você também pode se apoiar nisso com seu próprio propósito interno. O propósito interno é muito importante para todos nós, além da defesa de redes, dados e pessoas.

Clarke Rodgers (04:11):
Ter essa missão.

Mike Wagner (04:13):
Sim, é parte do meu propósito. Faz parte do meu DNA.

Clarke Rodgers (04:17):
Impressionante! No mundo corporativo e no seu cargo atual, normalmente vemos que os CISOs evoluíram com o passar do tempo. Costumava ser um cargo muito, muito técnico e não muito focado nos negócios, mas agora estamos vendo CISOs e CSOs realmente fazendo parte da liderança sênior das organizações: reportando-se regularmente à diretoria e realmente falando a linguagem dos negócios em vez da linguagem dos bits, bytes e firewalls. Como você fez essa transição? Falamos sobre confiança há apenas um minuto. Como você conquista a confiança dos outros executivos seniores da sua organização?

Mike Wagner (04:58):
Sim, acho que uma das maiores habilidades de qualquer profissional de segurança, sem dúvida para um CISO, é a capacidade de se relacionar com as pessoas, sabe? Ter uma conexão, algo em comum que as leve a ouvir o que você está falando. Quando você consegue criar essa conexão e definir uma meta para ensinar o que é segurança cibernética e por que ela é importante, fica muito mais fácil.

E esses são apenas os fundamentos, mas basicamente, eles se resumem em ter acesso à alta gerência e garantir que todos entendam o que é segurança cibernética e percebam que se trata de uma responsabilidade comercial. E, francamente, eles deveriam estar usando nossos serviços para ajudar a viabilizar os negócios.

Somos uma grande empresa de saúde do consumidor. Temos mais de um bilhão de consumidores e queremos continuar crescendo. Esses consumidores vão comprar cada vez mais diretamente de nós. Então, como podemos fazer com que eles cheguem aos nossos produtos, que achamos que os tornam pessoas melhores e mais saudáveis, seja com protetores solares, Tylenol ou talvez para que seus bebês se sintam melhor.

Por isso, queremos facilitar o acesso. Também queremos garantir que eles saibam que podemos proteger seus dados. E, certamente, além disso, trabalhando com nossos consumidores, nossos grandes fornecedores e, certamente, toda a força de trabalho. Queremos tornar essa experiência do usuário, a experiência de pessoas interagindo com nossos sistemas, muito mais fácil, perfeita e segura.

Clarke Rodgers (06:33):
O que você acabou de descrever é um desafio comum para os CISOs, certo? Ou seja, construir essa cultura da segurança fora da organização de segurança. As pessoas entendem que é um bom negócio ter a segurança incorporada logo no começo e com frequência, certo? Como você faz ou que tipo de programas você implementou para ajudar a criar essa cultura da segurança na sua organização?

Mike Wagner (06:58):
Um programa que implementamos, que tem sido muito bem-sucedido, é este conceito: falei um pouco sobre tecnologia operacional, ou OT. Somos um fabricante global. Temos dezenas de fábricas e centenas de fornecedores terceirizados de logística. Criamos o que chamamos de programa campeão de OT, no qual conhecemos e temos um ponto de contato que é um defensor da segurança nos negócios da cadeia de suprimentos.

Clarke Rodgers (07:28):
Ah, interessante.

Mike Wagner (07:29):
Claro. Quero dizer, essas pessoas, nós as treinamos, como um programa do tipo “treinar o treinador”. Mas, mais do que isso, somos um recurso para elas. Somos defensores delas, e elas defendem nosso programa. Ele teve sucesso porque nos permitiu penetrar em espaços onde, de outra forma, não seríamos capazes de penetrar.

Falamos anteriormente sobre o que temos em comum com o exército. É como quando os EUA vão para o exterior ou as tropas vão para o exterior: eles dependem dos habitantes locais para se locomover. Eles conhecem a geografia e o terreno. Eles sabem onde devem ficar atentos e qual é a melhor posição. É basicamente o mesmo tipo de mentalidade que, ao contratar ou substituir pessoas na empresa, nesse caso na cadeia de suprimentos: elas podem nos ajudar a ter mais sucesso e, por sua vez, nós as ajudamos a proteger os negócios e a não virar manchete de jornal. A entregar nossos produtos aos consumidores que precisam desses produtos.

Clarke Rodgers (08:33):
Sobre esse programa que você lançou: os líderes de negócios viram as vantagens que ele traz?

Mike Wagner (08:40):
Com certeza. Como a segurança está se tornando mais popular, os líderes empresariais dessas unidades sabem que seu pessoal tem conexões com o nosso programa. E, em muitos casos, já conversamos com os líderes deles. Assim, há um conforto, as rodas já estão lubrificadas e, portanto, é um ponto de entrada mais suave. Eles estão preparados e prontos para receber a contribuição e a instrução que estamos dando a eles.

Clarke Rodgers (09:15):
Na hora de informar os riscos para eles, você pode descrever um pouco sobre como faz isso e como torna a segurança real para eles? Tradicionalmente, acho que, como os CISOs da velha guarda, o relatório seria um gráfico de matrizes de vulnerabilidades, programas de correção e coisas do gênero que, muitas vezes, não repercutem nas diretorias. Como você está comunicando os riscos às diretorias?

Mike Wagner (09:38):
Colocamos isso em termos de riscos comerciais e impacto sobre os negócios. Certamente, estamos trabalhando para minimizar esse impacto por meio dos controles que temos em vigor. Também estamos falando sobre nosso programa, como ele está evoluindo e como os recursos dele estão permitindo que a empresa cresça. Muitas pessoas pensam na segurança como uma jogada defensiva, talvez no contexto de uma jogada de seguros.

Clarke Rodgers (10:04):
Claro.

Mike Wagner (10:05):
Analisamos a segurança não apenas sob o prisma de uma jogada defensiva, mas também em termos de acesso. E o acesso é um facilitador. Já mencionei acesso para nossos consumidores, nossos fornecedores e certamente nossa força de trabalho. Se pudermos tornar o acesso mais fácil e contínuo, poderemos permitir que os negócios avancem com mais rapidez. Em nossos processos de desenvolvimento, garantir que a segurança seja antecipada e faça parte do pipeline à medida que implementamos novos lançamentos de tecnologias. Foram as lições que aprendemos logo no início do jogo, o que nos permitiu ser um verdadeiro parceiro do negócio e com muita credibilidade.

Clarke Rodgers (10:49):
Fantástico! Vamos mudar um pouco de assunto e falar sobre como contratar pessoal para seu programa de segurança, pode ser? Você já falou sobre seu programa de campeões e o lado das coisas em termos de tecnologias operacionais. Fora das tecnologias operacionais, você tem alguma forma de multiplicar a força da sua equipe de segurança dentro da organização?

Mike Wagner (11:10):
Sem dúvida contamos com a contratação de pessoas com habilidades em engenharia de software. Contratamos vários militares. Habilidades como entender a implantação e o código do software são muito mais importantes e têm estado mais em foco ultimamente. Sem dúvida, à medida que analisamos como a IA pode ajudar nosso programa de segurança e como podemos abranger uma área de manufatura global com um número limitado de funcionários. Estamos ansiosos para explorar mais opções que a IA é capaz de oferecer.

Do ponto de vista humano, observo as pessoas que estão na Força Aérea e em diferentes fóruns militares. Tivemos programas em que contratamos veteranos após o término de seu período de serviço. Alguns deles permitem que os veteranos recebam seus diplomas universitários enquanto trabalham. Isso tem trazido muito sucesso.

Para os veteranos que fazem parte da empresa, temos um programa de benefícios fantástico. Somos muito amigáveis com os militares com relação às folgas ou quando eles são convocados, por exemplo. Sem dúvida, garantimos que os benefícios sejam bons e sólidos para os nossos veteranos.

Ouvi dizer que as pessoas costumam ter dificuldade em contratar e que contratar bons talentos é um dos desafios que os CISOs já estão enfrentando e enfrentarão ainda mais nos próximos anos. Costumo dizer que me sinto como um técnico de futebol na escola. Saio e recruto antes mesmo de termos as vagas abertas. Meu foco é em talentos, em criar relacionamentos, entrar em fóruns variados onde sei que haverá bons talentos.

E, no final das contas, é um negócio que lida com pessoas. Você aperta mãos, mantém conexões, faz conexão com aquela pessoa especial que, em última análise, espera que dê certo quando precisar. E, no caso da formação da equipe segurança cibernética da Kenvue, tivemos a sorte de receber pessoas muito talentosas de ótimas empresas para garantir que nossa organização tivesse uma equipe muito eficiente e produtiva.

Clarke Rodgers (13:50):
É uma história fantástica. Continuando com o lado cultural das coisas, mais uma vez, à medida que o cargo do CISO evoluiu ao longo do tempo, o CISO e o departamento de segurança em geral têm sido vistos como o departamento do “Não” Certo? E nossos clientes CISOs mais bem-sucedidos atualmente estão realmente vendo o departamento de segurança como um facilitador e um departamento do “Sim, mas”. Certo? Portanto, menos controlador e mais treinador. Como estão as coisas na sua organização e como essa transição aconteceu com o passar dos anos?

Mike Wagner (14:29):
Queremos ser reconhecidos como facilitadores. Queremos garantir que o departamento de segurança não seja visto apenas como uma defesa, mas também como facilitador do acesso. Como conseguimos fazer isso? Na verdade, por meio da instrução. E, quando estamos divulgando instrução e conscientização para a empresa, todos entendem. Seja “Ei, veja o que aconteceu com um de nossos concorrentes”, ou talvez uma empresa que você conhece, ou um fornecedor de logística terceirizado que pode ter sido vítima de ramsonware. Eles reconhecem que não querem estar nessa posição.

Então, através dessa instrução, a empresa tem sido muito legal conosco no sentido de nos permitir prescrever um bom caminho a seguir. Acredito firmemente que nossos relacionamentos com os provedores de nuvem estão tornando nossos ativos não só mais seguros, como também estão permitindo que essa tecnologia seja muito mais rápida, melhor e mais barata de implantar. E as empresas gostam disso. Quero dizer, se a empresa perceber que queremos levar o produto aos nossos clientes a um preço acessível, de maneira mais rápida, melhor e mais barata, então todos vão concordar.

Clarke Rodgers (15:52):
Impressionante! Sei que você não tem uma bola de cristal, mas se tivéssemos essa conversa novamente daqui a cinco anos, quais seriam, na sua opinião, os maiores desafios e oportunidades para os CISOs?

Mike Wagner (16:08):
Bem, em cinco anos, diria que estaremos muito mais maduros e compreensivos sobre como esses robôs de IA certamente funcionam para ajudar a aumentar a força que temos. Acho que a educação continuará para que a empresa esteja ainda mais bem equipada para entender o que estamos fazendo. Certamente, estamos à mesa agora. Acho que isso vai continuar e amadurecer, talvez não apenas como uma voz tecnológica, mas também como uma voz comercial.

Não tenho certeza se o CISO estará tradicionalmente no departamento de TI ou sob o comando do CIO. Acho que há diferentes lugares onde isso poderia acontecer, mas certamente acho que será um grande fator contribuinte e uma grande parte das decisões de negócios que são tomadas e dos diferentes fornecedores e clientes com os quais estamos lidando.

Clarke Rodgers (17:15):
Impressionante! Mike, muito obrigado pela sua participação.

Mike Wagner (17:19):
Ótimo. Muito obrigado, Clarke.