Clarke Rodgers (00:08):
Darren, muito obrigado por participar da sessão de hoje.

Darren Kane (00:10):
Obrigado, Clarke, pela oportunidade.

Clarke Rodgers (00:11):
Certamente. Por gentileza, conte-me um pouco sobre você, sua formação e seu cargo na NBN.

Darren Kane (00:18):
OK. Sou casado e pai de quatro filhos. Atualmente, trabalho como diretor de segurança da National Broadband Network da Austrália, uma empresa estatal de propriedade integral, que presta serviços de banda larga por atacado a cerca de 8,6 milhões de instalações em toda a Austrália, ou seja, com a capacidade de se conectar a mais de 11 milhões de instalações.

Estou nesse cargo há um pouco mais de oito anos. Antes, trabalhei onze anos e meio em cargos de segurança, incluindo uma espécie de diretor de segurança corporativa na Telstra. Antes disso, trabalhei seis anos e meio com o governo, na Australian Securities and Investments Commission (ASIC). E, antes disso, trabalhei mais ou menos 13 anos na Polícia Federal Australiana. Minha experiência tem sido principalmente nas áreas de aplicação da lei e segurança há quase 40 anos.

Clarke Rodgers (01:05):
Uau! Participo de reuniões com muitos CISOs de clientes, e temos visto o cargo do CISO evoluir com o tempo. Considerando isso, é justo dizer que, nos últimos 10 ou 15 anos, houve uma progressão constante do diretor de segurança a ponto de torná-lo indispensável para os negócios. E talvez a ironia seja que eles permanecem nos bastidores e só aparecem quando são absolutamente necessários. Até o momento, temos CISOs que se reportam regularmente a suas diretorias. Eles fazem parte da alta gerência e realmente participam dos negócios em geral. Você pode compartilhar um pouco sobre como viu esse cargo evoluir em sua experiência, e talvez especificamente na Austrália?

Darren Kane (01:44):
Em primeiro lugar, o cargo de CISO (diretor de segurança da informação) é extremamente importante. À medida que as empresas se tornaram mais eficientes e eficazes, aproveitando plataformas de tecnologia e entrando na era digital, o papel do CISO de gerenciar os riscos de segurança nesse espaço cresceu exponencialmente. Mas o mesmo aconteceu com tudo o que está nessas plataformas de tecnologia.

Portanto, o papel do CISO de se concentrar apenas na segurança das informações tornou-se quase redundante. Agora, eles estão sendo solicitados a realmente se concentrar em questões como privacidade, resposta a incidentes e continuidade dos negócios, especialmente questões relacionadas a tecnologias operacionais. E, como temos sistemas de controle de acesso para construir pontos de acesso, como temos requisitos de investigações forenses digitais e assim por diante, descobrimos que o papel do CSO (ou como você diz, do CISO) tem crescido cada vez mais a ponto de englobar outras questões além da segurança das informações.

Sou definitivamente o cara que diz: “Tire o I da sigla”. Se você precisa ter um CISO nos grandes cargos corporativos atuais, acredito que você realmente deveria ter um CSO. E todas essas áreas de responsabilidade que eu mencionei são extremamente importantes hoje em dia. Programas internos confiáveis, privacidade e violação de privacidade, resposta a incidentes: é um grande conjunto de responsabilidades. E para que o CEO, a alta gerência e a diretoria realmente tenham confiança de que se trata de um esforço simplificado, não é incomum ter uma só pessoa responsável por tudo isso. Essa pessoa agora é o CSO.

Também gostaria de acrescentar que a importância do CISO e do CSO na empresa ou entidade moderna se tornou muito, muito significativa. A alta gerência, a diretoria e particularmente o governo compreendem agora os riscos que a segurança representa. Portanto, aquele indivíduo que tinha a tarefa de lidar com ela agora tem uma função mais significativa, e espera-se que ele seja capaz de se articular e se comunicar, bem como de gerenciar e liderar.

Clarke Rodgers (03:57):
Antes de mais nada, curti "o cara que tira o I da sigla"! Precisamos fazer uma camiseta com isso. Mas, voltando um pouco no assunto, você falou sobre gerenciar os riscos gerais da organização. Como alguém no cargo de diretor de segurança (ou diretor de segurança da informação) consegue equilibrar a necessidade da organização de inovar e ter sucesso do ponto de vista dos negócios com todas as coisas que precisam ser feitas em termos de riscos de segurança, conformidade e privacidade? Como você “vende” os aspectos de segurança para os líderes de negócios e, ao mesmo tempo, mantém a inovação para os seus clientes?

Darren Kane (04:40):
Isso é um desafio. Não há dúvida. E acho que no passado todos nós fomos culpados disso, inclusive eu. Estou continuamente desafiando a empresa a compreender e avaliar os riscos pelos quais somos realmente responsáveis. E, ao fazermos isso, muitas vezes definimos os riscos como catástrofes e exigimos que eles sejam abordados por meio de mais suporte de recursos ou apoio de financiamento real. E, quando falo de recursos, eu obviamente me refiro a uma força de trabalho.

É também um reconhecimento dos riscos que gerenciamos. Acho que isso funcionou por um tempo, enquanto estávamos fazendo todos os tipos de esforços possíveis para garantir que eles entendessem e avaliassem os riscos. Mas, ultimamente, a maioria das diretorias competentes e, certamente, os altos executivos competentes agora têm uma compreensão inacreditável dos riscos de segurança. O problema deles é: o que estamos fazendo para controlá-la e como administrá-la dentro dos níveis aceitáveis?

E isso vai ao encontro do argumento de que, se você continuar a vender os riscos apenas como uma catástrofe, essa é uma mensagem muito batida. Eu abordo esse assunto trabalhando com os altos executivos que sei que vão me apoiar, e com a diretoria mais compreensiva, e os ajudo a entender a importância da segurança com boa maturidade, de uma postura sólida e da higiene. E também quais são as vantagens e oportunidades que advêm disso. O fato é que, se eles tiverem certeza de que estamos gerenciando os riscos para ganhar no apetite, eles poderiam cortar os investimentos nessa área e aplicá-lo em outro lugar da empresa, talvez em torno da resiliência?

Clarke Rodgers (06:21):
Certo.

Darren Kane (06:21):
Eles conseguem dormir um pouco mais tranquilos à noite e se concentrar em outras questões, como a força de trabalho? Minha abordagem é que a segurança deve ser vista como um facilitador e não como algo que diz “não” ou que bloqueia. A melhor analogia que posso usar é: imagine que uma entidade é como um veículo motorizado de alto desempenho e o CEO é o motorista, alguém poderia concluir que os freios do veículo motorizado, que é o grupo de segurança, estão lá para parar esse veículo. E é assim que somos geralmente vistos, é a concepção mais comum.

Não concordo com isso. Acredito que os freios estão lá para que o CEO, o motorista do veículo, possa levar o carro até o extremo de seus limites.

Clarke Rodgers (07:06):
E ir mais rápido, por assim dizer.

Darren Kane (07:07):
Até o limite de seu desempenho, com base na confiança e no conhecimento de que podem pisar no freio e parar se for necessário. Assim, o grupo de segurança real permite que a empresa opere no limite de seus recursos de desempenho.

Clarke Rodgers (07:22):
Adoro isso. Adoro isso. Você mesmo se reporta à diretoria?

Darren Kane (07:25):
Faço isso com bastante frequência, por meio do comitê de regulamentação, e me reporto à diretoria em ocasiões específicas, mas com certeza duas vezes por ano como exigência. E, obviamente, à alta gerência, pois sou subordinado direto da alta gerência, e faço isso sempre que necessário.

Clarke Rodgers (07:40):
Em que tipo de informação, sem entrar em detalhes específicos, a diretoria ou os altos executivos estão interessados atualmente? Porque, durante anos, o interesse era: “Apliquei patches em X máquinas. Tivemos Y vulnerabilidades. Implante esse novo software de segurança para acabar com essas vulnerabilidades." Eles ainda estão interessados nesse tipo de coisa, ou você está comunicando os riscos de uma maneira diferente para eles?

Darren Kane (08:10):
Acho que estou comunicando os riscos de uma maneira diferente. O que você acabou de descrever é bastante granular e é mais um relatório da gerência para a EXCO do que para a diretoria. Mas sou o CSO, o diretor de segurança, então tenho uma responsabilidade corporativa por tudo o que tem a ver com riscos de segurança na NBN, o que inclui acesso a 8,6 milhões de instalações. 85% a 86% de todos os dados na Austrália passam pela nossa rede.

Clarke Rodgers (08:39):
Uau!

Darren Kane (08:40):
Então, ao relatar os fatos para a diretoria e a alta gerência, eu adoto uma abordagem muito holística. Se me perguntarem algo mais específico, fornecerei dados mais granulares. Mas, no ambiente atual, as questões geopolíticas, como o ambiente de ameaças, os problemas na Ucrânia, os conflitos na região do Indo-Pacífico, os problemas com a cadeia de suprimentos, são muito significativos. Obviamente, os riscos cibernéticos, os estados-nação e o cibercrime são um problema significativo, como em qualquer outro lugar do mundo.

Então, há uma gama muito ampla de temas sobre os quais eu posso falar. Se me fizerem perguntas específicas sobre segurança cibernética, certamente darei alguns detalhes sobre isso e sobre como estamos gerenciando os controles existentes para controlá-la. Mas, às vezes, tento manter uma visão mais ampla e abrangente do que estou relatando.

Clarke Rodgers (09:36):
E você normalmente quantifica os riscos em termos de perdas/lucros e dinheiro? O que quero dizer é, por exemplo, para um membro da diretoria, que linguagem você deve usar e como você adapta sua conversa a ele?

Darren Kane (09:52):
Não, olha, ótima pergunta. Tradicionalmente, são métricas difíceis, como você disse antes. Mas acho que o futuro está na análise quantitativa e na capacidade de realmente identificar riscos na linguagem da empresa. A entidade de fato trabalha em termos de dólares e bom senso, com ênfase especial em S-E-N-S-O. Portanto, não acho apropriado, quando estou me reportando à diretoria, à EXCO ou a qualquer pessoa, usar uma linguagem como “superfície de ataque”, “ameaça interna” ou “usuário mal-intencionado”. Nem mesmo o exemplo e tendência mais recentes em nosso setor: o “Zero Trust”.

Clarke Rodgers (10:32):
Certo.

Darren Kane (10:33):
E meus esforços incluem fazer com que a diretoria e qualquer pessoa que trabalhe comigo confiem em mim. Então, tentar usar uma palavra que é quase um sacrilégio para mim é, de fato, uma péssima tentativa de informá-los sobre o que estou tentando fazer. Acho que a melhor abordagem é provavelmente a análise quantitativa e o uso de capital para realmente identificar os riscos como um todo em comparação com o custo de controle e, depois disso, definir quais são os riscos residuais. Não aperfeiçoei isso, mas certamente é algo que estou pensando em fazer.

Clarke Rodgers (11:02):
Impressionante! Então, mudando um pouco de assunto, vamos falar sobre alocação de pessoal. Ainda não conheci um CISO, ou CSO, que esteja satisfeito com a quantidade de pessoal de segurança que trabalha para ele a ponto de dizer “Tenho o suficiente”. Sempre podemos ter mais. E falei com vários que têm ideias diferentes sobre como escalar a equipe de segurança em toda a organização sem realmente contratar pessoal adicional com crachás de segurança. O que você está fazendo na NBN para realmente colocar a segurança na frente de todos e em toda a empresa, quando a equipe de segurança é limitada?

Darren Kane (11:46):
Considero a renovação tanto quanto a retenção. De fato, de certa forma, meu foco está na renovação. Há apenas uma quantia limitada de dinheiro que eu posso oferecer para retenção. Há apenas uma quantidade limitada de progressão, desenvolvimento e outras oportunidades que eu posso oferecer para retenção.

No final das contas, o setor precisa de talentos. Se eu tenho talentos, mas chegou a hora de eles partirem, eu simplesmente lhes digo "boa sorte". Meu trabalho é garantir que o que sobrar da sucessão e da gestão de talentos, e quem realmente atrairmos para a organização, sejam capazes de preencher a lacuna. Meu foco realmente é fazer isso através de programas para universitários e um programa recente de estágio, do qual tenho muito orgulho. E, se você tiver cinco segundos, vou te contar rapidamente sobre isso.

Clarke Rodgers (12:35):
Por favor, vá em frente.

Darren Kane (12:37):
Reconhecemos que precisávamos de mais diversidade em nossa seleção de graduados e estagiários. Então, membros seniores da SLT e do grupo de segurança recorreram à Box Hill TAFE, uma faculdade comunitária. Escolhemos a Box Hill TAFE em Melbourne, Victoria, e oferecemos estágios para pessoas que estavam tentando construir uma carreira em segurança cibernética. Tentamos nos voltar para aqueles que buscam uma carreira secundária ou um retorno ao trabalho, e aconteceu que conseguimos cinco mulheres maravilhosas (retornando ao trabalho por conta de outros problemas ou por questões de maternidade e assim por diante) que tradicionalmente não tinham qualquer experiência em segurança cibernética.

Clarke Rodgers (13:18):
Uau!

Darren Kane (13:19):
Oferecemos a elas um estágio inicial de seis meses, que esperávamos estender, mesmo nos tempos atuais. E nosso objetivo era garantir que, se surgisse a oportunidade de empregá-las, nós o faríamos. Mas, se não pudéssemos, daríamos a elas 12 meses de experiência no setor para que, quando se candidatassem a cargos externos ou entre nossas unidades de negócios, elas tivessem todo esse histórico no currículo. E tenho o prazer de dizer que uma delas foi contratada recentemente por uma das quatro mais importantes empresas de consultoria.

Clarke Rodgers (13:46):
Ah, isso é fantástico!

Darren Kane (13:47):
E estamos fazendo o máximo que podemos para contratar as outras. E, conversando com essas estagiárias, percebemos que eram pessoas incrivelmente capazes que estavam realmente à procura de uma oportunidade e uma chance de se destacarem. E acho que esse é o exemplo que nosso setor em geral deve seguir em nível global, ou seja, a maioria das pessoas que você precisa empregar na empresa precisa ter uma mente curiosa e uma ótima atitude. Elas não precisam necessariamente ter habilidades adquiridas, porque todos nós sabemos que você realmente emprega pela atitude e treina para ensinar habilidades.

Então, para resumir sua pergunta, meu foco está mais na renovação do que na retenção. E estou muito orgulhoso dos ex-alunos do Grupo de Segurança. Temos cerca de oito ou nove CISOs em Melbourne agora que passaram pela NBN.

Clarke Rodgers (14:37):
Isso é ótimo.

Darren Kane (14:38):
Com certeza. Do meu ponto de vista, o que fazemos é tanto para fortalecer o setor quanto para reforçar a NBN.

Clarke Rodgers (14:47):
Sua história sobre o programa de estágio é fantástica. Como você sabe, converso com muitos CISOs, e eles falam sobre diversidade em suas equipes, diversidade de opiniões, formações e experiências. Você pode compartilhar um pouco sobre esse tipo de diversidade na sua equipe? Por exemplo, nem todo mundo tem formação em ciência da computação ou é pesquisador de segurança dedicado. Talvez alguém do setor de RH ou alguém com experiência financeira acabou se tornando um ótimo profissional de segurança na sua equipe.

Darren Kane (15:19):
Estou sorrindo mais uma vez porque sua pergunta se encaixa muito bem na minha área de foco. Acredito muito no fato de que, se você pretende proteger uma vila, precisa de todos os tipos de moradores para isso. Tenho uma ótima história. Um colega me procurou. Durante o lockdown da pandemia, ele trabalhava para uma de nossas companhias aéreas nacionais. Era um membro muito sênior da equipe, um capitão que já havia treinado outros capitães na Airbus. Ele foi dispensado. Acabou indo parar em uma faculdade comunitária, a Box Hill TAFE, e me procurou no LinkedIn. É uma história interessante.

Obviamente, eu respondi e disse que estava interessado. E disse: “Bem, para onde você vai?” Sem que eu soubesse, ele se candidatou a uma vaga na NBN algum tempo depois, e nós o empregamos mediante contrato.

Clarke Rodgers (16:08):
Certo.

Darren Kane (16:09):
Ele chegou com uma paixão por voar, mas já havia trabalhado antes na polícia na região da Austrália Ocidental. Portanto, houve um pouco de cruzamento de fato.

Clarke Rodgers (16:19):
Você sentiu essa conexão.

Darren Kane (16:20):Sim, conexão. Contratamos ele por 1 ano e tudo o que ele tinha era o treinamento de 12 meses na Box Hill TAFE, um curso com certificado. E, sem dúvida, ele tinha muita competência, tanto como líder quanto como gerente de pessoal e, obviamente, habilidades adquiridas como piloto de aeronaves Airbus e Boeing.

Um sucesso incrível. Simplesmente caiu como uma luva. Estava muito a fim de empregá-lo como funcionário nosso. A pandemia terminou e voltamos à nossa maneira normal de trabalhar, bem, pelo menos tentamos. Quando estávamos prestes a fechar o acordo com ele, ou seja, ele estava prestes a aceitar o cargo que oferecemos, ele recebeu a proposta de retornar ao cargo de capitão sênior permanente em sua companhia aérea. Isso foi tema de um ótimo artigo sobre ele voltando a voar depois de ter tido essa experiência.  

Clarke Rodgers (17:14):
Uau.

Darren Kane (17:15):
Com certeza. Ótimo exemplo exatamente do que você disse. Nada a ver com experiência ou capacidade e tudo a ver com habilidades de comunicação, capacidade de engajamento e vontade de aprender. Estou descobrindo que você terá sucesso se conseguir encontrar pessoas com alguns ou todos esses tipos de atributos, pois tudo o que elas querem é ter uma oportunidade e tudo o mais crescerá com elas.

Clarke Rodgers (17:41):
Além disso, as diferentes perspectivas são muito úteis em todas as partes do departamento de segurança.

Darren Kane (17:46):
Com certeza. E uma das coisas que não é tão importante na Austrália, porque não somos tão diversificados em termos de habilidades linguísticas, mas estamos descobrindo cada vez mais que a diversidade de origem, a diversidade de religião e, certamente, a diversidade de gênero estão se tornando muito importantes. Se você é um líder e gerente competente, entende a importância da diversidade e o que ela traz para uma equipe.

Clarke Rodgers (18:13):
Então, com cerca de 8,6 milhões de clientes da NBN, além de todos os datacenters que você tem e apenas pelo fato de que a tecnologia continua se expandindo na vida de todos, qual o papel da sustentabilidade na forma como a NBN administra seus recursos? Como ela encara a sustentabilidade e como isso afeta os clientes?

Darren Kane (18:34):
Se você considerar o que estamos oferecendo como produto na NBN, ele permite que as pessoas trabalhem em qualquer lugar e em casa. Então você tem as questões sobre pegada de carbono e escritório sem papel impresso. Há lugares em que não deixamos uma pegada de carbono pelo fato de estarmos usando a tecnologia para realmente melhorar a sustentabilidade.

Temos 8,6 milhões de instalações conectadas, e isso pode incluir várias pessoas em casa. Porém, vejo que é uma oportunidade para superarmos a exclusão digital na Austrália, para dar acesso a todos que precisam de acesso, mas também para garantir que possamos utilizar a tecnologia para talvez até mesmo reduzir a pegada de carbono.

Refletindo sobre a capacidade de trabalhar em casa, certamente acredito que não foram as estradas e as ferrovias que salvaram a economia australiana do ponto de vista da infraestrutura durante os recentes lockdowns da COVID: foi a conectividade.

Clarke Rodgers (19:33):
Claro.

Darren Kane (19:34):
E, por meio dessa tecnologia, surgiu a oportunidade para as pessoas aprenderem novas formas de trabalhar. Com isso, sem dúvida, surge a possibilidade de trabalhar de forma híbrida ou remota, para mais pessoas que vivem nas áreas remotas e rurais da Austrália, reduzindo a pegada de carbono por não haver a necessidade de deslocamentos de e para o trabalho.

Então, do meu ponto de vista, posso ver que a tecnologia e a forma como a utilizaremos no futuro, particularmente por meio da conectividade, com certeza vão oferecer reduções de carbono e maior sustentabilidade.

Clarke Rodgers (20:09):
Certamente. Sei que você não tem uma bola de cristal, mas você está no setor de segurança há, acredito que você disse, quase ou pouco mais de 40 anos. Do que você acha que falaremos daqui a cinco anos?

Darren Kane (20:26):
Em 2025, completarei 40 anos de carreira. Acho que nunca vivenciei um cenário de ameaças como o que estamos enfrentando atualmente. Não acho que nós, neste setor, sejamos capazes de avaliar o que acredito que a IA generativa e o machine learning trarão para o setor em termos de oportunidades e avanços tecnológicos. Na minha opinião, isso também acabará intensificando esse cenário de ameaças, então acho muito empolgante.

Acho que os dados e o volume de dados terão um crescimento exponencial e uma capacidade real de gerenciar tudo isso. Tenho todo o interesse, suponho, de garantir que a comunidade não deixe os riscos de segurança nas mãos daqueles que eles pagam para fazer a segurança. Isso faz sentido? Meu mantra é que a segurança agora se tornará responsabilidade de todos.

Clarke Rodgers (21:34):
Interessante.

Darren Kane (21:35):
Você não pode dizer que é diretor de segurança e a equipe agora assume os riscos, pois esses riscos só podem ser gerenciados dentro do apetite, garantindo que todos se envolvam nesse espaço. Seja o pessoal da limpeza que garante que a porta está fechada ao sair. Seja o PA ocupado com o dedo indicador preguiçoso que não entende que clicou em um link. Seja, obviamente, os profissionais de segurança cibernética que nos defendem ou os CISOs. Todas essas pessoas agora têm a responsabilidade, à medida que avançamos pelos próximos três a cinco anos, de garantir a avaliação e a compreensão de como implementar controles para gerenciar os riscos.

E acho que uma das coisas que devemos incentivá-los a fazer é falar quando acharem que podem ter visto ou feito algo, para que possamos gerenciar isso. E exercícios de phishing e outras coisas são exemplos de experiências de aprendizado. Não devem ser uma experiência disciplinar.

Clarke Rodgers (22:37):
Se esse será o futuro, o que você está fazendo agora, do ponto de vista da cultura de segurança, para ajudar a desenvolver esse músculo mental nos cargos fora da área de segurança, para que eles pensem em segurança o tempo todo?

Darren Kane (22:54):
Acho que o mais importante é não sensacionalizar os riscos. O que eu gosto de tentar fazer é vender o lado positivo, vender a oportunidade, e nem sempre dizer: “Não faça isso por causa dos riscos”. Isso remete à analogia com o automóvel. Os freios estão aí para serem acionados se você precisar deles, mas saia e aproveite a vida.

Clarke Rodgers (23:13):
Adoro isso. Darren, muito obrigado pela sua participação.

Darren Kane (23:15):
Excelente! Foi uma ótima oportunidade! Fantástico! Obrigado.