La perspectiva de un CISO y veterano de la Fuerza Aérea
sobre la defensa de datos
Mike Wagner, CISO de Kenvue, comparte sus ideas sobre el liderazgo en seguridad
En esta entrevista con líderes de seguridad, hablamos con Mike Wagner, CISO de Kenvue, una empresa de salud para consumidores. Como veterano de la Fuerza Aérea, Mike conoce bien el arte de la defensa. Descubra cómo su experiencia en las fuerzas armadas lo ayudó a prepararse para una carrera en ciberseguridad.
Únase a Clarke Rodgers, Director of Enterprise Strategy de AWS y veterano, mientras se sienta con Mike para hablar sobre la función en evolución del CISO en la empresa moderna. Vea el video de arriba o eche un vistazo a la conversación que se muestra a continuación para descubrir los consejos de liderazgo de Mike sobre cómo desarrollar una cultura de seguridad, cambiar las percepciones negativas sobre la seguridad, incorporar veteranos a su programa de contratación y anticipar el futuro de la seguridad.
Conozca a Mike Wagner, CISO de Kenvue
Clarke Rodgers (00:08):
Mike, muchas gracias por estar hoy aquí.
Mike Wagner (00:10):
Hola, gracias, Clarke. Me alegro de estar aquí.
Clarke Rodgers (00:12):
Bueno, si eres tan amable, háblame de tu puesto y sus responsabilidades.
Mike Wagner (00:16):
Clark, soy el CISO de una empresa llamada Kenvue. Kenvue formaba parte de la familia de empresas Johnson & Johnson. Probablemente te lo imaginases por algunos de los productos que fabricamos, como Tylenol, Motrin, Aveeno, Neutrogena y Johnson's Baby.
Y mi función en la empresa es asegurarme de que los datos, los sistemas y las personas estén protegidos adecuadamente contra las amenazas que existen. Al mismo tiempo que nos aseguramos de estar protegidos, también permitimos que la empresa se asegure de que nuestros consumidores, clientes, proveedores y, por supuesto, nuestros empleados tengan un acceso más rápido, ágil y rentable.
Clarke Rodgers (01:01):
Profundizando un poco más, antes de ocupar este puesto, ¿podrías hablarme un poco sobre tu experiencia en seguridad? Entiendo que no necesariamente comenzaste siendo CISO.
Mike Wagner (01:11):
Así es, sí. Bueno, fui a la Academia de la Fuerza Aérea y estuve en la Organización cibernética de la Fuerza Aérea, básicamente, en diferentes puestos. Una de esos puestos lo desempeñé en la Oficina de Investigaciones Especiales, en el área de Washington DC, durante el 11 de septiembre. Dejé el servicio activo a principios de la década de 2000, pero me quedé como reservista. Así que estuvo bien tener un pequeño paralelismo con las empresas estadounidenses y la Fuerza Aérea.
En una profesión como la ciberseguridad, se complementan muy bien porque obtienes la información y puedes practicar en el lado de los reservistas o de la Guardia Nacional. Y poder aplicar esas técnicas, esas lecciones, esa información en el espacio empresarial. En el espacio empresarial, había estado en un par de mercados verticales diferentes. Empecé en telecomunicaciones. Me dediqué brevemente a los servicios financieros y, principalmente, a la atención médica durante los últimos 15 años más o menos.
Los últimos cinco o seis años me he centrado en nuestra cadena de suministro, nuestra empresa y la cadena de suministro global. Y me centré en gran medida en la parte de seguridad de la TO mientras la empresa desarrollaba su estrategia de cadena de suministro digital. Garantizaba que, a medida que se abrían diferentes ventanas en la red empresarial, estuvieran protegidas y que solo se permitiera el acceso adecuado. Además de tratar con todos nuestros proveedores, logística, red, proveedores logísticos de terceros, etcétera. Me aseguraba de que todo estuviera en orden y de trabajar con ellos en caso de incidentes.
Clarke Rodgers (03:01):
Interesante. Entonces, ¿puedes hablar un poco sobre tu transición de la vida militar a la empresarial? ¿Fue una gran transición para ti, o debido a que la ciberseguridad se abre paso en todo, tal vez no fue tan dura?
¿Cómo te preparó tu experiencia en la Fuerza Aérea para una carrera en ciberseguridad?
Mike Wagner (03:16):
Sabes, lo interesante es que cuando eras oficial en el ejército, sales y ¡bum!, tienes 22 años y hay 25 personas que te informan a ti. En el mundo empresarial, tienes que demostrar un poco más tu valía. No te dan ese tipo de credibilidad de inmediato. En el sentido del liderazgo, se trataba de volver a lo básico, generar confianza, aumentar la credibilidad e implicarse con lo que las personas estaban haciendo.
Pero desde un punto de vista profesional, en términos de habilidades técnicas, cibernéticas y militares y de protección de una red, se aplican las mismas técnicas y tácticas para proteger una red empresarial. Además, también puedes respaldar eso con tu propio propósito interno. El propósito interno es muy importante para todos nosotros, y defender las redes, defender los datos y defender a las personas.
Clarke Rodgers (04:11):
Tener ese objetivo.
Mike Wagner (04:13):
Sí, es parte de mi propósito. Es parte fundamental de mi ADN.
Clarke Rodgers (04:17):
Eso es impresionante. En el mundo empresarial y en tu puesto actual, normalmente vemos que los CISO han evolucionado con el tiempo. Antes era una función muy, muy técnica y no demasiado centrada en los negocios, pero ahora vemos que los CISO y los CSO forman parte realmente de la junta directiva de las organizaciones; rinden cuentas a la junta con regularidad y hablan realmente en un idioma empresarial, más allá del lenguaje técnico. ¿Cómo has hecho esa transición? Hablamos de la confianza hace un momento. ¿Cómo te ganas la confianza de los demás altos ejecutivos de la organización?
Mike Wagner (04:58):
Sí, creo que una de las habilidades más importantes de cualquier profesional de la seguridad, sin duda de un CISO, es la capacidad de relacionarse con la gente, ¿sabes? Tener una conexión, algo en común que haga que escuchen de lo que estás hablando. Por lo tanto, una vez que pueda establecer esa conexión y establecer una meta para educar a las personas sobre qué es la ciberseguridad y por qué es importante para ellos, será mucho más fácil.
Y eso es solo lo fundamental, pero básicamente, es llegar a ese nivel ejecutivo y asegurarse de que entienden la ciberseguridad, de que entienden que es una responsabilidad empresarial. Y, francamente, deberían utilizar nuestros servicios para impulsar su empresa.
Somos una gran empresa de salud para consumidores. Tenemos más de mil millones de consumidores y queremos seguir creciendo. Los consumidores nos comprarán cada vez más directamente. Entonces, ¿cómo podemos hacer que lleguen a nuestros productos? Creemos que los convierten en mejores personas, en personas más sanas, ya sean protectores solares, Tylenol o quizás para hacer que sus bebés se sientan mejor.
Por eso queremos facilitar el acceso. También queremos asegurarnos de que sepan que podemos proteger sus datos. Y, por supuesto, más allá del consumidor, trabajamos con clientes excelentes, proveedores excelentes y, por supuesto, con nuestra plantilla. Hacer que esa experiencia de usuario, la experiencia de las personas que interactúan con nuestros sistemas, sea mucho más fácil, fluida y segura.
Clarke Rodgers (06:33):
Entonces, lo que acabas de describir es un desafío común para los CISO, ¿verdad? Se trata de construir esa cultura de seguridad fuera de la organización de seguridad. De modo que la gente entienda que es buena idea contar con seguridad integrada desde el principio y que sea algo constante, ¿no? Entonces, ¿cómo abordas eso o qué tipo de programas has puesto en marcha para ayudar a crear esa cultura de seguridad en tu organización?
¿Tienes algún consejo sobre cómo los CISO pueden fomentar la cultura de seguridad fuera de la organización de seguridad?
Mike Wagner (06:58):
Un programa que pusimos en marcha y que ha tenido mucho éxito es este concepto; mencioné antes la tecnología operativa o TO. Somos un fabricante global. Tenemos decenas de plantas y cientos de proveedores de logística externos. Hemos puesto en marcha lo que llamamos un programa de campeones de TO, en el que conocemos y tenemos un punto de contacto que defiende la seguridad en el negocio de las cadenas de suministro.
Clarke Rodgers (07:28):
Vaya, interesante.
Mike Wagner (07:29):
Sí. A estas personas, las formamos, algo así como un programa de “formación del formador”. Pero, más que eso, somos un recurso para ellos. Los defendemos y ellos defienden nuestro programa. Ha tenido éxito porque nos ha permitido acceder a espacios en los que de otro modo no podríamos entrar.
Hablamos anteriormente sobre lo que tenemos en común, haber estado en el ejército. Es como cuando los Estados Unidos van al extranjero o las tropas van al extranjero, confían en los lugareños para moverse. Conocen la geografía, conocen el terreno. Saben dónde tener cuidado y dónde estarás mejor posicionado. Se basa en gran medida en ese mismo tipo de mentalidad, según el cual, al contratar o sustituir a personas en la empresa, en este caso en la cadena de suministro, pueden ayudarnos a tener más éxito y, a su vez, les ayudamos a proteger la empresa y no recibir atención no deseada. Entregar nuestros productos a los consumidores que los necesitan.
Clarke Rodgers (08:33):
Y ese programa, cuando lo has puesto en marcha, ¿han visto esos líderes empresariales las ventajas que aporta?
Mike Wagner (08:40):
Sí, por supuesto. A medida que la seguridad se ha generalizado cada vez más, los líderes empresariales de estas unidades saben que su gente tiene conexiones con nuestro programa. Y en muchos casos, ya hemos hablado con sus líderes. Así que hay comodidad, las ruedas ya están engrasadas, por lo que es un punto de entrada más suave. Están preparados y listos para recibir la información que les estamos dando, la educación que les estamos dando.
Clarke Rodgers (09:15):
Cuando informas de un riesgo, ¿puedes describir cómo lo haces y cómo consigues que la seguridad sea una realidad para ellos? Supongo que tradicionalmente, al estilo de los CISO de la vieja escuela, el informe sería un gráfico visual de las matrices de vulnerabilidades y los programas de parches y cosas así que a menudo no tienen eco en las juntas directivas. ¿Cómo se comunican los riesgos a las juntas directivas?
Mike Wagner (09:38):
Lo expresamos en términos de riesgo empresarial e impacto en el negocio. Sin duda, estamos trabajando para minimizar ese impacto a través de los controles que tenemos establecidos. También hablamos de nuestro programa y de cómo está evolucionando y de cómo las capacidades de nuestro programa permiten que la empresa crezca. Mucha gente piensa en la seguridad como una jugada defensiva, tal vez como si fuera un seguro.
Clarke Rodgers (10:04):
Por supuesto.
Mike Wagner (10:05):
Analizamos la seguridad no solo como una jugada defensiva, sino también como una jugada de acceso. Y el acceso es un facilitador. Ya he mencionado el acceso para los consumidores, el acceso para nuestros clientes, el acceso para nuestros proveedores y, sin duda, para nuestra fuerza laboral. Si podemos hacer que el acceso sea más fácil y fluido, podemos permitir que la empresa vaya más rápido. En nuestros procesos de desarrollo, nos aseguramos de que la seguridad se desplace hacia la izquierda y forme parte de la canalización a medida que lanzamos nuevas versiones de tecnología. Estas fueron las lecciones que aprendimos al principio del juego, lo que nos ha permitido ser un verdadero socio de la empresa y tener mucha credibilidad.
Clarke Rodgers (10:49):
Eso es fantástico. Bien, vamos a cambiar un poco de tema. Hablemos de contratar personal para su programa de seguridad, ¿está bien? Ya hablaste sobre el programa de campeones y la parte de TO. Además de TO, ¿tienes alguna otra manera de multiplicar la fuerza de tu equipo de seguridad dentro de la organización?
¿Qué habilidades o rasgos busca al contratar talentos de seguridad?
Mike Wagner (11:10):
Sin duda confiamos en traer personas con habilidades de ingeniería de software. Hemos contratado a bastantes militares. Las habilidades como la comprensión de la implementación del software y el código son mucho más importantes y han ganado relevancia más recientemente. Lo cierto es que estamos analizando cómo puede la IA ayudar a nuestro programa de seguridad y cómo podemos cubrir una presencia de fabricación global con un número finito de empleados. Por lo tanto, esperamos explorar más opciones que la IA pueda ofrecer.
Pero desde el punto de vista humano, tengo la mirada puesta en gente que está en la Fuerza Aérea y en diferentes foros militares. Hemos contado con programas en los que contratábamos a veteranos una vez finalizado su período de servicio. Algunos de estos programas permiten a los veteranos obtener títulos universitarios mientras trabajan. Así que ha tenido mucho éxito.
Para los veteranos que trabajan en la empresa, tenemos un fantástico programa de beneficios. Somos muy respetuosos con los militares en el sentido de que les permitimos tomarse sus dos semanas o entendemos que les llamen a filas, por ejemplo. Sin duda, nos aseguramos de que los beneficios sean buenos y sólidos para nuestros veteranos.
Escuché muchas veces que las personas tienen dificultades para contratar y que contratar a buenos talentos es uno de los desafíos a los que se enfrentan los CISO en los próximos años y que, de hecho, viene siendo así de antes. A menudo uso una analogía, me siento como un entrenador universitario de fútbol americano. Salgo y ficho incluso antes de que tengamos puestos vacantes. Me pongo en contacto con el talento, forjo una relación, voy a diferentes foros en los que sé que va a haber buenos talentos.
Y, al final, se trata del negocio de las personas. Te das la mano, mantienes el contacto, estableces una conexión con esa persona especial que, en última instancia, esperas que esté ahí cuando la necesites. Y en el caso de la creación de la plantilla de ciberseguridad para Kenvue, tuvimos la suerte de contar con personas con mucho talento de algunas grandes empresas para asegurarnos de que nuestra organización de ciberseguridad tuviera un personal muy, muy eficiente y muy, muy productivo.
Clarke Rodgers (13:50):
Es una historia fantástica. En cuanto al lado de la cultura, de nuevo, a medida que la función del CISO ha evolucionado con el tiempo, el CISO y el departamento de seguridad en general a menudo han sido considerados como el departamento del “no”. ¿Cierto? Y nuestros clientes de CISO más exitosos en la actualidad realmente ven al departamento de seguridad como un facilitador y un departamento de “sí, pero”. ¿Cierto? Así que hay que ser menos policía y más orientador. ¿Cómo van las cosas en tu organización y cómo se ha producido esa transición a lo largo de los años?
Las organizaciones de seguridad a menudo son vistas como el departamento del “no”.
¿Qué estás haciendo para cambiar esa percepción?
Mike Wagner (14:29):
Queremos que se nos reconozca como facilitadores. Queremos asegurarnos de que el departamento de ciberseguridad no se considere solo una defensa, sino que también permita el acceso. ¿Cómo podemos hacerlo? Realmente a través de la educación. Y cuando estamos educando y concienciando sobre la empresa, lo entienden. Ya sea: “Eh, miren lo que le pasó a uno de nuestros competidores”, o tal vez a una empresa que conoces o a un proveedor de logística externo que puede haber sufrido un cibersecuestro de datos. Reconocen que ellos mismos no quieren estar en esa posición.
Así que, gracias a esa educación, el negocio nos ha ido muy bien, ya que nos ha permitido prescribir una buena forma de hacerlo. Creo firmemente que nuestras relaciones con los proveedores en la nube no solo hacen que nuestras cosas sean más seguras, sino que también permiten que la velocidad a la que se debe implementar esa tecnología se haga de manera mucho más rápida, mejor y más económica. Y a las empresas les gusta eso. Quiero decir, si la empresa ve que estamos intentando llevar el producto a nuestros clientes a un precio asequible, de forma más rápida, mejor y más barata, entonces van a comprarlo.
Clarke Rodgers (15:52):
Eso es impresionante. Entiendo que no tienes una bola de cristal, pero si volviéramos a tener esta conversación dentro de cinco años, ¿cuáles serían algunos de los mayores desafíos y oportunidades para los CISO?
¿Cómo cree que evolucionará el papel del CISO en los próximos cinco años?
Mike Wagner (16:08):
Bueno, creo que dentro de cinco años, diría que habremos madurado mucho más y entenderemos cómo funcionan estos robots de IA para ayudar a aumentar la fuerza que tenemos. Creo que la educación seguirá su curso para que la empresa esté aún mejor equipada para entender lo que estamos haciendo. Sin duda, ahora estamos muy presentes. Creo que eso continuará y madurará tal vez no solo como una voz tecnológica, sino también como una voz empresarial.
No estoy muy seguro de que el CISO vaya a estar en el departamento de TI o bajo la dirección del CIO. Creo que hay diferentes lugares en los que podría estar, pero sin duda creo que contribuirá en gran medida y será una parte importante de las decisiones comerciales que se tomen y de los diferentes proveedores y clientes con los que tratemos.
Clarke Rodgers (17:15):
Eso es impresionante. Mike, muchas gracias por estar hoy aquí.
Mike Wagner (17:19):
Estupendo. Muchas gracias, Clarke.
Sobre los líderes
Mike Wagner
Chief Information Security Officer, Kenvue
Como Chief Information Security Officer de Kenvue, Mike dirige un equipo global para desarrollar las prioridades de ciberseguridad estratégicas de la empresa, ejecutar planes operativos y dirigir la organización. Es un líder apasionado que gestiona con integridad y que posee una motivación inagotable para proteger no solo a la empresa, sino también a la industria en general. Ha desempeñado diversas funciones de liderazgo, entre ellas, formar parte de la junta directiva del Centro de Análisis e Intercambio de Información de Salud (H-ISAC), dirigir el Comité Directivo de la Cadena de Suministro Farmacéutico de H-ISAC y haber sido el patrocinador ejecutivo del Grupo de recursos para empleados veteranos de Johnson & Johnson durante los últimos 10 años. Antes de ocupar su puesto en Kenvue, Mike pasó más de 10 años en Johnson & Johnson en el área de ciberseguridad desempeñando diversas funciones, desde la gestión de riesgos hasta la defensa de la cadena de suministro de la empresa. Se retiró de las Reservas de la Fuerza Aérea en 2018 como teniente coronel, donde fue responsable por última vez de las operaciones cibernéticas de la Fuerza Aérea en apoyo a los teatros de operaciones de Europa y Asia. Mike es un profesional certificado en seguridad de sistemas de información, tiene una licenciatura en Biología de la Academia de la Fuerza Aérea de los Estados Unidos y una maestría en Administración de Telecomunicaciones de la Universidad de Maryland, University College.
Clarke Rodgers
AWS Enterprise Strategist
Como estratega de seguridad empresarial de AWS, a Clarke le apasiona ayudar a los ejecutivos a explorar la forma en que la nube puede transformar la seguridad, además de trabajar con ellos para encontrar las soluciones empresariales adecuadas. Clarke se incorporó a AWS en 2016, pero su experiencia con las ventajas de seguridad de AWS comenzó mucho antes de formar parte del equipo. En su papel de director de seguridad informática de un proveedor multinacional de reaseguros de vida, supervisó la migración total de una división estratégica a AWS.
Dé el siguiente paso
Escuche y aprenda
Escuche a los líderes ejecutivos y a los estrategas empresariales de AWS, todos ellos antiguos miembros de la alta dirección, hablar de sus procesos de transformación digital.
Manténgase al tanto
AWS Executive Connection es un destino digital para líderes de tecnología y negocios, en donde compartimos información.
Vea bajo demanda
Obtenga información de sus homólogos y descubra nuevas formas de impulsar su camino hacia la transformación digital a través de esta exclusiva red internacional.
Inspírese
Escuche cómo los líderes de AWS y de los clientes debaten sobre sus prácticas recomendadas, lecciones y pensamiento transformador.