Nombre: Howard (Chaim) Taylor
Organización: Radware, Ltd.
Título del puesto: CISO
Fecha de inicio del puesto actual: febrero de 2019
Ubicación: Tel Aviv, Israel
Howard Taylor tiene más de 40 años de experiencia en infraestructura de TI, gestión de operaciones, seguridad de la información y gestión de riesgos tecnológicos. Antes de unirse a Radware, Taylor se desempeñó como consultor principal de BDO Israel, donde apoyó tanto a empresas emergentes de alta tecnología como a grandes empresas, como Teva y Amdocs. Antes de mudarse a Israel, Taylor tuvo una carrera de 29 años como vicepresidente de gestión de riesgos tecnológicos en JPMorganChase. Taylor fue uno de los primeros CISO en la industria bancaria, responsable de establecer la estrategia de seguridad para la presencia inicial en Internet de la empresa, el desarrollo de políticas y el cumplimiento normativo.
¿Cuál fue tu primer trabajo? Para pagar mis estudios universitarios, trabajé para el centro de datos de la Universidad de Nueva York, programando su sistema de facturación por computadora. Aquí es donde desarrollé mi amor por el hardware informático y los sistemas operativos.
¿Cómo te involucraste en la ciberseguridad? En los viejos tiempos, había un dicho: "¡Nada sucede sin una mala auditoría!" Un auditor externo estaba listo para cerrar una importante aplicación de transferencia/compensación de fondos a menos que todos los controles (seguridad, gestión de cambios y continuidad del negocio) mejoraran drásticamente. Nos dieron un año para hacer un milagro, ¡y yo tenía la tarea de hacerlo! Formé el primer equipo de gestión de riesgos tecnológicos de mi empresa.
¿Cuál fue su educación? ¿Cuenta con alguna certificación? ¿Qué son? Tengo un B.S. en informática de la City University of New York, School of Engineering. Nunca tuve tiempo de buscar certificaciones ya que siempre tenía mucho trabajo en la cola. Sin embargo, recomiendo encarecidamente la certificación CISSP para los aspirantes a CISO.
Explique su trayectoria profesional. ¿Tomaste algún desvío? Si es así, discútalo. Mi comienzo en la administración de infraestructura de TI me brindó la mejor base para convertirme en un profesional de la administración de riesgos. Estaba familiarizado con los procesos y procedimientos de principio a fin. Entendí los desafíos de seguridad y construí rápidamente las relaciones necesarias para abordarlos. Una vez que dejé JPMorganChase para convertirme en consultor, estas habilidades realmente valieron la pena. Pude pasar rápidamente de un cliente a otro y de una tecnología a otra. Ahora, como CISO de Radware, una empresa de seguridad líder en la industria, estoy satisfecho con la dirección que ha tomado mi carrera. No hay desvíos que informar.
¿Hubo alguien que lo haya inspirado o asesorado en su carrera? En mi primera asignación de administración de riesgos en JPMorganChase, trabajé muy de cerca con dos socios sénior de una importante firma de contabilidad. Estaban a punto de jubilarse y me vieron como parte de la nueva generación para continuar con su misión de seguridad y gestión de riesgos. ¡Después de muchas discusiones acaloradas y mucho trabajo duro, mejoramos drásticamente el entorno de control y mantuvimos el negocio en funcionamiento! Me enseñaron un enfoque que se ha quedado conmigo hasta hoy. Los principios básicos nunca pasan de moda.
¿Cuál cree que es el aspecto más importante de su trabajo? ¡Mantener el equilibrio! El CISO debe abordar muchos requisitos, aunque algunos entren en conflicto con otros. Por ejemplo, I+D necesita un acceso amplio y abierto a todo, desde cualquier lugar. Los clientes exigen controles más estrictos y un seguimiento exhaustivo. Los servicios comerciales centrales deben estar protegidos contra amenazas internas y externas. El CISO debe evaluar estos objetivos y definir formas de traer armonía al caos.
¿Qué métricas o KPI utiliza para medir la eficacia de la seguridad? ¡El hecho de que sus incidentes de seguridad no se informen como noticia de primera plana es un gran KPI! (Es una broma). Definir y rastrear los KPI de seguridad correctos sigue siendo un desafío. Los KPI para el programa de Radware se enfocan en lo básico, como el estado de actualización del sistema operativo de administración de parches, el progreso en los planes de remediación, los tiempos de respuesta a incidentes y las estadísticas de capacitación en concientización sobre seguridad. Es posible que estos no sean los KPI más emocionantes, pero son indicadores significativos de la salud y el éxito de la seguridad del programa.
¿La escasez de habilidades en seguridad está afectando a su organización? ¿Qué roles o habilidades le resultan más difíciles de cumplir? Radware tiene la reputación de ser un excelente lugar para trabajar. También contamos con un excelente equipo de reclutamiento de recursos humanos. Entonces, puede tomar un poco de tiempo, pero logran encontrar a los mejores candidatos.
La ciberseguridad cambia constantemente. ¿Cómo se sigue aprendiendo? Radware es una empresa de seguridad que cuenta con muchos expertos que están listos para compartir sus conocimientos. Además de compartir información interna, Radware ofrece documentos técnicos, seminarios web y otra información al público a través del sitio web Radware.com.
¿Qué conferencias están en su lista de asistencia obligada? Nunca he encontrado que las conferencias sean de gran valor. Si no tengo la información que necesito en casa, hago algunas llamadas para encontrarla.
¿Cuál es la mejor tendencia actual en ciberseguridad? ¿Lo peor? Siento que la mejor tendencia es el nuevo enfoque energizado en el mantenimiento básico, como la administración de parches. Esto fue puesto en primer plano por el incidente de Solar Winds. La raíz de muchas infracciones cibernéticas es una limpieza cibernética deficiente. La peor tendencia hoy en día es intentar implementar la “automatización de procesos” sin tener procesos bien definidos. Algunos CISO ven las herramientas como una forma de proteger mejor su entorno. Si no tienen objetivos y procesos de control definidos, es posible que las herramientas no proporcionen el ROI que esperan. Un desperdicio evitable de recursos.
¿Cuál es el mejor consejo profesional que has recibido? El mejor consejo profesional fue dejar mi zona de confort de infraestructura de TI y pasar al espacio de seguridad y gestión de riesgos.
¿Qué consejo le daría a los aspirantes a líderes en seguridad? ¡La seguridad cibernética es un habilitador de negocios! Trabaje en estrecha colaboración con su empresa y encuentre formas de implementar sus requisitos de forma segura. En resumen, evita decir ¡NO!
¿Cuál ha sido el mayor logro de tu carrera? ¡Todavía estoy trabajando en ello! Recibo una gran satisfacción al ver el éxito de los jóvenes profesionales de la seguridad cibernética con los que he trabajado.
Mirando hacia atrás a las 20:20, ¿qué habrías hecho diferente? ¡NI UNA COSA!
¿Cuál es tu cita favorita? “No hay nada nuevo bajo el sol” Rey Salomón. ¿Qué estás leyendo ahora? Una novela de misterio: Schrems II. En mi tiempo libre, me gusta... Hacer caminatas por la naturaleza con mi familia y fotografiar el hermoso país en el que vivo. La mayoría de la gente no sabe que yo... solía montar y entrenar caballos de exhibición (silla inglesa). Pídeme que haga cualquier cosa menos... ¡debe estar de acuerdo con la política! |