在这次安全领导者采访中,我们与消费者健康公司 Kenvue 的首席信息安全官 Mike Wagner 进行了交流。作为一名空军退伍军人,Mike 精通防御艺术。了解他在武装部队的经历如何帮助他为网络安全事业做好准备。
与 AWS 企业战略总监、退伍军人 Clarke Rodgers 一起,与 Mike 坐下来讨论首席信息安全官在现代企业中不断变化的角色。观看上面的视频,或者通过下文详细了解他们的交流内容,了解 Mike 在建立安全文化、改变对安全的负面看法、将退伍军人纳入招聘计划以及预测安全的未来方面的领导力技巧。
认识 Kenvue 首席信息安全官 Mike Wagner
Clarke Rodgers(00:08):
Mike,非常感谢你今天能够光临。
Mike Wagner(00:10):
感谢你的邀请,Clarke。很高兴来到这里。
Clarke Rodgers(00:12):
能否请你谈谈你的角色和责任。
Mike Wagner(00:16):
Clark,我是一家名为 Kenvue 的公司的首席信息安全官。Kenvue 是 Johnson & Johnson 公司家族的一员。你可能听说过我们生产的一些产品,例如 Tylenol、Motrin、Aveeno、Neutrogena 和 Johnson's Baby。
我在公司的工作是确保数据、系统和人员得到充分保护,免受外部威胁。在确保我们受到保护的同时,我们还要使我们的消费者、客户、供应商以及员工能够以更快、更简单和更具成本效益的方式获取信息。
Clarke Rodgers(01:01):
能深入谈谈你在担任此职位之前,有哪些安全方面的背景吗? 我知道你不一定从一开始就担任首席信息安全官。
Mike Wagner(01:11):
确实如此,是的。我之前在空军学院的空军网络组织工作,并且担任不同的职位。其中一个职位是在特别调查办公室工作,9/11 期间,我在华盛顿地区。我在 21 世纪初就离开了,但仍然保留了预备役军人的身份。同时涉足美国企业界和空军是件好事。
在像网络安全这样的职业中,它们相辅相成,因为你可以获得情报,并在预备役或国民警卫队方面进行实践。此外,还能在企业领域运用这些技巧、经验教训和情报。在企业领域,我曾在几个不同的垂直领域工作。我是从电信行业起步的。我曾短期涉足金融服务领域,过去 15 年左右主要从事医疗保健工作。
过去五六年,我一直专注于我们的供应链、我们的企业和全球供应链。由于该公司正在实施其数字供应链战略,因此重点关注安全的运营技术部分。确保在公司网络中打开不同的窗口时,它们受到保护,并且只有获得适当的访问权限才能通过。此外,与我们所有的供应商、物流、网络、第三方物流提供商等打交道。确保他们保持就绪状态和/或在发生事故时与他们合作。
Clarke Rodgers(03:01):
很有意思。那么,你能谈谈你是如何从军队生活过渡到企业生活的吗? 这对你来说是否是一个重大转变?还是说,因为网络安全在某种程度上融合了所有事物,所以可能没有那么难?
你在空军的经历如何为你从事网络安全职业做好准备?
Mike Wagner(03:16):
你知道,有趣的是,当你在军队担任军官时,一出场就自带气场,你只有 22 岁,却有 25 个人向你汇报。在企业界,你必须更多地证明自己。他们不会立即给你那种信誉度。因此,从领导力的角度来看,这只是回归基础,建立信任,建立信誉,与人们要做的事和正在做的事建立关联。
但是从专业的角度来看,在技术能力、网络安全和军事以及保护网络方面,同样的技术和策略也适用于保护企业网络。此外,你也可以用自己的内在目标来支持它。内在目标对我们所有人来说都非常重要,就是要保卫网络、保卫数据、保卫人民。
Clarke Rodgers(04:11):
肩负这个使命。
Mike Wagner(04:13):
是的,这是我的部分目标。是我 DNA 的核心。
Clarke Rodgers(04:17):
太棒了。在企业界和你目前的角色中,我们通常会看到随着时间的推移,首席信息安全官发生了变化。它曾经是一个非常非常技术性的角色,不太注重业务,但现在我们看到首席信息安全官和首席安全官其实已经成为组织高层领导层的一员,他们定期向董事会汇报,并且说的是真正的业务语言,而不是像位、字节和防火墙这类技术语言。你是如何完成这一转变的? 就在一分钟前,我们谈到了信任。你是如何赢得其他高级执行官对你的信任的呢?
Mike Wagner(04:58):
是的,对于任何安全专业人员来说,尤其是首席信息安全官,我认为最大的技能之一就是能够与人建立联系。 要建立联系,就需要有一些共同点,让他们愿意听你在说什么。所以,一旦你能够建立这种联系并设定目标,教育大家网络安全是什么以及为什么这对他们很重要,那么就会容易得多。
这只是基础知识,但基本上,要接触到那个高管层并确保他们理解网络安全,理解这是一项业务责任。说白一点,就是他们应该使用我们的服务来帮助他们发展业务。
我们是一个大型的消费者健康企业。我们有超过 10 亿的消费者,我们希望继续增长。消费者将越来越多地从我们这里直接购买商品。那么,我们怎样才能让他们获得我们的产品,我们认为这些产品可以让他们成为更优秀、更健康的人(无论是防晒霜,还是泰诺),或者让他们的宝宝感觉更好。
所以,我们希望让访问变得更容易。我们还想确保他们知道我们可以保护他们的数据。当然,除了消费者外,我们还与我们优秀的客户、优秀的供应商,当然还有员工合作。让用户体验,也就是人们与我们系统交互的体验,变得更加轻松、更加无缝、更加安全。
Clarke Rodgers(06:33):
你刚才描述的是首席信息安全官面临的共同挑战, 也就是在安全组织之外构建安全文化。人们应该明白应该尽早建立安全性并且经常考虑它,对吗? 那么,你如何着手,或者制定了什么样的计划来帮助你的组织建立这种安全文化呢?
对于首席信息安全官如何在安全组织之外培养安全文化,你有什么建议?
Mike Wagner(06:58):
我们实施的一个非常成功的计划就是这个概念,我已经谈到了关于运营技术的一些内容。我们是一家全球制造商。我们有数十家工厂和数百家第三方物流提供商。我们制定了一个名为“运营技术支持者”(OT Champion)的计划,我们通过这个计划了解供应链业务内的安全性,并任命负责倡导安全性的联系人。
Clarke Rodgers(07:28):
很有意思。
Mike Wagner(07:29):
没错。我的意思是,我们会对这些人进行培训,有点像“培训培训师”计划。但更重要的是,我们是他们的资源。我们是他们的倡导者,他们也支持我们的计划。它之所以成功,是因为它使我们能够渗透到原本无法渗透的空间。
我们之前讨论过我们的共同点,那就是都在军队。这就像美国人或部队去海外时,他们依靠当地人来帮助他们。他们了解地理,了解地形。他们知道该注意什么,以及最佳的定位点在哪里。同样的道理,如果我们把业务交给供应链等业务人员,他们可以帮助我们取得更大的成就。反过来,我们也可以帮助他们确保业务安全,避免负面报道。将我们的产品交付给需要的消费者。
Clarke Rodgers(08:33):
而且,你发布的那个计划,那些业务领导者有没有看到它带来的好处?
Mike Wagner(08:40):
当然。随着安全越来越成为主流,这些部门的企业领导者知道他们的员工与我们的计划息息相关。在许多情况下,我们已经和他们的领导沟通过。所以,现在大家都很放心,一切都已经准备就绪,所以这是一个更顺利的切入点。他们已经准备好接受我们提出的意见和指导。
Clarke Rodgers(09:15):
你能否稍微描述一下当你向他们报告风险时,你是如何传达这些信息以及如何让他们切实感受到安全性的重要性? 我猜想,传统上,那些老派的首席信息安全官会用漏洞矩阵和修补程序这样的报告来让董事会理解,但这往往无法引起董事会的共鸣。你是如何向董事会传达风险的?
Mike Wagner(09:38):
我们从业务风险、对业务的影响方面来介绍。当然,我们正在努力通过我们现有的控制措施来最大限度地减少这种影响。我们还谈论了我们的计划以及其发展方式,以及我们计划中的功能可以如何促进业务增长。很多人把安全性看作是一种防御性的策略,也许就像一种保险策略。
Clarke Rodgers(10:04):
是的。
Mike Wagner(10:05):
我们不仅要从防御角度考虑安全问题,还要从访问权限的角度来考虑。而且,访问权限是推动因素。我之前提到过消费者的访问权限、客户的访问权限、供应商的访问权限,当然还有我们员工的访问权限。如果我们能让访问更简单、更无缝,我们就能使业务更快发展。在我们的开发过程中,确保将安全性左移,并将其作为我们技术新版本发布流程的一部分。这些都是我们在早期学到的经验教训,使我们能够成为真正的业务合作伙伴,并且具有很高的信誉。
Clarke Rodgers(10:49):
很好。那么,我们转变一下话题,谈谈关于建立安全团队的事情,怎么样? 你谈到过你们的支持者计划以及运营技术方面的事情。除了运营技术以外,是否有其他办法能够有效增强组织内部安全团队的实力?
在雇用安全人才时,你会寻找哪些技能或特质?
Mike Wagner(11:10):
当然,我们依赖于引进具有软件工程技能的人才。我们已经雇用了很多军人。理解软件部署和代码等技能显得尤为重要,并受到了更多的关注。当然,我们正在研究如何利用 AI 来增强我们的安全计划,以及如何以有限的员工数量覆盖全球制造足迹。 我们期待探索 AI 可以提供更多选择。
从人才招聘的角度来看,我始终密切关注空军和不同军事论坛的动态。我们制定了一些计划,在退伍军人服役期结束后积极引进他们。其中一些计划还允许退伍军人在工作的同时获得大学学位。这是一个巨大的成功。
对于公司的退伍军人,我们有一项非常优厚的福利计划。我们对军人非常友好,无论是在他们需要参加两周集训时,还是或被征召入伍时。当然,要确保我们的退伍军人能获得强有力的福利。
我经常听到有人说招聘很难,而招聘优秀人才对于首席信息安全官来说无疑是未来几年的一大挑战。事实上,这一挑战在过去几年也一直存在。我经常用一个比喻,我觉得自己就像一位大学橄榄球教练。在空缺职位出现之前,我会积极主动地展开招聘工作。我寻找并锁定那些有潜力的人才,与他们建立稳固的关系,并深入不同的论坛,因为我深知那里会有出色的人才等待发掘。
归根结底,这是关于人的事情。我们需要通过握手、保持联系并建立深厚的联系来与那些特别的人建立联系。最终,我们希望这些联系能够在需要时发挥重要作用。在为 Kenvue 建立网络安全员工队伍方面,我们有幸从一些卓越的公司聘请了非常有才华的人士,以确保我们的网络安全组织的人员配置非常高效、精准。
Clarke Rodgers(13:50):
这是一个很棒的故事。再者,从文化角度来看,随着时间的推移,首席信息安全官的角色不断演变,首席信息安全官和整个安全部门经常被视为说“不”的部门。 对吗? 我们目前最成功的首席信息安全官客户确实将安全部门视为推动者,同时也是说“可以,但是”的部门。 对吗? 所以要少一些限制,多一些指导。贵组织的情况如何?这些年来,这种转变是如何发生的?
安全组织通常被视为说“不”的部门。
你做了哪些工作来改变这种看法?
Mike Wagner(14:29):
我们希望被看作推动者。我们希望确保网络安全部门不仅被视为负责提供防御,还要为访问提供便利。那么我们怎么能做到这一点呢? 真的是通过教育。当我们对业务团队进行教育和宣传时,他们能够理解到网络安全的重要性。比如“嘿,看看我们的竞争对手遭遇了什么”,或者你知道的某家公司或第三方物流提供商因勒索软件而受到的影响。他们会认识到自己不想处于类似的困境之中。
通过这样的教育活动,我们能获得业务团队的支持,进而为他们设定一个正确的发展方向。我坚信,通过与云提供商建立联系不仅能提高产品的安全性,还能加快技术部署的速度,使其更加经济高效。业务团队也喜欢这样。我的意思是,如果业务团队看到我们以更快的速度、更好的质量和更低的价格向客户提供产品,他们就会支持。
Clarke Rodgers(15:52):
太棒了。虽然没有能够预测未来的“水晶球”,但是如果我们在五年后再次进行这样的对话,我们会谈论首席信息安全官面临的最大挑战和机遇是什么?
你认为首席信息安全官的角色在未来五年中将如何演变?
Mike Wagner(16:08):
嗯,我认为五年后,我们会更加成熟,更加了解这些 AI 机器人如何帮助增强我们现有的力量。我认为教育将继续下去,这样企业才能更好地了解我们在做什么。当然,我们现在就在相互交流。我认为这种交流将继续并逐渐成熟,不仅表达技术方面的见解,同时表达业务方面的见解。
我不太确定首席信息安全官未来是否依然隶属于 IT 部门或者由首席信息官领导。我认为可能所属部门可能有变化,但肯定的是,它将成为业务决策的重要贡献者和重要参与者,参与处理与不同的供应商和客户的业务决策。
Clarke Rodgers(17:15):
太棒了。Mike,非常感谢你今天能够光临。
Mike Wagner(17:19):
很好。非常感谢你,Clarke。
领导者简介
Mike Wagner
Kenvue 首席信息安全官
作为 Kenvue 的首席信息安全官,Mike 领导一个全球团队,负责制定公司的战略网络安全优先事项、执行运营计划并为整个组织提供指导。他是一位充满激情的领导者,以诚信的态度进行管理,并持续致力于保护公司以及整个行业。他曾担任过各种领导职务,包括在健康信息共享与分析中心(H-ISAC)董事会任职、领导 H-ISAC 制药供应链指导委员会,以及在过去十年担任 Johnson & Johnson 退伍军人员工资源小组的执行发起人。在加入 Kenvue 之前,Mike 在 Johnson & Johnson 网络安全部门工作了 10 多年,担任过从风险管理到保护公司供应链的各种职务。他于 2018 年以中校的身份从空军预备役退役,退役前最后一次任职是负责支持欧洲和亚洲战区的空军网络作战行动。Mike 持有认证信息系统安全专业证书,拥有美国空军学院的生物学学士学位和马里兰大学大学学院的电信管理硕士学位。
Clarke Rodgers
AWS 企业战略分析师
作为 AWS 企业安全战略分析师,Clarke 充满激情地帮助高管搜索如何实现安全转型,并与他们一起找出正确的企业解决方案。Clarke 于 2016 年加盟 AWS,但是他早在成为我们的团队成员之前就已开始利用 AWS 安全的优势。在一家跨国人寿再保险公司担任 CISO 期间,他负责监督战略部门全面地迁移到 AWS。
更进一步