Rob Clyde, CISM
Es presidente de la junta de directores de ISACA, presidente ejecutivo de la junta de directores para la compañía White Cloud Security (cumplimiento de la lista de aplicaciones confiables). Es el director gerencial de la compañía Cloud Consulting LLC, la cual provee una junta y servicios ejecutivos de consultoría a las compañías de software de ciberseguridad. Él se desempeña como un consultor ejecutivo para las compañías HyTrust (seguridad para la nube) y BullGuard Software (ciberseguridad del consumidor y en casas inteligentes). Previamente, fue el presidente de la compañía Adaptive Computing, la cual provee software de gestión de carga para algunos de los más grandes ambientes mundiales de nube, procesamiento de computo de alto desempeño y big data. Antes de fundar Clyde Consulting, él fue gerente de tecnología en la compañía Symantec y cofundador de la compañía Axent Technologies. Clyde es un orador frecuente en los eventos de ISACA, en conferencias de ciberseguridad y para la Asociación Nacional de Directores Corporativos de Estados Unidos (NACD, por sus siglas en inglés). Él es miembro de la Junta de Liderazgo de la NACD. También se desempeña en el consejo de consultoría de la industria para el Departamento de Administración de Sistemas de Información de la Universidad Estatal de Utah (USA).
¿Cuál es tu blog o contenido en línea favorito?
The Nexus de ISACA (desde luego).
¿Qué está sobre tu escritorio en este momento?
Nada, excepto por mi computadora e iPad. Creo en ser totalmente “paperless” y hacer todo de manera electrónica. Estoy impulsando a ISACA y sus miembros a volverse “paperless” también. Viajo frecuentemente y, dado que los contenidos de mi oficina son electrónicos, llevo mi escritorio conmigo a donde quiera que voy.
¿Cuáles son tus metas para 2018?
- Hacer a ISACA toda vía más relevante y valiosa para nuestros miembros, para la profesión, la industria, las empresas, incluyendo continuar innovando con nuestro entrenamiento, certificaciones, la plataforma CSX y la nueva plataforma CMMI de ciber-madurez.
- Proveer un fuerte liderazgo directivo demostrado por un gran gobierno, supervisión de la ejecución y planes estratégicos.
- Desarrollar y ejecutar un plan para una fundación de caridad de ISACA.
- Escuchar, aprender y actuar.
¿Cuál es tu consejo número uno para profesionales de tecnología?
Participar. Ser voluntario, comenzando con tu capítulo ISACA y luego en un nivel internacional. Busca oportunidades para contribuir. Cuando uno hace eso, uno crece más rápido como profesional, obtiene habilidades valiosas y conocimiento, construye su red de contactos, y sientes que estás haciendo la diferencia.
¿Cuál es tu beneficio favorito de tu membresía de ISACA?
Las redes de contacto. Yo disfruto profundamente interactuar con los miembros de ISACA en varios eventos y capítulos alrededor del mundo. ISACA es más que una asociación profesional, es una familia global.
¿Qué haces cuando no estás en el trabajo?
Después de perder a mi primera esposa, me casé con una mujer maravillosa, Becky. Nosotros recientemente celebramos nuestro aniversario número 19 y juntos tenemos seis hijos y 17 nietos. Por lo tanto, la cosa más favorita que me gusta hacer es pasar tiempo con mi esposa, hijos y nietos. Esto incluye en ocasiones andar en bote, pescar y nadar, lo cual amamos hacer.
Te has desempeñado y actualmente te desempeñas trabajando en un número de juntas directivas de organizaciones y como consultor ejecutivo para algunas compañías de ciberseguridad. ¿Qué es lo que en tu experiencia pasada te ha preparado de mejor manera para el rol de presidente de la junta directiva de ISACA?
Actualmente trabajo con varias distintas organizaciones como consultor ejecutivo para su presidente o como un miembro de la junta directiva. Como director, llevo las responsabilidades fiduciarias, de gobierno y de liderazgo estratégico que son inherentes en ese rol. Me considero un miembro del equipo de cada uno de mis clientes. Trabajo cercanamente con el presidente, las juntas directivas, otros ejecutivos y personal. En el caso de ISACA, proveo un servicio similar como director y presidente de la junta, pero de manera gratuita.
Realmente disfruto esto porque tengo el privilegio de estar simultáneamente en los equipos de varias grandiosas organizaciones y la satisfacción de hacer una diferencia significativa para su éxito. Mi consejo executivo puede cubrir cualquier área del negocio incluyendo el gobierno, la estrategia, posicionamiento y mensaje de la organización, estrategia de producto, mapas de ruta de producto, mejora de la velocidad del desarrollo y calidad, mentoring de líderes, ayuda en la identificación de invenciones y archivos de patentes, ventas, soporte, servicios profesionales, estructura organizacional, y fusiones y adquisiciones. Una larga lista de experiencias me ha preparado para este rol. Acá les cuento algunas destacadas: inicialmente construí mis habilidades técnicas como programador escribiendo código de productos de seguridad de la información, desde entonces dirigí equipos de desarrollo y productos, dirigí unidades de negocio, me desempeñé como gerente de tecnología para Symantec, y como presidente. A través de ISACA me fue posible perfeccionar mis habilidades de ciberseguridad y mejor entendimiento de las funciones de auditoría y riesgo por eventos de ISACA a los que asistí y en los que fui orador, ambos en un nivel internacional y del capítulo.
Lo que puede ser menos obvio son las fallas y adversidad que enfrenté, las que me ayudaron a construir carácter y comprensión. Por ejemplo, muy temprano en mi carrera, uno de mis productos de software colapsó todos los sistemas de una liga deportiva bien conocida durante una prueba de concepto y me echaron a patadas del edificio y me pidieron que nunca regresara. Y no me rendí y continué tratando de mejorar el producto. Luego, fuera de esa compañía yo cofundé Axent Technologies, la cual se enfocaba en empresas de seguridad de la información. Ésta creció exponencialmente y fue finalmente hecha pública y comprada por Symantec. Durante ese tiempo, mi esposa estaba luchando contra el cáncer y eventualmente falleció antes de que vendiéramos la compañía. Mientras que su enfermedad y fallecimiento fueron increíblemente traumáticos para mí y mis hijos, aprendí a lidiar con la adversidad y la pérdida me dio más empatía por otros y una habilidad de enfocarme en lo que es realmente importante y no preocuparse por pequeñeces.
¿Qué es lo que ves como los mayores factores de riesgo que deben atender los profesionales de seguridad de la información? ¿Cómo se puede proteger el negocio así mismo?
Los ataques de ransomware continúan creciendo rápidamente. En 2018, estamos viendo más ataques dirigidos de ransomware con demandas de rescate más altas.
No solo los sistemas Windows están siendo el objetivo, también los sistemas Linux y Mac, los teléfonos inteligentes y los dispositivos de Internet de las Cosas. Para lidiar más efectivamente con este riesgo, las organizaciones deben considerar reforzar su actual enfoque mediante la implementación de herramientas de siguiente generación de listas blancas (whitelisting) que permitan correo únicamente código confiable. Las organizaciones pueden elegir que tan acotada desean que sea esa lista.
La privacidad también continúa en riesgo, tal y como lo hizo evidente la ley de privacidad europea la cual describe muchas acciones benéficas como el descubrimiento, categorización y cifrado de datos personales.
La falta de suficientes profesionales de ciberseguridad plantea el riesgo de que las organizaciones puedan no estar en la posibilidad de ejecutar bien sus estrategias de seguridad, y detectar y responder efectivamente a los incidentes. Lidiar con las ciber-habilidades es un desafío que los líderes deben navegar.
Tienes una extensa experiencia en liderazgo ejecutivo. ¿Cómo visualizas que los roles de los ejecutivos cambien para enfrentar los desafíos de seguridad de la información?
Enfrentar los desafíos de la ciberseguridad requerirá un fuerte liderazgo desde la junta directiva, el presidente y los gerentes ejecutivos. De hecho, las organizaciones no solo necesitan ciberseguridad, también necesitan ciber-resiliencia, la cual incluye la necesidad de implementar seguridad, pero además alta disponibilidad, escalabilidad y la habilidad de permitir a la organización mantener la continuidad del negocio, aunque esté enfrentando un ataque o un desastre.
El rol de los ejecutivos relativo a esto es cambiar a medida que las organizaciones vean la ciberseguridad y resiliencia no solo como temas que deban ser delegados a los gerentes de Sistemas o Informática (CIO por sus siglas en inglés) y a los oficiales de seguridad de la información (CISO por sus siglas en inglés), sino como temas fundamentales de bienestar y crecimiento del negocio. El presidente debe proveer liderazgo y hacer que la ciberresiliencia, incluida la seguridad de la información, sea algo planificado, que se le dé seguimiento u que sea regularmente discutido en reuniones ejecutivas y a nivel de junta directiva.
¿Cuáles piensas que son las formas más efectivas de atender el problema de la falta de habilidades de ciberseguridad?
Hoy en día, la mayoría de las organizaciones tratan de contratar talento de otras organizaciones. Esto es difícil y no hay tantos profesionales de ciberseguridad disponibles para cubrir todos los cargos. Para lidiar con esto en el corto plazo, las organizaciones deberían considerar entrenamientos cruzados de empleados existentes o nuevas contrataciones en áreas adyacentes como redes o administración de sistemas. Esto puede incluir entrenamiento para ellos y que obtengan certificaciones apropiadas para demostrar su conocimiento y habilidades.
Las organizaciones deberían reducir los requerimientos de títulos de cuatro años universidad y considerar solicitantes quienes han sido entrenados en escuelas técnicas, en la milicia o han demostrado de alguna otra forma sus aptitudes. Podrían usar programas internos como una forma de hacer mentoring y alentar a los futuros candidatos a ganar experiencia en terreno.
En el largo plazo, necesitamos trabajar con estudiantes desde el momento en el que entran a la escuela secundaria y a la escuela técnica, la preparatoria y universidad para alentar a más estudiantes a que se internen a campos técnicos como el de la ciberseguridad. También necesitamos alentar y apoyar a más mujeres quienes están entrando en este campo. Actualmente, las mujeres representan tan solo cerca del 11 por ciento de la fuerza laboral de ciberseguridad (de acuerdo con el Foro Executive Womens’s Forum). Yo soy un entusiasta patrocinador de los programas de ISACA para mujeres líderes de tecnologías (SheLeadsTech) como una forma de lograr esto. Adicionalmente, el reporte del estado de ciberseguridad (State of Cibersecurity) de ISACA 2018 claramente muestra que al tener un programa de diversidad, cierra dramáticamente la brecha de percepción entre las mujeres y los hombres como oportunidades de avance iguales en el campo de la ciberseguridad.
¿Cómo crees que las certificaciones que has obtenido te han ayudado a avanzar o potenciar tu carrera profesional? ¿Cuáles son las certificaciones que buscas cuando reclutas a un nuevo miembro de tu equipo?
Comencé mi trabajo en programación y ciberseguridad antes de que las certificaciones existieran si quiera. Por lo tanto, para el momento en el que las certificaciones aparecieron en escena, yo tuve la fortuna suficiente de haberme establecido en el campo. No obstante, yo fui uno de los primeros en recibir la certificación de ISACA Gerente Certificado de Seguridad de la Información (CISM, por sus siglas en inglés) y he estado atento en continuar mi educación y mantenerla actualizada.
Es importante para mí estar constantemente aprendiendo y la meta de ganar horas de educación profesional continuas (CPE, por sus siglas en inglés) para mantener una certificación me ayudan a lograrlo.
La certificación como Auditor de Sistemas de Información (CISA, por sus siglas en inglés) se ha convertido en un requisito para la mayoría de los cargos de auditor de TI. También pienso que las certificaciones basadas en el desempeño tales como CSX Practitioner (CSXP) de ISACA son el camino del futuro para la ciberseguridad dado que los empleadores están buscando candidatos quienes puedan demostrar experiencia práctica.