Sempre tive uma paixão por produtos novos e inovadores. Devido ao cenário de ameaças em constante mudança, a segurança cibernética tem uma demanda quase infinita por inovação de produtos, o que a tornou um campo tão empolgante para mim nos últimos cinco anos. Eu diria até que os próprios agentes de ameaça estão entre os maiores inovadores: toda vez que novas ferramentas são desenvolvidas para impedir os agentes de ameaça, os invasores desenvolvem rapidamente novas táticas para contornar essas defesas.
Como CISO de uma empresa que ajuda a orientar viajantes para novos destinos, tive a oportunidade de trabalhar com algumas empresas inovadoras em suas próprias jornadas. Tenho muita alegria em ajudar as startups a amadurecerem seus produtos e sua estratégia de produto e, na verdade, ser um mentor também me ajuda a aprender novas maneiras de proteger minha organização.
Nunca procurei me tornar um mentor, mas, por estar em uma posição de destaque na KAYAK, as pessoas me procuraram muito para pedir conselhos (talvez ainda mais depois dessa história!). Como um CISO, é fácil cair na armadilha de pensar: "Não tenho tempo para isso." A verdade é que ninguém tem tempo extra, mas eu abro espaço para a mentoria porque acredito que ela serve a um bem maior e ajuda a impulsionar a inovação contínua na segurança cibernética.
Todos nós sabemos que as startups são vitais para o ecossistema de segurança cibernética (e para os ecossistemas de inovação em geral). Seu crescimento beneficia todas as empresas e estimula a criação de novos empregos e o crescimento econômico. É um ciclo virtuoso: como comprador de serviços de tecnologia, quero que as startups de segurança cibernética com boas ideias prosperem e conquistem mais clientes, para que elas, por sua vez, possam investir mais no aprimoramento de seus produtos. À medida que a empresa se torna financeiramente viável mais cedo, os produtos também ficam melhores, mais cedo. (As empresas de tecnologia tradicionais nem sempre demonstram a mesma urgência).
Há também um elemento pessoal nisso. Adoro trabalhar com jovens e empresas com paixão e vê-los crescer. É um pouco como criar um filho. Como sou apaixonado por novas ideias e por encontrar maneiras de melhorar os produtos, decidi que valia a pena dedicar algum tempo do meu dia para ajudar algumas dessas empresas.
Grandes empresas não são ruins, mas os riscos ao assumir desafios são muito maiores em comparação com empresas menores. Isso torna a inovação mais desafiadora para eles. As empresas maiores tendem a proteger o que têm, em vez de tentar descobrir a próxima novidade, ou simplesmente compram a próxima grande novidade e expandem por meio de aquisições. Há mais oportunidades de inovação em empresas menores porque as pessoas podem assumir mais riscos e há menos obstáculos burocráticos a serem superados.
Mas as startups enfrentam desafios imensos. Elas precisam de mais do que apenas uma boa ideia. Definir um mercado para uma base de clientes em massa (ou entrar em uma categoria de mercado consolidada) envolve mais do que resolver um único problema para um único cliente. As startups geralmente têm dificuldades para levar suas ideias ao próximo nível, e é aí que entram os mentores.
A maioria de nós tem pouco tempo, portanto, é preciso priorizar como e quem orientar. Antes de iniciar um relacionamento de mentoria, faço a mim mesmo três perguntas:
Eles têm uma visão clara do que seu produto traz para a mesa e como esperam desenvolver esse produto ao longo do tempo?
Eles estão entusiasmados com essa visão?
A empresa está em uma área que me interessa e entusiasma?
Há muitas oportunidades para que as novas startups se expandam e criem um produto que um dia eu consideraria usar em nossa empresa. Por exemplo, no momento, vejo muita inovação em torno do gerenciamento de identidade e acesso, da rede Zero Trust e da microssegmentação de rede, e tenho interesse pessoal em projetos que se enquadram nesses espaços. Há algo especial em ver a mentoria fazer a diferença no destino de uma empresa. Em um caso, iniciei um relacionamento com uma empresa de segurança que estava enfrentando o problema de como integrar e proteger com segurança as identidades de prestadores de serviços independentes. Sua visão inicial despertou meu interesse, e nossas conversas começaram com o compartilhamento de ideias. Ao longo de três anos, dei feedback regularmente sobre ideias de produtos, apontando falhas em seus planos e ajudando a fornecer soluções alternativas.Seu produto acabou evoluindo para resposta a ameaças de identidade (ITDR).
Em todas as etapas, eu me aprofundei no que eles estavam tentando alcançar e no que precisavam melhorar, incluindo a relação sinal/ruído (mais sobre isso abaixo). Embora eu não possa receber todo o crédito, os frutos de nosso trabalho valeram a pena: uma empresa da Fortune 100 adquiriu a startup, e eu ainda presto consultoria ocasional a ela.
Todas essas interações me ajudaram a obter novas perspectivas que posso trazer de volta para impulsionar a inovação em minha organização.
A mentoria será diferente dependendo da sua capacidade pessoal e das necessidades do mentorado. Algumas empresas podem precisar de aconselhamento contínuo e outras apenas de uma ou duas reuniões para colocá-las no caminho certo. Muito depende de onde a startup está em sua evolução, se ela tem apenas uma ideia, um esboço de uma solução ou um produto completo. Independentemente disso, as circunstâncias devem funcionar para todos os envolvidos.
Assim como não há duas empresas iguais, não há dois compromissos de mentoria iguais. Dito isso, recomendei algumas áreas de foco para empresas de segurança cibernética nos últimos anos:
Alta relação sinal-ruído. Um dos maiores problemas das ferramentas de segurança é o ruído. Com uma alta relação sinal-ruído, os usuários gastarão recursos humanos para acompanhar todas as notificações, correndo o risco de fadiga de alertas e de perda alertas críticos. O fato de você poder disparar um alerta não significa que deva fazê-lo. O alerta é eficaz e valioso? Ou isso só aumenta o trabalho? Essas são perguntas essenciais porque, se houver muitos alertas, as pessoas tendem a ignorá-los. Não se trata apenas da quantidade, mas também da qualidade dos alertas. Você deseja que os sinais essenciais que envia sejam simples, de modo que a análise demande pouco tempo e esforço.
Facilidade de implementação. Muitas empresas dificultam demais a implementação de seus produtos. Todas dizem que a implementação leva apenas 15 minutos, mas esse nunca é o caso. Vejo muitas empresas cometendo o erro de esperar que os seres humanos fiquem sentados em frente a uma interface gráfica do usuário (GUI) por muitas horas para configurar seu produto. Isso é ineficiente, especialmente em escala. As empresas devem se concentrar no uso de APIs e automação para a configuração, certamente, mas também no uso contínuo.
Conformidade com SOC2 ou ISO 27001. Sei que não estou sozinho quando admito que fico mais empolgado com a tecnologia do que com a conformidade. No entanto, a conformidade com um desses padrões é fundamental para empresas baseadas em nuvem que lidam com dados confidenciais. Essa é a única maneira de ganhar a confiança do cliente corporativo, e a conformidade precisa fazer parte da conversa desde o início.
Embora eu não seja um profissional de marketing, muitas vezes sou o comprador-alvo. Eu pressiono as startups a definirem sua proposta de valor. Pode ser um grande desafio, mas se a tese deles repercutir em mim, acredito que repercutirá em outros CISOs.
A mentoria não é uma relação unidirecional. É claro que eu forneço orientação, mas também ganho algo com o processo. Quando encontro uma nova perspectiva sobre segurança, há também uma possível oportunidade de melhorar os processos em minha organização.
Sempre há mais a aprender, e algumas das melhores ideias surgem de novas conversas. Por exemplo, ao orientar a empresa de ITDR, descobri que a duração da minha sessão de IAM não era a que eu pensava e pude corrigi-la.
Sou um viciado em informações. O estímulo intelectual de conversar com pessoas que estão entusiasmadas com os mesmos tópicos que eu é energizante. É por isso que me levanto de manhã e gosto de ajudar outros líderes a avançar. Há também um senso de orgulho em fazer parte do sucesso de outra pessoa.
Os fundadores criam e inovam porque é o que eles gostam de fazer. Mas administrar uma empresa não é tão simples quanto dar uma volta de bicicleta, e muitas startups ainda fracassam. A mentoria oferece um impulso extra a essas empresas, dando a elas uma chance de trazer suas ideias para o mundo.
A KAYAK tem um sólido programa de conformidade e ética. Trabalhar com fornecedores apresenta o risco de criar um conflito de interesses se eu achar que o produto é adequado para a KAYAK. Pessoalmente, mitiguei esse risco preenchendo declarações de divulgação conforme exigido pela KAYAK e deixando que minha equipe tomasse as decisões finais sobre se um produto é adequado para nossa empresa.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Tom Parker
VP de TI e CISO, KAYAK
Após ler este artigo, você entenderá:
Como a mentoria serve a um bem maior e ajuda a impulsionar a inovação contínua na segurança cibernética.
Como as startups geralmente têm dificuldades para levar suas ideias ao próximo nível, e é aí que entram os mentores.
Como a mentoria oferece aos mentores a oportunidade de aprimorar os processos em sua própria organização.