Para o CISO de qualquer organização grande ou complexa, ser capaz de implementar controles de segurança de forma equitativa em sua empresa altamente distribuída – garantindo que nenhuma divisão seja mal atendida ou negligenciada – não é um desafio fácil.
E não fica maior ou mais complexo do que o Walmart, a maior empresa do mundo. O gigante varejista de $ 572,8 bilhões opera cerca de 10.500 lojas, além de vários sites de comércio eletrônico sob 46 bandeiras em 24 países. Além do varejo, a empresa penetra em outros setores da indústria, incluindo manufatura, saúde e finanças. E sua própria divisão interna de tecnologia, Walmart Global Tech, poderia ser sua própria empresa Fortune 500.
Agora imagine como é ser encarregado de proteger esse gigante e todos os seus diversos ambientes baseados em TI, OT e IoT por meio de uma combinação de pessoas, processos e tecnologia.
Felizmente, não precisamos confiar totalmente em nossa imaginação. Rob Duhart Jr., vice-presidente, vice-CISO e CISO de comércio eletrônico do Walmart, conversou com a SC Media sobre como o Walmart aloca sistematicamente seus recursos de segurança em seu vasto império. Sem entrar muito em detalhes, Duhart sugeriu algumas estratégias e iniciativas cibernéticas que a empresa pode desenvolver nas próximas semanas.
Obrigado por se juntar a nós hoje, Rob. Você gostaria de se apresentar brevemente e sua função?
Rob Duhart: Atuo como vice-CISO do Walmart e me divirto muito fazendo isso. Meu trabalho é apoiar Jerry Geisler, que é nosso CISO; apoiar a organização e como a administramos; e pensar no futuro. Como é a infosec em 2025 e além? E também para executar a proteção de nossa capacidade e plataformas de comércio eletrônico e tudo o que isso implica. Então, muitas coisas interessantes. Realmente amo meu dia a dia.
Se existe uma filosofia cibernética predominante em toda a sua empresa, qual é?
Primeiro, a confiança é essencial no Walmart. Nossos clientes confiam em nós para entregar. Eles vêm às nossas lojas, vêm aos nossos sites para comprar e receber mercadorias, serviços. E esses serviços estão em constante evolução. Portanto, precisamos ser capazes de colocar a confiança no centro desse relacionamento com nossos clientes.
eu acho que sendo intencional [about cybersecurity] é uma grande parte [of that.] Dentro de nossas várias unidades de negócios, independentemente de se tratar de serviços de saúde ou financeiros, [it’s about] sendo intencional sobre segurança cibernética em toda a empresa e fazendo isso em parceria com nossos parceiros de tecnologia e negócios. Somos a força motriz aqui na infosec. Mas, francamente, precisamos que todos os nossos 2,2 milhões de associados entendam por que a segurança é importante e por que todos precisam estar envolvidos em práticas seguras de segurança cibernética.
Esse conceito de manter o patrimônio cibernético em toda a organização parece uma extensão natural da missão de Liberas, Inc., empresa que fundou há vários anos (e ainda aconselha). De acordo com o site da organização, a Liberas deveria fornecer “empresas e sociedades globalmente com acesso equitativo à tecnologia de segurança cibernética de infraestrutura crítica”.
É um ótimo ponto. Nosso [four] princípios orientadores aqui no Walmart [are] ser um campeão de confiança, ser um facilitador de negócios, focar na excelência em segurança e ter uma abordagem proativa. Sem dúvida, acreditamos que juntos somos mais fortes. E, portanto, encontrar maneiras de fazer parceria com pessoas e organizações para entregar essa confiança ao nosso cliente é enorme. Então eu concordo com você – esses princípios são fantásticos. Eles me precederam. Não quero fingir que os construí, mas eles são a essência de tudo o que fazemos.
Quais são os atributos mais importantes a ter em uma estratégia de segurança cibernética para garantir que ela possa ser implantada em uma organização multifacetada como a sua? Escalabilidade? Repetibilidade? Eficiência?
A escala às vezes cria desafios únicos que adicionam complexidade, especialmente para uma equipe global que possui um portfólio diversificado. Mas realmente nos concentramos em duas coisas: uma é a capacitação de negócios, que é entender para onde as empresas estão indo e ajudar a garantir que elas estejam escolhendo e fazendo a escolha segura – se possível, na primeira vez. E como podemos garantir que estamos entregando essa experiência confiável aos nossos clientes?
E a outra parte é entender seu propósito. Simon Sinek tem um livro famoso, e fala sobre o “porquê” e como o “porquê” é tão importante. E uma coisa que parece funcionar muito bem para nós é garantir que as pessoas entendam nosso “porquê” compartilhado e comunitário em todo o mundo: “Economize dinheiro. Viva melhor”. E então entregar essas experiências confiáveis para clientes em todo o mundo. Esse “porquê” é realmente poderoso e realmente nos ajuda enquanto trabalhamos para viabilizar o negócio.
Você mencionou entender para onde o negócio está indo e garantir que seus projetos de segurança cibernética estejam alinhados com isso. Qual é a sua abordagem estratégica para realizar esta tarefa?
Estamos absolutamente adotando uma abordagem de segurança alinhada aos negócios. Muitas organizações [use a] BISO. Na verdade, preferimos chamá-lo de Business Information Security Partner (BISP), o que realmente destaca a parte de capacitação do que estamos falando. Não é que sejamos “oficiais” per se. Não, estamos aqui para ajudar a empresa a acelerar sua capacidade de entregar com segurança – e nossos parceiros trabalham para fazer isso. Estamos nos concentrando este ano em nossos negócios de saúde e bem-estar e em nosso negócio de comércio eletrônico e esperamos expandir isso no futuro.
Acho que um segundo programa que vale a pena mencionar é o nosso investimento em treinamento e conscientização comportamental. Fazemos isso em todos os níveis da nossa organização. Somente nos EUA, treinamos mais de 1,2 milhão de associados nas melhores práticas a cada ano. Para contextualizar, se todos morassem na mesma cidade, seria a décima maior cidade dos Estados Unidos. Portanto, estamos muito orgulhosos das várias maneiras como fornecemos esse tipo de histórico aos nossos associados, além de nosso foco específico em parceria com o negócio.
Vamos voltar a uma das primeiras coisas sobre as quais perguntei, que são os desafios de implementar várias iniciativas cibernéticas em uma organização global altamente distribuída e diversificada. Você opera em vários países sujeitos a diferentes regulamentações de segurança e privacidade e possui espaços de trabalho que combinam ambientes de TI, OT e IoT. Como você equilibra tudo isso?
Você acabou de atingir um dos maiores pontos de venda do nosso programa Business Information Security Partner, onde você pode se aprofundar e se concentrar onde precisa se concentrar nas áreas exclusivas do negócio – mas você tem uma ampla exposição e conexão de segurança para que você pode cuidar do que é mais padrão. Como você faz os dois? E acho que a maioria das organizações em todo o mundo está tentando encontrar esse equilíbrio. Estamos orgulhosos de nossa capacidade de fazer isso com o BISP.
O aumento do uso de dados e tecnologia no varejo realmente torna a confiança essencial. E como temos uma força de trabalho tão diversa e qualificada em diferentes áreas, a discussão que tive com vocês sobre conscientização de segurança serve como um bom exemplo. Porque existem várias maneiras de fazermos isso. Seja você um associado de loja ou de depósito, o que significa ter uma mentalidade centrada na segurança pode parecer um pouco diferente.
Temos uma base de funcionários muito diversificada e, portanto, nossa capacidade de alcançá-los também deve ser diversificada. Então, fazemos as coisas básicas, como phishing, simulação e treinamento. Mas também alcançamos nossos associados usando todos os tipos de recursos internos para tentar atingir todos, desde o executivo, até alguém que trabalha em um caixa, até alguém que trabalha dentro de um centro de distribuição. Ser capaz de ter essa extensão e amplitude é tão grande, porque juntos somos realmente mais fortes, e isso é um componente essencial desta campanha. Eu diria que alavancar essa população de associados nos torna mais seguros e é um grande trunfo em nossa jornada de entrega de confiança em toda a empresa.
O treinamento de conscientização de segurança vai para a parte “pessoal” da estrutura de pessoas, processos e tecnologia. Qual tem sido o seu foco nas frentes de processo e tecnologia?
Quando você pensa na tríade da CIA – confidencialidade, integridade e disponibilidade – aproveitamos uma série de recursos técnicos e relacionados a processos para conduzir e amadurecer isso. Estamos muito orgulhosos do que fizemos – tanto do que existia antes de eu chegar quanto do que focamos hoje. Não quero destacar nenhuma área em particular. Estamos investindo de maneira bastante uniforme em todo o portfólio, mas você disse algo que realmente se destacou para mim e que acho que se alinha muito com o que acreditamos, que entender, moldar e enquadrar o comportamento e a cultura das pessoas é uma das melhores ferramentas que temos.
Existem ferramentas técnicas [and strategies] isso importa, sem dúvida – confiança zero sendo uma, identidade é outra. Mas realmente acreditamos que nosso pessoal é nosso maior patrimônio e que nossa energia em entregar essa confiança ao cliente por meio dessas pessoas é a melhor maneira de protegê-lo. Já ouvi dizer – não por mim, mas por outros – que a melhor tecnologia não impede que alguém clique em um phishing. E, assim, permitir que as pessoas entendam como são as ameaças – ser capaz de identificar um phishing e identificar qual deve ser o comportamento – é muito importante para nós e estamos vendo tendências positivas ano após ano. Os associados não apenas detectam esses tipos de ameaças maliciosas, mas também os relatam, o que nos ajuda a proteger ainda mais nossos sistemas contra agentes mal-intencionados… E [we’re] automatizando esse loop o máximo possível para que o tempo entre a identificação e o bloqueio seja mais rápido.
Sei que você não queria necessariamente se concentrar em nenhum processo cibernético específico ou iniciativa tecnológica em detrimento de outra, porque todos são importantes à sua maneira. Mas você pode me dar um exemplo recente?
Não é recente – isso é algo que está em andamento – mas algo sobre o qual posso falar é… estamos realmente focados em construir uma organização centrada na segurança. E parte da maneira como fazemos isso é aproveitando as simulações do time vermelho para testar nossas próprias defesas. Temos muito sucesso e conjuntos de habilidades nesse espaço. Estamos muito entusiasmados com o progresso que tivemos. Sem entrar em detalhes, estamos muito orgulhosos de nossa capacidade de alavancar nossa equipe vermelha para garantir que nossas defesas estejam onde precisam estar e podemos entregar essa confiança de forma consistente em todo o ecossistema digital e físico.
Como você está focando tanto na força de trabalho hoje, vou fazer uma pergunta relacionada à força de trabalho cibernética. Para fornecer recursos de segurança de forma equitativa em um negócio tão expansivo, você precisa de recursos humanos adequados para dar suporte a esse objetivo. Sabemos que é um desafio em toda a indústria cibernética encontrar talentos no espaço cibernético. O que você está fazendo para garantir que possui o talento interno necessário para manter sua máquina cibernética funcionando?
No momento, estamos contratando para uma série de funções em infosec e nos sentimos realmente afortunados por estar em posição de continuar a focar em nosso crescimento e construir e aumentar a equipe de classe mundial que temos. Existem várias transformações digitais acontecendo no Walmart hoje. E todos nós sabemos que cada um tem um papel importante a desempenhar para possibilitar essa transformação. E estamos entusiasmados com o fato de a segurança continuar a ser um parceiro integral das equipes de tecnologia e de negócios.
Se você fosse para o site agora, você pode ver que estamos contratando. Estamos entusiasmados por fazê-lo. E estamos muito felizes por estar construindo uma das equipes diversificadas e talentosas de maior sucesso em infosec.
A segurança do comércio eletrônico vem com seus próprios conjuntos de desafios. Qual é o seu foco em questões como controle de contas, fraude e bots de sites?
Você tocou em um dos meus tópicos favoritos – bots e ATO. Temos um investimento significativo nesse espaço e acho que algumas das melhores equipes do mundo estão lá… Acontece que essa é uma das equipes pelas quais sou responsável…
Passamos muito tempo tentando garantir que as pessoas certas ponham as mãos nas coisas certas regularmente. E isso é uma grande parte do que significa proteger nosso espaço de comércio eletrônico… Qual é o sentido de ter 10.000 lojas se alguém não pode acessar seu site e ver o que está disponível?