Die Perspektive eines CISO und Veteranen der Luftwaffe
zur Verteidigung von Daten
Mike Wagner, CISO von Kenvue, teilt seine Gedanken zur Rolle von Sicherheitsverantwortlichen
In diesem Interview von Security Leaders sprechen wir mit Mike Wagner, CISO bei Kenvue, einem Unternehmen für Verbrauchergesundheit. Als Veteran der Air Force kennt sich Mike mit der Kunst der Verteidigung bestens aus. Erfahren Sie, wie seine Erfahrungen bei den Streitkräften ihn für eine Karriere in der Cybersicherheit befähigt haben.
Begleiten Sie Clarke Rodgers, Direktor von AWS Enterprise Strategy und selbst ein Veteran, während er sich mit Mike zusammensetzt, um die sich entwickelnde Rolle des CISO im modernen Unternehmen zu besprechen. Sehen Sie sich das Video oben an oder sehen Sie sich das Gespräch unten im Detail an, um Mikes Tipps für Führungskräfte zu erhalten, wie Sie eine Sicherheitskultur aufbauen, negative Sicherheitsvorstellungen ändern, Veteranen in Ihr Einstellungsprogramm aufnehmen und die Zukunft der Sicherheit antizipieren können.
Treffen Sie Mike Wagner, CISO bei Kenvue
Clarke Rodgers (00:08):
Mike, vielen Dank, dass Sie heute zu mir gekommen sind.
Mike Wagner (00:10):
Hey, danke Clarke. Freut mich, hier zu sein.
Clarke Rodgers (00:12):
Also, wenn Sie so nett wären, erzählen Sie mir bitte von Ihrer Rolle und Ihren Aufgaben.
Mike Wagner (00:16):
Clark, ich bin der CISO einer Firma namens Kenvue. Kenvue war Teil der Johnson & Johnson-Unternehmensfamilie. Sie kennen wahrscheinlich einige der Produkte, die wir herstellen, wie Tylenol, Motrin, Aveeno, Neutrogena und Johnson's Baby.
Und meine Aufgabe im Unternehmen besteht darin, sicherzustellen, dass diese Daten, die Systeme und die Menschen angemessen vor den Bedrohungen geschützt sind, die es gibt. Wir stellen zwar sicher, dass wir geschützt sind, ermöglichen es dem Unternehmen aber auch, dafür zu sorgen, dass unsere Verbraucher, unsere Kunden, unsere Lieferanten und natürlich auch unsere Belegschaft einen schnelleren, optimierteren und kostengünstigeren Zugang haben.
Clarke Rodgers (01:01):
Ich möchte ein wenig tiefer gehen. Können Sie mir etwas über Ihren Hintergrund im Sicherheitsbereich erzählen, bevor Sie diese Rolle übernommen haben? Ich weiß, dass Sie nicht als CISO angefangen haben.
Michael Wagner (01:11):
Das stimmt, ja. Nun, ich ging zur Air Force Academy und war in der Air Force Cyber Organisation, im Grunde genommen in verschiedenen Rollen. Eine dieser Rollen war beim Office of Special Investigations, das während des 11. September in der Gegend von DC tätig war. Ich habe mich Anfang der 2000er Jahre getrennt, bin aber als Reservist geblieben. Es war also schön, eine kleine Parallele zu Corporate America und der Air Force zu haben.
In einer Karriere wie Cyber ergänzen sie sich sehr gut, weil du die Informationen bekommst und auf der Seite der Reservisten oder der Nationalgarde üben kannst. Und in der Lage zu sein, diese Techniken, diese Lektionen, diese Informationen im Unternehmensbereich anzuwenden. Im Unternehmensbereich war ich in verschiedenen Branchen tätig. Ich habe in der Telekommunikation angefangen. Ich war schnell im Finanzdienstleistungssektor tätig und war in den letzten etwa 15 Jahren hauptsächlich im Gesundheitswesen tätig.
In den letzten fünf, sechs Jahren habe ich mich auf unsere Lieferkette, unser Unternehmen und die globale Lieferkette konzentriert. Und konzentrierte sich bei der Umsetzung seiner digitalen Lieferkettenstrategie stark auf den OT-Teil der Sicherheit. Stellen Sie sicher, dass verschiedene Fenster im Unternehmensnetzwerk geöffnet wurden, dass sie geschützt waren und nur der entsprechende Zugriff durchkam. Ebenso wie der Umgang mit all unseren Lieferanten, Logistik-, Netzwerk-, externen Logistikdienstleistern usw. Stellen Sie sicher, dass sie im Falle eines Vorfalls bereit sind und/oder arbeiten Sie mit ihnen zusammen.
Clarke Rodgers (03:01):
Interessant. Können Sie also ein wenig über Ihren Übergang vom Militär zum Unternehmensleben sprechen? War das ein großer Wandel für dich, oder weil sich Cyber quasi durch alles schlängelt, war es vielleicht nicht so hart?
Wie hat Sie Ihre Erfahrung bei der Air Force auf eine Karriere im Bereich Cybersicherheit vorbereitet?
Michael Wagner (03:16):
Weißt du, was interessant war, als du Offizier beim Militär bist, rauskommst und zack, du bist 22 Jahre alt und du hast ungefähr 25 Leute, die über dich berichten. In der Unternehmenswelt musst du dich ein bisschen mehr beweisen. Sie geben dir einfach nicht sofort diese Art von Glaubwürdigkeit. Im Sinne von Führung ging es also nur darum, zu den Grundlagen zurückzukehren, Vertrauen aufzubauen, Glaubwürdigkeit aufzubauen, sich darauf zu beziehen, was die Leute vorhatten und was sie taten.
Aber aus professioneller Sicht, was die technischen Fähigkeiten, die Cybersicherheit und das Militär und den Schutz eines Netzwerks angeht, gelten dieselben Techniken und Taktiken für den Schutz eines Unternehmensnetzwerks. Du kannst auch mit deinem eigenen inneren Ziel dahinter stehen. Innere Ziele sind für uns alle so wichtig, und die Verteidigung von Netzwerken, die Verteidigung von Daten, die Verteidigung von Menschen.
Clarke Rodgers: (04:11)
Diese Mission zu haben.
Michael Wagner (04:13):
Ja, das gehört zu meinem Ziel. Es ist der Kern meiner DNA.
Clarke Rodgers(04:17):
Das ist großartig. In der Unternehmenswelt und in Ihrer aktuellen Rolle stellen wir also in der Regel fest, dass sich CISOs im Laufe der Zeit weiterentwickelt haben. Früher war es eine sehr, sehr technische Rolle und nicht so sehr geschäftsorientiert, aber jetzt sehen wir, dass CISOs und CSOs wirklich Teil der Geschäftsleitung von Unternehmen sind — sie berichten regelmäßig an den Vorstand und sprechen wirklich die Geschäftssprache statt der Sprache der Bits und Bytes und der Firewalls. Wie haben Sie diesen Übergang geschafft? Wir haben vor einer Minute über Vertrauen gesprochen. Wie gewinnen Sie Vertrauen bei den anderen Führungskräften Ihres Unternehmens?
Michael Wagner (04:58):
Ja, also ich denke, eine der wichtigsten Fähigkeiten für jeden Sicherheitsexperten, sicherlich für einen CISO, ist die Fähigkeit, mit Menschen umzugehen, weißt du? Eine Verbindung zu haben, etwas Gemeinsames, das sie dazu bringt, zuzuhören, worüber du sprichst. Sobald Sie also in der Lage sind, diese Verbindung aufzubauen und sich zum Ziel zu setzen, die Leute darüber aufzuklären, was Cyber ist und warum es für sie wichtig ist, wird es viel einfacher.
Und das sind nur die Grundlagen, aber im Grunde geht es darum, auf die Führungsebene zu gehen und sicherzustellen, dass sie Cybersicherheit verstehen, dass sie verstehen, dass es eine Geschäftsverantwortung ist. Und ehrlich gesagt sollten sie unsere Services nutzen, um ihr Geschäft zu unterstützen.
Wir sind ein großes Unternehmen im Bereich Verbrauchergesundheit. Wir haben über eine Milliarde Verbraucher, und wir wollen weiter wachsen. Die Verbraucher werden immer mehr direkt bei uns kaufen. Wie können wir also ihren Weg zu unseren Produkten beschreiten, die sie unserer Meinung nach zu besseren, gesünderen Menschen machen – ob es nun Sonnencreme ist, ob es Tylenol ist oder vielleicht, damit sich ihre Babys besser fühlen.
Deshalb wollen wir den Zugang erleichtern. Wir möchten auch sicherstellen, dass sie wissen, dass wir ihre Daten schützen können. Und natürlich, über den Verbraucher hinaus, die Zusammenarbeit mit unseren großartigen Kunden, unseren großartigen Lieferanten und dann sicherlich mit der Belegschaft. Machen Sie diese Benutzererfahrung, die Erfahrung der Benutzer, die mit unseren Systemen kommunizieren, viel einfacher, viel nahtloser und viel sicherer.
Clarke Rodgers (06:33):
Was Sie gerade beschrieben haben, ist also eine häufige Herausforderung für CISOs, oder? Es baut diese Sicherheitskultur außerhalb der Sicherheitsorganisation auf. Die Leute verstehen also, hey, es ist ein gutes Geschäft, Sicherheit früh und oft einzubauen, oder? Wie gehen Sie also vor oder welche Programme haben Sie eingeführt, um diese Sicherheitskultur in Ihrem Unternehmen aufzubauen?
Haben Sie einen Rat, wie CISOs die Sicherheitskultur außerhalb der Sicherheitsorganisation fördern können?
Michael Wagner (06:58):
Ein Programm, das wir eingeführt haben und das wirklich erfolgreich war, ist dieses Konzept – ich habe ein bisschen über Betriebstechnologie oder OT gesprochen. Wir sind ein globaler Hersteller. Wir haben Dutzende von Werken und Hunderte von externen Logistikdienstleistern. Wir haben ein sogenanntes OT-Championprogramm eingeführt, bei dem wir einen Ansprechpartner kennen und haben, der sich für Sicherheit im Lieferkettengeschäft einsetzt.
Clarke Rodgers (07:28):
Oh, interessant.
Mike Wagner (07:29):
Ja. Ich meine, diese Leute, wir bilden sie aus, quasi wie ein „Train the Trainer“-Programm. Aber mehr als das, wir sind eine Ressource für sie. Wir setzen uns für sie ein, und sie befürworten unser Programm. Es war erfolgreich, weil es uns ermöglicht hat, Räume zu durchdringen, in die wir sonst nicht eindringen könnten.
Wir haben vorhin darüber gesprochen, was wir gemeinsam haben, nämlich beim Militär zu sein. Es ist so, als ob die USA ins Ausland gehen oder die Truppen ins Ausland gehen, sie verlassen sich auf die Einheimischen, um sich fortzubewegen. Sie kennen die Geografie, sie kennen das Terrain. Sie wissen, wo sie aufpassen müssen und wo Sie am besten positioniert sind. Es liegt in der gleichen Mentalität, dass, indem wir Mitarbeiter im Unternehmen, in diesem Fall in der Lieferkette, gewinnen oder vertreten, sie uns helfen können, erfolgreicher zu sein, und wir wiederum helfen ihnen, das Geschäft abzusichern und sich von der Zeitung fernzuhalten. Liefern Sie unsere Produkte an die Verbraucher, die dieses Produkt benötigen.
Clarke Rodgers (08:33):
Und dieses Programm, so wie Sie es veröffentlicht haben, haben diese Unternehmensleiter die Vorteile gesehen, die das mit sich bringt?
Michael Wagner (08:40):
Oh, auf jeden Fall. Da Sicherheit immer mehr zum Mainstream geworden ist, wissen die Führungskräfte in diesen Einheiten, dass ihre Mitarbeiter Verbindungen zu unserem Programm haben. Und in vielen Fällen haben wir bereits mit ihren Führern gesprochen. Es gibt also einen Komfort, die Räder sind bereits geschmiert, sodass der Einstieg glatter ist. Sie sind vorbereitet und bereit, den Input zu erhalten, den wir ihnen geben, die Bildung, die wir ihnen geben.
Clarke Rodgers (09:15):
Können Sie, wenn Sie ihnen ein Risiko melden, ein wenig darüber beschreiben, wie Sie das tun und wie Sie die Sicherheit für sie real machen? Traditionell, schätze ich, ist der Bericht eine Art von CISOs der alten Schule, eine Übersicht über Schwachstellenmatrizen und Patch-Programme und solche Dinge, die bei Vorständen oft keinen Anklang finden. Wie kommunizieren Sie Risiken an die Vorstände?
Michael Wagner (09:38):
Wir setzen es in Bezug auf das Geschäftsrisiko und die Auswirkungen auf das Geschäft ein. Natürlich arbeiten wir daran, diese Auswirkungen durch die von uns eingeführten Kontrollen zu minimieren. Wir sprechen auch über unser Programm und darüber, wie es sich weiterentwickelt und wie die Funktionen unseres Programms das Wachstum des Unternehmens ermöglichen. Viele Menschen betrachten Sicherheit als defensives Spiel, vielleicht im Kontext eines Versicherungsspiels.
Clarke Rodgers (10:04):
Gerne.
Michael Wagner (10:05):
Wir betrachten Sicherheit nicht nur in der Defensive, sondern auch im Hinblick auf den Zugang. Und der Zugriff ist ein Wegbereiter. Ich habe bereits den Zugang für die Verbraucher, den Zugang für unsere Kunden, den Zugang für unsere Lieferanten, sicherlich für unsere Belegschaft, erwähnt. Wenn wir den Zugang einfacher und reibungsloser gestalten können, können wir das Geschäft beschleunigen. In unseren Entwicklungsprozessen stellen wir sicher, dass die Sicherheit bei der Einführung neuer Technologie-Releases nach links und ein Teil der Pipeline verschoben wird. Diese Lektionen haben wir schon früh im Spiel gelernt, was es uns ermöglicht hat, ein echter Partner für das Unternehmen zu sein, der viel Glaubwürdigkeit besitzt.
Clarke Rodgers (10:49):
Das klingt hervorragend. Also, wenn wir ein bisschen umschalten und darüber sprechen, Ihr Sicherheitsprogramm irgendwie mit Personal auszustatten, oder? Weißt du, du hast bereits über dein Champions-Programm und die OT-Seite der Dinge gesprochen. Haben Sie außerhalb von OT eine Möglichkeit, die Ihrem Sicherheitsteam innerhalb Ihres Unternehmens effektiv einen Multiplikator bietet?
Auf welche Fähigkeiten oder Eigenschaften achten Sie bei der Einstellung von Sicherheitstalenten?
Michael Wagner (11:10):
Natürlich verlassen wir uns darauf, Leute mit Fähigkeiten im Bereich Softwareentwicklung hinzuzuziehen. Wir haben eine ganze Reihe von Militärs eingestellt. Fähigkeiten wie das Verständnis von Softwarebereitstellung und Code sind viel wichtiger und standen in letzter Zeit stärker im Mittelpunkt. Sicherlich, da wir untersuchen, wie KI unser Sicherheitsprogramm unterstützen kann und wie wir eine globale Produktionsfläche mit einer begrenzten Anzahl von Mitarbeitern abdecken können? Wir freuen uns also darauf, weitere Optionen zu erkunden, die KI bieten kann.
Aber aus menschlicher Sicht behalte ich die Leute im Auge, die in der Air Force und in verschiedenen Militärforen sind. Wir hatten Programme, in denen wir Veteranen nach Ende ihrer Dienstzeit hinzugezogen haben. Einige dieser Programme ermöglichen es den Veteranen, ihren Hochschulabschluss während ihrer Arbeit zu erwerben. Das war also sehr erfolgreich.
Für die Veteranen, die im Unternehmen tätig sind, haben wir ein fantastisches Leistungsprogramm. Wir sind sehr militärfreundlich, wenn es darum geht, dass sie ihre zwei Wochen Dienst ableisten oder wenn sie zum Beispiel einberufen werden. Natürlich müssen wir sicherstellen, dass die Leistungen für unsere Veteranen gut und solide sind.
Ich habe oft gehört, dass es den Leuten schwer fällt, neue Mitarbeiter einzustellen, und dass die Einstellung guter Talente eine der Herausforderungen ist, mit denen CISOs in den nächsten Jahren konfrontiert sind und mit denen sie in der Vergangenheit konfrontiert waren. Ich verwende oft die Analogie, ich fühle mich wie ein College-Football-Trainer. Ich gehe raus und rekrutiere, bevor wir die Stellen überhaupt offen haben. Ich nehme die Talente ins Visier, knüpfe Beziehungen, gehe in verschiedene Foren, in denen ich weiß, dass es gute Talente geben wird.
Und am Ende geht es um die Leute. Du schüttelst dir die Hand, du behältst die Verbindungen, du stellst eine Verbindung zu dieser besonderen Person her, von der du letztendlich hoffst, dass sie klappt, wenn du sie brauchst. Und was den Aufbau des Cyber-Personals für Kenvue angeht, hatten wir das Glück, einige sehr talentierte Leute von einigen großartigen Unternehmen zu gewinnen, um sicherzustellen, dass unsere Cyberorganisation sehr, sehr effizient und sehr, sehr produktiv besetzt war.
Clarke Rodgers (13:50):
Das ist eine fantastische Geschichte. Um auf der kulturellen Seite zu bleiben: Da sich die Rolle des CISO im Laufe der Zeit weiterentwickelt hat, wurden der CISO und die Sicherheitsabteilung im Allgemeinen oft als die Abteilung mit dem Nein angesehen. Weißt du, Und unsere erfolgreichsten CISO-Kunden von heute betrachten die Sicherheitsabteilung wirklich als Wegbereiter und als Abteilung für „Ja, aber“. Weißt du, Also weniger Cop, mehr Coach. Wie sieht es in Ihrer Organisation aus und wie hat sich dieser Wandel im Laufe der Jahre vollzogen?
Sicherheitsorganisationen werden oft als die Abteilung angesehen, die „Nein“ sagt.
Was tust du, um diese Wahrnehmung zu ändern?
Mike Wagner (14:29):
Wir wollen als Wegbereiter anerkannt werden. Wir wollen sicherstellen, dass die Cyberabteilung nicht nur als Verteidigungsbehörde betrachtet wird, sondern auch den Zugang ermöglicht. Also, wie haben wir das geschafft? Wirklich durch Bildung. Und wenn wir das Unternehmen aufklären und dafür sensibilisieren, haben sie Verständnis dafür. Sei es: „Hey, sieh dir an, was mit einem unserer Konkurrenten passiert ist“ oder vielleicht ein Unternehmen, das du kennst, oder ein externer Logistikdienstleister, der möglicherweise freigelassen wurde. Sie erkennen, dass sie selbst nicht in dieser Position sein wollen.
Durch diese Ausbildung lief das Geschäft also wirklich sehr gut mit uns, was es uns ermöglicht hat, einen guten Weg vorzuschreiben. Ich bin fest davon überzeugt, dass unsere Beziehungen zu den Cloud-Anbietern unsere Daten nicht nur sicherer machen, sondern auch ermöglichen, dass die Geschwindigkeit, mit der diese Technologie bereitgestellt werden muss, viel schneller, besser und günstiger erledigt werden kann. Und das gefällt der Wirtschaft. Ich meine, wenn das Unternehmen sieht, dass wir dahinter stehen, unseren Kunden das Produkt zu einem erschwinglichen Preis anzubieten, schneller, besser, billiger, dann kaufen sie es ein.
Clarke Rodgers (15:52):
Das ist großartig. Ich weiß also zu schätzen, dass Sie keine Kristallkugel haben, aber wenn wir dieses Gespräch in fünf Jahren noch einmal führen würden, über welche der größten Herausforderungen und Chancen für CISOs würden wir sprechen?
Wie wird sich Ihrer Meinung nach die Rolle des CISO in den nächsten fünf Jahren entwickeln?
Michael Wagner (16:08):
Nun, ich denke, in fünf Jahren werden wir viel reifer sein und verstehen, wie diese KI-Roboter sicherlich dazu beitragen, die Macht, die wir haben, zu verstärken. Ich denke, die Bildung wird weitergehen, damit die Unternehmen noch besser verstehen können, was wir tun. Natürlich sitzen wir jetzt am Tisch. Ich denke, das wird so weitergehen und sich vielleicht nicht nur als Stimme der Technologie, sondern auch als Stimme für Unternehmen weiterentwickeln.
Ich bin mir nicht so sicher, ob der CISO traditionell in der IT-Abteilung oder unter dem CIO tätig sein wird. Ich denke, es gibt verschiedene Orte, an denen es sein könnte, aber ich denke, es wird sicherlich einen großen Beitrag leisten und einen großen Teil der Geschäftsentscheidungen, die getroffen werden, und der verschiedenen Lieferanten und Kunden, mit denen wir es zu tun haben, sein.
Clarke Rodgers (17:15):
Das ist großartig. Mike, vielen Dank, dass Sie heute zu mir gekommen sind.
Mike Wagner (17:19):
Prima. Vielen Dank, Clarke.
Über die Führungskräfte
Michael Wagner
Chief Information Security Officer, Kenvue
Als Chief Information Security Officer von Kenvue leitet Mike ein globales Team, das die strategischen Cyber-Prioritäten des Unternehmens entwickelt, Betriebspläne ausführt und die Organisation leitet. Er ist eine leidenschaftliche Führungspersönlichkeit, die mit Integrität führt und sich kontinuierlich dafür einsetzt, nicht nur das Unternehmen, sondern auch die gesamte Branche zu schützen. Er hatte verschiedene Führungspositionen inne, unter anderem war er Mitglied des Verwaltungsrates des Health Information Sharing and Analysis Center (H-ISAC), leitete das H-ISAC Pharma Supply Chain Steering Committee und war in den letzten 10 Jahren als leitender Sponsor der Johnson & Johnson Veterans Employee Resource Group tätig. Vor seiner Tätigkeit bei Kenvue war Mike über 10 Jahre bei Johnson & Johnson im Bereich Cyber Security tätig und bekleidete eine Vielzahl von Rollen, vom Risikomanagement bis hin zur Verteidigung der Lieferkette des Unternehmens. 2018 zog er sich als Oberstleutnant aus den Air Force Reserves zurück, wo er zuletzt für AF Cyber Operations zur Unterstützung der europäischen und asiatischen Einsatzgebiete verantwortlich war. Mike ist zertifizierter Experte für Informationssystemsicherheit, hat einen Bachelor-Abschluss in Biologie von der US Air Force Academy und einen MS-Abschluss in Telekommunikationsmanagement von der University of Maryland, University College.
Clarke Rodgers
AWS Enterprise Strategist
Als AWS Enterprise Security Strategist hilft Clarke Rodgers anderen Führungskräften mit Leidenschaft dabei, das Potenzial der Cloud für ihre Sicherheit zu entdecken und die perfekten Unternehmenslösungen zu finden. Clarke Rodgers arbeitet seit 2016 bei AWS, doch seine Erfahrung mit den Vorteilen der AWS-Sicherheit reicht noch weiter zurück. In seiner Funktion als CISO bei einem multinationalen Lebensrückversicherer leitete er die vollständige Migration einer strategischen Geschäftseinheit zu AWS.
Machen Sie den nächsten Schritt
Zuhören und lernen
Hören Sie sich an, wie Führungskräfte und AWS-Enterprise-Strategen, allesamt ehemalige leitende Führungskräfte, über ihre Erfahrungen mit der digitalen Transformation sprechen.
Bleiben Sie in Verbindung
AWS Executive Connection ist ein digitaler Ort für Geschäfts- und Technologieführungskräfte, an dem wir Informationen teilen.
On-Demand ansehen
Erhalten Sie Einblicke von Kollegen und entdecken Sie neue Wege, um Ihre Reise zur digitalen Transformation durch dieses exklusive internationale Netzwerk voranzutreiben.
Lassen Sie sich inspirieren
Hören Sie zu, wenn Führungskräfte von AWS und Kunden bewährte Methoden, Lektionen und transformatives Denken diskutieren.