Cardwell stieg bei Netscape nicht als Entwicklerin, sondern als Produktmanagerin ein. „Ich habe es versucht, aber ich war einfach nicht gut im Programmieren." Ihren Zugang zur Cybersicherheit fand sie nach eigener Darstellung über die Beziehung zum damaligen Sicherheitschef von Netscape – und über nächtliche Schichten im SOC, in denen sie in den späten 1990er-Jahren „Script-Kiddies" hinterherjagte. Es folgte eine Laufbahn als CIO in der Finanzbranche, unter anderem als VP und Unit-CIO bei American Express sowie als CIO bei Optum Financial Services, einem Teil der UnitedHealth Group. UHG beförderte sie schließlich zur CISO – ihre erste Rolle in dieser Funktion. Einen Hochschulabschluss hat sie nach eigenen Angaben nicht: „Ich habe meine Karriere allein durch Lernen, Ausprobieren und tiefe Neugier aufgebaut."

Für Cardwell entsteht Führung dort, wo jemand Probleme nicht nur mit Code, sondern mit Menschen lösen will. Dazu komme eine strategische Perspektive: die Fähigkeit, den Blick vom einzelnen Problem zu heben und zu fragen, wohin das Unternehmen sich bewegt und welches Risiko sich lohnt. Taktik und Strategie seien für einen CISO kein Entweder-oder. Sie verweist auf einen ihr von einem anderen CISO gestellten Punkt – wie man ein Team aus Tausenden Menschen führe – und antwortet: Eine einzige Schwachstelle, etwa an der Spitze der Incident Response, könne strategisch verheerend wirken. Ihren Ansatz beschreibt sie als T-förmige Führung: tiefes Wissen über einzelne Taktiken bei gleichzeitigem Überblick über die Gesamtstrategie.

Ihr wichtigstes Werkzeug sei Empowerment. „Statt den Leuten einfach zu sagen, was sie tun sollen, bringe ich alle als eine Einheit zusammen und frage: Was sollten wir tun?" Sie selbst hasse es, Anweisungen zu erhalten, und glaube, dass es den meisten Menschen so gehe; eine gemeinsam definierte Mission motiviere dagegen. Auf die Frage nach der wichtigsten Charaktereigenschaft eines großartigen CISO nennt sie zunächst tiefe Neugier und ein geringes Ego, entscheidet sich dann für das geringe Ego: Wer sich als klügste Person im Raum aufführe, ersticke die Beiträge aller anderen – und ein geringes Ego mache alle zugleich neugieriger.

Ein großes Thema ist für Cardwell der Schutz des Teams vor Burnout. Arbeit in der Cybersicherheit gleiche einem Dampfkochtopf; jeder im Team sei faktisch rund um die Uhr in Bereitschaft. Als Gegenmaßnahme führte sie halbe Freitage ein – etwas, das keine andere Abteilung im Unternehmen tue, aber auch keine andere Abteilung werde um vier Uhr morgens zu einem Notfall gerufen. Diese Anerkennung habe den Burnout im Team „fast sofort" reduziert und langfristig gewirkt. Entscheidend sei, Burnout früh zu erkennen: Nur wer das akute Stadium erkenne und gegensteuere, bevor der chronische Zustand eintrete, könne sich erholen.

Die größte Schwierigkeit der Rolle sieht sie darin, ein Negativ zu beweisen: Wenn ein CISO gute Arbeit leiste, falle das niemandem auf, weil nichts passiere – und es lasse sich kaum sagen, ob das Ausbleiben von Vorfällen Glück oder Können sei. Daraus folge das schwierige Problem, trotz fehlender Vorfälle mehr Budget zu fordern. Als bester Karriererat habe ihr gedient, stets anderen die Anerkennung zu überlassen und sie nie für sich zu beanspruchen. Ihren eigenen Teammitgliedern rät sie, die Zusammenarbeit mit Kollegen zu suchen: In einer neuen Rolle wende sie sich zuerst an den Datenschutzbeauftragten und an die Revision, um Schlagkraft und gemeinsame Budgets zu gewinnen.

Als größte aktuelle Bedrohung nennt Cardwell KI-generierte Betrugs-E-Mails, die so vollständig auf einen CEO oder CFO zugeschnitten seien, dass sie wie Teil einer laufenden Konversation wirkten – inklusive erfundener Gesprächsverläufe und Hintergrundgeschichten, die dann etwa die Buchhaltung zur Zahlung einer Rechnung bewegen sollen. Diese Präzision werde von Spam-Filtern nicht erfasst und stelle eine neue Stufe des Social Engineering dar, auf die man aus ihrer Sicht nicht vorbereitet sei.