Der sich entwickelnde CISO

Ich benutze, dass sie das nicht wirklich haben, sie können es nicht so genau sehen, wenn man es nur als Unternehmensleiter vorantreibt, ist es in gewisser Weise oberflächlich. Sie werden nicht in der Lage sein, wirklich zu verstehen, was vor sich geht. Deshalb führen Sie es als Unternehmen, anstatt es als CISO oder als Praktiker zu führen. Aber um Ihre konkrete Frage zu beantworten, denke ich, dass ich aufgrund des tiefen Einfühlungsvermögens in der Lage bin, nach beiden Seiten zu steuern.

10:28 Vishal Salvi: Also, wenn wir zum Beispiel einige Innovationen machen und intern viele Innovationen machen, um zu versuchen, auf dem neuesten Stand zu sein, wenn es darum geht, Innovationen im Bereich Cybersicherheit voranzutreiben, wie zum Beispiel vor fünf oder sechs Jahren, haben wir ein völlig anderes metrisches Messprogramm innerhalb von Infosys durchgeführt, und dafür haben wir eine Menge geistiges Eigentum aufgebaut und nachdem wir es vier Jahre lang erfolgreich betrieben hatten, dachten wir, es wäre... es war an einem Punkt angelangt, an dem wir es zu unseren Kunden bringen konnten, und wir haben sozusagen ein Reverse Engineering durchgeführt, bei dem wir habe den gesamten Code und die gesamte Lösung in unser Praxisteam migriert. Und jetzt hat das Praxisteam es erweitert und sie unterstützen die Strafverfolger jetzt bei all den Innovationen und Veränderungen, die gerade stattfinden, weil sie das von unseren Kunden spüren und das Feedback erhalten konnten.

11:16 Vishal Salvi: Und wir sehen, dass das oft bei anderen Dingen passiert, wie zum Beispiel, wenn wir eine Praxis inkubieren, können wir einige Ressourcen von unserem Team nehmen und intern darauf zugreifen und sie nutzen, um sie zu inkubieren, sie auf einen bestimmten Reifegrad zu bringen und sie dann zurückzuziehen, um sie unseren Kunden zurückzugeben. Es bietet uns also viele Möglichkeiten und Vorteile und die Tatsache, dass wir in der Lage sind, aufzudecken, was mit all unseren Kunden passiert. Da wir in der Lage sind, etwas zu spüren und zu verstehen, können wir dieses Wissen natürlich nutzen, um unser Verständnis dafür zu stärken, was in der Bedrohungslandschaft vor sich geht, und es auch intern für Infosys nutzen.

11:57 Raghu Nandakumara: Ich liebe die Art und Weise, wie du das ausdrückst, da fast beides Inkubatoren für Verbesserungen auf der anderen Seite sind und als sehr reichhaltige Feedback-Schleife, die du hast. Lassen Sie uns nun ein wenig umschalten und zu der Frage zurückkehren, was Zero Trust für den CISO von Infosys bedeutet.

12:14 Vishal Salvi: Ja, also, ich denke, lass uns einen Schritt zurücktreten. Bei Cybersicherheit dreht sich alles um Risiken, Schwachstellen und Bedrohungen, und wenn Sie sie nur erweitern wollen, können Sie auch über Vorfälle sprechen. Letzten Endes haben wir es also immer mit Vorfällen zu tun. Wir haben es mit Sicherheitslücken zu tun, wir haben es mit Bedrohungen zu tun und wir haben es mit Risiken zu tun. Dies sind die einzigen vier Dinge, mit denen wir es zu tun haben. Nun, das ist irreversibel, das heißt nicht, das wird sich jahrzehntelang niemals ändern. So hat es angefangen, und so wird es auch bleiben. Was wir in Bezug auf unsere Methodik tun... wir hatten also BS 7799, dann haben wir ISO 27001 und dann haben wir so viele verschiedene Standards. Dann haben wir verschiedene Methoden zur Risikomessung wie NIST, FISMA, all das. Dann haben wir so viele verschiedene Standards, all das ist eine Weiterentwicklung der Art und Weise, wie wir dieses Problem lösen wollen. Aber am Ende des Tages geht es immer noch um Risiken, Sicherheitslücken, Vorfälle und Bedrohungen. Die grundlegenden Grundsätze der Informationssicherheit sind also immer noch intakt und grundlegende Grundsätze werden auch weiterhin Bestand haben.

13:16 Vishal Salvi: Also, wenn wir uns so etwas wie Zero Trust ansehen, was bedeutet das wirklich? Bis 2008, 2007 bezeichneten wir diesen Beruf als „Informationssicherheit“. Plötzlich wurde daraus Cybersicherheit und heute spricht jeder davon als Cybersicherheit. Morgen werden wir anfangen, es digitale Sicherheit zu nennen. Die Nomenklaturen mögen sich also ändern, aber der Beruf entwickelt sich weiter, aber die Grundlage bleibt dieselbe. Die Grundlagen bleiben dieselben, und ich würde sagen, Zero Trust ist die Weiterentwicklung derselben Sache, in die wir uns weiterentwickelt haben. Zero Trust ist ein neues Konzept; morgen wird etwas anderes hinzukommen. Es ist nur so, dass, genau wie das Wort Cybersicherheit in den letzten zehn Jahren hängen geblieben ist, Zero Trust vielleicht auch noch eine Weile hängen bleiben wird, bevor etwas anderes, etwas Ansprechenderes auftaucht. Aber es geht nicht nur um Marketing. Ich glaube, es entwickelt sich zu einer Philosophie und bei der Underhood Philosophie dreht sich alles um die Frage: „Okay, warum sprechen wir über...“

14:26 Vishal Salvi: Es ist fast wie Oxymoron. Denn wenn wir uns Zero Trust ansehen und als Cybersicherheitsexperten im Vertrauensgeschäft tätig sind, warum sprechen wir dann von Zero Trust? Was es wirklich bedeutet, ist, dass angesichts der Tatsache, dass der Perimeter jetzt nicht mehr der traditionelle Perimeter ist, wir ihn hatten, und wir haben die Cloud eingeführt und es gibt eine Streuung aller Endpunkte, und jetzt sprechen wir über jeden Ort, jede Zeit, jeden Gerätezugriff, und das rund um die Uhr. Ich denke, die Art und Weise, wie wir Computer verbinden, hat sich grundlegend geändert, und damit wir in der heutigen Umgebung wirklich Vertrauen in diese Verbindungen haben, müssen Sie Zero Trust akzeptieren. Ich werde zusätzliche Kontrollen an den richtigen Gates in diesen Verbindungen einrichten, sodass ich das Gefühl habe, dass diese Verbindungen vertrauenswürdig sind. Deshalb werde ich aus meiner Sicht, wenn jemand reinkommt, ein Zero-Trust-Verhältnis haben, bis ich überzeugt bin, dass diese Verbindungen vertrauenswürdig sind, und dann baut man darauf verschiedene Modelle auf, damit es funktioniert. Ich denke, das ist der einfachste Weg, um zu erklären, was Zero Trust wirklich bedeutet.

15:45 Raghu Nandakumara: Ich liebe es, mir das in seiner Gesamtheit anzuhören. Zunächst einmal danke ich Ihnen und bei all dem denke ich, dass die wirklich starke Botschaft, die Sie vermittelt haben, darin besteht, dass jede Ära ihren eigenen neuen Ansatz und eine neue Strategie mit sich bringt. Aber ich denke, was für mich besonders auffiel, war, als Sie sagten: „Aber die Grundlagen bleiben dieselben“, und das halte ich für eine sehr wichtige Lektion. Und ich denke, Zero Trust sagt das wortwörtlich. Es geht wirklich um die Grundlagen, und ich möchte das als Sprungbrett für einige der Themen nutzen, über die Sie in Ihrem monatlichen Newsletter gesprochen haben. Dieser ist eine tolle Lektüre und ich ermutige jeden, ihn sich anzusehen. Sie sprechen über die Bedeutung von Sicherheitshygiene, und der Grund, warum ich sage, dass ich Zero Trust mit den Fundamentaldaten gleichsetze, ist, dass ich sage, dass gute Sicherheitshygiene dasselbe ist wie gute Sicherheitsgrundlagen, und eine der Grundlagen darin sollte sein, dass niemandem implizites Vertrauen gewährt werden sollte, was Zero Trust wirklich sagt. Sicherheitshygiene ist also so wichtig. Du hast es brillant artikuliert. Aber warum passiert oft dasselbe? Jedes Mal, wenn ich von einem neuen Ransomware-Angriff lese, einer neuen Sicherheitsverletzung jeglicher Art, befasst man sich damit, und oft ist die Hauptursache dafür ein Mangel an Sicherheitshygiene. Warum ist das immer noch eine solche Herausforderung für große und kleine Unternehmen?

17:11 Vishal Salvi: Ich nenne das „langweilige Zeug machen“, und ich denke, der Grund, warum es nicht so viel Aufmerksamkeit bekommt, ist, weil es so langweilig ist. Aber es ist nicht nur langweilig, es ist auch undankbar. Das heißt, ich denke, der andere Teil und der dritte Teil sind ein schwieriges Problem. Sie können sich also vorstellen, warum wir sehen, dass der Großteil der Organisation es aufgrund dieser drei Probleme falsch macht. Ich denke, wir müssen etwas tun, damit die Leute verstehen, dass wir das langweilige Zeug verherrlichen müssen. Das sind grundlegende Dinge. Zweitens müssen wir einen Weg finden, Menschen zu motivieren, damit sie nicht undankbar werden und die Wächter belohnen und anerkennen. Und es ist nicht das Cyberteam, es ist das Technologieteam, die IT-Teams, die ständig damit beschäftigt sind, denn weißt du was? Wir veröffentlichen Sicherheitslücken und Patches wie nie zuvor. Und du musst es richtig machen, und es ist ein asymmetrischer Krieg. Du musst es die ganze Zeit richtig machen, und die Bösewichte müssen es nur einmal richtig machen. Wir haben also eine erhebliche Asymmetrie in der Art und Weise, wie das passiert. Und die dritte Sache ist, dass die Zeit gekommen ist, in der wir, genau wie Sie über Zero Trust sprechen, eine Null-Toleranz gegenüber grundlegenden technischen Hygienevorschriften haben müssen.

18:29 Vishal Salvi: Unabhängig davon, wie dynamisch Ihre IT-Landschaft ist, sollten Sie beispielsweise genau wissen, wie viele Ressourcen es in Ihrem Unternehmen gibt, wie viele Anwendungen es in Ihrem Unternehmen gibt, wie viele Schattendaten und wie viel Schatten-IT Sie haben? Wie viele Änderungen sind im Gange, wo geschehen sie im Rahmen eines Change-Management-Prozesses und an wie vielen Stellen haben Sie die richtigen Haken für die Verwaltung dieser Änderungen? Im Zuge der technologischen Entwicklung waren wir gezwungen, diese Kontrolle und die Haken aufzugeben, die in Technologie- und IT-Teams traditionell sehr stark ausgeprägt waren, weil das gesamte Unternehmensteam und die Geschäftsbereiche in die Lage versetzt wurden, ihren eigenen Technologie-Stack zu entwickeln. Aber wenn wir das tun, bekommen wir das Gefühl, nicht kontrollieren zu können, weil es zu einer mehrbeinigen Hydra wird.

19:19 Vishal Salvi: Wenn Sie anfangen, einen Null-Toleranz-Ansatz zu verfolgen, müssen wir ein Gefühl für mehr Regierungsführung entwickeln und uns fragen: „Wie gehen wir damit um?“ Wir wollen zwar die Mitarbeiter stärken, wir wollen zwar schnell und flexibel sein, aber das geht nicht auf Kosten der IT-Hygiene und damit des Risikos von Sicherheitslücken. Ich denke, das sind einige der wichtigen Elemente, auf die man achten sollte, wenn wir das tun, und ich denke, wie Sie sagten und wie ich in der Vergangenheit gesagt habe, dass die meisten Sicherheitslücken und Angriffe, die wir gesehen haben, nicht passieren, weil die Angreifer einen sehr technologieintensiven oder sehr ausgeklügelten Angriffsmechanismus verwenden. Sie sind... Tatsächlich geschehen einige der Angriffe direkt vor den Augen der Öffentlichkeit. Sie müssen nicht einmal hingehen und etwas ausnutzen. Sie haben bereits die Zugangsdaten von woanders, sie melden sich einfach an und machen die Querbewegung.

20:13 Raghu Nandakumara: Ja, absolut. Übrigens, um irgendwie zurückzugehen, als Sie über Sicherheitshygiene als langweilig, undankbar, schwierig gesprochen haben. Es erinnert mich daran, meine Kinder dazu zu bringen, Hausaufgaben zu machen, weil sie Hausaufgaben mit all diesen drei Dingen verbinden und du es interessant machen musst. Sie müssen ihnen den Wert bewusst machen, und Sie müssen ihnen Anreize bieten. Aber, wie Sie sagen, Angreifer sind letztlich für sie da, es ist ein Geschäft für sie, also wollen sie... idealerweise wollen sie mit geringem Aufwand und hoher Rendite. Und deshalb greifen sie immer die tief hängenden Früchte an. Aber ich glaube, du warst wirklich... In Ihrer Antwort haben Sie wirklich etwas eingeführt, das wirklich aktuell war, da Sie sagen, dass Geschäftsteams jetzt zunehmend ihren eigenen Tech-Stack betreiben. Es ist also nicht so, dass Sie sagen: „Okay, IT, Sie betreiben die Infrastruktur, gehen und patchen.“ Sie müssen alle auf diese Reise mitnehmen. Ich weiß, dass einer Ihrer wirklichen Interessenbereiche die Demokratisierung der Sicherheit ist. Wie setzen Sie also sowohl als CISO als auch als Leiter der Praxis dieses Modell der Demokratisierung der Sicherheit um, sodass all diese unterschiedlichen Gruppen, die an ihren Anwendungen beteiligt sind, oder Interessenvertreter im Sicherheitsbereich, sich zusammenschließen und einen gemeinsamen Cyberansatz verfolgen?

21:38 Vishal Salvi: Ja, ich denke, das... Es ist eine Frage der Kultur. Es geht darum, eine Kultur zu schaffen, in der jeder Beteiligte seine Rolle in Bezug auf die Rechenschaftspflicht und die Verantwortung für die Cybersicherheit verstehen kann. Als Berufsstand haben wir nicht sehr gut für diesen Beruf geworben, denn wenn wir uns selbst als Cybersicherheitsteam bezeichnen, besteht im Allgemeinen die Vorstellung und Erwartung, dass dieses Team auf magische Weise meine Risiken löst und verwaltet und ich nichts tun muss. Die Wahrheit ist jedoch genau das Gegenteil davon. Die Cybersicherheitsteams sind der aktive Katalysator für diesen Wandel, aber der eigentliche Wandel liegt bei den Beteiligten, den GeschäftsFührendn, dem Vorstand, der Organisationsleitung, den Mitarbeitern, den Technologie-Teams,  den IS-Teams und allen anderen Beteiligten, die es gibt, und jeder von ihnen muss seine Rolle und seine Verantwortung verstehen und sie dann wahrnehmen. Das Schlimme an der Sicherheit ist, dass sie nur sichtbar ist, wenn sie nicht funktioniert, und dass sie unsichtbar ist, wenn sie funktioniert.

22:48 Vishal Salvi: Solange niemand deine schlechten Sicherheitsvorkehrungen ausnutzt, kannst du in dem Irrtum leben, dass du tatsächlich sicher bist, weil dich niemand angreift. Genau das ist im Fall von Ransomware passiert. Zum ersten Mal, als die Ransomware mit WannaCry und NotPetya auf den Markt kam, war es das erste Mal, dass wir unterschiedslos branchenübergreifend Sicherheitslücken hatten. Und plötzlich wurde all die Unsicherheit, die es gab, aufgedeckt, die sonst nicht da war. Und deshalb können Sie erklären, dass die Finanzbranche so stark reguliert und viel ausgereifter ist, weil dort der Großteil der Betrugsfälle stattfand, bis wir Ransomware sahen. Und Ransomware wirkt sich einfach auf jeden aus, der in Kontakt kommt. Im Internet kommt jeder mit jedem in Kontakt. Um also auf Ihren Standpunkt zurückzukommen: Sie müssen anfangen, es von diesem Standpunkt aus zu betrachten, um sicherzustellen, dass wir es demokratisieren und jeder Interessengruppen seine Rolle sehr klar versteht. Es muss als Kultur und bei jeder Gelegenheit, die sich bietet, getan werden. Sie müssen sicherstellen, dass es so vorangetrieben wird, dass es zu einem kulturellen Problem wird, bei dem...

24:01 Vishal Salvi: Und ich muss Ihnen das direkt sagen, Raghu, dass wir uns noch in einem frühen Stadium befinden, in dem wir darüber sprechen, dass Cybersicherheit ein kulturelles Problem ist. Leute, auch jetzt, wo wir sehen, dass die meisten Stakeholder es externalisieren. Sie glauben nicht, dass es ihr Problem ist, und es gibt immer dieses Problem, unter dem wir leiden. Die Cybersicherheit wird als eine Kunst angesehen. Es wird als etwas angesehen, das nur ein Spezialist tun kann. Ist es nicht. Ich denke, das ist eine Sache des gesunden Menschenverstands. Jeder, der die Grundlagen der Technologie versteht, braucht nicht viel Zeit, um die Prinzipien und Grundlagen der Cybersicherheit zu verstehen. Tatsächlich muss die Behebung von Problemen von Personen durchgeführt werden, die Administratorrechte haben, sie können nicht von Cybersicherheitsexperten durchgeführt werden. Sie können das Risiko und die Sicherheitslücke bestenfalls herausfinden und Ihnen dies mitteilen. Aber sie müssen... Teams, die Zugriff haben, sind diejenigen, die ihn ausüben sollten, und sie sollten wissen, wie Systeme sicher konfiguriert werden. Das ist also der Wandel, den wir vorantreiben müssen, und genau das meine ich mit der Demokratisierung des Cyberraums.

25:06 Raghu Nandakumara: In dem, was du gerade behandelt hast, steckt so viel guter Inhalt. Das ist einfach so viel, dass ich einfach tief eintauchen könnte... Ich denke, wir könnten eine Podcast-Episode über jeden Abschnitt dessen machen, was du gesagt hast. Und dann möchte ich zunächst Folgendes fragen: Cybersicherheit, wenn Sie es auf den Punkt bringen, ist das gesunder Menschenverstand. Die Anwendung des gesunden Menschenverstands auf eine Vielzahl von Technologie- und Informationsproblemen ist wirklich das, worum es bei Cybersicherheit im Grunde geht, und wenn es um diesen Kulturwandel geht und um alle, die mit Cybersicherheit zu tun haben. Und wie das Klischee besagt, sind Ihre Mitarbeiter Ihre erste Verteidigungslinie, und sie müssen in Ihr Cyberprogramm eingebunden werden. Ist die Demokratisierung der Sicherheit für Unternehmen, die eine Zero-Trust-Strategie verfolgen, ein wichtiger Bestandteil einer erfolgreichen Zero-Trust-Einführung? Was sind Ihre Gedanken?

26:06 Vishal Salvi: Nein, absolut. Zero Trust ist eine Methode zur Implementierung Ihrer Sicherheitsarchitektur. Die einzige Möglichkeit, eine Sicherheitsarchitektur erfolgreich einzusetzen, besteht darin, dass alle Beteiligten an einem Strang ziehen. Wenn Sie beispielsweise über Zero Trust sprechen, geht es bei einer der wichtigsten Änderungen um...

26:29 Vishal Salvi: Es gibt eine Konvergenz zwischen Sicherheit und Netzwerk, und wir müssen das Netzwerkteam an einen Tisch bringen, um die Architektur wirklich zusammenstellen zu können, denn das wird die Zukunft von Sicherheit und Netzwerk sein. Und so werden die alten Modelle, die traditionellen Konnektivitätsmodelle, erheblich in Frage gestellt. Und wenn wir nicht in der Lage sind, die Denkweise des Netzwerkteams zu ändern, um diese softwaredefinierte Sicherheit und dieses softwaredefinierte Netzwerk einzuführen, wird es schwierig. Daher denke ich, dass Zusammenarbeit und Partnerschaft wichtig sind. Nur wenn sie das auf architektonischer Ebene tun, können wir die Umsetzung wirklich erfolgreich vorantreiben. Deshalb denke ich, dass es zwar technisch ist, aber ich denke, es ist auch ein menschlicher Aspekt, dem Rechnung getragen werden muss. Ich glaube also definitiv, dass beide Dinge zusammen passieren müssen, damit Sie ein erfolgreiches Programm haben.

27:21 Raghu Nandakumara: Oft werde ich gefragt: „Okay, wie kann ich wirklich schnell etwas tun? Wie kann ich die Transformation wirklich schnell vorantreiben? Ich habe diese neue Funktion, die ich einführen möchte.“ Und was ich ihnen sage, ist, dass wir immer eine Technologie finden und die Technologie zum Laufen bringen können. Wir können sogar einen Prozess entwickeln, um diese Technologie zu nutzen. Sie werden jedoch nur dann eine schnelle Einführung vorantreiben, wenn A) Sie ein klares Mandat darüber haben, warum diese Einführung erfolgen muss, und B) dass alle Beteiligten mitmachen. Und dass sie den Wert darin sehen. Ohne diese beiden Aspekte, das Mandat und das Engagement der Interessengruppen, werden Sie niemals eine schnelle Akzeptanz erreichen. Und das geht überall hin. Aber ich möchte eigentlich fragen, weil ich das auf etwas zurückführen möchte, das Sie zuvor gesagt haben, dass der Wert einer Sicherheitsinvestition niemals offensichtlich ist.

28:13 Raghu Nandakumara: Weil es so ist, als würdest du nie sagen: „Wir wurden nicht kompromittiert, weil wir X hatten.“ Es ist eher der Fall von „Wir wurden kompromittiert, wir wurden gehackt, weil wir Y nicht hatten.“ Mich würde Ihre Meinung, sowohl Ihre CISO als auch die Ihres Praxisleiters, interessieren: Wie können Sie nachweisen, dass Sicherheitsinvestitionen einen greifbaren ROI erzielen? Sowohl vor der Zusage Ihres Vorstands, die Investition zu tätigen, als auch dann, sagen wir sechs Monate später, 12 Monate später, wo jemand fragt: „Okay, wir haben X gemacht, wir haben X ausgegeben, zeig mir, was ich dafür bekomme.“ Wie machst du das?

28:55 Vishal Salvi: Meiner Meinung nach sollten Sie sich nicht die Mühe machen, Finanzfachleute vom ROI von Sicherheitsprodukten zu überzeugen. Weil man auf beiden Seiten argumentieren kann und niemals einer Meinung sein kann. Wenn du nicht willst. Also ich denke, es ist eine vergebliche Übung. Ich weiß, dass die Leute das tun, aber ich denke nicht, dass du das tun solltest. Ich denke, das Modell sollte so funktionieren: Sie müssen als Organisation entscheiden, welches Risiko Sie aufgrund der Cybersicherheit für Ihr Unternehmen eingehen und wie viel Sie bereit sind zu investieren. Das ist Nummer eins. Und dann geht es meiner Meinung nach bei der Sicherheit darum, jeden Tag besser zu werden. Also, wo wir heute sind, musst du morgen besser werden und übermorgen muss es besser sein als morgen. Also das ist wirklich, wie du es machen solltest.

29:48 Vishal Salvi: Es kann niemals sein, dass du heute Null bist, morgen wirst du hundert sein, es wird einfach nicht passieren. Es muss also ein gewisses Maß an Vertrauen herrschen, dass, sobald man ein Team hat, ein professionelles Team, das es abliefert, man sagt, wisst was... wie man dieses Geld ausgeben muss. Du gehst und lieferst den maximalen Wert und ich werde dich dafür zur Rechenschaft ziehen. Denn nur das Sicherheitsteam muss sich dann wirklich vor sich selbst rechtfertigen, wofür es das Geld ausgeben will. Und sie wüssten am besten, ob es einen Mehrwert bietet oder nicht. Es gibt keine andere externe Person, die auch nur annähernd verstehen kann, was sie tut, insbesondere im Finanzbereich. Ich denke also Folgendes: Sie müssen es wirklich auf den Kopf stellen und sagen, dass Sie keine Zeit damit verschwenden, eine mathematische Berechnung des ROI zu erstellen, sondern die Teams in die Lage versetzen, ihren eigenen ROI zu ermitteln. Innerhalb von Sicherheitsteams können Sie also definitiv einen ROI erzielen. Sie können wissen, wie viel Sie investiert haben und wie diese Kontrolle erfolgt, wie effizient und wirksam diese Kontrolle ist. Sie können das tun. Aber lassen Sie nicht zu, dass jemand anderes kommt und diesen Prozess hinterfragt und hinterfragt, denn am Ende des Tages werden Sie mehr Zeit damit verbringen, dies der dritten Person zu erklären, als dass die Zeit tatsächlich für den Schutz Ihres Unternehmens verwendet wird.

31:05 Raghu Nandakumara: Ich lache, weil ich lache, weil ich mir sicher bin, dass es viele Vertriebsleiter gibt, die das alle gehört haben. Und wird einem wirtschaftlichen Käufer das Band vor die Nase drücken und sagen, schauen Sie, was der CISO Infosys über den Versuch sagt, Sie vom Wert dieser Investition zu überzeugen.

31:20 Vishal Salvi: Ich hatte wieder das Privileg, in etablierten Organisationen gearbeitet zu haben, die uns verlassen haben, um unsere Arbeit zu erledigen.

31:27 Raghu Nandakumara: Ja.

31:27 Vishal Salvi: Und verbringe nicht wirklich zu viel Zeit damit, wirklich zu fragen, wofür du dieses Geld ausgibst, warum du dieses Geld hier ausgibst. Und was passieren wird, ist, wenn Sie das tun, dann werden Sie am Ende Geld für Kontrollen ausgeben, die für Sie eine untergeordnete Priorität haben, weil die Finanzfachleute davon überzeugt sind als die, die für Sie wichtiger sind. Richtig? Und da, glaube ich, wird es zu einem Problem. Deshalb ist es besser, dass wir es auf diese Weise machen.

31:49 Raghu Nandakumara: Mir gefällt wirklich, wie du das ausgedrückt hast, aber dann lass mich dir eine verwandte Frage stellen. Als Sicherheitsexperte: Sie haben eine Risikobewertung durchgeführt. Das haben Sie getan, Sie haben Ihre Umgebung als Bedrohungsmodell modelliert und Ihre Sicherheitslücken identifiziert. Wo sagst du jetzt: „Okay, ich habe einen Haufen Geld. Und das habe ich, es liegt an mir, wo ich es investiere.“ Was treibt die Investition an, etwa „Fähigkeit X“ oder „Fähigkeit Y“? Und wie messen Sie dann, dass Sie daraus einen Mehrwert ziehen?

32:22 Vishal Salvi: Ja, ich denke, es geht vor allem um die Methode, Ihre Risikobewertung zu betrachten, und wir machen das natürlich jedes Jahr, und Sie tun es... der beste Weg, das zu tun, ist eine Grundlage für Ihre Unternehmensrisikobewertung zu haben, auf der Sie alle Risiken betrachtet und untersucht haben, welche Risiken mit hohem Risiko verbunden sind und wie Sie Abhilfemaßnahmen priorisieren möchten.

32:43 Vishal Salvi: Und dann schaust du dir an, okay, was da draußen ist und was ich tun muss und welche wichtigen Elemente ich brauche, um es mir anzusehen. Und dann sagst du, okay, du machst eine Klassifizierung und dann sagst du, okay, das sind die, die ich wirklich brauche, und natürlich musst du auf die Erschwinglichkeit achten, weil du das nicht kannst, selbst wenn du zum Beispiel all das Geld bekommst, das für alle benötigt wird, es für dich unpraktisch ist, das überhaupt durchzuführen. Sie werden Schwierigkeiten haben, das Geld dann tatsächlich auszugeben. Sie müssen also in der Lage sein, ein Gleichgewicht zwischen dem Umfang, den Sie implementieren können, und der Erschwinglichkeit Ihrer Organisation angesichts Ihres Organisations- und Geschäftskontextes abzuwägen, und dabei müssen Sie realistisch sein. Sie können nicht nach einer Situation ohne Boden fragen.

33:24 Vishal Salvi: Also ich denke, wenn du in der Lage bist, beides zu tun und es gut zu kalibrieren, dann bekommst du einen Topf voll Geld und dann definierst du natürlich das Programm, gibst es deinem Team und sagst, okay, jetzt, wo du das hast, stell jetzt sicher, dass du es ausführst. Aber noch wichtiger ist, dass Sie meiner Meinung nach sicherstellen müssen, dass Sie diese Investition nach der Implementierung überprüfen und dieses Feedback an die Teams zurückgeben, damit sie sich ein gewisses Maß an Gewissheit verschaffen können, dass wir unsere Programme wie definiert zeitnah ausführen und unsere Ziele erreichen konnten. Das schafft also mehr Vertrauen.

34:01 Raghu Nandakumara: Ja, 100%, 100%. Also, wie sehen Sie die Erfolgsquoten von, sagen wir, Kunden bei der Einführung einer Zero-Trust-Strategie? Diejenigen, die diesen Weg eingeschlagen haben und diesen Weg möglicherweise einschlagen, wobei Sie ihnen helfen. Was sind Ihrer Meinung nach einige der Erfolge und Misserfolge?

34:21 Vishal Salvi: Die Herausforderung bei der Einführung besteht darin, dass wir uns derzeit in einer sehr komplexen Architekturwelt befinden. Wo wir vollständige Lösungen haben, mehrere Tools. Einige von ihnen sind integriert, viele von ihnen arbeiten in Silos und es ist wie eine sehr komplizierte Montage verschiedener Technologien. Und es besteht ein Konsolidierungsbedarf. Es besteht Integrationsbedarf. Es ist notwendig, sich eingehend mit der Integration in den Tech-Stack zu befassen. Und ich denke, davon sind wir weit entfernt. Das ist also eine sehr wichtige Herausforderung, und einer der Gründe, warum die Umsetzung nicht erfolgreich ist, liegt darin. Der andere Teil ist, dass es so viele Altlasten gibt, was priorisiere ich und wie modernisiere ich? Und mache ich eine Operation am offenen Herzen oder nehme ich Medikamente ein?

35:08 Vishal Salvi: Ich denke, diese Fragen sind sehr wichtig und oft ist es aufgrund der riesigen Menge an Altlasten nicht einfach, sich zu ändern und auf eine neue Art, Dinge zu tun, umzustellen. Es gibt zukunftsorientierte Unternehmen, die einen völlig anderen Ansatz verfolgen, um große Transformationen und eine umfassende Modernisierung ihrer Technologie sowie ihres Sicherheitsstacks durchzuführen, und wenn sie es einmal als Programm betrachten und es ganzheitlich vorantreiben, haben diese Organisationen meiner Meinung nach bessere Erfolgschancen, als es auf diese Weise zu tun, oder? Vor allem, weil wir uns stark auf die hybride Welt und die Einführung der Cloud konzentrieren, und das ist keine triviale Änderung. Es ist ein massiver Wandel, und Sie können die Bedeutung einer Änderung der Sicherheitsarchitektur nicht unterstreichen.

36:00 Raghu Nandakumara: Ja. Denken Sie, dass eine Transformation, diese ganze Art von Architekturänderung, Änderung des Nutzungsmodells und sogar bis hin zur Art und Weise, wie wir Anwendungen entwickeln, ausgereift sein muss, bevor die Sicherheitstransformation stattfinden kann? Oder betrachten Sie das als sehr parallele Prozesse, die synchron ablaufen müssen?

36:23 Vishal Salvi: Ich denke, was erforderlich ist, ist eine gemeinsame Anstrengung. Wenn Sie beispielsweise eine neue Anwendung erstellen, die Sie erstellen müssen, schauen Sie sich die Bedrohungsmodellierung an. Sie müssen sich neben anderen Dingen auch mit API-Sicherheit, sicherem SDLC und sicherer CI/CD-Pipeline befassen. Es müssen so viele Dinge getan werden. Also ich denke, es muss getan werden. Ich würde sagen, es wäre unrealistisch zu erwarten, dass alles gleichzeitig passiert. Ich denke, was wichtig ist, ist die Zusammenarbeit und der Ansatz, Sicherheit durch Design zu erreichen. Bei allem, was Sie tun, sollten Sie also immer Sicherheitsüberlegungen berücksichtigen. Ignorieren Sie nicht die Sicherheit, denn Sie können sich heute keine Welt ohne Digitalisierung vorstellen. Und wo immer es digital ist, muss Sicherheit vorhanden sein. Ich denke, das ist die grundlegende Grundlage für die Schaffung einer zukunftssicheren Architektur. Und diese Änderung ist wichtig, und wenn jemand einfach eine Kreditkarte verwendet und einen Cloud-Workload kauft und dann einfach einen Geschäftscode eingibt und versucht, etwas zu tun, und dann ignoriert man eklatant alle Sicherheitskontrollen, dann verlangt man nur, dass eine Katastrophe passiert. Das ist es also wirklich, was ich meine.

37:47 Raghu Nandakumara: Ja. Du sprichst, als hättest du das ein paar Mal gesehen. Ich habe einen Ihrer wirklich interessanten Beiträge gelesen und ich glaube, er hatte den Titel „Zero Trust with Zero Touch“. Und Sie stellen die Idee vor, wie ML und vielleicht in Zukunft eine eher allgemeine KI der Implementierung von Zero-Trust-Kontrollen und der, ich nenne es Always-On-Sicherheit oder Secure by Design oder wie auch immer Sie es nennen möchten, wirklich zugute kommen werden. Was glauben Sie an die Anwendung von maschinellem Lernen und dann allgemeiner von KI in Richtung Zero Trust? Was ist das zum Beispiel?

38:30 Vishal Salvi: Ja, also Raghu, eigentlich „Zero Trust through Zero Touch“, was wirklich bedeutet, ist eine Vision zur Hyperautomatisierung. Das ist es wirklich, was es bedeutet. Weil die Dinge nicht darauf ausgerichtet sind, Sicherheitsprobleme zu lösen.

38:47 Vishal Salvi: Du wirst immer Fehler finden, weil wir sie einfach nicht verstehen können. So wie Autos jetzt vollautomatisiert sind und Bots Autos bauen, brauchen Sie Roboter, die Sicherheitsoperationen zum Laufen bringen müssen. Das ist es wirklich, was es bedeutet. Aber das ist die Vision. Dorthin müssen wir gehen. Ich glaube nicht, dass wir da gerade bereit sind. Ich würde sagen, dass wir ohne den Einsatz von ML nicht dahin gekommen wären, wo wir bei Sicherheitsinnovationen sind, da in allem, was wir tun, eine erhebliche Menge an ML steckt. In jedem Aspekt der Sicherheit oder Technologie muss heute viel gelernt werden, da wir 92% der Spam-Nachrichten nicht abwehren können, wenn wir ML nicht eingesetzt hätten. Ich denke, der Einsatz von KI und die Art und Weise, wie wir dies in Zukunft tun, wird ein wichtiger Aspekt sein, auf den wir achten sollten.

39:34 Vishal Salvi: Es gibt viele Beispiele für Anwendungsfälle, in denen wir das tun könnten. Zum Beispiel könnten wir beim Testen, was die Überwachung angeht, tatsächlich einen KI-Algorithmus für all das entwickeln, und sie werden immer ausgereifter werden. Gleichzeitig werden wir uns auch mit gegnerischer KI befassen und uns überlegen, wie wir damit beginnen können, das zu mildern und entsprechende Kontrollen aufzubauen. Und dann gibt es noch eine dritte Sache. So wie wir Sicherheit durch Design und Datenschutz durch Design haben, wird ethische KI durch Design ein wichtiges Element der Zukunft sein.

40:00 Vishal Salvi: Also müssen wir genau beobachten und sehen, wie sich das auf die Cybersicherheitswelt auswirkt. Ich denke, es sind die Menschen, die es entwerfen, und die gesamte kognitive Arbeit sollte in das Denken fließen, anstatt in alltägliche Aktivitäten. Genau das nutzen wir gerade, um Dinge zu tun, die dem Menschen keinen Mehrwert bieten. Wie dem auch sei, wir stehen vor einer ernsten Herausforderung, was Nachfrage und Angebot angeht. Ich denke also, dass wir trotz all der Automatisierung, die wir durchführen werden, niemals aus dieser Situation herauskommen werden, in der es keine Arbeitslosigkeit für Cybersicherheitsexperten gibt. Ich glaube also nicht, dass das ein Risiko ist, über das wir uns Sorgen machen müssen. Ich denke, wir sollten uns immer bemühen, immer mehr kognitive Arbeit zu leisten und alles, was nicht viel bringt, vollständig zu automatisieren.

40:46 Raghu Nandakumara: Ja. Klopfen Sie auf Holz, dass wir Cyber-Profis für immer Jobs haben. Also kurz bevor wir fertig sind, was reizt Sie an dem, was sich als Leiter einer Cyber-Praxis am Horizont abzeichnet? Was ist es, was Sie von Ihren Kunden sehen, das Sie als Sicherheitsexperte wirklich begeistert?

41:05 Vishal Salvi: Einerseits hoffe ich immer, dass wir dieses Problem lösen können und dass wir weniger Sicherheitslücken und Zwischenfälle haben, denn das ist die Welt, die wir anstreben wollen. Und wir wollen keine Situation haben, in der wir darauf warten, dass noch mehr Zwischenfälle passieren, damit wir mehr Arbeitsplatzsicherheit haben oder mehr Einnahmen erzielen können. Zumindest abonniere ich das nicht. Deshalb wünsche ich mir eine Welt, in der wir digital sicherer sind, so wie wir dieses Problem bei Flugreisen und so vielen anderen Aktivitäten lösen konnten, bei denen keinerlei Risiken toleriert werden.

41:40 Vishal Salvi: Ich denke, Cyber wird irgendwann diesen Wendepunkt erreichen, an dem alle aufwachen und alle anfangen werden, es sehr ernst zu nehmen, und wir hätten Cyber wirklich demokratisiert. Ich denke, das ist der Zeitpunkt, an dem es tatsächlich kippt und dann anfängt zu sinken, und es wird kein Thema mehr sein. Irgendwann wird es keine Neuigkeit mehr sein und es wird eine Art sein, Dinge zu tun, aber davon sind wir weit entfernt, vielleicht gerade Jahrzehnte davon entfernt. Im Moment ist es immer noch jemand, der Verstöße gegen Schlagzeilen bekommt. Ich denke, wir müssen... Also werden wir hoffentlich sicherere Systeme entwickeln, damit wir nicht jedes Mal diese... die Herausforderung haben, jedes Mal Pflaster zu flicken und anzubringen und die ganze Leitung durcheinander zu bringen.

42:18 Raghu Nandakumara: Ja. Und ich finde das so interessant, weil es gut zu diesem echten Schub passt, den wir im Bereich Cyber-Resilienz beobachten. Dass es fast so ist, als ob Sicherheitslücken passieren würden. Wenn wir unsere Infrastruktur, unsere Steuerungen usw. so aufbauen, dass wir einfach weiterhin so optimal wie möglich funktionieren, dann werden sie im Grunde genommen zu einer Unannehmlichkeit. Sie werden nicht jedes Mal in Schlagzeilen, wenn dasselbe passiert.

42:47 Vishal Salvi: Nein, ich denke, Cyber-Resilienz ist im heutigen Kontext ein sehr wichtiges Thema, weil wir davon ausgehen müssen, dass die Sicherheitslücken passieren werden. Und Sie müssen herausfinden, dass wir eine Möglichkeit haben müssen, wie Ihr Unternehmen in der Lage ist, ruhig und gelassen auf diese bestimmte Sicherheitsverletzung zu reagieren, sodass sie nicht nur in der Lage ist, sie einzudämmen und sich davon zu erholen, sondern auch sehr schnell zur Wiederaufnahme des Geschäftsbetriebs zurückzukehren, und zwar auf sehr professionelle und ruhige Weise. Und jeder versteht seine Rollen und Verantwortlichkeiten und muss über die richtige Vorgehensweise verfügen, um diese umzusetzen.

43:18 Vishal Salvi: Also ich denke, das ist ein sehr wichtiges Thema und fast jede große Anzahl von Organisationen befasst sich damit. Und ich denke, das ist ein sehr wichtiger Bestandteil Ihrer zukünftigen Strategie.

43:27 Raghu Nandakumara: Ja, ich mag die Worte ruhig und cool. Cyber-Resilienz bedeutet, in der Lage zu sein, den Betrieb auch nach einem Verstoß ruhig und gelassen fortzusetzen. Ja, das ist eine nette Sache, um den Zuhörern eine gute Nachricht zu geben. Vishal, wir wissen die Zeit, die wir uns genommen haben, um dieses Gespräch mit uns hier auf The Segment zu führen, wirklich zu schätzen. Jeder, der richtig zuhört, schaut euch bitte den monatlichen Newsletter von Vishal auf LinkedIn an. Er ist ausgezeichnet; tolle CISO-Einblicke von Vishal selbst. Es heißt „CyberTalks: Die Sicht eines CISOs auf alles, was mit Cybersicherheit zu tun hat“. Vishal, vielen Dank. Nur das war mir ein Vergnügen.

44:03 Vishal Salvi: Danke. Und das Gleiche hier. Vielen Dank, dass ich heute hier war, Raghu, und es war mir eine Freude, heute zu sprechen, und ich habe dieses Gespräch wirklich genossen.

44:13 Raghu Nandakumara: Danke, dass du dir die dieswöchige Folge von The Segment angesehen hast. Noch mehr Informationen und Zero Trusts-Ressourcen finden Sie auf unserer Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter unter Illumio mit uns in Verbindung setzen. Und wenn dir das heutige Gespräch gefällt, findest du unsere anderen Folgen überall dort, wo du deine Podcasts bekommst. Ich bin dein Gastgeber, Ragu Nandakumara, und wir werden bald zurück sein.