Un enfoque cuantitativo de la innovación

00:02 Raghu Nandakuma: Bienvenido a The Segment: A Zero Trust Leadership Podcast. Soy su anfitrión, Raghu Nandakumara, jefe de Soluciones Industriales en Illumio, la Compañía de Segmentación de Confianza Cero. El día de hoy me une el CTO y cofundador de Illumio PJ Kirner. Con 20 años de experiencia en ingeniería y con un enfoque en abordar las complejidades de las redes y la seguridad de los centros de datos, PJ es responsable de liderar la tecnología, visión y arquitectura de plataforma de Illumio. Antes de Illumio, PJ fue CTO en Cymtec y también ocupó varios roles en Juniper Networks. PJ, tan maravilloso tenerte en El Segmento. Gracias por acompañarnos hoy.

00:39 PJ Nombre: Gracias por tenerme, Raghu.

00:41 Raghu Nandakuma: Llévennos en su viaje hasta el punto de llegar a la idea de Illumio.

00:47 PJ Nombre: Así que siempre he estado en el espacio del software de seguridad y he hecho muchas cosas. Hay un montón de cosas criptográficos que hice. Yo sí, distribuí... Algunos sistemas distribuidos, y yo estaba en la oficina del CTO en Juniper Networks. Hay routers y switches, y luego estaba toda la seguridad de capa 7, firewalls y aceleración WAN. Y estábamos haciendo algunas conversaciones sobre, ¿qué significa la nube? Y algunas de las observaciones eran algo obvias en que el cómputo se estaba volviendo más dinámico. Y ya sea como VMware que viene y ahora puedo obtener máquinas virtuales automáticamente, en realidad no tengo que esperar para instalar un servidor. Pero AWS estaba acelerando eso con, tengo una tarjeta de crédito y ahora puedo obtener una especie de VM. Así que las máquinas virtuales hacen que el cómputo sea más dinámico. La otra cosa que vimos fue que las aplicaciones se estaban rediseñando. Y en ese entonces, tal vez lo llamabas arquitectura orientada a servicios. Hoy en día lo llamamos economía de API y microservicios y todas esas cosas. Cada vez son más las cosas que están hablando entre sí.

01:55 PJ Nombre: Y debido a que se necesitaba todo este tipo de ancho de banda este-oeste, estaba en una empresa de redes y se necesitaba más ancho de banda, eso impulsó este cambio en el comportamiento de las aplicaciones. La gente quería empezar a poner firewalls ahí. ¿Por qué? Porque veían el riesgo de movimiento lateral en estos ambientes y querían controlarlo. Entonces estas tendencias, estas tres tendencias de computación cada vez más dinámicas, aplicaciones cada vez más distribuidas y conectadas, y este riesgo de seguridad de movimiento lateral siendo un problema en estos entornos planos más grandes, de data center y querer poder controlar eso para controlar el riesgo, fueron las tres tendencias que vimos. E Illumino salió de lo que necesita ser y verse una solución de seguridad en este dinámico mundo distribuido donde el riesgo de movimiento lateral es algo que se quiere prevenir. Y así empezó Illumio.

02:56 Raghu Nandakuma: Hablaremos de la historia de Illumio en un momento, pero tengo curiosidad, has estado involucrado en un número de diferentes tipos de tecnologías y áreas de interés. ¿Por qué fue ese tipo de esencialmente el escenario y el segmento de problemas que describías el que dijiste, “ese es el que más me interesa resolver”?

03:14 PJ Com: Como tecnólogo, una cosa en la que pienso es, como todo el tiempo, ¿cuál es la nueva tecnología que hay ahí fuera? ¿Cuáles son las tendencias que están sucediendo? Y entonces cuáles son los retos que trae esa tecnología... Había una necesidad, una necesidad de negocio que identificamos, por el cambio en este espacio tecnológico en esas tendencias. Entonces como que me gusta donde la tecnología se encuentra con los negocios, y entonces por qué, para responder a tu pregunta, fue porque vi que eso sucedía y una oportunidad ahí y quería aprovecharla.

03:49 Raghu Nandakuma: ¿Cuál fue la validación externa que realizaste para obtener reafirmación, confirmación, que esta idea tenía piernas?

03:58 PJ Nombre: Entonces, la validación externa es algo que obtienes continuamente. Como si tuvieras que obtener retroalimentación. No había un, “platicamos con estos tres clientes y de repente lo sabíamos todo”. Hablas con cada cliente y pones una pieza más del rompecabezas junta. Y en algún momento, sobre todo cuando estás haciendo una startup, solo tienes un subconjunto de las piezas y tienes que dar ese salto. Pero diré que una historia es, una de las primeras historias es, platicamos con un gran, todavía un cliente nuestro, pero que era un gran proveedor de servicios financieros. Y me sorprendió tanto el nivel de automatización que tenían. Estaban en un data center muy tradicional, servidores y todo eso, pero aplicaban todas las propiedades de la nube a ese entorno. Y yo estaba como, bueno no esperaba que el problema fuera tan malo, pero la automatización y toda esta naturaleza dinámica de las cosas era como, una complejidad de poner un control de movimiento lateral en su lugar, para explotar. Y hasta que no hable con los clientes sobre un problema, hasta que tenga una solución potencial, es difícil obtener esa validación. Pero una vez que lo haces, los ojos de las personas empiezan a iluminarse y la gente dice que han pensado en estas cosas, pero... y les das tus insights y las bombillas empiezan a encenderse para los clientes o ellos, en ese momento eran clientes potenciales. Pero se trata solo de hablar con la gente, como hablar con más y más personas y obtienes cada vez más ideas en el camino.

05:34 Raghu Nandakuma: Y justo sobre el problema, porque a menudo escuchas, miras algunas nuevas tecnologías y escuchas, “oh, esa es una tecnología que está buscando un problema para resolver”. Versus un problema muy claro que luego tiene una solución técnica. ¿Encontraste en estas conversaciones con una especie de esos clientes potenciales u organizaciones en los que estás rebotando estas ideas, que ellos habían identificado que esto era un problema real pero que simplemente no tenían una buena manera de resolverlo? ¿Ese era el estado en el que estaban?

06:00 PJ Kirner: Es decir, los firewalls hacen segmentación. Cortafuegos, como cajas que podrías poner ahí y la mayoría de las veces gente, ya sabes, obviamente podrías hacer eso en el perímetro. El segmento más grande es el mundo externo y el mundo interno. Y entonces la gente empezó a poner firewalls a zonas apagadas —sí, quiero decir que podrías tener un firewall DMZ, hay otro ejemplo clásico que mucha gente tiene— pero luego pones algunos otros firewalls internos Este-Oeste en ciertos lugares y... Entonces la gente sabía que había un problema. La gente intentó usar las herramientas que tenía a mano para resolverlo.

06:38 PJ Nombre de la página: Pero como que lo resolvimos a un nivel diferente de granularidad también. Porque podrías tener cualquier nivel de granularidad que quieras con lo que te estábamos proponiendo en ese punto, eso enganchado a un problema existente y reducía la complejidad, les daba la flexibilidad, les permitía trabajar en esos entornos dinámicos. Les permitió ir más rápido porque los firewalls se movían lentamente, hay mucho tiempo para hacer cambios en las reglas del firewall. Son cajas. Tengo que cablear cosas. Entonces ellos querían moverse más rápido y oh, aquí había una solución que hacía algunas de esas mismas cosas pero que podían moverse tan rápido como quisieran ser.

07:11 Raghu Nandakuma: Solo escuchando eso, a medida que construimos esto, se siente bien: problema. Identificó un tipo de factores que está observando en el mercado que requerían una solución. Validó que ese problema era un problema real. Y estás tocando entonces las decisiones de diseño que tomaste. ¿Puede hablar de algunas de las decisiones clave de diseño, decisiones arquitectónicas que tomó al construir la primera iteración del producto?

07:36 PJ Kefer: Entonces, uno, necesitábamos tener un conjunto distribuido de puntos de control. Que... Y tuvimos que mover el punto de control, el punto de control de segmentación lo más cerca posible de la carga de trabajo. Y entonces eso fue una especie de número uno en cuanto a elementos arquitectónicos y lo que esto hizo fue que ambos nos permitió crear cualquier nivel de, diré un segmento definido por software.

08:04 PJ Kefner: Podrías definirlo con una política y luego, en segundo lugar, acercarlo a la carga de trabajo significaba tener más contexto. Cuando estás lejos de la carga de trabajo, es como bueno, no sé qué es, qué sistema operativo es ese. Entonces ahí como, poder tener este conjunto distribuido de puntos de control fue el número uno. El número dos realmente estaba por ahí, otra vez, teniendo una política dinámica. Y muy pronto obtuvimos comentarios de los clientes que estaban bien, quiero hacer, quiero hacer esto —lo que hoy llamamos esta política basada en etiquetas— y quiero poder escribir la política para esta carga de trabajo o para este grupo de cargas de trabajo, esta aplicación o microservicio, como quiera llamarlo.

08:45 PJ Edad: Oh, a lo mejor quiero escribirlo para mi entorno en el que estoy. Tal vez sea un entorno PCI, tal vez no sea prod o no-prod. A lo mejor quiero escribir basado en ubicación, sean cuales sean esas dimensiones de política, querías poder escribir eso. Y la razón por la que digo dinámica es porque a medida que las cargas de trabajo se encienden o se desconecten, ya sea un grupo de escalado automático de AWS o un clúster de Kubernetes o simplemente, simplemente está poniendo una nueva máquina virtual en ese entorno para envejecer, y lo que sea, no quiere meterse con las políticas. Desea que toda esa automatización se maneje dinámicamente.

09:18 Raghu Nandakuma: Tanto en cuanto al número de clientes de 0 a 1 a 10 a 100 y así sucesivamente. Pero también en cuanto a la escala de tus clientes, cuáles fueron los aprendizajes clave que seguían apareciendo y que tenías que absorber y adaptar. ¿Y adoptar también?

09:36 PJ Com: Así que la escala siempre estaba incorporada. Y lo hemos pensado desde el punto de vista arquitectónico desde el primer día. Quiero decir, fundamentalmente cómo hacemos nuestro procesamiento de datos, cómo hacemos nuestra canalización de datos, cómo hacemos nuestra, cómo construimos nuestro sistema distribuido. De hecho, todas esas decisiones a lo largo del camino, tuvieron que mantener la escala de nuestros clientes, bien la escala y la naturaleza dinámica. Creo que es que la estática a gran escala es en realidad un problema muy diferente a incluso un tipo de dinámica de escala media. Porque como las cosas pueden ir y venir, ¿cómo se construye un sistema que se acomode para eso? Entonces esas dos cosas, creo que son muy, muy importantes y nuestro... Nuestros clientes nos decían que querían ser más dinámicos. Querían moverse más rápido. Esa es la dirección que querían poder hacer. Entonces, ¿puedes seguir el ritmo?

10:34 Raghu Nandakuma: Y, supongo que lo que quieren decir con dinámica no son minutos ni horas, literalmente es en los segundos. Que a medida que aparece esa instancia de cómputo, o cuando aparece ese entorno de contenedor y las aplicaciones se implementan allí, quieren que la seguridad la siga y estén listos para proteger esas aplicaciones en el momento en que esas aplicaciones se ponen en marcha. Esa es la expectativa.

10:57 P.M. Com: Correcto. Y ahí es donde no puede haber humano en la mezcla. Y ahí es donde no es solo software, ahí es donde el modelo de políticas que se nos ocurrió, que es una construcción importante, cómo puede ese modelo de políticas permitir que la gente describa una política y sea tan dinámico en tiempo real para hacer frente a esos cambios de entornos, como usted dijo, en segundos.

11:19 Raghu Nandakuma: Impresionante. Así que gracias. Creo que es un gran tipo de visión general sobre cómo ese origen y el desarrollo de Productos principales de Illumio. Así que ahora como que quiero cambiar de marcha un poco. Estamos aquí para hablar de Zero Trust, así que voy a preguntar a muchos de los otros invitados esto, ¿puedes compartir con nosotros tu analogía favorita de Zero Trust?

11:39 PJ Com: Entonces me encanta la analogía submarina. Y así, la forma en que se construyen los submarinos es primero que se construyen teniendo en cuenta la redundancia. Tienen, todo tiene, hay dos sistemas o tal vez incluso más sistemas que ese donde uno puede fallar y el sub en su conjunto puede sobrevivir. Por lo que también está construido con compartimentos. Y cuando hay una brecha. A que un torpedo o algo que rompa el casco, pueden cerrar uno de esos compartimentos y sí, podrías haber tenido daños ahí, podrías haber perdido ese compartimento, pero el submarino no se hunde. Sigues teniendo resiliencia. Entonces, así es como pienso, la resiliencia cibernética es lo mismo, las mismas metáforas. Segmentación son tal vez los, los compartimentos y pensar en, todo eso juntos creo que es, es una de las, ya sabes, es una buena metáfora para, y lo pequeño que lo hiciste, lo pequeño que le hiciste hacer los compartimentos. Cuánta redundancia necesita, todos están al servicio de la resiliencia cibernética.

12:44 Raghu Nandakuma: Cuando piensa en la Zero Trust como un concepto y luego como una estrategia que las organizaciones están poniendo en práctica, ¿cuál es su opinión sobre la relevancia de la misma?

12:55 PJ Descripción: Algo de esto es, lo hemos hecho. El privilegio mínimo, por ejemplo, que es un elemento de Zero Trust, es un concepto bien conocido. Creo que, el, tener una estrategia Zero Trust te ayuda a pensar de manera más holística sobre el problema y aplicar algunos de esos principios. Es decir, que todo sea dinámico e impulsado por el contexto. Eso es un poco más de una vista reciente. Incluso se podría decir, hace mucho tiempo, como firewalls de capa siete. Lo que eran los firewalls de capa siete tenían que ver con el contexto. Bueno, estoy corriendo, en realidad estoy ejecutando FTP sobre el puerto 21 o lo que sea. Y así tuvieron contexto de las cosas. Entonces todo siendo impulsado por el contexto y dinámico, quiero decir, estuve en el espacio NAC por un tiempo, y así una de las cosas que había ahí, que tal vez fue algún tipo temprano de cosas alrededor que eran similares a Zero Trust, era que tenías control de acceso condicional y dinámico.

13:49 PJ Com: Entonces no solo habías ejecutado un antivirus antes de que te permitieran entrar en la red, es que a veces tenías que volver a autenticarte. Y tenías que demostrar que tu máquina aún estaba sana, no solo en el acceso inicial. Entonces, y de nuevo, eso no era continuo en la forma en que estamos hablando de ello ahora y la forma en que podemos hacerlo ahora, pero en ese entonces todavía estaba un poco en la dirección correcta de estar impulsado por el contexto y ser dinámico. Entonces creo que muchos buenos principios se abrieron camino y, ya sabes, Zero Trust es una buena manera de hablar de esos y, reforzar estas cosas. Yo sí creo que nos caímos del carro cuando, con toda esta confianza implícita en el medio ambiente, Y, la gente podría decir, oh sí, estoy haciendo una buena seguridad. Pero como todas estas cosas a las que solo se les permitía platicar entre sí de manera implícita, nadie pensó jamás, ¿vamos a convertir esto en confianza explícita? Ese es un lugar donde creo que, definitivamente necesitábamos Zero Trust para ayudarnos en ese viaje.

14:53 Raghu Nandakuma: [Tú] traes confianza implícita. ¿Cómo creemos que dejamos que eso se incolara? ¿Dónde crees que toda esta confianza implícita y esencialmente solo la extensión de la confianza implícita, como cuál fue el detonante de eso?

15:06 PJ Kirner: Muchos problemas de seguridad, provienen de [cuando] el negocio y la tecnología se adelantan a donde está la seguridad. Y mientras hablamos de, la seguridad se desvían a la izquierda y estamos tratando de empujar la seguridad de tipo, más profundamente dentro de la organización, lo cual parece estar funcionando, bien, pero siempre está el, el negocio es lo primero y la seguridad viene en segundo lugar. Entonces ahí hay una brecha. Y, de nuevo, por mucho que me gustaría que fuera diferente, pero ahí hay una brecha. Y entonces haces una buena pregunta, ¿cómo dejamos que la brecha se hiciera tan grande? No lo sé. Quiero decir, creo que tal vez parcialmente tuvimos — a veces uno de los retos es cuando tienes una seguridad, bueno, tienes que hacer compromisos en seguridad todo el tiempo. Y cuando tienes medio paso, creo que a veces lo que pasa al menos psicológicamente es tachar eso de tu lista. Como si, he hecho algo, lo he reducido parcialmente, y tachas tu lista y vas a trabajar en otra cosa. Y creo que a veces vuelven a medias escalones y te muerden.

16:14 Raghu Nandakuma: Si.

16:14 PJ Kirner: Y creo que este fue un caso de eso.

16:16 Raghu Nandakuma: Para darle la vuelta a esa pregunta, cuál fue el punto de inflexión para decir, bien, demasiada confianza implícita está fuera de control. Básicamente, necesitamos recuperar el control. Y Zero Trust realmente proporciona la estrategia mediante la cual podemos lograrlo. ¿Cuál fue el punto de inflexión para ahora volver de esta manera?

16:32 PJ Descripción: No sé si fue un punto de inflexión. De nuevo, creo que hubo algunas cosas que lo estaban influyendo. Una fue, y diré esto más de nuestros... algunos de nuestros clientes SaaS. Algunos de sus clientes estaban en cierto modo de aumentar su seguridad. Las preguntas que brindaron a los clientes de SaaS y las expectativas de los clientes de SaaS. Incluso hubo cierta estandarización en torno a esas cosas. Y ese tipo de forzó una realización, pero bueno, para hacer negocios, necesito hacer estas cosas de seguridad. Y éstas se convierten en las mejores prácticas de la industria. Pero, fue influenciado por un resultado empresarial al final del día. Y entonces ese era un lugar donde creo que la gente necesitaba hacer más. El otro lugar creo que es el ransomware.

17:21 PJ Nombre: Y cuando miro el “triángulo de la CIA”, confidencialidad, disponibilidad, integridad, había lugares donde la gente perdía bases de datos de clientes, y esos fueron impactantes. Pero creo que lo que hizo el ransomware fue que el ransomware lo cambió de confidencialidad o puramente confidencialidad a disponibilidad. Y cuando el CEO venga el lunes y no puedas dirigir tu negocio. Como si hubiéramos hablado del ataque de Maersk, que fue, hace bastante tiempo. Pero como, no puedo enviar cosas. Al igual que mi naviera donde es una especie de, haciendo logística de transporte y no puedo hacer ese trabajo. Bueno, eso es un impacto serio. Entonces, el problema de disponibilidad que el ransomware causó, cambió algunas de las dinámicas. Y de ahí siempre salen las cosas buenas cuando hay alineación de negocios y seguridad. Y esa fue una de esas.

18:25 Raghu Nandakuma: Simplemente me encanta cómo enmarcaron eso, la confianza implícita, como ¿cómo se puso así? Y dijiste, de nuevo, es un impulsor de negocios. El negocio quería moverse rápido y esencialmente hicimos compromisos. Pero entonces cuando se le preguntó sobre, bien, cuál fue el punto de inflexión para adoptar Zero Trust, fue esencialmente... Fue entonces de nuevo, un impulsor del negocio porque era el dicho comercial, necesito una mejor garantía de que mis contrapartes tienen la seguridad adecuada, o ahora estoy harto de perder, de desconectarme a otro ataque de ransomware, y por lo tanto quiero construir resiliencia y por lo tanto necesito eliminar esa confianza implícita. Entonces me encanta como es que todo casi se cierra el círculo. Tenía que preguntarte, a lo mejor es una pregunta un poco cargada. ¿Cree que Zero Trust, una estrategia de confianza cero, es el enfoque de seguridad que mejor se alinea para entregar o soportar la transformación del negocio?

19:16 PJ Descripción: Yo creo que sí. Quiero decir, cuando — una cosa, cuando hablabas de cerrar el círculo, estaba pensando un poco diferente. Pero, de manera similar en eso como los problemas ocurren cuando los negocios y la seguridad están un poco desalineados o se separan demasiado, y luego cuando se alinean nuevamente, la acción puede salir de eso. ¿Correcto? Y sí pienso tomando la idea de confianza. ¿Correcto? Porque los negocios necesitan contar con la confianza de sus clientes. Los clientes confían en un negocio con sus datos, confían en ellos para brindar un servicio. Confianza es una excelente palabra para usar que está altamente alineada con los resultados del negocio. Así que como engancharte a eso es importante. Y cuando estás haciendo transformación empresarial o cuando vas a hacer una transformación digital, estás tratando de ser más ágil.

20:07 PJ Com: Y sí creo que los principios de Zero Trust están integrados, la capacidad de ser dinámico y adaptativo y monitorear continuamente y proporcionar retroalimentación a otros sistemas, creo que esas dos cosas están altamente alineadas. Entonces una estrategia que se alinea a ser más ágil y dinámica y una transformación del negocio, que requiere que una organización sea más ágil y dinámica, cuando esos dos se alinean, eso es algo agradable de ver.

20:36 Raghu Nandakuma: Entonces ahora quiero volver a empatar Zero Trust a Illumio. Hablas de, Illumio, la empresa de Segmentación de Confianza Cero. Entonces la pregunta obvia que tengo es que lo que vino primero, ¿Illumio o Zero Trust?

20:49 PJ Abedor: Es decir, estos principios básicos que teníamos, en los que empezamos la empresa están totalmente entrelazados con el principio de confianza cero. Entonces es un buen problema, de pollo y huevo. No tengo la respuesta, pero definitivamente comenzamos con los mismos principios que Zero Trust está abrazando. Y voy a decir que a lo mejor es gente como John Kindervag que empezó esto estaban viendo cosas similares en el mercado que estábamos viendo. Y él empujando, creando la idea de Zero Trust y empujando los principios e impulsando eso hacia adelante.

21:28 PJ Abedor: Y luego, Chase empujó eso hacia adelante en, más adelante en Forrester. Al igual que esas cosas que estaban pasando y estábamos tomando un enfoque diferente. Ser una startup y tener algo de tecnología. Esas dos cosas estaban muy alineadas.

21:44 Raghu Nandakuma: A mi me encanta. Una suerte de muchos caminos que de alguna manera conducen al mismo destino. Me gustaría preguntarle como tecnólogo y profesional de la seguridad, ¿se puede configurar cualquier producto de seguridad de tal manera que impida una postura de seguridad de confianza cero? ¿O necesita productos que hayan sido diseñados específicamente con Zero Trust en mente para lograrlo?

22:11 PJ Descripción: Bueno, déjame contarte una pequeña historia por un segundo sobre Illumio. Una de las cosas que sucedieron al principio, Matt Glenn fue una especie de uno de los primeros gerentes de producto, el primero gerente de producto. Y una cosa que identificó es que no teníamos lo que ahora llamamos Iluminación. No teníamos la visibilidad necesaria para lograr algunos de esos objetivos. Y diré que esa fue una de sus primeras ideas importantes y contribuciones a la empresa y al producto. Y construimos un modelo de políticas y una plataforma de visibilidad juntos de la mano.

22:51 PJ Fecha: Y he visto a otros vendedores como perno las cosas de visibilidad, después de los hechos, y no funcionan tan bien. Como, son tortos. Te das cuenta que no son como la misma, tal vez la misma persona, tal vez la misma empresa no los construyó. A lo mejor lo adquirieron. ¿Correcto? Y no todos trabajan juntos.

23:12 Fecha de la siguiente fecha: Si.

23:12 PJ Cante: Y hay mucha fricción y hay un desajuste de impedancia ahí. Entonces, para responder a tu pregunta sobre Zero Trust, no puedo decir... No puedo hacer una declaración total sobre, no, no puedes ponértelo después de los hechos. Pero sí creo que si está integrado desde el principio, desde el principio, tienes una experiencia mucho más fluida para el cliente, puedes lograr mejores resultados, en realidad puedes lograr tal vez más resultados, las necesidades de los clientes y puedes jugar mejor en el ecosistema. Entonces creo que tenerlo en mente desde los primeros principios es claramente la manera de tener éxito.

23:49 Fecha de la siguiente fecha: Y, cuando dices “eso”, lo que quieres decir es esencialmente visibilidad continua, ser capaz de escribir políticas adaptativas basadas en el contexto y basadas en el riesgo, ser capaz de automatizar, orquestar estas propiedades clave que se requieren como a través de la, como para el tipo de definición moderna de Zero Trust. ¿Correcto?

24:07 PJ Kirner: Absolutamente. Tienes que tenerlos en mente al principio para que tu arquitectura. Y tu arquitectura, el software que sale de eso, los productos, la interfaz de usuario, cómo... Sus canalizaciones de datos, todas esas cosas deben estar alineadas con esos principios.

24:26 Raghu Nandakuma: Sé que eres un gran validando tipo de cualquier idea con datos y a menudo le dices a tu personal, tráeme las pruebas, convénceme con las pruebas. ¿Cómo has abordado esto en Illumio? Ya sea validando como decisiones de diseño o validando la efectividad de su producto.

24:42 PJ Nombre: Yo sí creo que tomo el enfoque de como, hay mucha gente con buenas ideas. Y probarlos con datos realmente te ayuda a entender dónde tal vez la idea se descompone después de un tiempo. Tal vez se descompone a escala o tal vez se descompone a la variabilidad o tal vez, a veces simplemente eres demasiado optimista con tu idea y los datos simplemente, la rompen. Creo que una cosa que hicimos con algunos enfoques tempranos de aprendizaje automático es que establecimos metas para lo que queríamos lograr. Y, la gente tenía muchas ideas y probamos cosas diferentes y varias de ellas no pasaron. Y sí creo, cuando experimentas con cosas, si estás teniendo éxito cada vez en tus experimentos, no estás experimentando.

25:33 PJ Descripción: Tienes que gustarte fallar cuatro de las cinco veces y tienes que saber fallar las cosas. Así que establecer metas y luego dejar que los datos se alimenten en un análisis, y, y demostrarlo, probar eso es importante. Entonces, una cosa que nuestro cliente, uno de algunos de nuestros clientes nos preguntaba, incluso años atrás era cómo entendemos la eficacia de esta segmentación, implementando su producto dentro de nuestro entorno. Y, discutimos algunas cosas y tuvimos algunas, diferentes ideas. Pero una cosa que nosotros, nos pusimos de acuerdo y tú también fuiste un gran impulsor de esto, es que nos conformamos con hacer alguna investigación externa de seguridad. Y así nos asociamos con el obispo Fox, quien es uno de los líderes en seguridad ofensiva, y se nos ocurrió algunas ideas que íbamos a implementar, y probar.

26:21 PJ Com: Entonces una de las cosas que empezamos fue nosotros, y esta era nuestra, uno de nuestros clientes sugirió que era, tiempo de apuntar. Era el momento de... si dejaste caer a un atacante en un entorno, ¿cuánto tiempo se tarda en llegar a las joyas de la corona? Así que construimos un entorno y colocamos servidores en ese entorno. Encontramos, pusimos algunas joyas de la corona, tal vez rociamos algunas vulnerabilidades por ahí. Y teníamos un ambiente y medimos, tiempo para apuntar. Y luego aplicamos... Entonces, lo hicimos una vez y luego como que aleatorizamos el ambiente así que era fresco y pusimos la segmentación en su lugar e hicimos una segmentación de grano muy grueso para comenzar. Y luego aplicamos la aplicación ringfencing, y luego aplicamos otra capa de, ringfencing basada en niveles. Y como vimos en cada nivel, a medida que aumenta su segmentación, obtendría reducción de riesgo. Pero es importante que cualquier nivel de segmentación haya conseguido, ralentice a los atacantes en ese entorno.

27:20 Raghu Nandakuma: Entonces, ¿por qué es importante en su opinión, y como una especie de CTO en un proveedor de seguridad, que pueda probar la eficacia de su tecnología? ¿Por qué es tan importante?

27:34 PJ Descripción: Creo que es aún más importante ahora mismo, como en estos tiempos. Los CEOs de todas partes están bajo presión para ser más productivos, ser más eficientes, ser más cautelosos con los dólares. Y ese tipo de gotear hasta los líderes de seguridad. Entonces todos los líderes de seguridad están pidiendo lo mismo. Como escuché que en las juntas directivas, las juntas directivas podrían no haber preguntado esto antes, pero ahora se preguntan, ¿cuál es el ROI en lo que estoy invirtiendo en seguridad? Y entonces eso obliga a los líderes de seguridad a decir, bueno, déjame ver todas mis herramientas. Al igual que lo que realmente es proporcionar el conjunto más efectivo de disuasión, protecciones alineadas con mi estrategia, y entender la eficacia y tener una manera cuantitativa —no solo a este tipo le gusta esta herramienta, o a esta señora como esta otra herramienta— tienen alguna forma cuantitativa de medir eso. Y por eso también me gusta el tipo de la forma de seguridad ofensiva de probar las cosas. Como si fuera un atacante real en un entorno real, no una especie de métrica simulada que se le ocurra a alguien. Entonces por eso esa investigación de la manera en que lo hicimos, pensé que fue tan ingeniosa. Pero, volviendo a tu punto es que todos los CISO van a estar viendo esto y por eso es muy importante ahora.

29:06 Raghu Nombre: Habló de ROI. Particularmente ahora necesitamos más que nunca poder demostrarlo. Y no se trata solo del beneficio de seguridad, sino también de: “Bien, ¿ahorro dinero? ¿Hago las cosas más simples? ¿Hago que operativamente sea más eficiente?” Así que ese tipo de eso se empata con algunos de los vientos en contra que potencialmente estamos viendo en el mercado ahora. Entonces, cuando lo miras como CTO y cofundador, ¿cuáles son el tipo clave de vientos de cola y vientos en contra que ves que se arremolinan en el mercado? ¿Y cómo ve que estos impactan suerte de futuro del sector de la ciberseguridad?

29:42 PJ Agedor: Si volvemos a Zero Trust, definitivamente hay un, viento de cola alrededor de eso. O sea, teníamos el, quiero decir que teníamos el mandato de Biden hace un tiempo. Más personas están teniendo una estrategia de confianza cero. Hay más sesiones de estrategia Zero Trust, la gente está tratando de averiguar cuáles son sus iniciativas Zero Trust. Creo que todo eso es bueno. Como que acabamos de escuchar cada vez más de eso. Así que eso definitivamente es un viento de cola. Otro viento de cola interesante es que creo... Entonces, durante los tiempos de COVID, había mucha necesidad de acceso remoto. Entonces, mucha gente que trabajaba desde casa y había mucho ancho de banda de acceso remoto que se necesitaba. Y para resolver algunos de esos desafíos de acceso remoto, la gente compró un montón de productos ZTNA. Entonces Zero Trust Network Access. Y ese tipo de poner el foco en, porque los necesitabas para el acceso remoto. La gente está diciendo, bueno, bien, eso es parte de mis viajes de Zero Trust, así que voy a pasar tiempo ahí fuera. Pero creo que la gente ha pasado mucho tiempo, han terminado esos proyectos, han completado esa parte del viaje. Y ahora hay un enfoque que vuelve a las cargas de trabajo de las personas. Entonces, ¿qué hacemos dentro de nuestros entornos de nube pública, nuestros entornos Kubernetes, nuestros centros de colo y cómo hacemos Zero Trust allí? Así que hay este retorno después de pasar tiempo en la parte de acceso remoto. Hay este regreso para enfocarse en la carga de trabajo en la red y dónde están esos datos, y creo que eso es un poco emocionante e interesante.

31:25 Fecha de la siguiente fecha: ¿Qué es lo que ve como igual... Has hablado como condiciones macroeconómicas, pero ¿hay algún otro viento en contra significativo que veas que sean inhibidores de nuevas capacidades?

31:38 PJ Agedor: Un reto que, probablemente otras personas también habrán mencionado, pero vale la pena repetir, es que no compras Zero Trust. No hay como un, un solo vendedor que solo vas a comprarlo y vas a marcar la casilla de verificación. Hay un viaje que estás haciendo. Eso es lo que es. Es estrategia. Es un que tienes que descubrir lo que hay ahí fuera. Tienes que trabajar de alguna manera, entender a los usuarios, entender las cargas de trabajo y los dispositivos y como si hubiera múltiples pasos en ese viaje. Entonces, uno de los puntos fallientes es, pensar que solo voy a hacerlo rápidamente en un solo paso y se hará. Entonces eso sigue siendo un viento en contra. Y entonces si tu gerencia piensa que va a ser así, puede convertirse en un problema con la adopción. Pero, creo que donde está el contrario a eso, A, sé que es un viaje.

32:39 PJ Com: El número dos es encontrar un progreso incremental en el camino para poder demostrar a la administración que estoy reduciendo el riesgo y que puedo continuar reduciendo el riesgo con esta misma estrategia. Solo tengo que seguir trabajando en ello. Pero mostrar reducciones de riesgo concretas, demostrables y de forma incremental a lo largo del camino es realmente útil para reforzar. Y eso es lo que yo, cuando veo una buena estrategia Zero Trust, de alguna manera se comunican desde el principio que han logrado algunos de estos objetivos a medida que trabajan en... un viaje más largo.

33:12 Raghu Nombre: Me alegra que lo mencionara porque eso es algo que cuando hablamos algo así con los expertos de Zero Trust. Has hablado de John Kindervag y Chase, pero de muchos, muchos otros. Tuvimos una especie de George Finney en el podcast hace unas semanas con su tipo de libro Project Zero Trust, y esencialmente, todos se hacen eco exactamente de lo que dijiste sobre cómo entregarías un proyecto exitoso de Zero Trust. Realmente se trata de resultados muy tácticos y de medir e iterar en cada paso. Dado que esa es la sabiduría colectiva, ¿por qué las organizaciones todavía intentan y lo hacen como una cosa única y hecha fallan? Porque se siente como que hay suficiente conocimiento ahí para decir: “Esta es claramente la forma correcta de hacerlo. Solo tenemos que ir y seguir el mismo libro de jugadas”. ¿Qué es lo que detiene eso?

34:03 PJ Kirner: Bueno, creo que a veces es difícil medir eso. Y creo que ahí es donde, ya sea que haya frameworks o características y productos que puedan ayudar, quiero decir en el producto de Illumio estamos tratando de hacer más dashboards y más tipo de visibilidad de algunas métricas para ayudar a las personas a lo largo de este viaje, por ejemplo. Pero a veces es difícil de medir y de nuevo, por qué realmente me gusta la investigación de Bishop Fox es que es contra un verdadero adversario. Hay como, porque a veces puedes decidir una métrica y la gente no está de acuerdo en que la métrica sea valiosa o una señal de éxito. Pero, un atacante, un atacante real que no encuentra una joya de la corona, bueno, bien, no hay, eso no es discutible. Pero, y pero es más difícil hacer ese tipo de compromisos para establecer un equipo rojo azul. No haces eso continuamente. Es un poco más caro. Entonces eso es como tal vez el patrón oro, pero hay que encontrar otras métricas en las que la organización esté de acuerdo. Y hay proxies para algunas de esas cosas buenas. Y creo que ese es, ese es uno de los retos, creo.

35:09 Fecha de la siguiente descripción: Entonces, ¿crees que realmente es un caso de una mejor conciencia, una mejor educación en torno a cómo realmente, verdaderamente construir y ejecutar programas de Zero Trust, pero también es un mayor nivel de ser claro en cuanto a lo que estás midiendo para mostrar progreso? Esas son dos cosas clave que se necesitan hacer, reducir este viento en contra.

35:28 PJ Código: Sí, y creo, creo que probablemente tengamos el primero. Creo que tenemos algo de la educación sobre por qué el viaje está ahí. Creo que lo que se necesita es lo último, el cómo medir como la métrica, las métricas acordadas. Y nuevamente, podrían ser diferentes para diferentes organizaciones. Por eso no es solo un número que podamos decir soy ya sabes y ya sabes, a lo mejor hay un modelo de madurez, ahí o algo así. Pero creo que eso es lo que nosotros, eso es lo que eso podría ayudar a acelerar algunos de estos proyectos y evitar la trampa de que todos piensen que es solo uno y listo. Yo compraría el producto y de repente terminé con esto y puedo ir a pensar en otra cosa.

36:13 Nombre del día: Sí, sí, absolutamente. Así que justo ahora, como emparejar eso con RSAC está a la vuelta de la esquina y con la esperanza de que va a estar de vuelta a toda su fuerza. Después de unos años impactados por la pandemia, ¿qué te gustaría ver en el piso de exhibición o en los diversos teatros de presentación?

36:31 PJ Descripción: Esa es una pregunta realmente difícil.

36:34 Nombre de la página: No es lo que esperas ver. ¿Qué te gustaría ver? Quiero dejar muy claro lo que estoy pidiendo.

36:42 PJ Código: Volveré a explorar lo de la IA por un segundo. Yo sí creo que va a haber algunas formas novedosas de que la seguridad se va a ver afectada por esto. Entonces te voy a dar un ejemplo. Quiero decir, tienes que imaginarte con todo este código, generación de código AI, ¿de acuerdo? Va a haber una manera de explotar eso de alguna manera. Y luego como si eres un desarrollador como ¿quién es realmente responsable? Como, oh sí, la IA escribió la mitad de mi código, la IA introdujo un error, la IA introdujo una falla de seguridad. Es mi culpa que haya hecho eso, o la culpa de alguien más. Porque obviamente cuando generas código como desarrollador, como eres responsable del código que escribes, vino de, ya sabes, bien una inteligencia humana lo hizo y esa inteligencia humana es responsable. Bueno, ¿cómo se puede hackear la inteligencia generativa?

37:44 PJ Com: Porque, y entonces como ¿quién rinde cuentas al final del día? Así que ambas cosas son formas realmente interesantes de hacer esto. Quiero decir, vemos paquetes de código abierto, como cosas simples como esta. Hemos visto a personas insertando la cadena de suministro de software simplemente, como un paquete JavaScript que dice: “Incluya este proyecto Innocent.Lo que sea”, ¿verdad? Y luego llamas a InnocentProject.run y oh hombre, te roba tus cosas o se convierte en un minero de Bitcoin o lo que sea. Así se inyectan las cosas y como en el mundo real, pre-IA. Y entonces, ¿qué puede hacer la IA para aumentar la, bueno, aumentar la inteligencia humana de esos malos actores en el mundo? Ellos van a ser alimentados por eso. Oye, hay una vez, hay otra, hay otra presentación: “Cómo la IA mejoró mi programa de ransomware por...” Obviamente alguien que nunca podría aparecer ahí o presentar eso, pero esa sería una conversación increíble.

38:52 Raghu Nombre: Me sorprendería que al menos el 40% de las presentaciones en RSA no tuvieran alguna referencia a la IA en algún momento de ellas. Y en realidad eso me lleva a otra pregunta correlacionada. ¿Qué consejo tendrías a los asistentes al evento sobre las preguntas que deben ir y hacer en casetas de vendedores, para poder separar el trigo de la paja?

39:19 PJ Código: Sé que esto es difícil de pedir porque realmente te pusiste a poner... Si eres comprador de algo y realmente entiendes el problema, creo que lo realmente interesante es, “Vendedor, cómo me ayudas con el problema del día dos”, ¿verdad? Porque hay mucho de lo que la gente muestra, especialmente incluso en una presentación de ventas, se trata de como el problema del primer día. “Te ayudaremos con el problema del primer día”. Pero creo que mucho del costo de adoptar un producto es el problema del segundo día. Después de haber realizado la implementación inicial, ¿cómo mantiene esa implementación? ¿Quién lo hace? ¿Cómo funciona en la organización? Y cuando alguien quiere hacerle un cambio, o incluso podrías hacerle una pregunta sobre, bueno si mi... Bueno, mi organización como hizo este cambio en el último año, ¿cómo se manejaría eso si lo tuviéramos desplegado?

40:11 PJ Com: Así que creo que esas son algunas preguntas más desafiantes para hacerle a la gente. Y creo que la gente que ha pensado en qué... porque todo el mundo ha pensado a través del primer día problema. Aquellos que han pensado en el problema del día dos y pueden responder esa pregunta del día dos, creo que esos son los que deberías escuchar más porque están tratando de, no optimizar solo para llevarte a su plataforma, sino para mantenerte feliz en la plataforma durante todo tu viaje. Y creo que es una gran manera de... A, una excelente manera de hacer negocios, pero una excelente manera de probar a las personas y cómo lo hacen.

40:46 Fecha de la siguiente fecha: Me encanta eso como una especie de visión que deja a los oyentes que van a asistir a RSA u otro tipo de eventos de proveedores o, y eventos de tipo conferencia, es realmente pensar en ¿puede ese proveedor ayudarlo a resolver sus problemas del segundo día? ¿O simplemente vas a tener esencialmente un problema en tus manos que acaba de resolver ese primer problema pero es inutilizable después de eso? PJ, ha sido un placer tener esta conversación contigo, así que muchas gracias. Y todos, PJ no es solo un invitado en nuestro podcast. Él mismo es el presentador de su propio podcast, el podcast CTO Function, que os animo a todos a que revisen. Está disponible en todas tus plataformas de podcasting favoritas y en eso tienes un CTO experimentado que charla con una colección de otros CTO experimentados de todas las industrias y comparten colectivamente sus ideas sobre todos los desafíos a los que se han enfrentado y las lecciones que han aprendido a lo largo de sus carreras. Así que adelante, compruébalo y muchas gracias de nuevo, PJ, por acompañarnos en The Segment.

41:44 PJ Kirner: Gracias, Raghu.

41:45 Raghu Nandakuma: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com o visítenos en RSAC en San Francisco, entre el 24 y 27 de abril. Nos puede encontrar en el Salón Norte en el Stand 5778. Mientras tanto, asegúrese de revisar nuestros otros episodios dondequiera que obtenga sus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

‍