Adopción de visibilidad, consistencia y control

00:00 Raghu Nandakumara: Bienvenido a The Segment: A Zero Trust Leadership Podcast. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la Compañía de Segmentación de Confianza Cero. Hoy me acompañan Stephen Coraggio y Greg Tkaczyk de IBM Security. En IBM, Stephen es un socio gerente que lidera su práctica de ciberseguridad de servicios financieros de Estados Unidos. Con más de 22 años de servicios financieros y experiencia cibernética, Stephen se enfoca en proyectos de seguridad que van desde la estrategia y diseño de programas hasta la implementación y operaciones. Greg es consultor ejecutivo en el Centro de Competencia de Seguridad Global de IBM, centrándose en la seguridad de la nube y la infraestructura, incluyendo administración de postura, seguridad de contenedores y tecnologías de microsegmentación. Hoy, Stephen y Greg se unen a nosotros para hablar sobre el valor comercial de la ciberseguridad, la definición de sus joyas de la corona y cómo superar la parálisis del análisis y otros desafíos de Zero Trust. Hola, bienvenido. Stephen, es fantástico tenerte aquí. ¿Cómo te va?

01:02 Stephen Coraggio: Genial. Genial. Gracias por invitarme. Yo también estoy emocionado de estar aquí.

01:05 Raghu Nandakumara: Es un placer absoluto. Y Greg, de igual manera. ¿Cómo te va hoy?

01:09 Greg Tkaczyk: Genial, Raghu, gracias por tenernos.

01:11 Raghu Nandakumara: Ambos tienen caminos muy amplios hacia donde se encuentran hoy. Entonces Stephen, si me permite, desde una perspectiva de cara a los negocios, ¿cómo ha observado que la ciberseguridad ha evolucionado en su percepción empresarial?

01:26 Stephen Coraggio: Es una pregunta interesante. Creo, llevo 16 años en este espacio, consultando en ciberseguridad, trabajando con muchos grandes clientes globales, clientes regionales, y más o menos todo lo que hay en medio. Y lo que he visto en los últimos, digamos de tres a cuatro años es un cambio significativo desde el punto de vista del negocio, el punto de vista del riesgo. Así que nos hemos comprometido cada vez más en el lado empresarial de la cibernética. Por lo tanto, el riesgo del negocio depende del Chief Risk Officer, incluso a través de la junta directiva y el equipo ejecutivo en torno a cuál es el impacto real del riesgo comercial o habilitador de la ciberseguridad y cómo puede impulsar la transformación o cosas como incluso la transformación digital empresarial a gran escala y cómo la ciberseguridad puede permitir eso. Y eso realmente ha sido un cambio en la forma en que los clientes nos han comprometido en los últimos tres a, tres a cuatro o cinco años.

02:18 Raghu Nandakumara: Eso creo que es realmente interesante porque creo que vemos eso también esa evolución del CISO y del CISO con mentalidad empresarial. Entonces quiero volver a eso en un segundo. Greg, como un practicante que está muy profundo en las implementaciones técnicas, ¿cómo ha visto ese cambio, todo el tipo de enfoque de la ciberseguridad cambiar a lo largo de los años desde una perspectiva técnica y de implementación?

02:41 Greg Tzaczyk: Cuando empecé en ciberseguridad hace 20 años, estábamos muy enfocados en el trabajo de evaluación, entregando informes en términos de lo que se puede mejorar. Y realmente ahora más el cambio es que los clientes se están dando cuenta de que necesitan el soporte de un asesor de confianza que los lleve a través de esa implementación empresarial de software. En realidad, se está enfocando más desde lo que tradicionalmente ha sido un enfoque basado en infraestructura a un enfoque basado en software para la ciberseguridad.

03:10 Raghu Nandakumara: Impresionante. Y vamos a llegar a eso. Porque ese es ese cambio natural de una especie de todo en prem, todo lo que se maneja a la nube híbrida, etc., impulsa esa transformación a software. Entonces, Steve, quiero volver a lo que dijo sobre la forma en que pensamos sobre el cambio cibernético y estar mucho más alineados con los requisitos del negocio que ahora se extienden a una especie de Chief Risk Officer, etc. ¿Qué cree que desencadenó ese cambio, de ser simplemente una disciplina aislada, casi de TI, a ser ahora una disciplina mucho más empresarial?

03:43 Stephen Coraggio: Creo que el ciberespacio se ha convertido en la corriente principal. Creo que cuando miras algunos de los principales incidentes que han ocurrido en los últimos cinco a siete años, se ha convertido en una conversación de la junta. Ya no está aislado del CISO y las juntas ahora están pensando, ¿cuál es el impacto del ciberespacio en nuestro resultado final? ¿Cómo impacta en el precio de nuestras acciones, nuestros accionistas, nuestro valor, la forma en que los clientes, socios piensan de nosotros en el mercado? Y cuando construimos programas cibernéticos, muchas de las conversaciones se centran en: “¿Podemos compartir esto con nuestros clientes como un habilitador, como un diferenciador para que se sientan más seguros haciendo negocios con nosotros? ¿Hemos integrado la seguridad en los productos que ofrecemos, las plataformas que compartimos y la forma en que vamos al mercado?” Y creo que se han dado cuenta de que esto es un facilitador del valor del negocio y de la forma en que los clientes y nuestros socios salen al mercado. Creo que estamos en un punto muy interesante de nuestro tiempo donde ahora la seguridad puede ser pensada como un impulsor de negocios, un diferenciador en las empresas a gran escala, donde hace más de cinco años era un centro de costos y se pensaba como una especie de lugar donde los fondos van a morir. Y ahora es todo lo contrario.

04:54 Raghu Nandakumara: Sí, absolutamente. Y también pensar que también ha sido la percepción de que las funciones de seguridad siempre se ven como aquellas funciones que dicen no a las cosas o cuestionan todo. Y esa transformación para poder decir: “Bien, así es como habilito tu negocio”. Entonces, Greg, ¿puedes pagar eso y explicar desde una perspectiva técnica cómo demuestras que estás habilitando negocios y transformación?

05:17 Greg Tkaczyk: Sí, absolutamente. Entonces, una de las cosas que suelo hacer para iniciar la conversación con mis clientes, especialmente cuando estamos hablando de Zero Trust, es realmente estar nivelado en los desafíos que enfrentan. Y desde mi experiencia, eso se reduce a tres cosas. Es visibilidad, consistencia y control. Y Zero Trust es un tema amplio, pero creo que en última instancia esas son las tres cosas que todos nuestros clientes están tratando de lograr, independientemente de qué área de Zero Trust estemos hablando. Entonces, cuando piensa en visibilidad, estamos hablando de visibilidad de activos, aplicaciones, usuarios, datos, etc. ¿Cuáles son todos los recursos en la nube que estoy tratando de proteger? ¿Cómo se configuran? ¿Cuáles son las cargas de trabajo que componen mis aplicaciones? ¿Cómo se comunican? Esa falta de visibilidad puede resultar en puntos ciegos que pueden permitir que un atacante se mueva a través de su entorno o lo que usted tiene y, en última instancia, no puede crear controles de seguridad si no sabe lo que está tratando de proteger.

06:06 Greg Tkaczyk: Pero a tu punto, cuando estableces visibilidad, a menudo terminas creando esta fuente compartida de la verdad entre las partes interesadas en el entorno, dentro de la empresa, que pueden aprovechar en el futuro para facilitar sus trabajos. Entonces, una de las cosas que a menudo trato de hacer cada vez que estoy involucrado en una implementación es reunirme con las diferentes partes interesadas en toda la organización, ya sean los equipos de cumplimiento de normas, generalmente el CISO y su organización, la respuesta a incidentes y todo eso, y averiguar cómo pueden aprovechar estas herramientas o esta nueva capacidad dentro de la empresa para hacerles la vida más fácil.

06:43 Raghu Nandakumara: Me gusta la forma en que lo describías. Ya que usaste tres palabras: visibilidad, consistencia y control. Esencialmente siendo los tres pilares de la forma en que describías Cero Confianzas. ¿Puedes dar un ejemplo de donde... poner esto frente a un cliente y ellos tuvieron ese “momento aha” sobre cómo esto va a acelerar esencialmente su transformación digital?

07:03 Greg Tkaczyk: Sí, absolutamente. Mi área de enfoque en este momento esencialmente es la microsegmentación y las tecnologías de administración de postura de seguridad en la nube. Estaba trabajando con un gran cliente implementando CSPM y el director de ingeniería de ese cliente esencialmente dijo: “Normalmente, nuestro grupo compraría esta tecnología y la implementaría dentro de nuestro propio silo y averiguaría cómo la vamos a administrar. Y eso es todo”. Nunca hemos trabajado realmente con un asociado de negocios que haya llegado y pueda llegar a la organización de cumplimiento de normas, y comprender cuáles son las capacidades que esta nueva herramienta podría proporcionarles. ¿Puede proporcionar reporting? ¿Hay activos específicos que estén interesados en términos de proteger? Nos comunicamos con, como mencioné, respuesta a incidentes. Esto va a identificar deficiencias en la configuración, ¿cómo lidias con eso? Y así darse cuenta del valor de la puesta a punto fuera de lo que típicamente es su patrocinador de proyecto, la organización CISO, creo que es clave. Porque a medida que las personas comienzan a aprovechar esa tecnología internamente, se convierte en un negocio como de costumbre, no solo dentro de la seguridad sino para la organización en general.

08:05 Raghu Nandakumara: Sí. Y esa especie de que me lleva al tipo de, lo que quería preguntarte sobre Steve. Es que Greg mencionó sobre extenderse más allá de la organización CISO, como parte de la construcción de este programa. Entonces, desde un nivel de patrocinio de exec, ¿cómo los ayudas a construir ese tipo de apoyo multifuncional para programas como este?

08:31 Stephen Coraggio: Una de las grandes palabras de moda, creo, recientemente es que hablamos con los clientes en torno a la gestión de la exposición. Y cuando nos sumergimos en términos como administración de exposición y visibilidad general de un entorno, los ejecutivos obtienen el momento aha al decir, que realmente no entendemos cómo estamos realmente expuestos a las vulnerabilidades en nuestra infraestructura. ¿Cuál es la verdadera visibilidad de nuestro entorno? Especialmente ahora la mayoría de nuestros clientes son clientes de nube híbrida. Entonces tienen múltiples hiperescaladores, tienen múltiples proveedores en el espacio y alrededor cuando piensas en la cobertura de visibilidad y luego realmente tratando de proteger lo que es más valioso, esas conversaciones a nivel ejecutivo realmente ayudan a impulsar estos programas. Porque en el pasado estaba alrededor de proteger todo, encriptar todo, y realmente asegurarnos de que escaneamos todo en un entorno. Ahora, cuando hablamos con los clientes, se trata de cómo nos aseguramos de que realmente estamos cuidando las cosas más importantes de nuestro entorno, asegurándonos de que estén adecuadamente protegidas, controladas, que tengamos visibilidad, estamos monitoreando eso, y luego estamos respondiendo a las amenazas en esos entornos particulares versus tratar de hervir el océano en todo lo que hacemos.

09:43 Stephen Coraggio: Gestión de la exposición, que a veces se conoce como gestión de superficie de ataque o mapeo de superficie de ataque. Pero realmente se reduce a la visibilidad, la cobertura y luego la priorización de los activos más críticos. Y esas conversaciones a nivel ejecutivo siempre resuenan en algún tipo de aceptación acordada, aceptación, en torno a la financiación, en torno a este tipo de programas.

10:05 Raghu Nandakumara: Y escuchamos ese término en torno a los activos más críticos, los componentes más importantes. ¿Cómo se define o identifica eso típicamente cuando se encuentra a nivel ejecutivo?

10:19 Stephen Coraggio: Sí, la mayoría de las veces no lo es. Y la mayoría de las veces tenemos desafíos en torno a cómo se define. Cada tipo de línea de negocio o función de TI piensa que tienen activos críticos. Entonces lo que hacemos es adoptar un enfoque de consultoría para definir lo que considerábamos joyas de la corona de una organización -dependiendo de su industria, sus líneas de negocio, cómo van al mercado, público/privado, ¿son una empresa manufacturera que despliega productos, o son una empresa FinTech que realmente suministra software? Luego definimos sus proyectos de negocios, sus imperativos, lo que es crítico para ellos, y luego tomamos un enfoque cruzado de línea de negocios para definir qué es eso, y luego arriesgamos clasificarlo. Entonces tomamos el valor de esos activos, llevamos el valor al mercado, el valor a la firma, y luego aplicamos esa metodología para ayudar a definir lo que es crítico o joya de la corona para una empresa. Entonces, normalmente no se define hasta que realmente intentemos armar un marco alrededor, o una metodología en torno a, lo que eso realmente significa para nuestra organización.

11:23 Raghu Nandakumara: Y entonces solo voy a... Greg, viniendo a ti desde una especie de perspectiva de ejecución/implementación. Cuántos ciclos se necesitan normalmente para que una organización llegue a un acuerdo en cuanto a “esta es la criticidad, esta es la priorización correcta, y aquí es donde tenemos que comenzar”. ¿Cómo se describe eso como un proceso y un cronometraje?

11:45 Greg Tkaczyk: Entonces, lo primero que hay que decir es que nadie tiene una CMDB perfecta o lista de aplicaciones empresariales, pero por lo general hay algo. Por lo general, hay un punto de partida que puede aprovechar. Y así cuando entramos en estas organizaciones eso obviamente al punto de Steve, no quieres hervir el océano. Tienes que empezar por alguna parte. Tienes que priorizar aquellas cosas que son más relevantes para el negocio. Y, por lo general, aprovechamos lo que existe. Por lo general es un proceso bastante cíclico llegar a ese acuerdo, pero es algo que sabemos cuando atravesamos la puerta. Eso tiene que ser una prioridad para establecer. Una de las cosas que a menudo es un desafío es que nadie quiere tomar la decisión final. Y así, tratar de dirigir su organización cliente para identificar a un campeón de proyecto técnico que tenga la autoridad para tomar ese tipo de decisiones y, en última instancia, si esas son decisiones en torno a la arquitectura de la solución o si esas son decisiones en torno a la priorización de lo que va a apuntar primero. Esa es una parte clave de la implementación de este tipo de tecnologías.

12:47 Raghu Nandakumara: De hecho, quiero preguntar un poco más sobre eso. Porque muchas veces, muchos proyectos de seguridad, como dices, se estancan en eso por esa inercia. Que nadie quiere tomar la decisión en cuanto a, bien, tenemos que ir y hacer X. Entonces, ¿cómo normalmente logras que los clientes superen esa joroba? ¿Cuál es el consejo que das o cuáles son las palancas que jalas para que el progreso pueda comenzar?

13:10 Greg Tkaczyk: Por lo general, adoptamos un enfoque doble. Por lo general, hay un flujo de trabajo que llamamos reducción rápida del riesgo. Por lo general, sea cual sea la tecnología que esté implementando, hay algo que puede hacer, al principio de la implementación, que puede no ser perfecto, pero va a ayudar y va a estar en una posición que es mejor que donde estaba antes. Entonces, ¿cuáles son esos casos de uso para la reducción rápida del riesgo, y no se quede atrapado en la parálisis del análisis por eso? A medida que intenta identificarlos, no quiere pasar cuatro meses decidiendo cuáles son las cinco políticas principales que desea aplicar en una solución CSPM o lo que sea. Por lo tanto, tome esas decisiones rápidamente y reduzca el riesgo. Entonces esa es la primera corriente de trabajo. Y luego el segundo, en términos de la meta estratégica, concentrar realmente esos casos de uso y nuevamente, ver si hay cosas que puedes hacer para seguir mostrando valor con el entendimiento de que la perfección no es la clave. Entonces, si está tratando de proteger las 1000 aplicaciones, reduzca eso a su top 10. Y luego dentro de esos 10 primeros, ¿qué tan granular tienes que ser realmente? Podría haber decisiones políticas que puedas tomar que sean más amplias, aún sean mejores, no son perfectas, no es el estado final. Si. Pero pongámonos en movimiento y demostremos valor.

14:26 Stephen Coraggio: Y para agregar a eso, tal vez haya un tercero que creo que hemos estado agregando recientemente en los últimos quizás años. Por lo general, traemos la tercera corriente de trabajo en torno a la cuantificación de riesgos. Y sé que es otro término ampliamente utilizado, pero programa de cuantificación de riesgos acaba de despegar en términos del valor que a nuestros ejecutivos les gusta ver de un programa en términos de identificación de amenazas, vulnerabilidades, riesgo, clasificación de activos. Debido a que podemos tomar lo que ellos creen que son joyas de la corona, podemos aplicar cuantificación a esos activos en torno a amenazas que vemos en el mercado externas, amenazas a una industria en particular. Podemos simular lo que sería un ataque a esos activos o entorno en particular, y luego cuantificar lo que realmente le costaría a esa empresa si algo sucediera. Entonces ese modelo de cuantificación de riesgos, es una inversión bastante baja para muchas empresas, pero proporciona un ROI significativo en cuanto a dónde quieren gastar dinero en controles, visibilidad, microsegmentación, visibilidad de activos y todo eso. Es, para mí, eso está empezando a incorporarse a muchas de las cosas que hacemos, aunque necesariamente no formaban parte de un programa de cuantificación de riesgos.

15:36 Raghu Nandakumara: Sí. Y en realidad, casi respondiste a la pregunta que iba a hacer antes de que siquiera se la hiciera porque quería empatar algo que Greg dijo justo al principio cuando dijo, cuando se metió en ciberseguridad hace unos 20 años, fue en gran medida un ejercicio de casilla de verificación. Estaba muy centrado en el cumplimiento de normas: “Necesito cumplir con estos requerimientos, verificar, verificar y cumplir”. Y todos sabemos que cumplir con las normas no significa que esté seguro. Cumplir con las normas no equivale a ser seguro. Y eso es lo que quería preguntar es que, se siente que ahora hay una mayor apreciación, que entender el riesgo requiere cierto nivel de modelado de amenazas y puntuación asociado con eso para luego identificar: “Bien, aquí es donde estoy en mayor riesgo y ahí es donde necesito enfocarme desde una perspectiva de controles”. ¿Es ese un cambio significativo que ha visto en los últimos años?

16:22 Stephen Coraggio: Sí, yo diría que la ciberseguridad ya no es una capacidad en la que los clientes solo están pensando. Esto ha existido por un tiempo. Tal vez a finales de la década de 2000, estábamos pensando en que todos compraban productos tecnológicos y una chequera abierta. Los últimos cuatro a cinco años, y tal vez incluso los últimos tres han existido, “¿Cómo hago más con menos? ¿Cómo lo hago realmente, pensando en la racionalización del gasto y la tecnología y la proliferación?” Nuestro cliente promedio cuenta con 78 productos de seguridad diferentes. Se trata mucho de: “¿Cómo racionalizo, proporciono ROI, cuantifico los riesgos para que podamos aplicar la tecnología adecuada al entorno adecuado y luego ahorrar dinero al despriorizar otras cosas?” Entonces, cuando piensas en algunas de las tecnologías de próxima generación como la microsegmentación, que incluye visibilidad, conceptos de Zero Trust que incluyen IA y automatización, esas son cosas en las que nuestros clientes están pensando porque realmente se trata de aprovechar las inversiones de la manera correcta y priorizar el gasto, en lugar de tal vez simplemente salir y comprar el próximo objeto brillante. Y eso es realmente lo que estamos viendo, sobre todo en mercados como en los que estamos hoy.

17:32 Raghu Nandakumara: Así que eso es realmente interesante, porque usted habló de la consolidación de herramientas y de obtener más de menos. Entonces quiero, de nuevo, hacer esta pregunta en dos partes, Steve, una para ti y Greg desde una perspectiva practicante es que, cómo hablas, digamos que tienes... Estás frente a ese tipo de patrocinador ejecutivo y dices: “Bien, deberías invertir en esta capacidad, porque te va a dar estos beneficios”. Y luego igualmente, Greg pagando eso. ¿Cómo demuestra que esos beneficios realmente se van a realizar? Entonces, Greg, ¿tal vez quieres ir primero?

18:06 Greg Tkaczyk: Claro. Entonces, solo para agregar a lo que Steve estaba diciendo (visibilidad, consistencia, control), la parte de consistencia es la racionalización de herramientas, la elección de tecnologías que van a funcionar en su infraestructura heterogénea. No solo data center, sino aplicaciones híbridas, multinube, tecnologías en contenedores, tecnologías sin servidor, etc. Por lo tanto, desea pensar en seleccionar aquellas tecnologías que de alguna manera puedan funcionar en ese ecosistema. En cuanto a platicar con el patrocinador ejecutivo y mostrar valor, entonces lo daría un paso atrás. A menudo, los clientes quieren saltar al objetivo final o a la capacidad completa que una tecnología va a proporcionar. Pero durante ese proceso de soluciones y ventas, a menudo hay oportunidades para trabajar con ellos, para aún así diseñar una solución que pueda obtener esos objetivos de negocio y reducir el riesgo. Me refiero a una especie de “¿Cuál es la licencia, cuáles son las características, cuáles son los módulos que necesita, cuándo los va a necesitar? ¿Y qué tipo de apoyo va a necesitar en ese lanzamiento?” Ya sean servicios profesionales o servicios administrados. Entonces, enfocar ese alcance inicial en lo que es la preocupación inmediata, para que pueda mostrar valor de inmediato frente a un tipo de objetivo que sea más realista y práctico de lograr versus un tipo de estado final objetivo que puede estar a dos o tres años de diferencia, es clave.

19:33 Greg Tkaczyk: Y si piensa en eso en el proceso de adquisición y solución, a menudo puede reducir el riesgo, reducir el costo también para maximizar el ROI, de lo que estábamos hablando antes. Crear un modelo de ramp-up en términos de volumen y características y todo eso. Cuando hablo con los clientes, primero, me gustaría abordarlo por adelantado, y luego, una vez que estuvo en él, ¿cuáles son esas métricas que puede resaltar de manera continua para lograr esos criterios de éxito? Si lo ha construido correctamente, si ha solucionado el alcance inicial correctamente, medir con esos criterios de éxito debería ser bastante fácil.

20:06 Raghu Nandakumara: Sí, sí. Definitivamente. ¿Steve?

20:11 Stephen Coraggio: Sí, es interesante. Cubro servicios financieros. Entonces para mí, nuestros clientes son los clientes más maduros que hay. Llevamos muchos años viendo ese nivel de madurez alto, y elogio a nuestros clientes por querer ser lo mejor de lo mejor, y creo que se demuestra en lo que vemos desde el punto de vista de la capacidad. Nos estamos mudando a organizaciones dentro de mi mercado o incluso top 10 o 20 en otros mercados donde quieren pasar a capacidades como centros de riesgo integrados. Piense en cómo integramos completamente el riesgo en los controles cibernéticos, el centro de fusión cibernética y algunas de nuestras capacidades de próxima generación, SOC o administración de amenazas. Creo que es una gran visión donde estos clientes quieren estar. Pero para el punto de Greg, se trata de hojas de ruta de tres a cinco años, hojas de ruta de tres a cuatro años.

20:54 Stephen Coraggio: Entonces, nuestra opinión es, tomemos un enfoque mesurado para llegar allí. Vamos a encontrar los proveedores, soluciones y capacidades adecuados que tengan esa misma visión en mente, que quieran llegar allí con usted dentro de los próximos tres a cinco años, y construiremos un proceso de rastreo y ejecución para llegar allí. Pero hay elementos fundacionales. Hay cosas de las que ya hablamos en esta convocatoria en torno a visibilidad básica, controles, acceso, administración. Esos son los elementos fundamentales de una organización cuando quiere llegar a ese centro de riesgo integrado de próxima generación. Pero comencemos por el principio. Construyamos los bloques de construcción fundamentales. Asegurémonos de estar cubiertos desde el punto de vista de la visibilidad y la vulnerabilidad, tener esas capacidades básicas implementadas y luego construir sobre esa hoja de ruta con proveedores de productos y proveedores de soluciones a lo largo del camino.

21:44 Raghu Nandakumara: Solo oírlos a los dos hablar, bien, es como en esta conversación Greg al principio trazó... Zero Trust es realmente visibilidad, consistencia, control. Y ambos repitieron esos términos varias veces. Y Steve, lo que acabas de decir, estos son los básicos. Visibilidad, consistencia, control son los componentes básicos de cualquier buen programa de seguridad. En cuanto a los programas que ves mapear a tus clientes, y centrémonos un poco en la industria de servicios financieros, ¿qué papel juega Zero Trust o una estrategia Zero Trust en el desarrollo de esos programas? ¿Eso es algo real lo que sacan a colación o es casi un... Y si hacemos esto, ¿escalará hasta una estrategia de Confianza Cero? ¿Cómo se discute y planifica Zero Trust dentro de su grupo de clientes?

22:37 Stephen Coraggio: Cuando despegamos lo que pensamos sobre Zero Trust, y para mí y para nosotros, es un marco. Es un principio rector para llegar a algún lugar donde realmente pueda ayudar a los clientes a proporcionar la visibilidad, los controles, la identidad y, de hecho, verificar continuamente quién tiene acceso a qué y por qué. Para mí, en realidad es solo un marco. Es lo que era NIST, es lo que muchos de estos otros frameworks son. Y luego, cuando observa las capacidades dentro de ese marco, como la visibilidad y la comprensión de cosas básicas como CMDB, cobertura de vulnerabilidades, administración de activos, componentes básicos de una organización de seguridad, es cuando se combina toda la capacidad Zero Trust. Es alrededor de construirlas todas juntas.

23:22 Raghu Nandakumara: Derecha. Desde una financiera, como usted dijo, el sector financiero siempre ha estado a la vanguardia de la seguridad por la normatividad que implica, los requisitos, el lugar del regulador. ¿Qué es lo que está viendo? ¿Estás viendo una mayor adopción de Zero Trust y sabiendo que no necesariamente lo llamas por todas las cosas que mencionaste? ¿O es solo eso, de nuevo, que las organizaciones solo están mejorando esos fundamentos y esencialmente esa eliminación de la confianza implícita que en última instancia conduce a un resultado de Confianza Cero?

23:52 Stephen Coraggio: Sí, creo que los 10 o 20 mejores CISO dentro de los servicios financieros están aprovechando Zero Trust como una conversación de la junta directiva. Debido a que las juntas conocen el término, entienden el término. Es bastante fácil saber lo que significa Zero Trust. Pero lo que están tomando son los marcos Zero Trust e implementando eso como parte de las capacidades e inversiones que están realizando, de manera que cuando lo resuman ante sus juntas directivas y sus directores y su equipo ejecutivo, estén mostrando su progreso y madurez en una escala Zero Trust para decir: “¿Qué tan bien estamos cubiertos? ¿Qué tan bien tenemos visibilidad? ¿Qué tan bien estamos protegidos? ¿Contamos con la resiliencia adecuada? ¿Podemos recuperarnos de un incidente? ¿Qué tan bien preparados estamos para recuperarnos y si realmente ocurriera un incidente?”

24:37 Stephen Coraggio: Y entonces, ese es el marco que están aprovechando para una conversación de la junta porque, de nuevo, es bastante básico desde el punto de vista de la comprensión, pero impulsa las capacidades que se encuentran debajo de él desde el punto de vista de la inversión.

24:48 Raghu Nandakumara: Y eso es realmente interesante que Zero Trust sea, en términos de cómo se presenta un programa de seguridad, se presenta en un marco Zero Trust a la junta directiva, mientras que la ejecución real subyacente es más alrededor de los bloques de construcción básicos. Creo que eso es realmente interesante porque a menudo creo que los practicantes casi lo volteamos de cabeza y decimos: “Oh, bien, voy a aplicar los principios de Zero Trust aquí”. Y como dijiste, de algún modo se diluye porque cada uno tiene su propia definición de ello. Greg, quiero venir a ti, como practicante, cuando tus clientes te hablen de Zero Trust, ¿cuáles son las preguntas que surgen y cuál es tu consejo, cuáles son tus respuestas?

25:23 Greg Tkaczyk: Así que creo que la primera pregunta que siempre surge es cómo empiezas. Y como hemos mencionado, bien, lo primero a considerar es que la confianza cero es un viaje. De hecho, es un viaje. El enfoque tiene que estar en la mejora continua e incremental que sea medible. Y no las implementaciones del Big Bang que van a interrumpir el negocio. Y como mencioné, a menudo empiezas a desarrollar qué controles vas a hacer de una manera muy específica, pero también ¿qué controles vas a aplicar de una manera muy amplia en toda tu organización para reducir el riesgo? Y puedes hacer ambos en paralelo y en cualquiera de los dos enfoques está bien. Pero cada uno es un paso hacia la Confianza Cero. Entonces, cuando hablo con mis clientes sobre eso, realmente trato de delinear cualquier dominio tecnológico del que estamos hablando, como, ¿cómo vamos a hacer eso?

26:09 Raghu Nandakumara: Sí, absolutamente. Así que solo cambiando un poco de marcha, Steve, vuelvo a ti, cuando miras hacia adelante en digamos en el sector de servicios financieros. ¿Cuáles ve como las fuerzas impulsoras que van a exigir un mayor enfoque en una mejor visibilidad, una mejor consistencia, un mejor control? ¿Qué ve desde una perspectiva regulatoria, desde una perspectiva de adopción de tecnología, cuáles son el tipo de fuerzas impulsoras clave en ese espacio para una especie de adopción de, o la mejora en estos tres controles básicos?

26:38 Stephen Coraggio: Una de las áreas más grandes sobre las que hemos estado hablando con los clientes fuera de la seguridad es en torno a la transformación digital. Se está acelerando más rápido de lo que nunca lo he visto. Y entonces tal vez sea por la competencia, es por la inversión, es por solo el gran volumen de empresas que hay en el espacio. Pero mientras hablamos con los clientes en torno a la transformación digital, ya sea proceso de incorporación, experiencia del cliente, mejora de procesos. La base de conocimientos del usuario final y cómo aplicamos la automatización para entender lo que buscan los clientes desde el producto, los servicios, la expectativa. Esa transformación realmente está impulsando la necesidad de estas capacidades. Y estamos siendo cada vez más arrastrados a las conversaciones si nos movemos a estos escenarios de nube híbrida y aprovechamos diferentes hiperescaladores y entornos, ¿cómo podemos realmente aplicar visibilidad, cobertura, controles, actividades de respuesta y resiliencia en esos entornos?

27:41 Stephen Coraggio: Porque estamos extremadamente asustados de que nuestro negocio se mueva más rápido de lo que realmente podemos aplicar requisitos de seguridad y seguridad. Así que creo que mantenerse al día con la transformación empresarial, la transformación digital y la evolución del negocio es probablemente la conversación más común que estamos teniendo desde una perspectiva cibernética con visión de futuro.

28:00 Greg Tkaczyk: Yo solo agregaría a eso, parte de eso es la modernización de aplicaciones. Nuestros clientes están pasando por transformaciones masivas en las que están tomando estas aplicaciones heredadas y refactorizándolas en contenedores o sin servidor o elevándolas y cambiándolas o creándolas en aplicaciones híbridas. Muchas de estas tecnologías pueden, hemos hablado mucho de visibilidad, proporcionar visibilidad que puede ayudar a que esas decisiones sean más fáciles, pero es el momento perfecto para integrar la seguridad en la aplicación. A medida que atraviesan esa transformación. ¿Por qué pasar por eso y luego pensar hacia atrás sobre cómo voy a proteger mis aplicaciones recién factorizadas?

28:36 Raghu Nandakumara: Sí, absolutamente. Y sobre eso, bien, ya que están haciendo esa transformación, y escuchamos este término cada vez más, una especie de resiliencia cibernética es un término tan en boga en estos días. ¿Es ese un verdadero tipo de punto de discusión que está teniendo con sus clientes? ¿Te hacen la pregunta, cómo me vuelvo más ciberresiliente? ¿O es solo un resultado esperado de los programas en los que estás involucrado?

29:00 Stephen Coraggio: Sí, creo que es una conversación. No es necesariamente una oferta. Es una conversación porque realmente impulsa los subcomponentes y algunos de los programas debajo de ella. Cuando pensamos en la resiliencia cibernética, muchas conversaciones son como el derecho de un incidente. ¿Estás preparado? ¿Sabes cómo responder y recuperarte de algo? ¿Qué tan resistente eres si algo sucediera? Muchas de estas conversaciones giran en torno a la preparación, la concienciación, la educación, la respuesta, el backup, la recuperación. Asegurarnos de tener esas piezas en su lugar para que si y cuando algo sucede, las organizaciones estén preparadas. Entonces cosas alrededor como juegos de guerra cibernética, ejercicios de mesa, experiencias inmersivas en escenarios de amenazas, simulaciones de amenazas. Ahí es donde los clientes realmente están empezando a gastar dinero en la preparación de toda la empresa y asegurarse de saber quién es el comandante en términos de un incidente. ¿Cuáles son los controles correctos y la comunicación?

30:00 Stephen Coraggio: ¿Cómo podemos volver a ponernos en marcha? ¿Contamos con los sistemas de backup adecuados y están protegidos? Así que esa es una gran parte de las conversaciones sobre resiliencia. No, ciertamente a la izquierda de un incidente, es alrededor de controles, visibilidad, monitoreo, y eso es lo que ha existido por un tiempo. Pero ahora estamos viendo ambos lados de ese espectro.

30:17 Raghu Nandakumara: Impresionante, impresionante. Entonces Greg, viniendo hacia ti. Al mirar un poco hacia el futuro, ¿dónde ve los próximos pasos interesantes de un cibernético, ya sea una perspectiva de capacidad, si es una perspectiva de amenaza de la que un tipo de profesionales deben desconfiar realmente?

30:35 Greg Tzaczyk: Creo que cada vez más se trata de optimizar y automatizar el aspecto de automatización y remediación. Muchas de estas herramientas identificarán cosas, te alertarán, pero requieren una respuesta humana. Muchas herramientas e integraciones con plataformas SIEM y SOAR están cerrando ese bucle. No veo que se utilice de manera extremadamente pesada en nuestros clientes. La capacidad está ahí, tal vez desde una perspectiva plomera y técnica para que esto suceda, pero tener clientes realmente sentados y pensar en cuáles son esos casos de uso en los que me siento cómodo al automatizar completamente mi respuesta. Creo que ese va a ser un área que va a ser un foco en el futuro.

31:16 Raghu Nandakumara: Y ahí, digamos ¿por qué hay una brecha hay eso porque tipo de clientes no son capaces hoy en día de definir cuáles son esos casos de uso, o es porque no saben qué datos necesitan para instrumentar y operacionalizar esos casos de uso?

31:33 Greg Tkaczyk: Sí, pero también da miedo. Está regalando el control de partes de su infraestructura a algo en lo que confía inherentemente para tomar la decisión correcta. Y así es a lo que me refiero. Creo que tienes que empezar poco a poco definir casos de uso con los que te sientas muy cómodo. Esos casos de uso no tienen que aplicarse en toda la empresa. Y a medida que se siente más cómodo, construye esa capacidad de respuesta automatizada.

31:58 Raghu Nandakumara: Sí, y si pienso en el tipo de pilares de Confianza Cero de Forrester, tenemos ese anillo de automatización y orquestación que existe ahí. Y atado a una especie de visibilidad y monitoreo con el tipo de objetivo final que es este tipo de, como este ecosistema que esencialmente se está reportando a sí mismo, respondiendo a los cambios en el entorno, etc., y ajustando el acceso a lo largo del camino. Entonces supongo que ahí es donde todos quieren llegar. Pero como dijiste, renunciar al control es lo difícil. Steve, como cualquier otro tipo de desafíos significativos que vea entre ellos, ya sea en el espacio de servicios financieros o en general con las organizaciones, ya que buscan realmente llevar sus programas cibernéticos al siguiente nivel y potencialmente acelerar ese progreso hacia Zero Trust.

32:46 Stephen Coraggio: Yo diría que lo más importante que vemos de los clientes es proporcionar realmente ROI e inversiones en programas y ayudarlos, los CISO, ahora entregar ese caso de negocio a la junta directiva en torno al valor de una inversión en ciberseguridad. Ya sea un componente de software o de servicios. Hemos hecho más de un caso de negocio/ROI/programas de cuantificación en el último año que probablemente hayamos hecho los 10 anteriores. Porque, se trata de ser más reflexivo cuando se trata de gastar y estar más definido con los socios en lugar de distribuir la riqueza con demasiados. Entonces creo que vamos a ver cada vez más de eso a medida que las empresas se ajusten los presupuestos y piensen en ¿cómo me transformo con el negocio pero también lo hago de manera reflexiva y eficiente? Pero sí creo que hay suficiente por ahí en términos de proveedores y soluciones donde los clientes están viendo cada vez más del retorno de la inversión en las organizaciones ahora que nunca. Entonces tengo esperanzas de adónde va esto.

33:45 Raghu Nandakumara: Y eso es realmente interesante, creo que porque tocamos el ROI en algunos lugares de esta conversación. Y eso definitivamente, como bien dijiste, ese ha sido un tema tan importante en los últimos 12 meses. Y hemos visto a casi todo tipo de líderes de seguridad, ya sea del lado del proveedor o del lado del cliente, hablar sobre la necesidad de demostrar el ROI. ¿Eres capaz en pocas palabras, solo por decir, cuando salimos a construir, digamos un modelo de ROI?, aquí están las cosas clave en las que enfatizamos y articulamos tan bien al tablero. ¿Puedes arrojar un poco de luz sobre eso?

34:16 Stephen Coraggio: Muchas de las cosas están alrededor de lo que Greg mencionó es sobre la automatización y la puntuación y disposición de las amenazas. Cuando tenemos una base de clientes masiva y podemos aprovechar el poder de muchos y sintetizar los datos para devolver valor y decir: “Hemos visto esta amenaza, hemos visto este incidente antes y, en base a nuestro análisis e investigación, es un falso positivo, lo cerramos automáticamente”. Eso ahorra tiempo y dinero a los analistas. Eso ahorra tiempo y dinero de la escalada. De hecho, ahorra tiempo y dinero incluso al contratar a un analista de nivel uno. Por lo tanto, podemos proporcionar cada vez más una plataforma automatizada, una respuesta cada vez más automatizada, y realmente tratar de incorporar tecnología en estas soluciones para quitar gran parte de lo mercantilizado, digamos amenazas o vectores de amenazas conocidos y realmente enfocarnos en los que son más importantes y más valiosos para las organizaciones. Y para mí, mostramos valor al decir, esto reducirá X cantidad de horas de mano y X cantidad de recursos al reemplazarlo con una plataforma o una tecnología o un modelo de IA. Esa es gran parte de la inversión que hacemos.

35:16 Raghu Nandakumara: Greg, si puedes, me gustaría que lo emparejaras. Entonces ese es el caso de negocio. ¿Cómo entonces reportas y demuestras que, sí, he automatizado como este porcentaje de estas tareas? ¿Cómo se hace ese tipo de validación de eso?

35:30 Greg Tkaczyk: Típicamente arranca un compromiso. Parte de definir los criterios de éxito va a ser cuáles son las métricas que podemos rastrear e informar básicamente, semanalmente contra tipo de objetivo. ¿Cuántos de los agentes fueron desplegados? ¿Qué número de activos se están protegiendo? ¿Cuántos casos de uso se han habilitado? Qué porcentaje del entorno se encuentra en un determinado estado de seguridad frente al resto. ¿Cómo se mapeará eso a través de diferentes unidades de negocios o diferentes sistemas operativos o cualquiera que sea la métrica? Por lo tanto, típicamente parte de ese proceso consiste en identificar esas métricas y KPIs, medirlos semanalmente y luego lo enrollamos trimestralmente en general a las partes interesadas ejecutivas.

36:09 Raghu Nandakumara: Impresionante. Steve, Greg, ¿alguna perla adicional de sabiduría que te gustaría compartir con los oyentes?

36:15 Stephen Coraggio: Mi idea de despedida aquí es elegir un proveedor de servicios para asociados de negocios de soluciones que esté invirtiendo en estas capacidades. Hay mucho tipo de tecnologías y plataformas más antiguas que hicieron las cosas realmente bien pero las empresas en este momento que están brillando son empresas que no solo pueden proporcionar cosas en torno a la microsegmentación y Zero Trust, sino también visibilidad, ¿también para entender qué hay en esos contenedores o áreas particulares? Y luego visibilidad y cobertura continuas dentro de esas áreas particulares. Entonces creo que mirar a esas empresas con las que ciertamente nos asociamos y de lo que estamos hablando aquí, es extremadamente crítico para la inversión futura. Creo que los modelos de rip and replace son desafiados. Creo que tenemos que pensar en inversiones continuas y construir sobre socios estratégicos fuertes, construir un programa del futuro. Por lo tanto, es importante elegir el proveedor adecuado al inicio de estos programas.

37:09 Raghu Nandakumara: Gracias, Steve. ¿Greg?

37:10 Greg Tkaczyk: Yo diría que haz un piloto de producción y no una prueba de concepto. Eso es lo más grande que veo los clientes míos que tienen éxito hacen eso. Cuando hace eso, comienza poco a poco, define los casos de uso y los criterios de éxito para el piloto, valida la tecnología, valida las habilidades de su socio de implementación. Y como parte de ese proceso, va a descubrir cualquier información, dependencia o restricciones que sean relevantes para su implementación. Y realmente informa el enfoque que adopta para una implementación empresarial.

37:41 Raghu Nandakumara: Ese es realmente un gran consejo. Piloto de producción versus prueba de concepto porque se quiere validar que esto va a funcionar cuando el caucho llegue a la carretera. Greg, este es un podcast de Zero Trust. ¿Cuál es tu analogía favorita de Zero Trust?

37:55 Greg Tkaczyk: Muy bien, de hecho tengo algunos si me tienes paciencia.

37:57 Raghu Nandakumara: Oh, bien, bien. Tienes que dejar que Steve tenga uno también.

38:00 Greg Tkaczyk: Muy bien.

38:01 Raghu Nandakumara: Entonces, adelante, puedes tener dos.

38:04 Greg Tkaczyk: Bueno, voy a ser rápido. El modelo histórico de seguridad del caramelo duro con un centro suave. Pero cuando pienso en Zero Trust, es una confianza altamente granular y distribuida. Entonces eso ya no aplica. Entonces a lo mejor es una bolsa de esos caramelos. Todavía tienes un perímetro que tienes que abrir. Hay controles a los que tienes que entrar, pero adentro están muchos de esos dulces. Cada uno representa los controles de seguridad. Están más cerca de lo que estás tratando de proteger. De modo que eso permite una toma de decisiones más granular. El otro es que en realidad estaba hablando con un amigo mío ayer y decidimos que Zero Trust es como un sándwich de queso. Como concepto, es fácil de decir, es solo un sándwich de queso. Pero cuando empiezas a cavar en los detalles, ¿qué tipo de pan, qué tipo de queso, cuáles son los aderezos, es a la parrilla? Significa algo totalmente diferente para todos.

38:48 Raghu Nandakumara: Bien, en realidad me gustan esos dos porque por un lado acabas de explicar que la bolsa de caramelos es el concepto y luego el sándwich de queso es en realidad, hay tantos matices y cada uno tiene su propia toma. Y también me gusta el hecho de que estés teniendo conversaciones con tus amigos a diario sobre Zero Trust, ideando nuevas analogías. Steve, ¿puedes mejor bolsa de caramelos o sándwich de queso?

39:09 Stephen Coraggio: Sí, bueno, creo que Greg tiene más hambre que yo ahora mismo. Entonces mi analogía no está relacionada con la comida, pero llevo un tiempo usando esta analogía y creo que este tipo de sector tiene razón. Al igual que piensas en un aeropuerto, piensas en lo que se necesita para pasar por un aeropuerto, mediante controles de seguridad y validación de una identidad y luego validación continua a medida que te mueves por la terminal, la puerta, el avión, el asiento. Creo que ese tipo de metodología, que es que se vuelve granular y granular a medida que te mueves por el proceso, constantemente estás siendo validado en términos de verificaciones de seguridad, tu identidad, la puerta y la terminal en la que se supone que debes estar. Y creo que si miras eso desde el punto de vista de la seguridad y la cantidad de personas y cosas que pasan, creo que lo han hecho muy bien. Y por supuesto que hay contratiempos y desafíos y hay algunas cosas que atraviesan, pero en su mayor parte, ese proceso stop gap, la validación continua ha funcionado muy bien.

40:04 Raghu Nandakumara: Creo que ha sido una gran conversación, Steve, Greg, con ustedes mismos y realmente obtener una visión increíble desde la perspectiva de un profesional sobre cómo desde el nivel de la junta directiva, hasta la implementación técnica y la administración de programas y un tipo de informes sobre cómo entrega un tipo exitoso de programas de seguridad que brindan verdaderos resultados de reducción de riesgos. Creo que eso es lo que tomo como la clave para llevar. Y luego también cómo en última instancia eres realmente, cuando pensamos en Zero Trust, estamos pensando realmente en tres cosas clave. Visibilidad, consistencia, control y aplicación de esto en todo su patrimonio en los lugares correctos para afectar esa reducción de riesgos y esencialmente mejorar la resiliencia cibernética. Así que muchas gracias de nuevo por su tiempo de hoy. Y bien, si todos están interesados en aprender más sobre cómo IBM e Illumio están trabajando juntos para empoderar a las organizaciones para lograr una mejor resiliencia con visibilidad mejorada y segmentación de confianza cero, visite nuestro sitio web. Steve, Greg, muchas gracias por tu tiempo de hoy. Se lo agradezco.

41:16 Raghu Nandakumara: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter @illumio. Y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

‍