


Humanizando la ciberseguridad: la mentalidad impulsada por la misión
Cuando el trauma personal cumple con un propósito profesional, puede remodelar toda una industria, solo pregúntele al Dr. Kelley Misata. La conversación abarca los peligros de las suposiciones digitales, la importancia de contar historias en la capacitación de concientización y cómo las comunidades de código abierto pueden ser tan críticas para la resiliencia como los proveedores empresariales.
Transcripción
Dra. Kelley Misata 00:02
Uno de los temas comunes que me encanta absolutamente que he ganado de este trabajo, que solo me calienta seriamente el corazón, es que estas organizaciones siempre pondrán la misión primero.
Raghu Nandakumara 00:16
Entonces, bienvenido de nuevo a otro episodio de The Segment. Soy tu anfitrión, Raghu Nandakumara, y continuando con nuestro tema no oficial de la tercera temporada de traerte invitados que brindan perspectivas esenciales pero probablemente no lo suficientemente escuchadas sobre el ciberespacio. Es un gran placer para nosotros dar la bienvenida al podcast de hoy. Dra. Kelley Misata, PhD. Es la fundadora y directora ejecutiva de Sightline Security, una organización sin fines de lucro que ayuda a otras organizaciones sin fines de lucro a integrar la ciberseguridad en sus operaciones diarias, y viene con una gran cantidad de conocimiento y experiencia. Entonces, Kelley, Bienvenido al segmento. Es maravilloso tenerte aquí.
Dra. Kelley Misata 01:01
Es encantador estar aquí. Muchas gracias por invitarme.
Raghu Nandakumara 01:06
¡Absolutamente! Entonces, en una especie de solo ese tema general sobre el fondo. Siento que las carreras particularmente duraderas en el ámbito cibernético requieren que el individuo esté muy impulsado por la misión. Cómo describirías tu misión y qué te motiva en tu carrera en el cibertiempo.
Dra. Kelley Misata 01:24
¡Realmente me encanta esa pregunta! Esa es la primera vez que se pregunta en ese marco. Me atrae a esto, a esta conversación que tuve con un querido amigo mío que lleva mucho, mucho más tiempo en el espacio de seguridad que yo. Y ella me dijo, ella dijo: “Kelley, simplemente te emocionas tanto todo el tiempo por todo”, y yo dije: “Sí, quiero”. Como, realmente siento que tenemos la oportunidad de marcar la diferencia en el mundo cuando se trata de ayudar a organizaciones, individuos, grupos de personas, abrazar la ciberseguridad con mucha más confianza y derribar todas esas capas de misterio y unicornios voladores y polvo de hadas. Y creo que eso es lo que me impulsa cada día, es que veo esa posibilidad en todos los diferentes rincones de mi trabajo. Y generalmente me levanto por la mañana diciendo: “Guau, qué cosa tan emocionante va a venir a mi camino hoy”. Ya sea que aprenda algo nuevo, ayude a alguien a pensar de manera diferente, participar en un grupo de trabajo que sabes que está tratando de hacer del mundo un lugar mejor. Realmente es un viaje cada mañana.
Raghu Nandakumara 02:28
Asombroso. Porque, y he escuchado que mencionaste esto en otras entrevistas y podcasts que te han dado, es realmente una especie de desafío la forma en que la seguridad es retratada o representada dentro de las organizaciones como una y creo que tu crítica es que a menudo se ve como una función en silos, mientras que realmente quieres que eso realmente impregne en toda la organización. ¿Puedes hablar un poco más sobre esto, y en tu estado ideal, cómo se organizaría la seguridad?
Dra. Kelley Misata 02:59
Sí, ya sabes, estamos interactuando con esta tecnología todos los días y más aún, ¿verdad? Como, piénsalo, recuerdo los días del correo inter office. ¿Recuerdas esos días con los sobres, verdad? Y hablarías de PII. Es como, tachas el nombre de alguien, es como, oh, que se acaba de ir al presidente, luego se fue a Recursos Humanos, a quién van a despedir, ¿verdad? Pero, pero, como, pienso mucho en la forma en que hemos adoptado la tecnología con tanto abandono a nuestro alrededor; ¿cómo nos mantenemos seguros? Y mi estado soñado es que siempre estamos pensando, ¿debería estar haciendo esto? ¿Cuál es el impacto de mi comportamiento? ¿Cuál es mi impacto de participar con una nueva pieza de software? ¿Cuál es mi impacto para mi organización si elijo tomar esta dirección en un modelo de desarrollo de productos? Mi sueño es que vamos a dar un paso atrás y vamos a decir: “Huh, tal vez deberíamos pensarlo de nuevo”. Entonces, es casi tomar esa pausa en lugar de que sea como, oh Dios, tenemos que ir a platicar con el equipo de seguridad. Y realmente no queremos hablar con el equipo de seguridad porque van a interponerse en el camino del progreso en nuestra organización, ¿verdad? O nos van a asustar aún peor. Tenerlo solo sea memoria muscular para organizaciones e individuos, para mí, es el estado soñado. Y creo que nos estamos mudando ahí casi inconscientemente, pero está tomando mucho tiempo, y creo que la gente en el espacio de seguridad está impaciente cuando se trata de eso, y espero que tal vez traiga un poco de paciencia a la conversación para decir:” Está bien, hemos progresado. Sigamos adelante”.
Raghu Nandakumara 04:44
Me encanta cómo enmarcaron a los practicantes de seguridad como impacientes, y realmente, lo que necesitamos es más paciencia, pero llegaremos a eso en un segundo. Pero quiero dar un paso más atrás a algo sobre lo que dijo sobre cómo se alienta a cada individuo a abordar cualquier decisión como, “¿Cómo contribuye esto a la seguridad de mis datos, mi organización?” Entonces vamos a obtener una cultura de seguridad completamente mejor que la que tenemos hoy en día en torno a que la seguridad sea en gran medida los guardianes o las o las barreras para el progreso. Entonces, ¿cree que existe la oportunidad de modificar la forma en que hacemos capacitación de concientización en seguridad para incorporar más de esta propiedad personal?
Dra. Kelley Misata 05:30
Oh, absolutamente. Creo que tiene que bajar al nivel cultural. Y eso es duro, ¿verdad? Porque una de las cosas más difíciles en seguridad son las personas. Somos el elemento más desquiciado, más complicado. Entonces, cuando hablamos de capacitación de concientización en seguridad, no estamos diciendo capacitación de concientización sobre los sistemas, estamos diciendo la gente. Entonces, automáticamente estás hablando del dolor más complicado en el cuello tipo de cosa con la que tienes que lidiar en seguridad. Entonces, tienes que sacarlo tal vez fuera de esa caja especial de hagamos un entrenamiento, y hacerlo bien, hablemos de cómo estamos usando estos sistemas y estos dispositivos. Hablemos de los qué pasaría si y los impactos en nuestra organización. Quiero decir, un caso muy interesante en el que pienso, y ya sabes, mi perspectiva es un poco única, creo, es que pienso, aunque publique algo en mis redes sociales personales, pienso en el impacto de eso para la gente que podría estar recibiendo, o si tomo una fotografía, ya sabes, soy muy, muy protector con las imágenes de las personas, porque no sé qué tienen pasando en sus vidas. Entonces, no quiero ser simplemente como, “oye, aquí yo y un montón de extraños detrás de mí”. Entonces, se trata de pensar más profundamente en eso, pero también es esa consideración de, estoy usando esta tecnología. Tengo gente a mi alrededor. Tengo sistemas a mi alrededor. ¿Cuál es el riesgo no solo para mí, sino para todos los tentáculos que están conectados a mí? Y suena abrumador, pero si de alguna manera se convierte en parte de la memoria muscular, porque ya lo estamos haciendo en algunos casos. Quiero decir, probablemente recuerdes, como, yo hago tu primera contraseña. ¡Ridículo! Como, ni siquiera quiero decir qué fue, pero todos pueden adivinar. Pero ahora, si le dijeras eso hasta a mi madre de 82 años, y a ella le encanta eso, digo su edad en el podcast, porque soy como, Tienes 82. Pero ni siquiera ella ya no hace eso. Y no hizo ningún entrenamiento de concientización sobre ciberseguridad. Simplemente estaba atrapada en la cultura de su vida y los sistemas que está usando para obligarla a comportarse de manera diferente. Para mí, ese es el punto dulce. Pero de nuevo, se necesita paciencia. Se necesita pensar en el futuro. Se necesita paciencia. Se necesita dar un paso atrás y decir: “Ah, no lo entendí bien. Pasemos a esta forma de hacerlo”.
Raghu Nandakumara 08:04
Y creo que ese ejemplo que le diste de tu madre, y gracias a ella, cierto, de poder, y es algo sobre poder conectar la acción que estás tomando con algo con lo que eres capaz de relacionarte en la vida real, ¿verdad? Lo que hace que la asociación, hace que la razón detrás de ella vuelva a ser, como la motivación de que la misión detrás de ella sea mucho más poderosa y estoy de acuerdo, ¿verdad? Creo que hay, probablemente hay una oportunidad significativa para replantear la forma en que hacemos la capacitación de concientización sobre seguridad con ese enfoque. En su centro se trata de cómo hacer que sea lo más fácil de relacionar posible, frente a una especie de abstracción. Pero vamos al comentario del paciente porque lo mencionaste de nuevo aquí. Entonces, tú y yo, trabajamos en trabajamos con practicantes de seguridad. Estamos en la industria. ¿Por qué estamos impacientes?
Dra. Kelley Misata 08:53
Oh, es porque constantemente estamos pensando dónde están los malos. ¿Dónde está la amenaza? ¿Dónde está la próxima cosa terrible que le va a golpear a alguien? Pienso en ello todo el tiempo, y he visto gente al principio de mi viaje por el espacio de seguridad. Yo estaba viendo a la gente fatigándose en ese entonces, y no dejaba de pensar en por qué. Y no fue hasta que estuve en ella un poco más, así como en mi propio viaje hacia la seguridad, que me di cuenta de que cuanto más estés pensando en qué cosa mala va a pasar después, más exhausto te sentirás mental y físicamente. Y creo que de ahí viene la impaciencia. Y también creo que la gente de seguridad ve el mundo a través de una lente diferente. Ya sabes, estamos condicionados y entrenados para mirar estos dispositivos y estos sistemas a través de una lente diferente, y así para nosotros, es natural. Como recuerdo cuando estaba en el Proyecto Tor, y veía a desarrolladores interactuando con periodistas en partes comprometidas del mundo, y realmente comenzaban a perder la cabeza. Están como, “¿Por qué no lo consiguen?” Y yo no dejaba de decirles: “No pueden verlo”. Sí, todo es un misterio, así que si podemos ayudarlos a verlo. Entonces, construí un entrenamiento usando, ¿recuerdas esas luces negras, esos bolígrafos que solías tener cuando eras niño, y le das a tu mejor amigo, verdad? Entonces, compré un montón de esos, y traje a este entrenamiento estos sobres, y tenía gente en la audiencia voluntaria para ser los nodos, y tomé el mensaje, y lo escribí en la luz negra, ¿verdad? Porque eso es un poco como PGP. Es como, bien, voy a encriptar esto, ponerlo en los tres sobres, hacerlo estallar, y ellos literalmente, de manera física, experimentan cómo operaba Tor. Y al final de eso, esa fue la primera vez que un grupo de personas, bueno, que vi, dio un paso atrás y dijo: “Ah, ahora sé por qué Tor es lento”. Yo estoy como, sí, sí, porque es hacer todos estos saltos por ahí. Pero realmente fue para ellos que, oh, ahora veo donde están los malos. Ahora veo dónde están los sistemas. Ahora veo como funciona esto. No se puede hacer eso con todo en seguridad, pero podemos hacerlo mejor. Podemos dejar de presentar todo como mágico.
Raghu Nandakumara 11:19
Sí, sí, absolutamente. Y me alegra tanto que hablara a través del ejemplo de Tor con los sobres porque estaba leyendo una transcripción de un, creo, sobre IBM Security Intelligence. Haces una grabación con ellos hace un tiempo, y leí esto, y pensé, por alguna razón, en realidad no podía acceder al audio No estoy muy seguro de cómo ella manifiesta ese ejemplo de envolvente. Pero ahora, ahora lo consigo absolutamente. Entonces, gracias. Gracias por eso. Si. Y creo que sí, lo hacemos de nuevo, ¿verdad? Nuevamente, más o menos, está ligado a esa pieza anterior de la que estamos hablando respecto a la conciencia, que es como, como practicantes de seguridad, creo que necesitamos hacerla sonar menos mágica, ¿verdad? Es como realmente poder ponerlo en el contexto de y hay, hoy se habla mucho sobre principios de seguridad en el contexto de los resultados del negocio, y creo que hay mucho que hacer ahí. Pero también, creo que definitivamente es desmitificar el cibersitio en general, porque hay tanto alrededor es como que obtienes tantos ingenieros brillantes, gente brillante que trabaja en TI y riesgo, etc., pero no me pongo cibernético. Entonces, hay una, hay una enorme, enorme oportunidad ahí. Estoy de acuerdo, conectando esto ahora con algunos de los trabajos que estás haciendo hoy, ¿verdad? Y me encantaría que lo hicieras rápido, porque estoy seguro de que el público probablemente no esté demasiado familiarizado con lo que hace Sightline y cuál es tu papel ahí. Entonces, antes de profundizar en eso, que es un área fascinante, danos una especie de visión general rápida de la línea de visión.
Dra. Kelley Misata 12:51
Sí, entonces Sightline Security es una organización sin fines de lucro con sede aquí en los Estados Unidos que construí a partir de mi investigación de disertación. Tengo que darle crédito a Becky Base, quien fue una de mis mentoras allá en el, en ese periodo de tiempo. Se construyó porque comencé un programa de doctorado después de haber sido acosado durante muchos años, decidí ir y obtener el doctorado como una forma de entender cómo mi atacante podía hacer lo que estaba haciendo y cuando llegué a disertación, que, por cierto, pensé que me estaban echando en cada uno de los semestres. Yo estaba como, Oh, eso fue divertido. Voy a esperar a ver cuando van a decir: “Muchas gracias, hasta luego”. Entonces, llegué a la disertación, estaba como, “¿Qué hago?” Como, fue algo tan desalentador. Y retrocedí a ese espacio de, oh, solía hacer TQM en su día, fui evaluadora del Premio Baldridge por un tiempo, así que sabía cómo hacer evaluaciones, y así hice mi disertación sobre un análisis de brechas de mirar la preparación de ciberseguridad con organizaciones que trabajan con víctimas de violencia. Quería todo el espacio sin fines de lucro y mi comité de doctorado dijo, sí, primero obtener el doctorado, luego ir a salvar el mundo. Pero lo largo y breve es, es que lo que esa experiencia iluminó para mí fue que a las organizaciones sin fines de lucro se les dio todas estas cosas gratis de diferentes lugares, pero nadie las estaba ayudando a dar un paso atrás y decir: “¿Qué necesito, y por qué lo necesito, y cuál es el valor para mi negocio?” Y ahí es donde Sightline vino a estar. Porque increíblemente, estaba sentado preparándome para mi defensa, para mi disertación. Becky entró a la habitación, me sorprendió, condujo desde Mobile, Alabama hasta West Lafayette para sorprenderme, y al final de mi defensa, me dijo, “tienes que hacer algo con esta forma de pensar que has construido alrededor de esta investigación”, y que se ha convertido en Sightline. Entonces, nuestro carril realmente es ayudar a las organizaciones sin fines de lucro a descubrir dónde están. Para nosotros, se trata de tomar los controles que existen en el espacio de seguridad, CSF, controles CIS, y reusarlos en un lenguaje sin fines de lucro. Pero la única manera de hacerlo es pasar mucho tiempo escuchando a estas organizaciones. Y entonces realmente está sentado en la cerca entre el espacio de seguridad y el espacio sin fines de lucro, para que podamos ayudar a esas organizaciones sin fines de lucro a descubrir dónde están.
Raghu Nandakumara 15:24
Fascinante. Y hablaste, más o menos del trasfondo, sobre cómo la experiencia personal que esencialmente te motivó a explorar esta área en tu doctorado, ¿te importaría hablar un poco de esa experiencia? Si no te importa compartir.
Dra. Kelley Misata 15:41
Sí, ya sabes, creo que para mí, enmarca incluso hoy, donde veo seguridad y más o menos como veo todo este espacio. Sabes, empecé mi carrera como la mayoría de la gente, solo tomando el primer trabajo, pero me elevé a hacer mucho desarrollo de negocios. Tengo un MBA en marketing, lo cual también es realmente raro, porque tengo un doctorado en ciberseguridad y MBA en marketing.
Raghu Nandakumara 16:07
Es el camino correcto. Esa es la manera correcta.
Dra. Kelley Misata 16:11
Exactamente, pero yo estaba trabajando para una gran empresa, y uno de mis compañeros de trabajo como que se barnacó hacia mí de una manera que no era amable y no era buena, y duró la mayor parte de siete años. Y de verdad, llegué a la seguridad, porque no dejaba de buscar ayuda, porque seguía pensando, como, cómo puede ser que esta persona a 3,000 millas de distancia no solo pudiera perturbar mi vida, sino que él seguía llegando a personas conectadas conmigo. Y así me estaba poniendo como picaduras de abeja, porque recibo todos estos correos electrónicos de gente en mi vida. Ya sabes, muchas relaciones completamente borradas por esta situación y muchos miedos. Entonces, yo estaba experimentando este nivel elevado de miedo, pero también lo estaban los miembros de mi familia y de otros. Y recuerdo haber ido al proyecto Tor porque él estaba usando Tor, y recuerdo llamar a Andrew Lumen y decir, tienes que ayudarme porque el FBI y otras agencias de aplicación de la ley dijeron: “No podemos ayudarte, él está usando Tor”. Y me desconcertó cómo una pieza de tecnología podría proteger a los malos y dejar la carga de la evidencia en los buenos, ¿verdad? Entonces, en todas estas diferentes coyunturas, yo estaba como, ¿cómo es que eso es ganar? Y es que fue un poco de él ganando, pero fue más la tecnología estaba ganando. Y seguí pensando, esta no puede ser la forma en que funciona la seguridad. Simplemente no puede ser. Entonces, afortunadamente conocí al Dr. Eugene Baffert, y, ya sabes, una especie de homenaje por salvarme en la dirección de mi vida. Y me dijo: “Oye, por qué no postulas a este programa de doctorado en Purdue”. Yo digo: “Sí, claro. Quieres que una madre soltera que viva en Boston a sus 40 años con un MBA en marketing se una a un programa de doctorado en ciberseguridad. Tienes que estar fuera de tu mente”. Entonces, sí, lo hice. Escribí la solicitud sobre Amelia Earhart. Entré en ello pensando que solo quería agarrar tanta información como pudiera, para poder entender cómo podía hacer lo que estaba haciendo y cómo otros, ya sabes, no podían ayudarme en el camino. Y así se enmarca completamente cómo abordo la seguridad, porque esa mente de principiante en la que viví durante todos esos años. Quiero decir, recuerdo haber llamado a un amigo mío en su día, Marcus Raynham. Y llamé a Marcus, nos habían presentado algunos otros amigos en común, y le dije: “Ayúdame a entender cómo funciona el firewall. Literalmente te gusta uno de los pioneros en esta tecnología”. Y él estaba como: “No tengo tiempo para eso”. Al estilo típico de Marcus, ¿verdad? Como, esa fue, esa es su personalidad, tipo de buen corazón, pero esa era su personalidad, y eso fue parte de mi entrada al espacio de seguridad de, guau, hay toda esta gente inteligente a la que no quiero decir de buena gana, pero no tuvieron esa paciencia para intervenir y decir, déjame desglosarlo para que puedas entender cómo esto se conecta con lo que estás experimentando. Entonces, eso es lo que llevo conmigo a donde quiera que vaya.
Raghu Nandakumara 19:32
Muchas gracias por compartirlo, y creo que atarlo de nuevo a lo que se hablaba justo al principio, es muy fácil entender tu misión, y cómo esa experiencia ahora se vinca con lo que has hecho y lo que estás haciendo hoy. Entonces, muchas gracias por compartir eso. Entonces, hablemos de Sightline, y hablemos de organizaciones sin fines de lucro. Y mientras cubría eso, más o menos la introducción en Sightline, de lo que habló fue que está ayudando a las organizaciones sin fines de lucro a entender lo que necesitan hacer en el ciberespacio. Y usted habló de una especie de mapeo a cosas como CSF, etc. y otros marcos, y traducir eso en requerimientos que los representen. Entonces, ayúdanos a entender eso un poco más. Porque si miro el CSF, veo tipo de requisitos que son relevantes para todos. No veo una lente de sector privado versus sector público versus sin fines de lucro cuando lo leo ¿verdad? Pero claramente hay una diferencia. Entonces, me encantaría entender eso.
Dra. Kelley Misata 20:31
Sí, es, ha sido un viaje tan interesante, y en realidad continúa, lo cual es muy divertido mientras continuamos nuestro trabajo en Sightline, es que hay, nunca hay este momento en el que estoy como, “Oh, eso es todo”, y lo conseguimos. Entonces, un caso realmente interesante es que la verbiage en el CSF del NIST es tan lógico como le parece a la mayoría de la gente. Si tomas eso y lo pones en una organización basada en misiones, van a entrar de inmediato con la mentalidad de: “Oh, es ciberseguridad. Es complicado”, así que tienes que romper toda esa barrera. La otra cosa es el idioma. La primera vez que le pedí a una organización sin fines de lucro que tuviera un inventario de tu hardware y software, regresaron y dijeron: “¿qué quieres decir con inventario” Para cualquiera, estás como, “Bueno, tienes una lista?” Sí, lo sé. ¿Tienes una lista? Pero de nuevo, fue ese momento donde es como, bien, entonces están pensando que es algo así como algún sistema o alguna aplicación que tienen que tener para poder agarrar las cosas. Y entonces, en cuanto empecé a hablar de activos, eso fue toda una tetera de pescado, como, muy lejos en la esquina. Esto ni siquiera llegó a las entrañas de estas familias de control que hablan de detección, respuesta, ya sabes, firewalls, detección de intrusiones, como todos los registros. Una organización sin fines de lucro no va a entender lo que es un registro, bien. Entonces, fue salir del espacio de seguridad y entrar en su mundo para decir: “¿Qué es lo que puedo hacer para ayudarlos a ver dónde se conecta la seguridad con su misión?” Y lo primero que empecé a hacer cuando estaba configurando una Sightline fue que haría estas llamadas de incorporación con nuestros miembros, y les dije: “ciberseguridad es un término de marketing. No hablemos de ello”. Y son como: “Bien, todo tu sitio web dice ciberseguridad por todas partes”, dije, “pero déjame ayudarte a desglosarlo”. La seguridad de la información es asegurar la información, como un número de teléfono, fotografía, nombre, lo que sea, ¿verdad? Puedes poner tus manos en eso. Y son como, “sí, seguridad cibernética de un espacio, no podemos controlar eso, ese es el dominio”. Pero si te enfocas en lo que entonces ellos pisaron, son como: “Oh, bueno, tenemos, ya sabes, una base de datos de donantes sentada aquí”. Sí, probablemente deberíamos pensar en, ya sabes, asegurar eso. Ese es el momento en que estas organizaciones están interponiéndose y diciendo: Ah, bien, el segundo turno fue quitarles todas las cosas aterradoras porque ya están asustadas. Leen los nuevos avances en tecnología como la IA y el aprendizaje automático, y dicen: “Oh, Dios, ¿los robots van a apoderarse del mundo?” En el momento en que pude dar un paso atrás y decir: “Oye, ¿sabías que si haces algunas cosas simples y puedes contar historias a su alrededor, tus donantes podrían realmente ver que te importa la información que están compartiendo contigo para ayudar a tu misión”. ¿No será una historia encantadora para decirles? Y de inmediato dicen: “Oh, sí, vamos a contar algunas historias en torno a eso”. Entonces es un marco diferente de pensamiento sobre cómo presentar el negocio. Y todos estos combinados fueron realmente sobre nosotros entrando y diciendo, no conozco tu negocio. Podría conocer ciberseguridad, y conozco a las familias de control por dentro y por fuera. No conozco tu negocio. Entonces, en Sightline, mi sueño es no solo tener ciberseguridad para organizaciones sin fines de lucro. Quiero entender seguridad por misión. Quiero entender cuál es la diferencia entre una organización de trata de personas versus un banco de alimentos, sí, versus la Cruz Roja versus mi refugio local para mascotas, aquí en mi pueblo, como si hubiera todas estas capas. Entonces, en Sightline, mi misión es dejar de decir, oye, dos puntos cualquiera que sea el millón de organizaciones sin fines de lucro solo en Estados Unidos, todos son iguales, así que vamos a darles a todos la misma ayuda, y vamos a asumir que tienen todos los mismos problemas. Quiero desglosar todo eso y decir, podríamos hacerlo mejor.
Raghu Nandakumara 24:53
Eso me encanta porque creo que contar historias es muy importante ahora. Cómo en el derecho cibernético para realmente conseguir progreso. Y creo que esto se aplica a organizaciones de cualquier tamaño, de cualquier complejidad, ser capaz de contar historias efectivas sobre por qué el ciberespacio es importante para casi cada parte individual de una organización es esencial para conseguir la aceptación. Y creo que eso se aplica aún más volviendo a algo que dijiste justo al principio, donde potencialmente existe una distancia muy grande entre los individuos que están llevando a cabo la misión de la organización y su función de TI o ciberseguridad. Entonces, creo que eso es realmente importante. Creo que esto es como donde, más o menos la razón por la que te pone en el mejor lugar, marketing MBA, Ciberseguridad PhD, ¿verdad? Algo así como unirnos realmente en esa tormenta perfecta. Pero sí, como que escribo completamente. Creo que hay algo más que has dicho en el pasado sobre el sector sin fines de lucro, pero un error común es, es que miramos a las organizaciones sin fines de lucro, es decir, “Oh, bien, solo dependen de manos me bajas”, ¿verdad? Y no tienen recursos, no tienen pericia, no tienen dinero. Pero lo que ha expresado es que, no, el problema a menudo es que, particularmente si observa algunas de las más, las organizaciones sin fines de lucro más grandes, es que, de hecho, tienen bastante bien recursos, y están bastante bien financiadas, y tienen acceso a todo. Pero no necesariamente saben coserlo todo junto, y ahí es donde necesitan ayuda.
Dra. Kelley Misata 26:33
Corregir. Y ahí está ese contexto de, ¿por qué importa esto? Ya sabes, si le preguntas a alguien, no puedo esperar a RSA, porque voy a, suelo caminar por el piso de exhibición afuera de las pláticas, y me reuniré con amigos o colegas. Voy a estar como, “Entonces, oye, ¿qué piensas sobre el espacio sin fines de lucro en este momento?” Y me sale lo como, lo de siempre: son pobres, no conocen ciberseguridad, ya sabes, la lista de lavado. Yo estoy como, sí, no, sí. Déjame decirte, ¡tienen dinero! Tienen que hacerlo, tienen que explicar cómo usan ese dinero de manera diferente, porque si miras la estructura del negocio, bien, es diferente a la empresarial. Entonces, nuevamente, nos está sacando como profesionales de seguridad de “oh, solo tengo que averiguar cómo lograr que cumplan con los controles dentro del CSF” y más de, “Dios mío, me pregunto cómo toman decisiones sobre el dinero”. Una vez que comprenda eso, puede abordar la cuestión de la inversión en seguridad de manera diferente. Entonces, se trata de no entrar y decir: “Oh, sí, ya sabes, ustedes están todos como mangueras aquí, y todos son iguales” porque no lo son. Y honestamente, uno de los temas comunes que me encanta absolutamente, que he ganado de este trabajo, que solo me calienta seriamente el corazón, es que estas organizaciones siempre pondrán la misión primero, siempre. Ya sea un refugio de violencia doméstica con el que hablé, recuerdo al principio de mi investigación para mi doctorado, y este querido amigo mío estaba sentado en mi porche, y le dije: “Oye, dije, voy a estar haciendo esta cosa, y ¿qué piensas? Y tengo una encuesta, y es genial”. Y ella dice: “Kelley, tengo 100 mil visitas en mi sitio web todos los días de todas partes del mundo. No puedo pensar en eso porque tengo una familia que necesita un lugar para dormir esta noche”. Ella es como, eso es todo lo que me importa. Entonces, nuevamente, volviendo a la forma en que los profesionales de seguridad realmente quieren ayudar, quieren traer esa urgencia a las organizaciones. Cuanto más podamos dar un paso atrás y decir: “Oh, no lo pensé de esa manera. ¿Qué puedo hacer para ayudar?” Sólo ser como, ya sabes, mete mi dedo en la presa para asegurarte de que no te gusta el tipo de colapso?
Raghu Nandakumara 29:02
Creo que esa es una imagen tan poderosa para tener en la mente. Porque, de nuevo, atándolo más o menos a esto, lo que parece ser un poco un tema en nuestra conversación de hoy es sobre eso impulsado por la misión, ¿verdad? Y sobre alinearlo a la misión, y dibujar probablemente un paralelo crudo con, digamos, el sector con fines de lucro con el sector privado, donde, como digo a menudo, a todos les importa la seguridad hasta que se cause una interrupción en la aplicación clave que genera ingresos. En ese momento, a nadie le importa la seguridad. Y se trata de, ¿cuándo va a estar esta cosa de nuevo en línea? Porque cada segundo está fuera de línea, estoy perdiendo X mil dólares o lo que sea que sea. Y en el sector sin fines de lucro, el impacto de eso suele ser un impacto humano, ¿verdad? Y como acaba de describir, y tenemos que ser conscientes del asunto, ¿cómo lo hacemos, cómo podemos asegurar mejor esto sin comprometer de ninguna manera la misión?
Dra. Kelley Misata 29:57
Absolutamente, quiero decir, he visto ejemplos de miembros en nuestra comunidad que fueron golpeados por un ataque de ransomware. No voy a nombrar el ataque. Era bastante famoso. Eso les impidió poder proporcionar almuerzos a los niños durante semanas, no solo un par de días. Pero estás hablando de familias y niños que dependen de ese apoyo para pasar sus semanas. Y no lo es, no siempre se trata de como, solo estas, no quiero decir historias tristes, pero lo de las organizaciones sin fines de lucro es que están ahí cuando todo va de lado. Ya sea que se trate de incendios en LA o una campaña de campaña de sangre porque alguien localmente necesita una transfusión, o alguien está pasando por un momento muy, muy difícil, y llaman a una línea directa de suicidio. Estas organizaciones sin fines de lucro, están ahí cuando las necesitamos. Y, sin embargo, los estamos dejando a un lado y diciendo: “Bueno, no son el dinero, no son nuestro ir al mercado”, o son, sí, no tienen dinero, o no lo van a conseguir, o me va a llevar mucho tiempo que es, es difícil para muchos profesionales de la seguridad, creo, intervenir. Y creo que donde sobregiran, y he visto esto también, y como que me vuelve un poco loco en algo. Ellos son como: “Oye, tengo ciberseguridad en la sangre. Voy a ir como voluntario e ir, como, a ayudarlos”. Y mi reacción inmediata, entonces él es como, “por favor, no, por favor, por favor no vayas”, como, en como un superhéroe y sea como, me voy a sentar en la pizarra. Voy a, como, ayudarte a hacer todo. Solo quiero que den un paso atrás y digan: “Guau, entonces, ¿cómo opera?” Como, ¿qué es esto? Como, entra con mucha humildad, y puedes progresar mucho más, porque creo que también estas organizaciones miran a nuestro campo como este espacio de superhéroes. Y si uno de ellos llama a la puerta, claro, van a estar como: “Entra. Arreglarnos. Porque estamos asustados. Estamos ocupados, tenemos miedo. Son superhéroes, así que van a entrar y arreglarnos”. Esa es una combinación súper peligrosa.
Raghu Nandakumara 32:10
Absolutamente y de nuevo, solo tratar de trazar algunos paralelismos con lo que he visto es, es que a menudo, creo, ya sea un profesional de la seguridad o como o como vendedores, somos muy, muy rápidos para lanzarnos con, “aquí están todas las cosas increíbles que hacemos”, o “aquí está todo lo aquí, aquí está mi conjunto de súper habilidades”, ¿verdad? Y nunca pensamos primero, nunca pensamos, en realidad, la primera pregunta que debo hacer es, “¿qué haces? ¿Qué es lo que le importa? Dime como, ¿Cuáles son tus problemas?” Y casi reformular la conversación de esa manera daría lugar a un compromiso tan poderoso, ¿es eso lo que encuentras?
Dra. Kelley Misata 32:45
Exactamente, para mí, cuando estoy trabajando con estas organizaciones, y en realidad la mayoría de las cosas en seguridad, todavía siento que soy ese estudiante de doctorado en el primer semestre, ya sabes, en Purdue, y yendo bien, como, ¿qué es la criptografía? ¿Como? ¿Qué son las curvas elípticas? Por cierto, me hicieron llorar. Y recuerdo que hice una llave, hice una keynote, y Martin Hellman del intercambio Diffie-Hellman fue una keynote por la mañana. Nos conocimos la sala verde, y me acerqué a él. Yo dije: “Hola, soy Kelley Misata”. Y conoce al personal, y yo como que hice un poco de esto en su brazo. Él es como, “¿Para qué es eso?” Yo digo, “tus cosas me hacen llorar”. Solo te voy a decir, pero realmente es como si estuviéramos haciendo estas cosas tan, tan complicadas. Y así cuando puedes adentrarte en algo, sea tu área de especialización o no, si te adentras en ello con esa mente de principiante, y no tienes que hacerlo, odio el tipo de término que hace tontas las cosas. No es tontar las cosas. Es ser curioso. Sí, está diciendo, oye, nunca había hecho eso antes. No tengo idea de lo que se necesita para administrar un refugio de animales. Ni siquiera un poquito. Cuéntame cómo lo haces. Eso es enorme. Y entonces si tienes esas conversaciones usando sus palabras, conociendo su negocio, es enormemente poderoso. Tengo una historia, ¿quieres escucharla? Sí, por favor. Bien, entonces esta es una de esas historias humildes. Yo estaba trabajando con uno de nuestros miembros. Acaban de terminar su kick-start, que es nuestra manera de ponerlos en marcha en su viaje de seguridad. Y hago mucha investigación por fuera. Mido todos sus sitios web y sus redes sociales. Y así esta organización ayuda a sobrevivientes del suicidio. Y tienen un foro, y el foro es muy popular, y recuerdo que iba y venía, oh, como la persona de seguridad en mí solo estaba, como, gritando, yendo, oh Dios mío, oh Dios mío. Como, recuerdo, recuerdo ir y venir, oh Dios Louise, ¿qué nos va a gustar? De verdad y recuerdo, como, encontrarme como que iba por esa ruta. Y diciendo “Bien, dispara, voy a tener que hablar con esta gente”, ¿verdad? Y resistí el impulso de llamarlos de inmediato, esperé su presentación de resultados. Estoy sentado ahí, estoy como, “Oh”, llego a la presentación alrededor de esta plataforma en particular, y dije, tengo algunas preocupaciones, como, dije, simplemente así. Y la mujer que fundó la organización me detuvo mis huellas, y me dijo: “Kelley, creo que sé lo que vas a decir, pero déjame hablar contigo. Permítanme compartir con ustedes por qué nuestra plataforma está abierta”. Ella dijo: “Las personas que han tenido a alguien en sus vidas se suicida están en un espacio mental que está forjado de preguntas y dolor y estrés y problemas de incertidumbre y confianza, y todas estas cosas están sucediendo”. Ella dijo: “Estas personas necesitan un espacio donde puedan simplemente sentarse y observar y de alguna manera tener una sensación de lo que está pasando y una sensación de las conversaciones y esto. Y ella es como, y a veces pasan el rato ahí, y cuando están cómodos, entran. Pero no hasta que estén cómodos”. Y ella dijo: “Esto es lo que necesita nuestra comunidad”. Y era tal como debería haber sabido, como debería haber pensado en ello, pero como no vivo en ese mundo día tras día, ¿cómo iba a entender cómo esas personas a las que sirven están navegando una especie de este espacio para buscar ayuda? Y entonces dije: “Oh, Dios mío, pensemos en algunas formas creativas de que tal vez podamos hacer un poco más sin cambiar la esencia y la necesidad de que esta plataforma opere de esta manera”. Entonces, y ella entendió eso, ella estaba como, “sí, si tienes sugerencias, las entendemos, pero estamos poniendo la misión primero”. Pero fue enormemente humilde. Y la amo por ello. Me encanta que se sintiera cómoda diciéndome eso a mí.
Raghu Nandakumara 36:57
Sí, absolutamente. Creo que es tal que hay tanto que sacar de lo que acabas de describir. Porque, de nuevo, viene, es, es, como dijiste, ¿verdad? Es esa cosa humilde acerca de cuando tú, cuando pasas ese tiempo para entender por qué alguien o una organización está operando de una manera particular, entonces más o menos, pone ese contexto que no tenías. Donde, como, es de otra manera, es que tu experiencia está tratando de liderar el camino, como, Oh, sé cómo arreglar esto, ¿verdad? Versus, probablemente haya una buena razón por la que hiciste esto así, así que cuéntame sobre ello. Antes de pasar a lo siguiente, creo, solo lo último sobre no solo las organizaciones a las que apoya, sino también a quién sirven. Describió diversos escenarios como que estas son las organizaciones que están en crisis. Son el primer puerto de llamada. Pero también, creo que una parte de tu trabajo probablemente no vaya algo ignorada que a menudo, esas víctimas también son las que los atacantes están tratando de atacar en ese mismo momento, porque saben que son las más vulnerables. Por lo tanto, debe ser más o menos usted mismo, y de las organizaciones con las que trabaja probablemente estén haciendo malabares con todos estos desafíos.
Dra. Kelley Misata 38:11
Sí, y es interesante, ahí es donde realmente entra en juego entender la misión de la organización, porque te ayuda a entrar de nuevo en ella, no decirles qué hacer, sino escuchar cosas diferentes. Entonces, cuando estaba trabajando en mi disertación, estaba trabajando con organizaciones que apoyan a víctimas de trata de personas. Esa es una mentalidad de seguridad muy diferente, porque no solo esas víctimas son objetivos, sino que la organización que las apoya también son objetivos. Y uno de ellos estaba haciendo esto, como hackathon. No les voy a dar los detalles, porque me asustó al Jesús, pero ellos estaban haciendo un hackathon, y luego les dije: “Entonces, ¿qué están haciendo ustedes para endurecer sus sistemas?” Y son como, “¿Qué?” Al igual que los ojos grandes como, yo estoy como, “bueno, estás promocionando este hackathon”. Y son como, “sí, en todo Facebook y Twitter y todo”. Yo digo: “Oh, los malos también leen esas cosas”. Y estaban como, de inmediato, “¿qué? Oh, dispara”. Pero lo es. Es entrar y realmente entender, como, como, como, ¿quién querría perseguirlos? Al igual que he trabajado con organizaciones sin fines de lucro que son, ya sabes, de un lado político. Ya sabes, su misión es muy controvertida. He trabajado con organizaciones que, porque están usando numerosas herramientas de terceros, algunas de ellas tan heredadas que es un poco ridícula, que todavía existen, que estás como, oh Dios mío, ¿qué estás haciendo? Tenemos que endurecerte. Y ellos dicen: “Sí, pero ¿quién va a venir a buscarnos?” Y esa es la parte de la mentalidad de la que también tratamos de sacarlos, es que tuve una directora ejecutiva en la llamada, y ella dice: “Vamos”. Ella es como, “Chicos malos. Sé que estás escuchando. En fin, puedes venir, ven a buscarnos”. Y yo digo: “¡No hagas eso!” No es que eso vaya a pasar, pero como, solo ella, su mentalidad, como, no tenemos nada, no vas a sacar nada de nosotros. Yo estaba como, Bueno, sí, bien, genial. Pero es, es, de nuevo, creo que ese es uno de los retos que Sightline siempre ha enfrentado desde que lo empecé, es que, ya sabes, somos, alguien me dijo que somos guante muy blanco y estamos muy matizados, y sin embargo la información que he reunido durante estos años es simplemente increíble, y me ha ayudado a ver la seguridad de una manera tan diferente, porque no es... Hay algunas cosas que podemos hacer eso va a cobiar a mucha gente. Quiero decir. MFA, hola. Muchas gracias. Genial. Pero hay tantas cosas en el espacio de seguridad que no le caben a todos al mismo nivel, así que deberíamos pensar dónde existen esas oportunidades.
Raghu Nandakumara 40:57
Creo que la analogía del guante blanco es absolutamente correcta. Y creo que es cibernético tanto como queremos generalizar, tenemos que recordar que en última instancia, la única forma en que vamos a tener éxito es tomando ese enfoque de guante blanco para cada problema que intentamos resolver. Entonces, pasando y entrando, más o menos, en esta última parte, hablabas de, una especie de uso de, una especie de software de terceros, etc., ¿verdad? Entonces, gasta su otra pasión o área de especialización, y la pasión es el código abierto. Y el código abierto, creo, ahora está recibiendo una gran cantidad de enfoque desde una perspectiva cibernética, particularmente debido a lo mucho que el riesgo de terceros, la cadena de suministro, los ataques, etc., son gran parte del término del día en este momento. Entonces, comencemos con la seguridad de código abierto, panorama general. ¿Cuáles son los retos? ¿Qué estamos buscando abordar? ¿Cuáles son las prioridades?
Dra. Kelley Misata 41:55
Sí, es una gran pregunta. Y probablemente sea un segmento completamente diferente.
Raghu Nandakumara 41:59
¡Lo sé! Estoy como, estoy pensando, ¿cómo metimos lo más posible en esto, en algo que, probablemente podría, podría lidiar con toda una temporada en sí misma? Así que, ¡sí!
Dra. Kelley Misata 42:09
Bueno, creo, ya sabes, para no enchufar mi charla de RSA voy a estar hablando de esto en RSA. Creo, ya sabes, hay, todavía hay, algo así como organizaciones sin fines de lucro. Todavía hay mucho misterio a su alrededor, ¿verdad? Cuando el lugar sin fines de lucro, todos asumen cosas en el espacio de código abierto, es el mismo tipo de mentalidad. La gente piensa en ello como un montón de tipos típicos con sus sudaderas negras sentados en el sótano en algún lugar de GitHub, como hacer cosas, ¿verdad? No piensan en el gran parámetro cuál ha sido el espacio de código abierto y he tenido la suerte de estar sirviendo como presidente de la fundación de seguridad de la información abierta durante 12 años. Y Suricata es, ya sabes, una gran parte del espacio de seguridad de la red. Y tenemos Suricata en lugares que ni siquiera puedes imaginar en todo el mundo. Pero la razón por la que OIS siete Suricata, una especie de ese modelo de código abierto funciona, es porque lo estamos viendo desde una perspectiva multidimensional. Entonces, ya sabes, no es solo un montón de personas que se gustan pasando el rato. En realidad es un modelo de negocio. Y si comienza a considerar el código abierto como un proveedor externo de la misma manera que lo haría con un proveedor empresarial, entonces, de repente, la adopción y el uso del mismo en estas organizaciones más grandes cambia. Porque entonces hay que pensar en, oh, ¿qué pasa si ese proyecto implosiona? ¿O qué sucede si la hoja de ruta deja de innovar? ¿Y la gobernabilidad? ¿De dónde sacan su dinero? ¿Le están pagando a alguien que sea el contribuidor? Como que empieza a abrir todas esas complejidades. Y eso es lo que me encanta del espacio open source. Ahora mismo y en el futuro, es que no se va a hacer más sencillo. Se va a poner más complejo, pero tenemos esta dulce oportunidad de dar un paso atrás y decir: “¿Cómo replanteamos nuestro pensamiento sobre lo que es el open source?” ¿Todavía tiene todos esos aspectos comunitarios? Absolutamente mi cosa favorita, y lo que más odio es nuestra conferencia, Surrey con. Ejecutamos Surrey con todos los años. Odio construir conferencias. Lo siento, todos los que están escuchando. No es mi carril. Pero en cuanto subo al escenario y veo las caras de estos miembros de la comunidad que veo desde hace 10 años todavía apareciendo, aún contribuyendo... eso es lo que me propulsa e propulsa a mi equipo a seguir adelante es que sabemos que tiene un lugar en el mundo. No todos los proyectos tienen eso. Entonces, al tomar esas decisiones clave desde la perspectiva de la cadena de suministro, cuando usa código abierto, tiene que abrir los ojos. Tienes que mirar desde todas estas dimensiones diferentes. Tiene que pensar en ello en torno al riesgo de la cadena de suministro. Al igual que lo harías con cualquier otra cosa. Y deja de pensar en ello como esto, como, Oh, vamos a estar viendo alrededor de la fogata, cantando canciones en nuestras computadoras portátiles. Y créeme, mis primeros días de gira, nunca olvidaré que tenía a los desarrolladores de la gira en Boston para una reunión, e invité a todos a cenar lasaña, porque eso es lo que hago. Y recuerdo, como, un montón de ellos simplemente un poco sentados en cuclillas en la sala de estar. Y mis hijas, que estaban en la secundaria en ese momento, estaban como: “Mamá, no creo que se vayan. Todos se están poniendo muy cómodos aquí en la sala de estar”. Y yo dije: “Eso está bien. Yo solo les diré que se vayan cuando sea el momento”.
Raghu Nandakumara 45:42
Eso es realmente gracioso. Bueno, espero que cada vez que tenga la oportunidad de visitar Boston, me regale una lasaña vegetariana. Dijiste tratar el proyecto de código abierto como un proveedor externo, ¿verdad? Pero, y estoy simplificando mucho aquí también, porque reconozco que mi comprensión de los espacios es limitada, pero bien, dices, los traté como un proveedor externo. Pero si estoy haciendo alguna lista de verificación de cumplimiento, bien, y si es un proveedor externo con el que tengo contrato, puedo enviarles su parte de la lista de verificación, y digo, la llenaré y me la enviaré de vuelta, y la evaluaré. ¿Cómo se hace eso con un proyecto de código abierto, como, quién responde el cuestionario? Como, creo que ese no es el reto que tiene la organización? Realmente no sé cómo manejar este riesgo, cómo manejar esta exposición.
Dra. Kelley Misata 46:32
Bueno, de ahí viene. La primera decisión de quién en su organización está tomando la decisión de usar ese software, ¿verdad? Es esa pausa de la que hablábamos al inicio del programa. Ya sabes, y he visto a los usuarios muchas veces, empezarán a usar Suricata como ejemplo y dirán: “oh, oh, tal vez necesitamos empezar a pensar en las licencias, y tal vez necesitamos empezar a pensar en estas cosas de cumplimiento”. Y no es hasta después de esos momentos que vienen a llamar a nuestra puerta. Pero para muchos proyectos, no tienen esa infraestructura. No tienen esos canales para poder hacer esas preguntas. Ya sea un software de código abierto que está vinculado a una compañía comercial, o si se trata de un proyecto de código abierto que tal vez se ha disuelto un poco o ya no tiene esos contribuyentes clave. Pero lo es y es difícil porque eso es, creo, para algunos de los die hard en el espacio open source, la belleza es simplemente entrar y jugar con algo y comprobarlo y ver si funciona bien. Genial. No detengas eso. Pero una vez que estés en tu entorno que decidas gustarte, úsalo más en profundidad, ponlo en una hoja de ruta del producto, sea lo que sea. Ahí es cuando realmente deberías dar un paso atrás y tomar una pausa dura y decir: “Hmm, ahora tenemos que pensar en esto un poco diferente”. Y esas son las conversaciones que tengo con los miembros del consorcio todo el tiempo en OISF. Creo que por eso hemos tenido tanto éxito, es que no somos una barrera para su progreso. Pero lo que queremos hacer es asegurarnos de que Suricata se quede por ahí para servirles más tiempo. Y si no puedes tener esa conversación con un proyecto porque no existe o no puedes encontrarlo, entonces ¿solo reconoces el riesgo que estás tomando?
Raghu Nandakumara 48:21
Sí, absolutamente. Y creo que el también, el otro, tal vez percibido desafío es, es que, a qué distancia de la madriguera del conejo vas en términos de, bien, hay tu propio consumo directo de software de código abierto para algo que estás construyendo. Pero entonces, si está licenciando algo de un proveedor externo, su uso de código abierto y si están licenciando otra cosa. Y entonces qué, como, qué tan lejos vas por ese camino para llegar a la supongo, como, a esa especie de quanta indivisible sobre la que todo se sienta encima.
Dra. Kelley Misata 48:55
Ese es el reto, y por eso, bueno, mi familia es como aplastar esta idea. Pero yo estaba como, oh, quiero ir a obtener una licenciatura en derecho porque quiero entender, como, los componentes legales de todo esto, porque sería súper fascinante responder, poder responder a esa pregunta. Creo que donde estamos hoy es que no sabemos mucho de lo que aún no sabemos. Y para proyectos que tengan, nuevamente, alguna estructura y alguna organización a su alrededor. Pensamos en ello, pero incluso en OISF, los miembros de nuestro consorcio vienen a nosotros con algunas de estas complejas preguntas generales sobre las licencias, y nos estamos rascando la cabeza diciendo: “¿Cómo va a funcionar eso? ¿Eso es un problema de nosotros, o es tu problema?” Entonces, es, es realmente, muy desafiante, pero también lo hace un poco emocionante.
Raghu Nandakumara 49:45
Sí, creo que es realmente interesante cuando lo miramos particularmente ahora. Entonces, como estoy seguro de que sabe, varios organismos reguladores a nivel mundial están comenzando a emitir cada vez más regulaciones en torno a la resiliencia operativa, y como parte de esto, hablan de ello. Como la administración de ese riesgo de terceros y el tipo de proveedores de servicios de terceros a menudo les gusta en gran medida, dirigido a hiperescaladores y como proveedores de servicios de TI críticos. Pero puede ver un escenario en el que, como organización, ha construido una aplicación que depende en gran medida de un proyecto de código abierto. Y si ese proyecto de código abierto, pase lo que pase con él, ¿verdad? Se compromete la resiliencia de esta aplicación, entonces eso es algo así como, ¿cómo se manifiesta eso en cómo te relentas, y supongo que en última instancia se trata de a quién señalas con el dedo?
Dra. Kelley Misata 50:41
Bien bien, y eso si puedes desenrollarlo. Pero ahí es donde las mejores prácticas en ese ciclo de desarrollo también tienen que jugar un papel. Y creo que ese es uno de los retos. Lo vemos con Suricata, como queremos que la gente lo esté usando. Queremos que la gente lo esté probando y poniéndolo en diferentes escenarios, pero reconocemos que si eres parte de una gran organización empresarial, eso vas a tener que preguntar, no puedes simplemente quitarlo a la esquina y jugar con él. Entonces, creo que para muchos de los usuarios, realmente van a tener dificultades con eso, pero ahí es donde estoy tratando de mantenerme del lado de la positividad, porque creo que algunos proyectos open source están realmente asustados de que vamos a perder la esencia de comunidad e innovación y libertad que se construye en estos proyectos y estos el software. Yo quiero creer que podemos ser creativos y que no vamos a perder eso, que podemos tener un equilibrio de ambos de alguna manera, pero no creo que vaya a ser fácil. Y de nuevo, vamos a tener que trabajar juntos para pensarlo. Cuando la Oficina Nacional de Defensa Cibernética de la Casa Blanca hizo el llamado de información en torno a asegurar el software de código abierto, salí de mi zona de confort e hice una respuesta a ella, porque vi en lo que pensaban. Yo estoy como, estoy como, te estás perdiendo todas estas otras piezas, chicos. Cómo nos gusta mirar todos los componentes de lo que es el código abierto, en lugar de solo asegurar el software absolutamente 200% estoy de acuerdo con ello. Eso no es lo único. Por lo tanto, tenemos que aportar experiencia de todos esos diferentes niveles. Lo que me lleva a una nota rápida de que, ya sabes, creo que a menudo el espacio de seguridad, siempre estamos tenemos esta división de técnico versus no técnico, y si podemos romper esa división, entonces traemos más gente a la mesa para tener mejores conversaciones en torno a estos problemas, porque si la gente dice: “Oh, sí, no eres técnico, porque no estás trabajando en desarrollo todos los días, no eres tan importante”, o “no lo haces lo sabemos tanto”, nos estamos haciendo un mal servicio, particularmente en torno al código abierto.
Raghu Nandakumara 53:00
Absolutamente y me alegra que lo hayas sacado a colación, porque voy a agregar algo a eso. Habló de necesitar una gama realmente diversa de opiniones y creatividad para resolver este problema, además de contar con individuos tanto técnicos como no técnicos. Y creo que en el ciberespacio, me refiero no solo al cibernético, sino de lo que estamos hablando aquí del ciberespacio realmente necesita repensar cómo se acerca convirtiéndola en una profesión mucho más diversa e inclusiva, ¿verdad? Hay tantas personas increíbles, pero todavía estamos muy, muy enfocados en un perfil muy particular que funciona en el cibersitio. Entonces, estoy de acuerdo, ¿verdad? Creo que hay, hay una gran oportunidad, una enorme cantidad de conjuntos de habilidades y experiencia que necesitamos aportar y solo presionando más, una especie de diversidad, equidad, inclusión es así como vamos a manifestarnos.
Dra. Kelley Misata 53:53
Sí, recuerdo que al principio de mis días en el espacio de seguridad, la gente querría poner definiciones en torno al derecho de privacidad, similar al técnico versus no técnico, y yo empujaría hacia atrás de una manera respetuosa, y diría que la forma en que veo la privacidad es muy diferente a la de ti. Vengo de un trasfondo diferente, tengo experiencias diferentes, y no creo que alguna vez podré usar la tecnología de la misma manera que lo hice antes de ese evento en mi vida. Entonces, mi definición de privacidad va a ser diferente. Esto es lo mismo que estamos tratando de definir qué es técnico. Le pregunto a la gente, y de nuevo, no es para ser detestable. Es porque tengo curiosidad. Sí, cuando alguien me dice: “Bueno, no eres técnico”, o “Esa persona es técnica”, siempre pregunto, “¿qué significa eso? ¿Puede describirlo por mí?” Y entonces para mí, tengo curiosidad sobre, ¿cómo cambiamos la conversación? Pero viene primero con decir que no entiendo porque puedo calcular la curva elíptica, eso no es lo que voy a hacer alguna vez de nuevo. Entonces, ni siquiera preguntes. Pero puedo. ¿Lo haré? No, puedo codificar. ¿Lo haré? No. Es decir, mi equipo en OISF se está muriendo por que tenga una solicitud de jalar en Suricata. Yo estoy como, sí, solo, solo, esperen chicos. Pero mi pasión y mi amor son todas estas otras cosas. Ahora me voy a sentar donde sea divertido para mí. Sí, no quiere decir que no sea un valor para la conversación, y ahí es donde saco al Dr. Misata.
Raghu Nandakumara 55:26
Absolutamente, creo que ahí realmente terminaste toda esta conversación que hemos estado teniendo hoy, que está muy alrededor solo podemos atender a nuestros clientes, a nuestros clientes, a nuestros socios, mejor si, cuando digo nosotros, quiero decir, ya sea individualmente o el equipo que tenemos trabajando con nosotros, tenemos la capacidad de entender para qué estamos tratando de resolver y por qué. Y eso solo puede suceder escuchando, pero también al contar con aquellos en nuestro equipo que sean capaces de relacionarse con esas experiencias, razón por la cual tener una especie de espectro de antecedentes de individuos es tan importante para nosotros para progresar en el ciberespacio.
Dra. Kelley Misata 56:20
Estoy de acuerdo. Estoy de acuerdo. Y, ya sabes, como retroceder el círculo completo de mi mundo. Ya sabes, la gente solía decirme, ¿por qué no vas tras ese individuo? Como, ve a hacer eso. ¿Por qué fue a obtener un doctorado? Y no dejaba de decir, no sé si alguna vez pueda cambiar eso. No se puede cambiar a la gente. No puedo afectar el cambio en eso, pero puedo afectar el cambio en la forma en que pienso y en la forma en que entiendo cómo funcionan las cosas, en la forma en que puedo abordar mi uso de estas tecnologías, y cómo puedo protegerme como resultado de ese conocimiento. Ahí es donde ocurre el control y el cambio y el impacto, no en tratar de cambiar alguna situación horrible por aquí. Entonces, para mí, es como, cómo mejoramos las cosas teniendo esas conversaciones más amplias y llegando a ello con, nuevamente, algo de humildad.
Raghu Nandakumara 57:19
Absolutamente. Dr. Misata, Kelley, no podría pensar en una mejor manera de poner fin a esta conversación. Tristemente, debo agregar, me encantaría seguir hablando y hablando, pero soy consciente de tu tiempo. Entonces, con eso, muchas gracias por tu sabiduría, por tu humildad, por tu experiencia y la perspectiva que traes a los dos problemas muy, muy importantes que como que has hecho tu misión de ayudar a progresar.
Dra. Kelley Misata 57:50
Gracias. Gracias por tenerme. Ha sido muy divertido.
Raghu Nandakumara 57:53
Del mismo modo. Gracias por sintonizar el episodio de esta semana del segmento para aún más información y recursos de Zero Trust, echa un vistazo a nuestro sitio web en illumio.com también puedes conectarte con nosotros en LinkedIn y Twitter en Illumio, y si te gusta la conversación de hoy, puedes encontrar nuestros otros episodios donde sea que obtengas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto. Tú.