Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Season Three
· Episodio
5

Dentro del libro de jugadas del FBI

En un mundo donde el cibercrimen es un negocio y los secretos de seguridad nacional a menudo se esconden a plena vista, este episodio descubre la apesadora intersección del espionaje y la ciberseguridad.

Transcripción

Raghu Nandakumara 0:12

Hola a todos. Así que bienvenidos de nuevo a otro episodio de The Segment. Esta vez, estoy muy emocionado de estar hablando con Brian Boetig. Ahora, Brian tiene una carrera bastante histórica: 35 años de seguridad nacional, seguridad pública y experiencia en consultoría, incluso como subdirector del FBI, diplomático de Estados Unidos, oficial de enlace de la CIA, oficial de policía estatal, municipal y universitaria, y socio de una firma de asesoría de negocios internacionales. Actualmente es el Asesor Principal de Global Trace, una firma de asesoría a medida. Así que eso es un montón de acrónimos de tres letras con los que ha estado involucrado, y estoy muy emocionado de ver qué historias puede compartir con nosotros hoy. Brian, bienvenido a El Segmento.

Brian Boetig 1:01

Bueno, muchas gracias por tenerme. Fue muy agradable para la invitación, y espero compartir algunas de las historias que se han contado muchas veces, y algunas que tal vez no se han contado o no fueron tan relevantes como lo fueron hace años, que podrían estar en el entorno actual.

Raghu Nandakumara 1:16

Fantástico. No podemos esperar. Entonces, es interesante, justo cuando estamos grabando esto, Brian, he estado, estoy un poco enganchado a un podcast en particular que descubrí recientemente, “El resto es clasificado”, que es presentado por, creo, como un ex agente del Servicio Secreto Británico y un, creo, un ex agente de la CIA de Estados Unidos, ¿verdad? Es fantástico. Y solo, algo así como discuten varios aspectos de la nave espía y alguna misión real, real. Entonces, eso me pareció realmente interesante. Entonces, de hecho, déjanos decir, como compartir con nosotros, probablemente te guste una historia que puedas compartir desde tu experiencia. ¿Por qué no empezamos ahí para ver cómo te moldeó?

Brian Boetig 1:52

Bueno, te voy a contar una de las, una de historias de extraños que he relatado una vez cuando estaba en DC. Esto fue, esto fue en realidad antes del 11 de septiembre con Robert Hanssen. Y Robert Hanssen era el espía del FBI que recientemente acaba de morir en prisión, pero fue condenado y enviado a prisión de por vida, pero estaba entregando información a los rusos. Y la historia probablemente no va a ir a donde crees que va, pero mi esposa y yo estábamos en DC paseando a nuestro dachshund. Esto fue antes de que tuviéramos hijos, y se me acercó un caballero, y también tenía un dachshund. Quería criar a este dachshund. Entonces, mi esposa tuvo una conversación con él mientras yo ignoraba toda la conversación. Y entonces ella me contó sobre esta conversación que estaba yo estaba sentada en el parque mientras ella caminaba, y no pensé en ello hasta que llegué a casa. Y de nuevo, esto es temprano, esto es 2000, es justo después de que Robert Hans fuera detenido. Pero antes del 11 de septiembre, y llegué a casa, y tuve tres llamadas en mi casilla de identificación de llamadas de la Federación Rusa, que básicamente la embajada rusa. Resulta que el tipo con el dachshund era un ruso que trabajaba en la embajada. Y todo lo que podía pensar era, durante esta era de Robert Hans, cuando había un mayor escrutinio sobre la gente, y ahora estaba atada en este evento con los rusos, que, ya sabes, ahora llaman mi casa. Estoy averigando de qué tipo. Entonces, tuve que regresar y reportar esto al FBI. Y fue realmente gracioso, porque tomé su guía y me preguntaron, ya sabes, les pregunté qué se suponía que debía hacer. Y ellos dijeron, bueno, “Sigamos con esto”. Y así me encontré el siguiente fin de semana paseando a mi perro frente a la embajada rusa, ya sabes, de ida y vuelta. Y yo seguía pensando, todo el mundo está viendo esto, desde los rusos, desde las agencias de espionaje estadounidenses, alguien, alguien tiene que estar protegiéndome. Y fue justo, resultó ser una de las situaciones más incómodas. Luego vino y volvimos al parque, y los perros no se involucraron del todo como queríamos que lo hicieran. Podría haber habido una, posiblemente una barrera del idioma, no sé qué era, pero fue simplemente, fue solo el momento de todo. Y ya sabes, muchos de tus oyentes probablemente recuerden el cuadro de identificación de llamadas y simplemente regresando y viendo esos en un momento en que solo había un mayor escrutinio y una mayor conciencia en torno a los rusos, que no se ha detenido en, ya sabes, cuando estaba en, cuando estaba estacionado en Londres, tuvimos el ataque de agente nervioso con Novichok. Eso fue 2018 y, ya sabes, miras hoy con la guerra rusa de Ucrania, y dónde se encuentra eso, y una especie de parte del compromiso de Estados Unidos en eso, ya sabes, recientemente. Entonces es que, es gracioso como el juego de espías nunca se detiene. Y te puede golpear en cualquier momento que menos lo esperes.

Raghu Nandakumara 4:30

¡Absolutamente! Oh, eso. Eso es brillante. ¿Qué es todo este tipo de compromiso ruso-estadounidense? Oh, nada. Nuestros perros solo quieren reproducirse. Eso es todo. Es solo un anillo de cría de perros.

Brian Boetig 4:38

La parte difícil era que realmente no podía, tampoco le podía decir a mi esposa lo que estábamos haciendo, así que ella tenía, tenía planes para el próximo fin de semana, pero ya habíamos arreglado volver ahí. Pero simplemente, realmente me sentí incómodo simplemente caminando de un lado a otro frente a la Embajada de Rusia en DC, paseando a este perro, y pensando que en algún momento voy a recoger al perro y simplemente tirarlo por encima de la puerta, ya sabes y voy a correr ahí y hacer algo. Pero solo el juego de espías es solo que te lleva a giros muy extraños que nunca esperarías. Y ya sabes, muchos de estos programas de televisión que ves y piensas que es bastante poco realista, los veo a veces, y tal vez algunos de los elementos dramáticos de la misma son poco realistas, pero nada es demasiado pequeño para terminar convirtiéndose en algún tipo de compromiso o actividad de contrainteligencia.

Raghu Nandakumara 5:26

¡Eso es brillante! Bien, Brian, voy a decir ahora mismo, sin duda eso es lo mejor, no solo intro que uno de nuestros invitados nos ha dado en ahora lo que será la tercera temporada del podcast, sino también probablemente sin duda la mejor historia. Entonces, cualquiera de nuestros ex invitados, quienquiera que te rete, para que venga y comparta una experiencia más divertida y una especie de locura que esa.

Brian Boetig 5:53

Todo lo que se necesita es comprar un dachshund y terminarás en situaciones ridículas como esa.

Raghu Nandakumara 5:59

Eso es bonito quiero decir, solo volviendo a ese podcast del que estaba hablando, y de hecho, eso y de hecho, está basado en el episodio actual que estoy escuchando está basado en el libro. Seguro que has leído El espía de mil millones de dólares. Y solo la descripción en esa especie de los diversos fragmentos de nave espía que están tratando de usar para primero interactuar con el activo y luego intercambiar información. Es la creatividad es increíble, ¿verdad? Se siente como juegos que juegan los niños, ¿verdad? Para poder intercambiar información en uno de los teatros más tipo, supongo, tensos, o en ese momento de los 80 del mundo.

Brian Boetig 6:33

Sí, el proceso de reclutamiento de la tripulación es muy, muy creativo, y pasarás semanas y meses, a veces solo jugando roles, involucrándote y discutiendo una interacción que simplemente eres feliz, solo esperas como una circunstancia encuentro de pincel en algún lugar que va a durar menos de cinco segundos, pero a veces has puesto, ya sabes, cinco, seis meses de trabajo solo para asegurarte de que ese encuentro de pincel de circunstancia en una tienda de comestibles o en el tráfico sea exitoso. La cantidad de creatividad, pero también el trabajo logístico que implica eso es increíble.

Raghu Nandakumara 7:13

Absolutamente. Entonces, quiero decir, porque, particularmente, como, cuando lo vemos en películas y de nuevo, bien, lo que hemos consumido y algo así en los medios y en el libro, gran parte del oficio de espía es en realidad como el es todo ese tipo de contacto psicológico y físico, etc. ¿Cómo es eso entonces a medida que el mundo es cada vez más cibernético, verdad? Y la nave espía se mueve hacia el cibernético ¿cómo cambia eso? ¿Cuál es la evolución de las naves espías para seguir el ritmo del mundo cibernético?

Brian Boetig 7:44

Lo interesante es que todavía hay un elemento muy conductual. Incluso en el ciberestado y en el FBI, hay un grupo que todo el mundo conoce por haber visto décadas de Criminal Minds, la Unidad de Análisis del Comportamiento, y tienen un grupo que se especializa en cibernética. Porque incluso cuando tienes gente que produce malware y otros tipos de código que están ahí, hay una firma ahí. Esa es, ya sabes, la forma en que a la gente le gusta una mano, como hacer una pregunta, documentar análisis de escritura a mano, hay una firma en el código. Y diferentes escritores de código o bien de manera advertente, pondrán su nombre ahí dentro, en algún lugar o algo que los identifique, o no lo hacen, pero no lo hacen de manera advertente, lo están poniendo ahí inconscientemente, la forma en que lo escriben, la forma en que escribes la letra A en un documento escrito, ya sabes, de la misma manera que alguien escribiría eso en código ayuda a identificar quiénes son. Entonces, hay un elemento de análisis conductual para leer código y scripts que están escritos, es decir, es un campo en crecimiento que es absolutamente asombroso.

Raghu Nandakumara 8:55

Supongo que también está por ahí, como otros comportamientos, y hay, como dices, ese tipo de firmas, esos signos reveladores de que los atacantes dejan, o ayudan a identificarlos. Pero también, ¿cómo ha notado que las tácticas o los comportamientos de los ciberatacantes evolucionan a lo largo de los años?

Brian Boetig 9:13

Ha habido un modelo de negocio que realmente se ha creado a partir del cibercrimen. Nosotros, cuando miro hacia atrás originalmente, cuando mucho, gran parte del trabajo que estábamos haciendo los primeros ciberataques eran solo defacciones de sitios web, que ahora parece tan mezquino y fácil de absorber como negocio, pero realmente se ha movido a un modelo de negocio. He estado, ya sabes, he estado trabajando en ransomware durante los últimos 10 años, tanto, ya sabes, en el FBI y luego como consultor, y tienes que darte cuenta de que todavía hay seres humanos detrás aquí, y están manejando un negocio. Y es lo mismo. Mi primera asignación, cuando entré al FBI, trabajaba en el escuadrón extra territorial, que era uno donde trabajábamos la jurisdicción extra territorial de la gente del FBI. A veces piensa en. Extraterrestre, pero es extra territorial. Entonces afuera, fuera de Estados Unidos, donde tenemos jurisdicción, entonces en países donde la gente es asesinada o secuestrada, y el FBI tiene, el gobierno de Estados Unidos, tiene jurisdicción para investigar esos ahora, hicimos muchos secuestros, ya sabes, para un rescate, muchos de ellos, ya sabes, en África, donde sabías qué grupo secuestraría a alguien, y sabías exactamente lo que querían. Ya sabes, te pedirían 10 millones y sabías que podrías conformarte con cinco y recuperas a la gente, ya sabes, ilesa, y solo porque tuvieras inteligencia en este grupo lo haría repetidamente a, ya sabes, turistas estadounidenses. Al igual que es lo que sucede en el ransomware en estos días, usted un ransomware sucede. Endas, te das cuenta, bien, este es el grupo que sea. Y ya sabes, bien, he hablado con todas mis contrapartes en el FBI o en las otras firmas asesoras para entender esta. Así es exactamente como van a operar. Dentro de 24 horas, van a enviar el correo electrónico de seguimiento. Van a amenazar con esto. Van a pedir 10 millones. Esto es lo que otras personas están pagando cuando pagan. Esto es lo que sucede. Ya sabes, o están hechos y claros, tan claro como puedas estar en un ransomware, o entonces vas a obtener el secundario, ya sabes, fíjate que ahora, ya sabes, hemos desbloqueado tus computadoras. Pero ahora si quieres destruir tus datos, entonces entiendes el ciclo. Entonces, es realmente un negocio, y el cibercrimen se ha convertido en un modelo de negocio. Miras, miras lo que Corea del Norte, quiero decir, Corea del Norte está recaudando fondos a través de delitos cibernéticos de bajo nivel, mezquinos, y así es como, así es como están financiando a su país en este momento. Entonces, pienso en el cibercrimen realmente, como un negocio, incluso en algunos de los casos de acecho o, ya sabes, ex que están poniendo, ya sabes, fotos sucias de sus fotos privadas de sus, ya sabes, ex y cosas así. Es, es venganza, es venganza. Pero también hay cierto nivel de negocio en ello, también. Están tratando de sacar algo de esta persona, ya sea, ya sabes, frustrarlos más, o, ya sabes, potencialmente lograr que les paguen dinero. Entonces tienes que simplemente, lo veo como un modelo de negocio, y esa es la mejor manera de contrarrestarlo.

Raghu Nandakumara 12:04

Eso es realmente interesante, ¿verdad? Porque creo que entonces eres capaz de casi replicar, o al menos del lado defensor, replicar ese modelo de negocio, y de alguna manera identificar dónde está mejor ubicado, para esencialmente romper el negocio, bien, o entorpecer que obstaculizan ese negocio, como, en qué parte de esa cadena pones tu tipo de “do”, ¿pones tu enfoque para que no sean productivos? ¿Es así como lo abordas?

Brian Boetig 12:29

Yo sí, y es, si lo piensas desde un modelo de negocio de ser un criminal, es mucho más seguro. Si te rompieras, utilizo este ejemplo con bastante frecuencia, si irrumpieras en una tienda de conveniencia, ya sabes, en el Reino Unido, en ella tienda de abarrotes en prueba, si le robaste dinero a Tesco en el Reino Unido, o 711 nosotros. Entraste y o te robaron físicamente al empleado, o cuando no estaban ahí, entraste a la caja fuerte y robaste 50 dólares tendrías que un ejército de policías se presentara, porque eso es muy cómodo para la policía, y van a tomar huellas dactilares, van a entrevistar, van a sacar video. Pero si ese mismo Tesco, ese mismo 711 si alguien hubiera robado medio millón de dólares, ya sabes, en el cibercrimen, ya sabes, desde una perspectiva cibernética, irrumpir y robar, podrías llamar a la policía, y en la mayoría de jurisdicciones, la policía va a levantar la mano decir, no sé qué hacer. Esto es, esto es lo que hacemos. Entonces si lo estás, si lo estás, por supuesto, no estamos tratando de dar consejos a los criminales aquí, pero eres mucho más propenso a quedar atrapado en el mundo físico que en el mundo cibernético. Es un trabajo desde casa. Puedes hacerlo desde tu computadora. Entonces el reto es que estás victimizando a la gente en el mundo cibernético, que es geográfico. En el mundo físico, tienes que ir a algún lugar e ir y hacer algo, así tu charco de víctimas se convierte en el mundo, a diferencia de solo la ciudad o pueblo en el que vives, o no tienes que viajar y llegar a algún lugar. Entonces es por eso que ves organizaciones inteligentes que tradicionalmente estaban en bandas de motociclistas fuera de la ley, has visto que se mueven hacia el cibercrimen. Ya sabes, hacen mucho todavía mucha droga y mucha violencia, pero también están haciendo cibercrimen porque es seguro y produjo este dinero. Así que solo un mundo interesante para hacer. Pero siempre veo el cibercrimen primero como un negocio, porque es más fácil de entender y luego tratar de distinguir partes de ese negocio de esa manera.

Raghu Nandakumara 14:21

Sí, estoy de acuerdo, y me gusta la forma en que tu analogía o la forma en que dijiste que el cibercrimen es el trabajo definitivo desde casa, ¿verdad? Puedes estar muy, muy lejos de tu supongo, en última instancia, lo que va a generar tu ganancia, muy a salvo de ello, pero como mantener, seguir llevándolo a casa todos los días, ¿verdad?

Brian Boetig 14:40

Yo era una universidad, una ciudad y un estado, ya sabes, policía, antes de unirme al FBI, y realmente estás enfocado en tu jurisdicción. Entonces, cuando tienes a alguien que es igual, ya sabes, en el Reino Unido, el Reino Unido es un poco mejor con solo 43 agencias y un poco más de coordinación, pero tienes 17,000 agencias de aplicación de la ley en Estados Unidos. Y. Y están preocupados por cosas que sangran y, ya sabes, cosas que se roban físicamente de las casas de la gente. Y una vez que cruza de una ciudad a otro estado en otro lugar, simplemente, drenaría los recursos de un departamento de policía para poder hacer eso. Así que solo hay esta oscura parte inferior de la ciberdelincuencia que no se aplica. E incluso, incluso los delitos superiores, a veces no cumplen con el umbral de enjuiciamiento a nivel federal. Entonces si robaste las analogías para dar, si tú, si solías encontrar, ya sabes, 100 libras de marihuana en la frontera de Estados Unidos, tal vez en Montana o Idaho, ese es un caso grande. Ya sabes, si eres la Patrulla Fronteriza, y encuentras 100 libras de marihuana en alguien en la frontera sur, eso es como una advertencia, como, “Oigan, chicos, derramen eso. Deshazte de él”. Ya sabes, es solo cada distrito federal y donde ocurre el delito, y el valor en dólares asociado a ello como que impulsa la persecución. Entonces, ya sabes, no vas a ir a la ciudad de Nueva York, el Distrito Sur de Nueva York, probablemente no va a procesar delitos de cuello blanco por 50,000 $100,000 probablemente tengan un umbral de un millón de dólares incluso antes de que vayan a abrir un caso, que entonces, si sabes dónde está eso, ahí es donde puedes operar y realmente conseguir el trabajo con impunidades en su mayor parte.

Raghu Nandakumara 16:18

Sí, realmente me gustó la forma en que expresas eso, ¿verdad? Es cuando estás operando desde una especie de, cuando estás apuntando a algo de fuera de esa jurisdicción, casi no estás evadiendo a la aplicación de la ley, pero el costo de las fuerzas del orden para hacer algo al respecto simplemente, se vuelve mucho más alto, lo que significa que casi puedes hacer las cosas repetidamente hasta que llegue a ese punto de inflexión.

Brian Boetig 16:43

Lo ves físicamente afuera en California, en California donde elevaron el listón de por qué te arrestaron, por hurto en tiendas, ya sabes, eran como $950 o todo lo demás debajo de eso era solo un boleto, ya sabes. Y así, el robo en tiendas fue por las nubes porque todos decían: “Bueno, podemos hacerlo. No van a hacer nada al respecto”. Entonces eso es que estamos en el cibercrimen. No hay suficiente gente haciendo cosas al respecto.

Raghu Nandakumara 17:03

Entonces, ¿piensas, como, tan solo, solo en ese tema, entonces verdad? A menudo nos llegan, a menudo me preguntan sobre, siento que es casi todos los meses, hay algún otro artículo o un periodista dice, Oh, bien. Como, bien, el ransomware, ¿deberían las organizaciones pagar o negarse a pagar, correcto, y/o similar, y deberían ser multadas si pagan? Pero, ¿deberíamos poner en marcha una ley que diga que nunca se debe pagar el ransomware? Se paga un rescate, ¿verdad? ¿Dónde te sientas en eso?

Brian Boetig 17:33

Cuando estaba con el FBI, no podía sentarme en él, y no se me permitía contarlo ya que estábamos trabajando en los casos. No se me permitía dar esa orientación a un negocio o a una organización, ellos tenían que tomar esa decisión por su cuenta. Luego pasé a hacer alguna consultoría de ciberseguridad, y terminé bastante en ese lugar, y me puse a sentarme en los asientos escuchando a los CEOs y CFO que impulsaban esas decisiones. Realmente baja de manera individual. No creo que se pueda dar una manta porque teníamos, ya sabes, estábamos trabajando un caso donde un bufete de abogados había sido víctima de un ransomware, y si no hubieran pagado, ya no existirían. ¿Correcto? Exactamente, su información de propiedad, la información de abogados y clientes fue tomada y, por lo tanto, el daño reputacional de eso fue divulgado. Además de no tener acceso a su información, simplemente, desde una perspectiva empresarial, no podrían existir sin esa vuelta, y la única forma en que sentían que podían recuperarla era pagando el rescate. Hay otros que han hecho un mejor trabajo al tener backups y no. Una de las peores cosas que puede hacer una empresa es simplemente almacenar datos, que sepan que ya no necesitan y simplemente aferrarse a ellos. Porque entonces, cuando te conviertes en víctima de algún tipo de intrusión o ransomware, tienes décadas de datos que ahora eres responsable de notificar a millones de clientes que no debes conocer. Tus ex clientes, ni siquiera son tus clientes en ninguna parte. Ya no tienes nada que ver con ellos, pero ahora son víctimas de un delito porque no te deshiciste de él, pero tienes empresas que están muy bien preparadas para ello. Les va bien con su gobierno de datos, limpiando eso, y luego, si se ven afectados por el ransomware, tienen la capacidad de autorrecuperarse y reconstruir y tal vez perder un día de trabajo, en lugar de sus meses. Entonces me he sentado y visto ambos lados. Yo nunca diría que nunca vas a pagar el rescate. E incluso volviendo a ese ejemplo de secuestrados, ya sabes, estadounidenses en los que estaba trabajando a veces rescate. Sabes, los ransomware se pagaban porque lo bajarías a $5,000 como, oye, $5,000 de nuevo, todavía no pudimos dar la orientación sobre eso. Como funcionario del gobierno, la gente tenía que tomar sus decisiones individuales sobre eso, pero en realidad a veces era la mejor manera solo de resolver un incidente.

Raghu Nandakumara 19:47

Entonces supongo que en ese momento, solo lo último sobre este, este artículo en particular, es que, entonces esta charla de una especie de prohibiciones de pago de ransomware que entran en vigor, siento que eso probablemente no sea productivo en la forma en que la gente asume que sería, porque sienten que va a disuadir a los criminales. Pero de hecho, creo que va a dificultar que las organizaciones tomen una posición matizada y hagan lo que sea mejor para ellos.

Brian Boetig 20:13

Va a sacar una herramienta importante de la mesa, y si, sorprendentemente. Ahora, en consultoría, descubrí que mucha gente no quiere involucrar a las fuerzas del orden cuando son víctimas de un ransomware. Entonces hasta los que estaba viendo en el FBI, sabía de esos. Pero ahí, hay tantos que yo estaba trabajando donde no se contrataba la aplicación de la ley, la compañía tomó una decisión estratégica de simplemente ir a ello por su cuenta. Entonces, quitando ese pago de la mesa, podrías potencialmente victimizar dos veces a alguien que ha sido víctima de una víctima, ellos tomaron una decisión comercial, y ahora de repente, van a ser ellos los que están siendo penalizados nuevamente. Así que realmente quita una herramienta de negocios de la mesa. Podrías desincentivarlo. Y hay maneras de hacerlo para asegurar, ya sabes, que el seguro cibernético es una especie de salvaje oeste de, ya sabes, pagos, y quién paga, y cómo pagan, lo que has hecho antes de que ellos vayan a pagar. Entonces, ya sabes, podrías desincentivar la realización de los pagos a través de ciertas formas. Pero no sé que haciéndolo, ya sabes. Y de nuevo, si tu hijo fue secuestrado y ellos estaban siendo retenidos por, ya sabes, ISIS, y ahí está que no se supone que debas hacerlo como estadounidenses, no se supone que debamos darle dinero a ISIS, ya sabes, si la forma de recuperar a mi hijo fuera un pago, y aunque entonces estaría proporcionando apoyo material a una organización terrorista, voy a recuperar a mi hijo, ya sabes. Y entonces no sé que sacar opciones de la mesa va a hacer que algo sea mejor para las empresas.

Raghu Nandakumara 21:43

Sí, no, estoy de acuerdo, ¿verdad? Y creo que tiene que haber esa flexibilidad para permitir que las organizaciones tomen la decisión más, la más prudente. De lo contrario, no tienen una especie de, supongo, que la armería o las opciones disponibles para pensar las cosas a fondo, ¿verdad? Y lo es, y pueden estar tomando un enfoque subóptimo. Tocaste, tocaste el seguro cibernético. Y has, como que has hablado mucho sobre seguros y cosas así, y más o menos esto es un área tan gris, verdad, como proveedor de ciberseguridad, ¿verdad? Es, siempre es interesante tener esas conversaciones alrededor, como, ¿tener un control en su lugar? ¿Está haciendo caer el seguro cibernético? ¿Por cuánto? ¿Cuál es la obligación del proveedor de seguros en diversos escenarios, pagos, etcétera? Entonces, ¿cuál es su perspectiva sobre el seguro cibernético en general, el mercado actual, si es un beneficio para las organizaciones, está proporcionando el tipo correcto de cobertura? Este es un tema tan vasto. ¿Cuáles son tus pensamientos?

Brian Boetig 22:45

Es muy tedioso, y creo que me he dado cuenta de todo lo que te doy. Lo llevo al mundo real por un segundo. Entonces, tengo, tengo dos conductores adolescentes y un conductor en sus gemelos jóvenes, que están en mi seguro. Entonces mi seguro de auto, si están manejando y se meten en un accidente. Hay aunque no estén usando el cinturón de seguridad, que deberían, y espero que lo estén. Seguro de alguna manera lo sigue cubriendo. Incluso si tenemos la culpa en un accidente, aún así se cubre. Encontré en los seguros cibernéticos que hay un periodo inicial donde muchos de los proveedores y corredores están buscando ver si hubo algo que no se hizo que requiramos? Ahora tendría que volver atrás y leer mi ciber pero me gusta la póliza de seguro de auto, y probablemente dice que tienes que estar usando tu cinturón de seguridad. Usted debe y debe estar usando su cinturón de seguridad. Pero entra el seguro cibernético, y me encontré con varios de ellos, lo primero que hacen es tratar de averiguar, ¿cómo vamos a salir de hacer esto? ¿No tenías algo que fue porque se ha convertido el costo es tanto para un pago en un ciberespacio, y entonces también es muy limitado en lo que van a hacer? Entonces traerán a alguien, pero solo te van a ayudar a encontrar lo que salió mal y mitigar esa cosa en particular, incluso si encontraron otras 10 cosas mal, o van a hacerte volver a poner en marcha, pero entonces no están, ya sabes, volver a funcionar es diferente a lo recuperado, ya sabes, y la resiliencia, hay, por lo general, hay, ya sabes, meses y meses de arreglo. Por lo que cubre una porción limitada, es decir, que puede ser útil. Pero muy a menudo estamos a cuatro o cinco días de un incidente, y todavía estamos tratando de averiguar si el seguro cibernético va a pagar algo, o cómo lo van a hacer. Y entonces, es un campo en evolución, ya sabes, que se ha vuelto tan caro porque estás pagando un rescate de $3 millones, ya sabes, ¿nuestro rescate, excepto cubierto por nuestra póliza? Bueno, lo son, si hiciste esto. Entonces me parece que las pólizas son complicadas, y cada vez más complicadas y limitadas y requiriendo que las empresas, ya sabes, si yo, si mis hijos manejando por la calle, se les pone un guardabarros, no llevaran puesto tu cinturón de seguridad, sería como, bueno, lo siento, tenías que estar usando tu cinturón de seguridad. Ahora tienes, estás sacando a colación los costos médicos y todo lo demás, así que no estamos pagando este en particular. O, si, tú, no seguiste esta ley de tránsito en particular. Bueno, por eso estuvimos en un accidente. Entonces, sí, solo que es un mundo muy complicado que creo que es solo, si tu, si ahora tienes seguro cibernético, y puedes quedarte con esa póliza, yo la mantendría porque solo puedo garantizar que se va a poner más caro.

Raghu Nandakumara 25:14

Quiero decir eso justo lo que ha expresado allí sobre la complejidad del seguro cibernético en términos de, algo de lo que realmente cubre, y solo porque, como todos sabemos, correcto, el número de incidentes cibernéticos está creciendo, literalmente, a diario. Y para sentir eso, estamos comprando cada vez más seguros cibernéticos, pero creo que sus comentarios como que implican que gran parte de esa inversión en seguros cibernéticos probablemente no nos está dando la cobertura que creemos que sí. Lo cual, creo, es preocupante, porque creo que la expectativa es que probablemente esté cubierto en este nivel, mientras que en realidad, tú estás cubierto aquí, lo que significa que es una brecha masiva que solo una persona está pagando, y no es la aseguradora.

Brian Boetig 25:59

Hay muchos malentendidos de la póliza de seguro cibernético. Entonces una cosa que hicimos como consultor es que caminaríamos a través de un incidente cibernético y la póliza de seguro cibernético. Y curiosamente, una de las cosas más difíciles fue que la empresa encontrara una póliza por momentos. Y ahí es cuando, ahí es cuando los sistemas ni siquiera estaban bloqueados con un ransomware. Sabes, yo estaba como, Bien, dónde está la póliza de seguro cibernético. No sé quién lo tiene, DC lo tiene. No nadie puede encontrarlo. Entonces solo eso es del lado de un consultor, eso estuvo genial, porque puedes facturarles cuatro horas mientras ellos solo están tratando de encontrar una póliza. Pero luego sacarlo e intentar pasearlo y entender lo que está cubierto y lo que no está cubierto fue muy, muy complicado. Y luego había montones y montones de llamadas de seguimiento que tenías que tomar, e incluso el broker a veces, ya sabes, “bueno, si has hecho esto o has hecho aquello”. Es muy complicado, y la mayoría de las veces que el seguro cibernético se usaba en compromisos en los que yo estaba como consultor, terminaban teniendo que contratar a alguien más o pagar de su propio bolsillo por trabajo adicional que no estaba cubierto por la póliza para poder, ya sabes, les da una respuesta ante incidentes, pero no necesariamente cubre toda la recuperación y la resiliencia que lleva meses en el camino. Para ese bufete de abogados del que hablé antes no tenían seguro cibernético, pero tuvimos que terminar construyendo una red completamente nueva para ellos mientras estamos haciendo El ransomware, estamos creando una red completamente nueva para que pudieran comunicarse con sus clientes, y era más fácil simplemente desechar el viejo sistema y construir uno nuevo, pero eso nunca habría sido cubierto por la póliza de seguro.

Raghu Nandakumara 27:32

Eso es una locura. Quiero decir que eso, literalmente, es como el peor de los casos, ya que una organización es donde, literalmente, toda tu infraestructura no tiene valor porque simplemente no puedes confiar en nada de lo que tienes ahí, y tienes que construir desde cero. O sea, como, es algo que nunca quieres tener que tener, querer tener que hacer. Pero me pregunto entonces porque obviamente existe, como, todo el concepto de seguro cibernético, y es como, la pregunta es, como, como organización, ¿lo tienes? Es como y obviamente hay que no solo debería ser parte de tu póliza de seguro general. Necesitas tener un seguro cibernético especializado dedicado que tengas la cobertura adecuada. Pero, ¿crees que como resultado de esto, que probablemente estemos bajando, o en realidad estamos adoptando malos hábitos? Y lo que quiero decir con eso es que estamos buscando mitigar los riesgos que tenemos en nuestro entorno, correcto, y poner la inversión en eso. En cambio, estamos mucho más enfocados en encontrar una póliza de seguro cibernético que esencialmente va a aceptar o simplemente vamos a transferir el riesgo de esas esencialmente esas vulnerabilidades que no tenemos y que no hemos arreglado. ¿Crees que estamos tratando de resolver el problema equivocado?

Brian Boetig 28:45

Sí, porque el seguro nunca va a ser nunca va a ser la solución. Sí, exactamente cuando hablamos de riesgo, puedes aceptarlo, puedes eliminarlo, puedes transferirlo, y transferirlo no es para la mayoría de los negocios con los que he tratado, ya sabes, cualquiera, cualquier compañía Fortune 500, no puedes lidiar con eso. Y la mayoría, ya sabes, medianas empresas, no quieres simplemente transferir ese riesgo, porque básicamente estás diciendo, estoy dispuesto a renunciar a mi empresa. Espero que me pagues por ello al final del día. Debe ser una llamada de atención para la inversión que se necesita convertir en rutina regular. Es la infraestructura, la seguridad y la privacidad de los datos de manera regular dentro de una organización. El problema es que cuanto mejor estés en ello, menos probable es que tengas un incidente. Y entonces sin un incidente, tienes muy poco que mostrar: “Oh, mira de lo que te salvé eres”. Entonces es, uh, es una especie de esa espada de doble filo, pero simplemente no puede en un mundo que está tan interconectado en donde cada negocio tiene algún tipo de, ya sabes, su responsabilidad con la misión y la visión de esa organización, hay que invertir en ella. Tienes que invertir en ella tanto como lo harías en tu fuerza laboral y desarrollo de fuerza laboral y. Enviar a la gente a diferentes cosas de entrenamiento para cosas que son habilidades blandas. ¿Estás enviando gente a capacitación de liderazgo o enviándolos a otras cosas que no son habilidades técnicas, no cómo escribir una política o cómo arreglar un motor? Pero invertir en algunas de esas habilidades blandas es una especie de equivalente funcional de invertir en ellas desde una perspectiva más amplia, desde una organización.

Raghu Nandakumara 30:23

Y pienso en esta línea, ¿verdad? Quiero decir, has hablado de cosas como la Estrategia Nacional de Seguridad Cibernética en Estados Unidos, entre otras cosas. Y sé que esta parte de esto abarca una especie de interno, cómo Estados Unidos es propio, y que son el sector público y privado. Los controles y defensas se hacen más fuertes, ¿verdad? Entonces, ¿cómo son las estrategias así? Entonces, ¿cómo se abren camino hacia una especie de ejecución real, verdad? Para que veamos ese paso de cambio en la reducción del riesgo cibernético.

Brian Boetig 30:57

Es realmente a nivel C suite. Tiene que ser de arriba hacia abajo. Qué gracioso cuando estaba en el FBI, y allá por 2012-13, dirigía la Fuerza de Tarea Conjunta Nacional de Investigación Cibernética, que era de 40 agencias estadounidenses. Luego terminamos trayendo un par de agencias extranjeras, y colaboramos en una variedad de amenazas diferentes, centrándonos principalmente mucho en China, Rusia y Corea del Norte, así como algunos otros, ya sabes, algunos otros lugares. Pero solíamos traer CEOs todo el tiempo, y fue más o menos así ese periodo de tiempo en el cibertiempo fue justo cuando empezamos a traer al sector privado. Y antes de eso, solíamos salir a una empresa y decir, oye, solo quiero hacerte saber que Rusia está en tu red. Y ellos dirían: Bueno, ¿a qué te refieres? Y di: “Bueno, no puedo decirte más. Todo es clasificado, pero solo para que lo sepas”. Y es como que activó las alarmas por ahí. Y luego nos metimos en dar, nos metimos en el proceso de poder dar un día de autorizaciones. Traemos gente y les damos sesiones informativas clasificadas y específicamente decimos: Esto es lo que pasa entonces empezamos a informar a la C suite para decir, oye, nos dimos cuenta de que necesitamos nuestra oportunidad de perspicacia de lo que está pasando en el mundo era tener al sector privado que fue víctima de muchas de estas intrusiones y problemas, ellos podrían devolvernos. ¿Deberíamos traer la C suite? Y nuevamente, hace poco más de una década, algunos de estos CEOs no tenían absolutamente ninguna idea de lo que estaba pasando en su departamento de TI. En ese periodo de tiempo, era solo “Oh, sí. Tengo Sí. Mi TI dice que lo tengo”. Fue, fue confianza, pero no confiar y verificar. Simplemente era “Oh, sí, el IT”, era la respuesta a todo, era el “tipo de TI, oh, el tipo de TI, el tipo de TI”. Pero no podían decirte quién era el tipo de TI. A pesar de que todavía era un miembro de nivel senior de la organización, no fue traído al club. Entonces, he visto esa transición en la última docena de años, y donde la C suite se está volviendo mucho más comprometida con la ciberseguridad. Bueno, uno, porque tienen que hacerlo, porque hay regulados a través de la SEC y otras personas ahora el Así ahí, supongo que eso sería un ejemplo de una buena intervención gubernamental o una solución regulatoria a un problema, porque recuerdo haber traído, de nuevo, muchas de estas eran empresas Fortune 500, y las OSC realmente no tenían idea. Y entonces creo que nosotros, creo que tenemos, creo que tenemos algún tipo de, ya sabes, ciberdefensa, ya sabes, es como que no tenían idea. Pero ahora ves, hay todo un mercado de consultores que saldrán y solo una especie de suites C breves y pondrán a la gente al día sobre, ya sabes, ser ciberconocedores, supongo, a nivel de C-suite. Pero si no se cree en el nivel de C-suite, nunca será atendido. Nunca se va a cuidar de una organización. No puedes empujarlo hacia arriba porque no es un, no es un, es un generador de ingresos, sí, pero es un generador de ingresos oculto, indirecto.

Raghu Nandakumara 33:45

Sí, sí, absolutamente, sí. Y estoy de acuerdo, ¿verdad? Y creo que ese cambio en una especie de ser ahora cibernético usar un término que se usa en exceso, una preocupación a nivel de junta, en lugar de solo una preocupación por la función de TI, creo, ha tenido un impacto significativo, pero creo que también somos, pero también, si pienso en esto de una manera diferente, el líder de seguridad, OSC, cualquiera que sea su título, una de las cosas que les preocupa es que, como la seguridad es a menudo una función que no necesariamente sufre de falta de presupuesto, ¿verdad? Pero lo que sí sufre es, ¿cómo sé que el presupuesto que estás usando, que con tu inversión, está resultando en una reducción real en la amenaza o el riesgo de ataque, verdad? Porque vemos todo tipo de esos gráficos, ¿verdad? Levantas cualquiera que sea la encuesta más reciente del panorama cibernético, y ves dos líneas rectas, ¿verdad? Una es la inversión en cibernética, ¿verdad? Agradable o como una bonita, especie de gráfico de crecimiento exponencial, y luego el costo de los ciberataques, ¿verdad? También es una buena tabla de crecimiento, ¿verdad? Entonces, cuando lo hace. Ese cambio. ¿Cuándo comienzan las inversiones cibernéticas a dar como resultado el costo de la reducción de costos cibernéticos?

Brian Boetig 35:07

Creo que existe un requisito para realmente entrar en un riesgo empresarial. Ya sabe, la administración de estrategias para usted tiene que mirar lo cibernético junto con todos los demás riesgos de una organización. Y de esa manera, cada gerente de negocios, por lo que incluso aquellos que están en cualquiera que sea la comercialización o entrega o cadena de suministro o lo que sea, sea lo que sea que el negocio tenga que hacer, realmente tiene que mirarlo en toda la empresa. Y de esa manera, cuando estás clasificando riesgos, sabes que verás que TI toca todo. Ya sabes, si eres el líder de recursos humanos y eres responsable de todo, desde el reclutamiento hasta el retiro, entonces de Cuna a Cuna a tumba. RRHH, hay tantas funciones de recursos humanos que lo son y tienen riesgos de TI en ellas, pero el personal de TI no puede, el CISO no puede asumir todo ese riesgo. RRHH tiene que ser dueño de ese riesgo. Tienen que decir: “Oh, estamos contratando empleados remotos falsos, norcoreanos remotos aquí, y pensamos que todos estaban basados, ya sabes, en la India”. Ya sabes, eso es, eso es un problema de RRHH. Pero hay un riesgo de TI en eso. O el Chief Financial Officer, que es, ya sabes, outsourcing y tal vez responsable de los contratos, y dándose cuenta de que, ya sabes, nos han engañado. Entonces mirándolo desde una empresa y dejando que el CISO diga: “Oye, no soy el dueño de este riesgo. Estoy aquí para ser tu asesor y ayudarte en todo este riesgo”, en oposición a convertirlo en una singular función canalización de estufa que esta es tú eres responsable de todo TI, de todo en una organización. Es TI, ya sea recursos humanos, finanzas, pero mirando desde la perspectiva de la estrategia de riesgo empresarial, creo que es la única manera de tomar muchos de esos riesgos que simplemente llamamos riesgo, porque realmente no es un riesgo de TI, eso es un riesgo de recursos humanos, o eso es un riesgo financiero, o ese es un riesgo de cadena de suministro, que no es mío como CISO, solo porque tiene ceros y unos y cables conectados a él, ese es tu riesgo. Estoy aquí para ayudarle a manejar ese riesgo, pero sin poner toda la carga y la responsabilidad en el CISO.

Raghu Nandakumara 37:17

Creo que es un gran punto, porque pienso, de nuevo, siento que lo que estás describiendo aquí es solo una evolución como la perspectiva de la organización, ¿verdad? De la misma manera que ese tipo de evolución de ver que la seguridad es algo más allá de un simple problema de TI, tenemos que mirar incluso el riesgo cibernético de manera mucho más holística como una parte central del riesgo empresarial y cómo el riesgo cibernético conduce a estas otras cosas, que nada está aislado en efecto.

Brian Boetig 37:46

Sí, cuando dirigía la oficina del FBI en Buffalo, Nueva York, y solía, todos los lunes por la mañana, tenía todo mi liderazgo ahí. Entonces eran unas 40 personas en la sala, y íbamos por ahí y discutiríamos diversos temas. Y era como, estabas en un salte Saturday Night Live, porque vas por ahí y el tipo que estaba hablando de antiterrorismo, y luego la persona hablaría criminal y luego contra inteligencia, y tenías a la persona de Asuntos Públicos, y luego llegabas a, ya sabes, el Saturday Night Live, el tipo de TI. Y casi se podía ver a todos bajar la cabeza y empezar a tomar notas, como, así, ¿sabes cuando va a hablar de algo tan técnico, y no me importa? Si nuestra TI no funcionaba, a la gente no se le pagaba porque no podían dedicar su tiempo. Sí, no podías arreglar los autos, porque cada vez que conoces, tenías que programar tu auto a través de una aplicación, y el tipo de TI era el tipo más importante de la sala, y la gente simplemente no reconocía que todo su trabajo, toda su función se basaba en su capacidad para abofetear un teclado y hacer algo. Ya sea buscando hacia arriba, ya sabes, inteligencia a través de, ya sabes, en la web oscura para nuestro Analista, pero casi podrías, ya sabes, lo verías. Todos se tomarían entonces, ya sabes, ese tiempo para, ya sabes, reorganizar sus asientos y todo lo demás, pero al darse cuenta de que su función es una que apoya todo lo demás en la organización, realmente eleva el nivel de importancia de lo que hace esa persona. Y el riesgo de que algo se vaya abajo, ¿es realmente suyo? Es decir, si las computadoras se bajan, sí, él es el tipo. A él le van a gritar, pero los autos no se van a arreglar, los casos no van a trabajar y a la gente no le van a pagar.

Raghu Nandakumara 39:17

Sí, sí, absolutamente. Y de hecho, bien, hablando de una especie de riesgo y gestión de riesgos. En realidad hay algo interesante. Lo publicaste fue hace apenas unos días en tu LinkedIn de tu paso por Londres. Y más o menos esto fue justo después de la tragedia de la Torre Grenfell, que es una de las grandes tragedias humanas aquí. Y para citarlo, o citar su LinkedIn, usted dijo, “al pasar por la torre Grenfell en Londres de camino a un evento afuera, fui testigo de un horrible Infierno que trágicamente se cobró muchas vidas, y este devastador evento fue resultado de múltiples fallas arraigadas en el supuesto de que los peores escenarios son meras improbabilidades, enraizadas en el supuesto de que los peores escenarios son meras improbabilidades como profesionales de gestión de riesgos en la industria de seguridad y protección, nuestra responsabilidad es para reconocer que algún grado de. Los esfuerzos de mitigación son cruciales, incluso cuando la probabilidad de desastre parece minúscula”. Y creo, y la razón por la que cito esto es porque creo que esto es muy importante cuando lo aplicamos riesgos cibernéticos y ciberataques, porque creo que la probabilidad de un ataque exitoso es baja, pero no cero. Y el reto que tenemos es que nos hemos esforzado tanto para prevenir, prevenir, prevenir, que no estamos debidamente preparados para cuando esa prevención falle. Y cuando falla, falla a lo grande, por lo que necesitamos invertir mucho más en mitigación, ¿en cómo contenemos el impacto? ¿Verdad? ¿Esa es tu perspectiva?

Brian Boetig 40:53

Lo es. Te llevaré de vuelta a los dos incidentes más impactantes en mi carrera policial que realmente conmocionaron mi conciencia, que fueron increíbles. Era 1995 el atentado de Oklahoma City. Yo era policía en Alabama en ese momento, pero recuerdo haber encendido las noticias y solo mirar el edificio y simplemente no pensar que eso era posible. Y luego posteriormente, ya sabes, el 9/11 ya sabes, yo estaba en DC en ese momento, vi el primer avión chocar contra la torre, fue una tragedia horrible. Malo accidente ahí. Entonces el otro golpeó. Lo sabía, bien, eso es malo. Y luego fui primer respondedor al Pentágono. Pero eso realmente simplemente conmocionó mi conciencia. Eso era algo en lo que no estaba pensando, la posibilidad de que eso sucediera alguna vez. O sea, es decir, de eso es de lo que hablas, posibilidades minúsculas. Ahora estoy un poco preparado para todo lo que ves en la industria de seguros y salud. Acabamos de tener el asesinato de un CEO, la ejecución, ya sabes, eso probablemente no se pensó. Esa era una de esas minúsculas posibilidades de que eso sucediera, y sucedió, y ahora cambia los comportamientos. Solíamos decirle a la gente de nuevo, de vuelta a mi época, informando a los CEOs. Fue, traté de hacerlo un poco humorístico, casi como una reunión de AA, donde les haría decir: “Está bien ser víctima de un ciberataque. Está bien ser víctima de un ciberataque”. Porque eso fue una especie de estándar, oh, nunca hemos sido, ya sabes, esto es, de nuevo, la evolución de lo que estaba pasando en el cibercrimen y el reconocimiento fue que nunca no podemos ser víctimas, porque no podemos ser víctimas de ningún tipo de ataque. Entonces dirían que no podemos ser la víctima. Y tantas empresas estaban, y luego las caminaba en la trassala y les decía, oye, bueno, te mostramos donde vemos eso. Ya sabes, China está configurando puntos pop en tu red. Oh, Dios mío. Entonces está bien ser víctima de un ciberataque, no está bien no estar preparado para mitigar y responder a eso. Entonces cada compañía tiene, quiero decir tú, cada compañía ha sido víctima de un ciberataque, lo sepan o no, y así no lo es, solía ser una especie de mancha en tu reputación. Ahora está bien que hayan sido víctimas de un ciberataque, pero estaban guardando 10 años de datos, o no perdían datos de clientes, o estaban correctamente encriptados. Entonces si puedes hacerlo, aquí estoy, tengo 30, ya sabes, 32 tipo portador de armas de 32 años. Todavía puedo ser víctima de un delito caminando por la calle. Ahora, cómo respondo a eso, ya sabes, dictaría, ya sabes, si yo, si me caigo al suelo y apenas empiezo, ya sabes, a conseguir la posición fetal, empiezo a llorar, ya sabes, ese es como un extremo. Pero ya sabes, alguien tiene un arma en mi cara, y yo no tengo un arma para responder entonces doy mi cartera. Yo les doy lo que quieran. Yo me voy. Estoy vivo. Yo gano. Entonces puedo recuperar mis tarjetas de crédito, mi licencia de conducir y todo lo demás. Entonces, ¿cómo respondes a ese ataque? Pero ser víctima solía ser una mancha en tu reputación, o al menos la gente lo pensaba. Entonces el solo reconocer que puedes ser, pero cómo respondas a ese evento dictará cómo te mira la gente.

Raghu Nandakumara 43:51

Sí, creo que eso se corrija brillantemente, y creo que eso es mucho más o menos, de lo que hablamos, algo así como tomar un enfoque de confianza cero sobre cómo, como una estrategia de confianza cero para informar cómo construyes tus defensas de ciberseguridad. Y de nuevo, creo que eso también está arraigado en eso, ¿verdad? Tiene sus raíces en el hecho de que el atacante encontrará una manera de entrar en el entorno de su organización, ¿verdad? Entonces, una Zero Trust, la adopción de Zero Trust se trata de, ¿cómo nos aseguramos de que no puedan moverse y acceder a las cosas libremente, verdad? ¿Estamos preparados para que alguien sea un intruso, esté en nuestro entorno y pueda restringir lo que puede hacer? Y creo que también todo, como, el creciente impulso por la resiliencia cibernética que vemos impulsado, realmente, desde, como, el Foro Económico Mundial hacia abajo, ¿verdad? De nuevo, mucho se alinea con eso, es absolutamente bien. De hecho, probablemente serás víctima de un ciberataque, pero en absoluto no puedes decir que no estés preparado para enfrentarlo. Creo que es como que esa declaración, Brian, tú proporcionaste, es súper fuerte. Entonces, agradezco mucho eso. Y en realidad, ese punto ante nosotros. Concluye, hay, hay una cosa que sí quiero preguntarte, mencionaste extra territorial, pero tuviste un desliz de la lengua y mencionaste extraterrestre. Entonces, ¿qué es realmente, en el Área 51?

Brian Boetig 45:13

Bueno, yo conocía al sheriff que trabajaba ahí fuera. Sí, en realidad fue uno de los alumnos, una de las clases. Es gracioso porque hubo este programa que quizás recuerdes, llamado The X Files, y probablemente lo será, probablemente se regenerará de un lado a otro. El FBI no tenía, no tienen X Archivos. No hay Archivos X. Sí tienen cero archivos, que es donde envías, también a veces se le conoce como el archivo circular o el bote de basura. Pero todo lo que entra se graba y se anota. Y hubo, sí me topé con un incidente una vez donde alguien estaba reportando, ellos estaban reportando que habían visto algo extraterritorial. Entonces, como lo hicieron, lo anotamos, y lo pusimos en un archivo cero, y entonces la persona se daba la vuelta y presentaba la solicitud de la Ley de Libertad de Información para ver si teníamos alguna información al respecto. Y porque lo pusimos en el archivo cero, hubo y entonces eso validó su propia preocupación. Dijo: “Oh, ellos sí tienen información sobre eso”, pero fue solo su información. Entonces él, me lo devolveríamos y diríamos: Oh, tienes que tener más. Pero debido a que presentó el hablante de información, ahora había más por la solicitud que había entrado. Entonces fue solo este reportaje circular. Y el tipo diría, no, tienen, sí, tienen información sobre esto. Bueno, es exactamente sí, así que es gracioso cómo eso simplemente va por ahí. Pero en el mundo de los aviones aéreos no tripulados ahora, y lo que viste que sucedía o se reportaba sobre Nueva Jersey, existe, y, ya sabes, la creación de la Fuerza Espacial en Estados Unidos, hay, ya sabes, la oportunidad de aprender y ver mucho más que va a estar sucediendo. Ya sabes, hablamos del, hablé mucho del mundo físico en el ciberespacio, pero hay un mundo por encima del suelo y por encima de los edificios que se va a convertir, como estás viendo Uber y otras empresas, ya sabes, empezando a mirar, ya sabes, volar, ya sabes, gente alrededor de un lugar a otro. Entonces es, es un mundo completamente nuevo que, de nuevo, entra en esa lanza de lo que hablé de Oklahoma City y algo así, ya sabes, impactante para la conciencia cuando la primera vez que veo, conoces a alguien, ya sabes, mi hija se fue del aeropuerto, ya sabes, y en un dron volador que pone alrededor de la puerta por aquí. Es decir, no estamos, no estamos muy lejos de cosas así.

Raghu Nandakumara 47:16

Absolutamente, bueno, Brian, ha sido un placer hablar contigo para escuchar de tus experiencias, por darnos la historia más divertida que hemos tenido en el podcast. Pero más allá de eso, hay tantas perspectivas realmente perspicaces sobre un tipo de seguro cibernético, mitigación de riesgos cibernéticos, creación de resiliencia, cómo pensamos sobre los atacantes. Muchas gracias por su tiempo.

Brian Boetig 47:43

Bueno, gracias por la oportunidad, y gracias por lo que haces, asegurándote de que otras personas tengan la mejor información que puedan para tomar las mejores decisiones que puedan para ellos y su organización. Así que gracias.

Raghu Nandakumara 47:53

Muchas gracias, Brian. Gracias por sintonizar el episodio de esta semana de The Segment para aún más información y recursos de Zero Trust. Echa un vistazo a nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter en Illumio, y si te gusta la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

Volver arriba
Leer más