El CISO en evolución

uso que realmente no están teniendo eso, no son capaces de verlo tan de cerca, si solo lo conduces como líder empresarial, es de alguna manera superficial. No podrás profundizar en entender realmente lo que está sucediendo. Y así lo maneja como un negocio en lugar de ejecutarlo como un CISO o como un practicante. Pero creo que para responder a tu pregunta específica, supongo que por la profunda empatía, soy capaz de dirigir en ambos lados.

10:28 Vishal Salvi: Y así, cuando, por ejemplo, innovamos y hacemos mucha innovación internamente para tratar de estar a la vanguardia de impulsar la innovación en ciberseguridad, como por ejemplo, hace cinco o seis años atrás, ejecutamos un programa de medición métrica completamente diferente dentro de Infosys, e hicimos hiperautomatización para eso, y construimos mucha IP alrededor de eso y después de ejecutarlo durante cuatro años con éxito, lo pensamos estaba... había llegado a una etapa en la que podíamos llevarlo a nuestros clientes, y como que hicimos una ingeniería inversa donde nosotros migró todo ese código y toda esa solución a nuestro equipo de práctica. Y ahora el equipo de práctica lo ha escalado y ahora apoyan a las fuerzas ejecutoras para toda la innovación y el cambio que están sucediendo porque pudieron sentir eso de nuestros clientes y obtener esa retroalimentación.

11:16 Vishal Salvi: Y estamos viendo que mucho de eso sucede para otras cosas, como por ejemplo, cuando estamos incubando una práctica, podemos tomar algunos recursos de nuestro equipo y meternos internamente y usarlos para incubar eso, llevarlo a un nivel particular de madurez y luego retirarlo para devolverlo a nuestros clientes. Por lo que crea muchas posibilidades y ventajas para nosotros, y el hecho de que somos capaces de exponer lo que está sucediendo con todos nuestros clientes. La naturaleza sensible de poder sentir y comprender, obviamente podemos usar ese conocimiento para fortalecer nuestra comprensión de lo que está sucediendo en el panorama de amenazas y usarlo internamente también para Infosys.

11:57 Raghu Nandakumara: Me encanta la forma en que expresas eso ya que casi ambos son incubadoras para mejorar en el otro lado y ese bucle de retroalimentación muy rico que tienes. Entonces, ahora cambiemos de marcha un poco y volvamos a ¿qué significa Zero Trust para el CISO de Infosys?

12:14 Vishal Salvi: Sí, así que, creo, vamos a dar un paso atrás. La ciberseguridad tiene que ver con los riesgos, vulnerabilidades y amenazas, y si va a ampliarla, también puede hablar de incidentes. Entonces, al final del día, siempre estamos lidiando con incidentes. Estamos lidiando con vulnerabilidades, estamos lidiando con amenazas y estamos lidiando con riesgos. Estas son las únicas cuatro cosas que estamos tratando. Ahora, eso es irreversible, eso no lo es, eso nunca va a cambiar por décadas. Así empezó, y así se mantendrá. Lo que hacemos en términos de nuestra metodología... entonces teníamos BS 7799, luego tenemos ISO 27001, y luego tenemos tantos estándares diferentes. Entonces tenemos diversas metodologías de medición de riesgos como NIST, FISMA, todo eso. Entonces tenemos tantos estándares diferentes, todo esto es evolución de cómo estamos viendo resolver este problema. Pero al final del día, todavía se trata de riesgo, vulnerabilidad, incidentes y amenazas. Por lo que los principios fundamentales de la seguridad de la información siguen intactos y los principios fundamentales seguirán estando ahí.

13:16 Vishal Salvi: Entonces, entonces, cuando miramos algo así como un Fideicomiso Cero, ¿qué significa realmente? Solíamos llamar a esta profesión como “seguridad de la información” hasta 2008, 2007. De repente, se convirtió en ciberseguridad y ahora todo el mundo habla de ello como ciberseguridad. Mañana empezaremos a llamarlo como seguridad digital. Entonces, las nomenclaturas pueden cambiar, pero la profesión avanza pero la base sigue siendo la misma. Los fundamentos siguen siendo los mismos, y así diría que Zero Trust es la evolución de esa misma cosa donde hemos evolucionado hacia esto. Zero Trust es un concepto nuevo; mañana hay algo más que va a entrar. Es solo que, al igual que la palabra de ciberseguridad se ha quedado atascada durante la última década, Zero Trust quizás también se quede atascada por un tiempo más antes de que algo más, algo más atractivo entre. Pero no es solo marketing. Creo que está emergiendo como una filosofía y la filosofía de la subcapucha se trata de mirar: “Bien, entonces, ¿por qué estamos hablando de...”

14:26 Vishal Salvi: Es casi como oxímoron. Porque cuando nos fijamos en Zero Trust, y estamos en el negocio de la confianza como profesionales de ciberseguridad, entonces ¿por qué estamos hablando de Zero Trust? Entonces lo que realmente significa es que dado el hecho de que ahora el perímetro ya no es el perímetro tradicional que lo teníamos, y hemos hecho adopción de la nube y hay dispersión de todos los endpoints, y ahora estamos hablando de cualquier lugar, de cualquier momento, de cualquier acceso a dispositivos, y 24 por 7. Creo que la forma en que conectamos las computadoras ha cambiado fundamentalmente, y para que realmente tengamos confianza en esas conexiones en el entorno actual, es necesario adoptar Zero Trust, lo cual construiré controles y equilibrios adicionales en las puertas correctas en estas conexiones para que sienta que estas conexiones son confiables. Y por lo tanto, desde mi perspectiva, cuando alguien venga, tendré una confianza cero en ellos hasta que esté convencido de que estas conexiones son confiables, y entonces construyes diferentes modelos alrededor de eso para que funcione. Entonces creo que esa es la forma más sencilla en que podría explicar lo que realmente significa Zero Trust.

15:45 Raghu Nandakumara: Me encanta escuchar eso en su totalidad. Entonces, en primer lugar, gracias y en todo eso, creo que el mensaje realmente poderoso que transmitió es que cada era trae su propio nuevo enfoque y una nueva estrategia. Pero creo que lo que para mí se destacó es cuando dijiste: “Pero los fundamentos siguen siendo los mismos”, y eso creo que es una lección tan importante. Y creo que Zero Trust literalmente está diciendo eso. Realmente se trata de los fundamentos, y quiero usarlo realmente como un peldaño a algunos de los elementos de los que has estado hablando en tu boletín mensual, que es una gran lectura y animo a todos a ir y echarle un vistazo. Hablas de la importancia de la higiene de seguridad y la razón por la que digo equipara la Confianza Cero con los fundamentos es que digo que una buena higiene de seguridad es lo mismo que un buen fundamentos de seguridad y uno de los fundamentos en eso debería ser que no se le debe otorgar nada de confianza implícita, que es realmente lo que dice Zero Trust. Entonces la higiene de seguridad, es tan importante. Lo articulaste brillantemente. Pero, ¿por qué a menudo es lo mismo que viene? Cada vez que leo sobre un nuevo ataque de ransomware, una nueva brecha de cualquier tipo, indaga en él y, a menudo, la causa raíz de ello es la falta de higiene de seguridad. ¿Por qué sigue siendo este un desafío para las organizaciones grandes y pequeñas?

17:11 Vishal Salvi: Yo llamo a esto “hacer las cosas aburridas”, y creo que la razón por la que no recibe tanta atención es porque es muy aburrido. Pero no solo es aburrido, también es ingrata. Entonces es decir, creo que la otra parte, y la tercera parte es un problema duro. Entonces puede imaginarse por qué vemos que la mayoría de la organización se equivoca debido a estos tres problemas. Creo que tenemos que hacer algo para que la gente entienda que necesitamos glorificar las cosas aburridas. Estas son cosas fundamentales. Número dos, necesitamos encontrar una manera de incentivar a la gente para que no se vuelva ingrata y premie y reconozca a los centinelas. Y no es el equipo cibernético, es el equipo de tecnología, los equipos de TI que están constantemente en él porque ¿adivina qué? Estamos lanzando vulnerabilidades y parches como nunca antes. Y tienes que hacerlo bien, y es una guerra asimétrica. Necesitas hacerlo bien todo el tiempo, y los malos tienen que hacerlo bien solo una vez. Entonces tenemos una cantidad significativa de asimetría en la forma en que esto sucede. Y lo tercero es que ha llegado el momento en que tenemos justo como tú estás hablando de Zero Trust, necesitamos tener una tolerancia cero hacia la higiene tecnológica básica.

18:29 Vishal Salvi: Por ejemplo, no importa cuán dinámico sea su entorno de TI, debe saber exactamente cuántos activos hay en su organización, cuántas aplicaciones hay en su organización, ¿qué cantidad de datos en la sombra y qué cantidad de TI en la sombra tiene? ¿Cuántos cambios están ocurriendo, dónde se están produciendo a través de un proceso de administración de cambios y en cuántos lugares tiene los ganchos adecuados para administrar esos cambios? A medida que la tecnología ha evolucionado, nos hemos visto obligados a dejar ir ese control y esos ganchos que tradicionalmente eran muy fuertes en tecnología y equipos de TI, porque todo el equipo de negocios, las unidades de negocio se han empoderado para impulsar su propia pila de tecnología. Pero al hacerlo, obtenemos la sensación de no poder controlar porque se convierte en una hidra de múltiples patas.

19:19 Vishal Salvi: Si empiezas a adoptar un enfoque de tolerancia cero, tenemos que empezar a tener una sensación de más gobierno en torno a: “¿Cómo manejamos esto?” Si bien queremos empoderar a las personas, si bien queremos tener velocidad y agilidad, no se puede hacer a costa de la higiene de TI y, por lo tanto, riesgo de ser violado. Entonces supongo que estos son algunos de los elementos importantes que uno debería mirar cuando lo hacemos, y creo, como usted dijo, y como he dicho en el pasado, que la mayoría de las brechas y la mayoría de los ataques que hemos visto no están sucediendo porque los atacantes están usando algún mecanismo de ataques muy pesado o muy sofisticado en tecnología. Ellos son... De hecho, algunos de los ataques en realidad están ocurriendo a plena vista. Ni siquiera necesitan ir y explotar algo. Ya tienen las credenciales de algún otro lugar, solo inician sesión y hacen el movimiento lateral.

20:13 Raghu Nandakumara: Sí, absolutamente. Por cierto, para volver atrás cuando hablabas de seguridad higiene como aburrido, ingrata, difícil. Me recuerda a tratar de que mis hijos hagan los deberes porque asocian la tarea con todas esas tres cosas y hay que hacerla interesante. Necesitas hacerles ver el valor, y necesitas incentivarlos. Pero, y como dices, los atacantes en última instancia para ellos, están en ello, es un negocio para ellos, por lo que quieren... idealmente quieren hacer bajo esfuerzo, alto retorno. Y de ahí que siempre estén atacando a la fruta baja. Pero creo que de veras eras... En tu respuesta realmente introdujiste algo que era realmente de actualidad, ya que dices que ahora cada vez más equipos de negocios están ejecutando su propio stack tecnológico. Entonces, no es el caso de decir: “Bien, TI, tú ejecutas la infraestructura, ve y parchea”. Tienes que llevar a todos a lo largo de ese viaje. Sé que una de sus áreas de verdadero interés es democratizar la seguridad. Entonces, ¿cómo tanto como CISO y luego también como líder de práctica, cómo se pone en marcha ese modelo de democratización de la seguridad para que todos estos grupos diversos que tienen alguna participación, o partes interesadas en la seguridad, en sus aplicaciones, cómo se unen todos detrás de un enfoque común de la cibernética?

21:38 Vishal Salvi: Sí, creo que el... Es un tema de cultura. Se trata de construir una cultura en la que podamos lograr que todas las partes interesadas entiendan su papel en términos de rendición de cuentas y responsabilidad hacia la ciberseguridad. Como profesión no hemos hecho un gran trabajo de publicitar bien esta profesión porque cuando nos llamamos los equipos de ciberseguridad, generalmente la percepción y expectativa es que esto mágicamente... este equipo va a resolver y manejar mis riesgos, y no necesito hacer nada. Mientras que en realidad la verdad es exactamente opuesta a eso. Los equipos de ciberseguridad son el catalizador activo de este cambio, pero el cambio real son las partes interesadas, los líderes empresariales, la junta directiva, el liderazgo de la organización, el personal, los empleados, los equipos de tecnología, los equipos de IS y todos los demás stakeholders que están ahí y cada uno de ellos necesita entender su rol y responsabilidad y luego hacerlo. Lo malo de la seguridad es que solo es visible cuando no está funcionando y es invisible cuando está funcionando.

22:48 Vishal Salvi: Mientras nadie esté explotando tu mala seguridad puedes vivir en una falacia de que en realidad estás seguro porque nadie te está atacando. Eso es exactamente lo que sucedió en el caso del ransomware, donde por primera vez, cuando el ransomware llegó con WannaCry y NotPetya, fue la primera vez que tuvimos un impacto indiscriminado de vulnerabilidad de seguridad en todas las industrias. Y de pronto toda la inseguridad que había ahí quedó expuesta que de otra manera no estaba ahí. Y por eso puedes explicar que la industria financiera está tan regulada y mucho más madura porque tenían todo el grueso de los fraudes sucediendo hasta tal momento que empezamos a ver ransomware. Y el ransomware solo afecta a cualquiera que entre en contacto. En internet, todo el mundo entra en contacto con todos. Entonces, volviendo a tu punto de vista, necesitas comenzar a mirarlo desde ese punto de vista para asegurarte de que lo democratizamos y cada parte interesada entiende su papel muy claramente. Se tiene que hacer como cultura y cada oportunidad que se obtiene, hay que asegurarse de que se impulse para que se convierta en un problema cultural donde...

24:01 Vishal Salvi: Y debo decirte esto por adelantado, Raghu, que todavía estamos en una etapa incipiente cuando hablamos de que la comprensión de la ciberseguridad es un tema cultural. La gente, incluso ahora como vemos que la mayoría de las partes interesadas la externalizan. Ellos no creen que sea su problema, y siempre hay este tema que nosotros sufrimos. La ciberseguridad se ve como una ciencia espacial. Se ve como algo que solo un especialista puede hacer. No lo es. Creo que es una cosa muy de sentido común. Cualquiera que entienda los fundamentos de la tecnología, no le toma mucho tiempo entender los principios y fundamentos de la ciberseguridad. De hecho, la remediación es algo que tiene que hacer la gente que tiene acceso de administrador, no puede ser realizada por los profesionales de ciberseguridad. En el mejor de los casos, pueden averiguar ese riesgo y vulnerabilidad y decírselo a usted. Pero necesitan... Los equipos que tienen acceso son los que deberían estar ejercitándolo, y deben saber configurar los sistemas de manera segura. Entonces ese es el cambio que tenemos que impulsar, y eso es lo que quiero decir con democratizar el ciber.

25:06 Raghu Nandakumara: Hay mucho contenido bueno en lo que acabas de cubrir allí. Eso es tanto que podría simplemente sumergirme profundamente... Creo que podríamos hacer como un episodio de podcast sobre cada segmento de justo lo que dijiste. Y quiero preguntar entonces, primero ciberseguridad, si lo reduce, es sentido común. Aplicar el sentido común a una variedad de problemas tecnológicos y de información es realmente de lo que se trata fundamentalmente la ciberseguridad y cuando se trata de ese cambio cultural y que todos estén involucrados en la ciberseguridad. Y como dice el cliché, tu primera línea de defensa es tu gente, y necesitan estar comprometidos en tu programa cibernético. Para las organizaciones que están adoptando una estrategia de Confianza Cero, ¿democratizar la seguridad forma una parte clave de cualquier adopción exitosa de Zero Trust? ¿Cuál es tu opinión?

26:06 Vishal Salvi: No, absolutamente. Zero Trust es una metodología para implementar su arquitectura de seguridad y la única manera en que puede tener éxito en la implementación de una arquitectura de seguridad es donde todas las partes interesadas acuden a la fiesta. Por ejemplo, cuando hablas de Zero Trust, uno de los cambios importantes que están sucediendo es sobre...

26:29 Vishal Salvi: Hay una convergencia que está sucediendo entre la seguridad y la red, y necesitamos poner al equipo de red sobre la mesa para poder realmente armar la arquitectura porque ese va a ser el futuro de la seguridad y la red. Y así los modelos antiguos, los modelos tradicionales de conectividad están siendo desafiados significativamente. Y a menos que seamos capaces de cambiar la mentalidad del equipo de red para adoptar esta seguridad definida por software y red definida por software, y se vuelve difícil. Entonces, creo que la colaboración y la asociación son importantes. Sólo si lo hacen a nivel arquitectónico, podemos ser realmente exitosos en impulsar la implementación de eso. Entonces, por lo tanto, creo que tanto como es técnico, creo que también es humano y aspecto que necesita ser impulsado a eso. Entonces definitivamente creo que ambas cosas tienen que suceder juntas para que tengas un programa exitoso.

27:21 Raghu Nandakumara: A menudo me preguntan como: “Bien, ¿cómo puedo ir y hacer algo realmente rápido? ¿Cómo puedo impulsar la transformación realmente rápidamente? Tengo esta nueva capacidad que quiero implementar”. Y lo que les digo es que siempre podemos encontrar una tecnología y podemos hacer que la tecnología funcione. Incluso podemos construir un proceso para usar esa tecnología. Pero solo va a impulsar una adopción rápida si A) tiene un mandato sólido sobre por qué debe ocurrir esa adopción y B) que todas las partes interesadas están comprometidas. Y que vean el valor en ello. Sin esos dos, el mandato y la participación de las partes interesadas, nunca va a obtener ningún tipo de adopción rápida. Y eso va a todas partes. Pero quiero preguntar en realidad, porque quiero atarlo de nuevo a algo que dijiste antes sobre cómo el valor de una inversión en seguridad nunca es obvio.

28:13 Raghu Nandakumara: Porque es algo así como, nunca dices, “No nos comprometimos porque teníamos X.” Es más el caso de “Nos comprometimos, nos violaron porque no teníamos Y”. Donde me interesará obtener su, tanto su toma de CISO como su líder de práctica toma es eso, ¿cómo demuestra un ROI tangible de las inversiones en seguridad? Tanto antes de conseguir ese compromiso de tu junta directiva para hacer la inversión, pero luego también, digamos seis meses más adelante, 12 meses después donde alguien pregunta: “Bien, hicimos, gastamos X, muéstrame lo que estoy recibiendo a cambio”. ¿Cómo haces eso?

28:55 Vishal Salvi: Mi opinión sobre esto es que no debe meterse en este problema de tratar de convencer a cualquier persona financiera ROI en productos de seguridad. Porque se puede discutir por ambos lados y nunca se puede estar de acuerdo. Si no quieres. Entonces creo que es un ejercicio fútil. Sé que la gente hace eso, pero no creo que debas hacer eso. Creo que la forma en que debe funcionar el modelo es así: Necesitas decidir como organización cuál es el riesgo que tienes por la ciberseguridad para tu organización y cuánto estás dispuesto a invertir. Ese es el número uno. Y entonces, entonces en mi mente, la seguridad se trata de mejorar cada día. Entonces donde estamos hoy, necesitas mejorar mañana y luego día después tiene que ser mejor que mañana. Entonces eso es realmente lo que, cómo debes hacerlo.

29:48 Vishal Salvi: Nunca puede ser que hoy seas cero, mañana vas a estar cien, simplemente no va a suceder. Entonces tiene que haber un nivel de confianza que una vez que tienes un equipo, equipo profesional para entregarlo, dices, sabes qué... cómo necesitas gastar este dinero. Tú vas y entregas el valor máximo y te haré responsable de ello. Porque es solo el equipo de seguridad el que entonces necesita realmente justificarse para sí mismo cómo quieren gastar ese dinero. Y sabrían lo mejor, ya sea entregando valor o no. No hay otra persona externa que alguna vez pueda acercarse a entender realmente lo que están haciendo, especialmente desde las finanzas. Entonces pienso esto: Realmente necesitas darle la vuelta a la cabeza y decir que no pierdas el tiempo en términos de tratar de salir con el cálculo matemático del ROI, sino empoderar a los equipos para impulsar su propio ROI. Entonces, dentro de los equipos de seguridad, definitivamente puede hacer ROI. Puedes saber cuánto has invertido y cómo ese control, cuál es la eficiencia y eficacia de ese control. Usted puede hacer eso. Pero no permita que alguien más venga y desafíe ese proceso porque al final del día, dedicará más tiempo a explicarle eso a la tercera persona en lugar de que realmente ese tiempo se dedique bien a proteger su organización.

31:05 Raghu Nandakumara: Me estoy riendo porque estoy seguro de que hay muchos líderes de ventas que todos han escuchado eso. Y presionará la cinta frente a un comprador económico y dirá, mira lo que dice el CISO Infosys sobre tratar de convencerte del valor de esta inversión.

31:20 Vishal Salvi: He sido, nuevamente, privilegiado de haber estado trabajando en organizaciones maduras que nos han dejado para hacer nuestro trabajo.

31:27 Raghu Nandakumara: Sí.

31:27 Vishal Salvi: Y en realidad no pasas demasiado tiempo preguntando realmente dónde estás gastando este dinero, por qué estás gastando este dinero aquí. Y porque lo que va a pasar es que si haces eso, entonces terminarás gastando en controles que son bajos en tu prioridad porque los chicos de finanzas convencieron de eso en comparación con el que es más importante para ti. ¿Correcto? Y ahí es donde creo que se convierte en un problema. Entonces de ahí es mejor que lo hagamos de esta manera.

31:49 Raghu Nandakumara: Realmente me gusta la forma en que expresaste eso, pero entonces déjame preguntarte algo relacionado. Como profesional de la seguridad: ha hecho una evaluación de riesgos. Ya lo ha hecho, ha modelado amenazas para su entorno y ha identificado sus brechas. ¿Dónde dice ahora: “Bien, tengo un bote de dinero. Y tengo, me toca a mí donde lo invierta”. ¿Qué impulsa la inversión diciendo “capacidad X” o “capacidad Y”? Y entonces, ¿cómo mides que estás obteniendo valor de eso?

32:22 Vishal Salvi: Sí, creo que todo se trata de metodología para mirar tu evaluación de riesgos y obviamente lo hacemos todos los años, y tú lo haces... la mejor manera de hacerlo es tener una base de evaluación de riesgos de tu empresa donde hayas analizado todos los riesgos y hayas visto cuáles son los que son de alto riesgo, y cómo quieres priorizar la remediación.

32:43 Vishal Salvi: Y luego miras, bien, qué hay ahí afuera y qué necesito hacer y cuáles son los elementos importantes que necesito para mirarlo. Y luego dices, bien, haces una clasificación y luego dices, bien estos son los que realmente necesito, y por supuesto, necesitas mirar la asequibilidad porque ni siquiera puedes si - por ejemplo, obtienes todo el dinero que se requiere para todos ellos, no es práctico para ti ni siquiera ejecutar eso. Tendrás dificultades para realmente entonces gastar ese dinero. Por lo tanto, necesita poder equilibrarlo entre prácticamente cuánto podrá implementar y también cuál es la asequibilidad de su organización, dado el contexto de su organización y su contexto de negocios y necesita ser realista en torno a eso. No puedes estar pidiendo un tipo de situación sin fondo.

33:24 Vishal Salvi: Así que creo que si eres capaz de hacer ambas cosas y calibrarlo bien, entonces obtienes un bote de dinero y luego obviamente defines el programa, dárselo a tu equipo y decir, bien, ahora que tienes esto, ahora asegúrate de ejecutarlo. Pero lo que es más importante, creo que necesita asegurarse de hacer una revisión posterior a la implementación de esa inversión y devolver esa retroalimentación a los equipos para que puedan obtener alguna seguridad de que hemos sido capaces de ejecutar nuestros programas como se definen de manera oportuna y lograr nuestros objetivos. Así que eso genera más confianza.

34:01 Raghu Nandakumara: Sí, 100%, 100%. Entonces, con eso, cuáles están viendo como las tasas de éxito en, digamos clientes en adoptar una estrategia Zero Trust. Aquellos que han tomado ese camino y están tomando ese camino potencialmente con ustedes mismos ayudándolos. ¿Cuáles ves como algunos de los éxitos y fracasos?

34:21 Vishal Salvi: El desafío de adoptarlo es que actualmente nos encontramos en un mundo de arquitectura muy complejo. Donde tenemos soluciones completas, múltiples herramientas. Algunos de ellos están integrados, muchos de ellos están trabajando en silos y es como un ensamble muy complicado de diferentes tecnologías. Y es necesario consolidar. Es necesario integrar. Es necesario analizarlo profundamente con la integración con el stack tecnológico. Y creo que estamos muy lejos de eso. Entonces ese es un reto muy importante y una de las razones por las que la implementación no tiene éxito es por ello. La otra parte es, en términos de que hay tanto legado que qué priorizo y cómo me modernizo. ¿Y hago una cirugía a corazón abierto o tomo medicamentos?

35:08 Vishal Salvi: Creo que esas preguntas son muy críticas y muy a menudo debido a la enorme cantidad de legado, no es muy fácil cambiar y pivotar hacia una nueva forma de hacer las cosas. Hay organizaciones con visión de futuro que están tomando un enfoque completamente diferente hacia hacer por completo grandes transformaciones y una modernización importante de su tecnología así como de su pila de seguridad y una vez que lo ven como un programa y lo impulsan de manera integral, creo que esas organizaciones tienen más posibilidades de tener éxito, en lugar de hacerlo de esta manera, ¿verdad? Especialmente porque estamos pivotando a lo grande en el mundo híbrido y la adopción de la nube y eso no es un cambio trivial. Es una transformación masiva y no puede subrayar la importancia del cambio en la arquitectura de seguridad.

36:00 Raghu Nandakumara: Sí. ¿Cree que una transformación, todo este tipo de cambio arquitectónico, un cambio en el modelo de consumo e incluso hasta la forma en que construimos las aplicaciones, ese cambio debe madurar antes de que pueda ocurrir la transformación de la seguridad? ¿O ves esto como pistas muy paralelas que deben suceder juntas en sincronía?

36:23 Vishal Salvi: Creo que lo que se requiere es que tenga que ser un esfuerzo colaborativo. Por ejemplo, cuando esté haciendo cualquier aplicación nueva que necesite hacer, mire el modelado de amenazas. Debe comenzar a analizar, además de hacer otras cosas, también debe comenzar a buscar la seguridad de API, SDLC seguro, canalización segura de CI/CD. Hay que hacer tantas cosas. Entonces creo que se tiene que hacer. Yo diría que será poco realista esperar que todo vaya a suceder al mismo tiempo. Creo que lo importante es un esfuerzo colaborativo y un enfoque hacia la seguridad por diseño. Entonces, todo lo que hagas, siempre debes tener consideraciones de seguridad en ello. No ignores la seguridad porque no puedes imaginar ningún mundo hoy sin digital. Y dondequiera que haya digital, la seguridad tiene que estar ahí. Creo que esa es la base fundamental para crear una arquitectura a prueba de futuro. Y ese cambio es importante y si alguien solo está usando una tarjeta de crédito y comprando una carga de trabajo en la nube y luego simplemente poniendo un código de negocio y tratando de hacer algo y hay, estás ignorando descaradamente todos los controles de seguridad, solo estás pidiendo que ocurra un desastre. Entonces eso es realmente a lo que me refiero.

37:47 Raghu Nandakumara: Sí. Hablas como lo has visto un par de veces. Leí una de tus publicaciones realmente interesantes, y creo que se tituló “Cero confianza con Zero Touch”. Y presenta la idea de cómo el ML y tal vez en el futuro más tipo de IA de propósito general realmente va a beneficiar la implementación de controles Zero Trust y la, voy a llamarlo seguridad siempre encendida, o seguro por diseño o como quiera llamarlo. ¿Dónde cree la aplicación del aprendizaje automático, y luego de manera más general de la IA, hacia Zero Trust? ¿Como qué es eso?

38:30 Vishal Salvi: Sí, entonces Raghu, en realidad “Zero Trust through Zero Touch” realmente lo que realmente significa es una visión para hacer hiperautomatización. Eso es realmente lo que significa. Porque las cosas no se están escalando para resolver el problema de las operaciones de seguridad.

38:47 Vishal Salvi: Siempre encontrarás lapsos porque simplemente no podemos conseguirlo. Así que al igual que los autos ahora están completamente automatizados y los bots están fabricando autos, es necesario tener robots que necesiten hacer que las operaciones de seguridad funcionen. Eso es realmente lo que significa. Pero esa es la visión. Ahí es donde tenemos que ir. No creo que estemos listos ahí ahora mismo. Yo diría que no habríamos llegado donde estamos en innovación de seguridad sin uso de ML, porque hay una cantidad significativa de ML en todo lo que hacemos. Cada aspecto de la seguridad o tecnología hoy en día tiene mucho aprendizaje porque no vamos a estar deteniendo el 92% del spam si no tuviéramos ML. Creo que el uso de la IA y cómo lo hagamos en el futuro va a ser un aspecto importante a tener en cuenta.

39:34 Vishal Salvi: Hay muchos ejemplos de casos de uso en los que podríamos hacerlo. Por ejemplo, en las pruebas, en términos de monitoreo, en realidad podríamos crear un algoritmo de IA para todo eso, y se madurarán cada vez más. Al mismo tiempo, también analizaremos la IA adversarial y cómo empezamos a mitigar y construir algunos controles en torno a eso. Y luego hay una tercera cosa. Al igual que tenemos seguridad por diseño, tenemos privacidad por diseño, la IA por diseño ética va a ser un elemento importante del futuro.

40:00 Vishal Salvi: Y entonces tendremos que vigilar de cerca y ver cómo impacta al mundo de la ciberseguridad. Creo que las personas son las que lo diseñan y todo el trabajo cognitivo debería ir a pensar en lugar de hacer actividades mundanas, que es lo que estamos ahora mismo usando un ancho de banda muy cognitivo para hacer cosas que no están agregando valor al humano. De todos modos tenemos un serio reto de demanda versus oferta. Entonces creo que nunca nos alejaremos de esta situación de desempleo cero para los profesionales de ciberseguridad, a pesar de toda la automatización que vamos a hacer. Entonces no creo que sea ningún riesgo del que debamos preocuparnos. Creo que siempre debemos esforzarnos por hacer cada vez más trabajo cognitivo y automatizar completamente todo lo que no agrega mucho.

40:46 Raghu Nandakumara: Sí. Toca a la madera que nosotros los ciberprofesionales tenemos trabajos para siempre. Entonces, justo antes de concluir, ¿qué te emociona de lo que está en el horizonte como líder de la práctica cibernética? ¿Qué es lo que estás viendo de tus clientes que realmente te da emoción, como practicante de seguridad?

41:05 Vishal Salvi: Por un lado, siempre espero que seamos capaces de resolver este problema y que tengamos menos brechas e incidentes menores porque ese es el mundo al que queremos aspirar. Y no queremos tener una situación en la que estemos esperando que ocurran más incidentes para que podamos tener más seguridad laboral o que lleguen más ingresos. Al menos no me suscribo a eso. Entonces quiero tener un mundo donde seamos más seguros digitalmente, al igual que hemos podido resolver este problema para los viajes aéreos y tantas otras actividades donde haya una tolerancia cero a cualquier riesgo.

41:40 Vishal Salvi: Creo que el ciberespacio llegará a ese punto de inflexión en algún momento en el que todo el mundo se despertará y todo el mundo empezará a tomarlo muy en serio y realmente habríamos democratizado el ciberespacio. Creo que ahí es cuando en realidad se inclinará y luego empezará a bajar, y se convertirá en un no problema. Eventualmente ya no será una noticia y será una forma de hacer las cosas, pero estamos muy lejos de eso, quizás a décadas de eso ahora mismo. Ahora mismo sigue siendo alguien recibiendo brechas en los titulares de noticias en este momento. Creo que necesitamos... Entonces vamos a hacer sistemas más seguros por diseño para que no tengamos estos... el reto de parchear y poner vendaidas cada vez y conseguir que toda la plomería se desordene.

42:18 Raghu Nandakumara: Sí. Y creo que eso es muy interesante porque aterriza muy bien en este impulso real que estamos viendo en torno a la resiliencia cibernética. Que es casi como si las brechas vayan a suceder. Si construimos nuestra infraestructura, nuestros controles, etc., de una manera que nos permita simplemente seguir funcionando de la manera más óptima posible, entonces esencialmente se convierten en un inconveniente. No se convierten en noticia titular cada vez que sucede lo mismo.

42:47 Vishal Salvi: No, creo que la resiliencia cibernética es un tema muy importante en el contexto actual porque tenemos que asumir que las brechas van a suceder. Y tienes que averiguarlo, tenemos que tener una manera en la que tu organización sea capaz de responder con calma y frio a esa brecha en particular de una manera en la que no sean capaces de contenerlo y recuperarse de eso, sino también volver a la reanudación del negocio muy rápidamente, y hacerlo de una manera muy profesional y tranquila. Y que todos entiendan sus roles y responsabilidades y tengan un libro de jugadas adecuado para ejecutar eso.

43:18 Vishal Salvi: Así que creo que ese es un tema muy importante y la mayoría de las organizaciones lo están analizando. Y creo que es algo que es un ingrediente muy importante de tu estrategia en el futuro.

43:27 Raghu Nandakumara: Sí, me gustan las palabras con calma y frio. La resiliencia cibernética es poder continuar la operación de manera tranquila y fríamente incluso después de la violación. Sí, eso es algo lindo para dejar bien a los oyentes. Vishal, realmente apreciamos el tiempo que nos hemos tomado para tener esta conversación con nosotros aquí en The Segment. Todos escuchando bien, por favor vayan y revisen el boletín mensual de Vishal en LinkedIn. Es excelente; increíbles conocimientos de CISO del propio Vishal. Se llama “CyberTalks: La toma de un CISO sobre todas las cosas de ciberseguridad”. Vishal, muchas gracias. Sólo esto ha sido un placer.

44:03 Vishal Salvi: Gracias. Y lo mismo aquí. Muchas gracias por tenerme hoy aquí, Raghu, y fue un placer platicar hoy y realmente disfruté esta conversación.

44:13 Raghu Nandakumara: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También podrías conectarte con nosotros en LinkedIn y Twitter en Illumio. Y si te gusta la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que consigas tus podcasts. Soy tu anfitrión, Ragu Nandakumara, y volveremos pronto.