Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
La historia de Zero Trust Origin
Season Two
· Episodio
1

La historia de Zero Trust Origin

¡Bienvenido de nuevo a El Segmento! En nuestro estreno de la Temporada 2, el presentador Raghu Nandakumara se sienta con John Kindervag, Evangelista Principal de Illumio y el “Padrino de la Confianza Cero”, para desempaquetar la historia de origen de John Zero Trust, donde la gente se equivoca en sus viajes de Zero Trust, el impulso federal Zero Trust y mucho más.

Transcripción

0:00:00.0 Raghu Nandakuma: Dije que todas las interfaces deberían tener la misma confianza y debería ser cero. Y de ahí es realmente de donde viene Zero Trust. Es solo un retroceso en contra de cómo estábamos construyendo firewalls lo que afectaba a la política y no había razón para ello.

0:00:18.5 Raghu Nandakuma: Estamos de vuelta con una nueva temporada de The Segment, un podcast de liderazgo Zero Trust. Soy su anfitrión Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la empresa de segmentación Zero Trust. Para dar inicio a la segunda temporada, me une John Kindervag, un hombre que no necesita presentación en el mundo de Zero Trust. John es ampliamente considerado como uno de los principales expertos en seguridad cibernética del mundo. Con más de 25 años de experiencia como practicante y analista de la industria, es mejor conocido por crear el revolucionario modelo Zero Trust de ciberseguridad. Ahora, como evangelista jefe de Illumio, John es responsable de acelerar la toma de conciencia e impulsar la adopción de la Segmentación de Confianza Cero. Hoy, John se une a nosotros para discutir la historia del origen de Zero Trust, donde la gente se equivoca en sus viajes de Zero Trust, qué significan AI y ML para el futuro de la seguridad y mucho más.

0:01:18.1 Raghu Nandakuma: Este es El Segmento. Este es un podcast de liderazgo Zero Trust. Y para dar inicio a la segunda temporada, creo que es justo que tengamos como nuestro invitado de apertura, al padrino de Zero Trust. Yo diría que la razón por la que en realidad estamos teniendo esta conversación en este podcast, el señor John Kindervag, evangelista jefe de Illumio. John, bienvenido.

0:01:45.2 John Kindervag: Hola, Raghu. Siempre es un placer platicar contigo y emocionado de estar en este podcast en particular. Este es el podcast más importante de Internet.

0:01:54.5 Raghu Nandakuma: Absolutamente. Y creo que la importancia de ello acaba de subir un nivel, John, con tu presencia en ello. Entonces, por supuesto, pasaremos a hablar de Zero Trust justo de vuelta a su tiempo en Forrester a su debido tiempo. Pero antes de eso, a todo el mundo le encanta una buena historia de origen y tienes una gran suerte de, diría yo, apodo o título como el padrino de Zero Trust. Entonces, ¿cómo se convirtió el padrino de Zero Trust en el padrino de Zero Trust?

0:02:25.1 John Kindervag: Accidentalmente, fue simplemente un accidente. Es decir, he tenido muchos trabajos. Crecí en una granja y por eso he estado trabajando desde que era un chiquito. Y mi primer trabajo remunerado, porque cuando trabajas en cuando vives en una granja tienes muchos trabajos, pero no te pagan, te alimentan. Pero mi primer trabajo real fue como limpiador de máquinas de escribir y aprendiz de reparador. Esa es una carrera en la que me alegro de no haberme quedado porque ya no existe. ¿Correcto? Una persona en el mundo necesita un reparador de máquinas de escribir, y ese es Tom Hanks. De hecho tiene su propio reparador de máquinas de escribir porque colecciona máquinas de escribir vintage de todas las cosas. Entonces, creo que la vida es una de esas cosas donde si vas en el viaje terminas yendo en diferentes lugares. Y así, durante mucho tiempo, fui ingeniero de broadcast porque me gustaba la tecnología y eso era lo más tecnológico del planeta.

0:03:20.4 John Kindervag: Haciendo enlaces ascendentes satelitales, hice las transmisiones satelitales para el bombardeo de Oklahoma City para Reuters y todos los canales de noticias internacionales. En Londres, hice Sky Feeds y todo ese tipo de cosas. Y empiezas a involucrarte cada vez más en la tecnología y luego sucedió el mundo informático. Y empecé a hacer animación por computadora. Y lo divertido de eso fue realmente construir las computadoras más que animar las cosas. Y así, comencé a construir computadoras realmente de gama alta por mi cuenta. Y entonces salió esta cosa llamada Doom. ¿Recuerdas el videojuego Doom?

0:04:03.9 Raghu Nandakuma: He perdido muchas tardes en la escuela secundaria jugando Doom y luego enfermándome esencialmente por el mareo por movimiento de los gráficos 3D en ese momento.

0:04:13.2 John Kindervag: Sí, entonces fue el primer juego que soportó capacidades multijugador en una red. Y así, convencí a mis jefes de que necesitábamos una red para poder transferir archivos para la animación de video. Pero en realidad, los archivos aún eran demasiado grandes tuvimos que transferirlos en discos duros. Nunca supo eso. Pero aprendí a construir redes ethernet para que pudiéramos jugar Doom. Y así debo todo mi éxito, supongo, a la gente de Grand Prairie en id Software que creó Doom y descubrió cómo hacer juegos multijugador. No estaba en línea, por supuesto, la capacidad en línea vino más tarde. Pero tendrías fiestas terrestres donde la gente se reuniría y traería computadoras y jugaría Doom, y luego Quake y otras cosas. Entonces, ves cómo la tecnología empuja las cosas de una manera u otra. De hecho, estaba hablando con un tipo de Cisco de la vieja escuela y me dijo; “No puedes creer cuánto código teníamos que poner en iOS solo para apoyar las fiestas Doom después del trabajo que estaban sucediendo en empresas de todo el mundo”. Por lo tanto, podemos agradecer a Doom por muchos de los avances en computadoras y redes y, en última instancia, en ciberseguridad.

0:05:32.7 Raghu Nandakuma: Entonces, ¿cómo se movió entonces eso a las redes y luego, cuál fue entonces la progresión de pasar a la red y luego a la seguridad de la red?

0:05:41.7 John KinderDía: Cuando empecé a pasar de la ingeniería de broadcast a la creación de redes, nadie quería hacer seguridad. Se pensó no solo en una idea tardía, sino, ¿por qué querrías hacer eso? El futuro está en el enrutamiento y la conmutación. Ahí es donde están sucediendo todas las cosas emocionantes. Y no pensé que eso fuera particularmente emocionante. Y alguien dijo; “No podemos conseguir a nadie que tome nuestro trabajo de seguridad, instalando firewalls y esas cosas”. La gente pensaba que eso era estúpido. ¿Por qué necesitaría eso? Bueno, lo intentaré. Entonces, es solo estar ahí y encontrar una oportunidad y simplemente decir que sí cuando alguien necesitaba hacer algo. Siempre trato de decir que sí a menos que sea un poco imposible decir que sí por el tiempo o algo así. Pero, quieres probar las cosas y ver dónde va a funcionar y ser curioso. Entonces, me interesaba mucho esta cosa llamada seguridad, que realmente tenía un par de productos que tenían antivirus y tenía firewalls.

0:06:48.2 John KinderDía: Y eso fue todo. Y comenzar el proceso de instalación de firewalls realmente llevó a Zero Trust. Porque en la tecnología de firewall, existía el concepto de un modelo de confianza donde Internet estaba en la interfaz no confiable y la interfaz que iba a la red interna era de confianza. Y debido a esa relación de confianza, no necesitaba una declaración de política para mover el tráfico de la red interna o de confianza a la red externa o no confiable. Y yo dije; “esto es una locura. La gente va a sacar datos de aquí”. Y ellos dijeron; “No, no lo van a hacer. No puedes”. Y así, lo sacaría por regla y luego me metería en problemas. Saca eso. No es así como el vendedor dice que se supone que se debe hacer. Y estoy tratando de explicar lo que estamos tratando de detener. Y dije que todas las interfaces deberían tener la misma confianza y debería ser cero.

0:07:40.8 John Kindervag: Y de ahí es realmente de donde viene Zero Trust; es solo un retroceso en contra de cómo estábamos construyendo firewalls, lo que afectó la política. Y no había razón para ello. Conozco al tipo que creó ese modelo de confianza y fue arbitrario. Simplemente eligió el término confianza en su garaje cuando construyó una NAT Box, ¿verdad? Entonces, la gente ya no piensa en NaTing porque es tan automatizado. Pero en ese momento, solo convertir una dirección RFC 1918 en una dirección enrutable era algo increíblemente complejo. Y un tipo que conozco en la costa oeste creó un software y en realidad se lo dio a un amigo suyo que creó una tecnología para NAT. Y entonces ese tipo lo vendió a una gran empresa y se convirtió en uno de los primeros firewalls. Y fue ese modelo de confianza que seguimos peleando 25, 30 años después como uno de los mayores problemas que tenemos.

0:08:42.5 Raghu Nandakuma: Me encanta cómo lo describe, ¿verdad? Y ese tipo de casi digamos momento de bombilla, o momento de sentido común que dice, ¿por qué estamos simplemente confiando implícitamente en lo que hay en un lado del firewall en lugar de decir que la otra cosa es arbitrariamente poco confiable? Quiero hacerle una pregunta. Todo este tipo de enfoque de seguridad de confianza pero verifique, o como quiera resumir eso, ¿verdad? Esa ha sido realmente la base de cómo ha evolucionado una gran cantidad de estrategias de seguridad, al menos hasta que se conceptualizó y se adoptó Zero Trust. Pero, ¿cuál fue la base de ese enfoque de 'confiar pero verificar' y la cantidad de inversión que se invirtió en él para mantenerlo?

0:09:28.4 John Kindervag: Bueno, la realidad, por extraña que sea, es que en los años 80, el gran experto en ciberseguridad Ronald Reagan utilizó ese término en su discurso con Mikhail Gorbachov. Dijo, estaban firmando, creo, un tratado de proliferación nuclear o algo así. Y dijo, vamos a acatar ese viejo proverbio ruso. Y luego dice el proverbio ruso en ruso. Y yo estoy... Mi ruso, nunca puedo pronunciarlo correctamente, pero es algo así como prover y conozco prover y yo. Y él dijo, y eso por supuesto significa confianza pero verificar cual es la traducción literal del mismo. Pero la esencia de ello en ruso es que no vamos a confiar en ti hasta donde podamos lanzarte. Y eso es lo que le estaba diciendo a Gorbachov. Dijo; “Bien, sí. Estamos firmando este tratado, pero no voy a confiar en ti hasta donde pueda arrojarte”. Pero la gente no miraba la historia de fondo. Ellos sabían: “Bueno, Ronald Reagan lo dice, así que debemos hacerlo”.

0:10:19.5 John Kindervag: Y yo estoy como, ¿por qué? La gente me decía eso todo el tiempo. Estoy haciendo esto porque Ronald Reagan dijo que lo hiciera. ¿Qué? ¿Qué sabe él de tecnología? Nada. ¿Correcto? Y así, y las cosas simplemente pasan. Y porque ya nadie lo es, es curioso, intelectualmente curioso y pregunta ¿por qué estamos haciendo eso? ¿Quién dijo eso? Oh, bueno, déjame mirar y ver qué pasó en realidad. Hay un clip de YouTube en él. Ves eso y te vas, él no quiere decir lo que crees que estás queriendo decir. Y entonces de ahí es de donde vino. Pero hay tantas cosas que se vuelven una especie de sacrosanto sin razón alguna, solo porque nadie sabe de dónde vinieron. Y alguien lo dijo una vez y luego nadie lo cuestiona. Tenemos una verdadera falta de curiosidad intelectual en este mundo. Y eso va para cualquier cosa que alguna vez haya dicho, de la mitad de lo cual probablemente no puedo recordar.

0:11:15.6 John Kindervag: Pero sí, necesitas validar las cosas que todo el mundo dice y ver si son ciertas. Derecha. Yo era la única persona que preguntaba, ¿cuál es la definición de confianza? Y eso es algo realmente difícil de definir, porque hasta los años 50, solo se usaba en conversaciones filosóficas o conversaciones religiosas. Era un término de arte de esos dos dominios. Y dije hace varios años que la confianza es una vulnerabilidad que se convirtió en un dicho mío. Y luego me enteré después, porque más cosas se publicaron en internet que había un tipo llamado Morton Deutsch, que era teórico del lugar de trabajo. Y en 1958 dijo lo mismo. No lo sabía cuando dije que la confianza es una vulnerabilidad, pero definió la confianza específicamente como la disposición de un individuo a ser vulnerable a otro individuo. Eso es la confianza. Eso es lo que él lo definió en el ámbito laboral.

0:12:19.6 John Kindervag: Y creo que esa es una definición tan buena. Y encaja exactamente con lo que he estado tratando de decir. Y entonces, estoy pensando en una vulnerabilidad técnica, esa confianza es una vulnerabilidad tanto como no tener tu máquina parcheada. Es como que el hecho de que confíes en algo es una locura porque es un sistema digital y no necesita una emoción humana, confianza, ¿verdad? Esa es una emoción humana que hemos inyectado en los sistemas digitales porque estamos tratando de entenderlos desde una perspectiva humana. Antropomorfizamos mucho las cosas. Decimos cosas como, John está en la red, Raghu y John están hablando en la red y ambos están en la red. Y ninguno de nosotros está en la red. No nos hemos encogido en partículas subatómicas, y no nos han enviado por internet público para que podamos tener esta conversación.

0:13:07.5 John Kindervag: Esta conversación es bastante milagrosa, ¿verdad? Recuerdo cuando salió la película 2001 is Space Odyssey, otra vez, mucho antes de que nacieras. Estamos viendo eso de niños y ellos están haciendo una videollamada desde el espacio hasta la tierra y como guau, ¿es eso posible? ¿Una videollamada? ¿Cómo sería eso posible? Y así, durante años fue imposible. Y ahora lo imposible es nuestra vida cotidiana. Y eso es una locura en esa cantidad de tiempo que hemos visto tanto avance en tecnología.

0:13:44.7 Raghu Nandakuma: Entonces, antes de pasar a Zero Trust ¿verdad? Solo quiero dedicarme un par de minutos más a la confianza. Entonces, con el tiempo, las organizaciones han dedicado tanto tiempo y esfuerzo esencialmente a crear y mantener una infraestructura confiable, ¿verdad? Desde el tipo de cableado que colocan en sus centros de datos hasta los dispositivos de red, hasta luego el cómputo que está conectado a eso, al SO y las aplicaciones que se ejecutan en eso, ¿verdad? Así que esencialmente, y luego los usuarios que finalmente acceden a eso. ¿Crees que esa obsesión por tratar de mantener la confianza realmente ha obstaculizado tanto la productividad como la ciberseguridad?

0:14:28.9 John Kindervag: Sí, porque se vuelven complacientes. ¿Correcto? Entonces ellos, yo estaba en Alemania justo antes de la pandemia. Alemania, Suiza. Algún lugar que hablaba alemán, y estaban teniendo una larga discusión en alemán sobre la confianza, y estaban tratando de definirla. Y se les ocurrió una palabra. Y él dice: Oh, solo significa perezoso. La gente es perezosa, y no quiere hacer nada diferente. Entonces, van a confiar en ello, ¿verdad? Si creo que este es un entorno de confianza, no tengo que hacerle nada. Puedo ser perezoso al respecto. Y recuerdo decirle eso a un CISO cuando dijo que sí confiaba con verificar. Dije, bien, entiendo lo que es la confianza, significa que no vas a hacer nada. Pero, ¿qué estás haciendo para verificar cuando dijo confiar con verificar? Y dijo; “Oh, nada, porque son usuarios de confianza. Entonces sería grosero verificarlo”.

0:15:19.5 John Kindervag: Bien, entonces en realidad no estás haciendo absolutamente nada en ciberseguridad. Eso es maravilloso de escuchar. Y eso lo he visto una y otra vez, donde casi literalmente no pasa nada. Y, sin embargo, la gente está pontificando sobre todas las cosas importantes que están haciendo cuando en realidad, no están haciendo casi nada.

0:15:39.9 Raghu Nandakuma: Me encanta como acabas de expresar que la confianza engendra complacencia. Y tomar ese enfoque, en última instancia, no es un avance en ciberseguridad. De hecho, puede ser una regresión. Entonces, vamos a hablar ahora de Zero Trust. Y refiriéndose al tipo de dos, diría artículos seminales que publicaste cuando eres analista en Forrester, no más centros masticables y construyes la seguridad en el ADN de tu red, la arquitectura de red Zero Trust. Por supuesto, la motivación detrás de esos estaba más allá de esa imagen de un firewall con una interfaz confiable y no confiable y decir, esto es realmente estúpido. Háblanos un poco más sobre la motivación detrás de esos papeles, y lo que estabas buscando capturar cuando los publicaste.

0:16:24.5 John Kindervag: Bueno, cuando estaba en Forrester, en ese momento, hacer investigación innovadora era realmente importante. Teníamos... Recuerdo mi primer día de mi clase de formación de analistas, Ellen, la señora a cargo magníficamente brillante persona, una física. Ella escribió en la pizarra nuestra descripción de trabajo. Y fueron tres palabras; “Piensa grandes pensamientos”. Entonces, trabajé en un lugar que incentivaba grandes pensamientos y pensamientos que eran disruptivos. Y eso te dio la oportunidad de ir a lugares a los que probablemente hubieras tenido miedo de ir en otras organizaciones. Entonces, se me encargó una pregunta; ¿por qué la ciberseguridad no funciona? Correcto. Y esa pregunta se hizo en 2008. Y después de dos años de investigación primaria publiqué 'No More Chewy Centers'. Al dar vueltas, me di cuenta, Oh, todos estos incidentes de ciberseguridad, violaciones de datos, todos fueron causados por la explotación de este modelo de confianza que considero, siempre lo llamo el modelo de confianza rota.

0:17:31.5 John KinderDía: Porque no es el modelo de confianza, es la confianza rota. Y así eso culminó en dos años de dar discursos y webinars y probar comercializarlo y salir a expertos que conozco hacer agujeros en esto. Había mucha gente que decía; “No me gusta la idea, pero no veo nada malo en ello”. Algunas personas dijeron: “Guau, esto es increíble”. Entonces hubo suficiente ánimo para ir, bien voy a seguir con eso. Y así fue como toda la investigación en Forrester retrocedió en su día. Y así, todo se trata de incentivos en la vida, ¿verdad? Charlie Munger, quien era el compañero de Warren Buffett, el menos conocido de los dos, pero murió hace unas semanas. Y dijo que todo el tiempo, todo se trata de incentivos. Dime cómo se incentivan las personas y te diré cómo se comportan.

0:18:22.0 John Kindervag: Y tenemos muchos incentivos perversos en ciberseguridad. Tenemos tanto miedo de romper las cosas, ¿verdad? Tenemos este triángulo de la CIA. Estás familiarizado con el triángulo de la CIA. ¿Qué es?

0:18:34.0 Raghu Nandakuma: Absolutamente.

0:18:34.0 John Kindervag: Cuales son las tres cosas a las que voy a hacer, te van a hacer un quiz de vuelta.

0:18:39.0 Raghu Nandakuma: Al menos esto es algo que sé, y esto es gracias a toda la formación CIS que he realizado a lo largo de los años. C por confidencialidad, I por integridad, A por disponibilidad.

0:18:50.3 John Kindervag: Derecha. Y se supone que es este triángulo equilátero, ¿verdad? Excepto que no lo es. ¿Qué es lo más importante ahí? ¿Son todos iguales?

0:18:58.5 Raghu Nandakuma: Esa es una pregunta interesante. Entonces, cuando hablo de esto, y hablo de esto a clientes y prospectos, lo que digo es; “¿son iguales?” Obviamente les importa proteger sus datos, la integridad de los mismos, pero lo que más temen es que; “oh bueno, ¿y si mi aplicación se rompe?” Entonces, se obsesionan con la disponibilidad. Entonces, es que no se puede poner seguridad a menos que pueda asegurarme absolutamente que la disponibilidad no va a ser comprometida. Entonces, dependiendo si le preguntas al dueño de la aplicación, su respuesta será, me importa que mi aplicación funcione y luego me importan las otras cosas.

0:19:27.6 John Kindervag: Si. Entonces, yo diría que la disponibilidad es tan importante que es ahora, no sé, ¿qué es eso? ¿Un triángulo isósceles? Donde tienes una hipotenusa realmente larga que es disponibilidad, ¿verdad? Y luego la integridad. Ya ni siquiera estoy seguro de lo que eso significa debido al hashing. Y es bastante fácil controlar la integridad de sus datos. Pero bromeo que la C ahora representa compromiso. Tenemos muchas redes comprometidas altamente disponibles. porque el tiempo de permanencia, tuvimos esta conversación hace un par de semanas, ¿cuánto tiempo de permanencia? ¿Cuáles son los datos sobre el tiempo de permanencia? ¿Cuánto tiempo tardan los malos en tu organización antes de que los atrapen? ¿Correcto? Y es, lo que estabas diciendo los últimos datos eran de IBM.

0:20:11.6 Raghu Nandakuma: Del informe de violación de datos de IBM de este año, las organizaciones tardan un promedio de 277 días en identificar y luego contener los ciberataques.

0:20:23.0 John Kindervag: Ahí va. 277 días. Entonces que si C significa confidencialidad, no es una muy, es una C minúscula, ¿verdad? En realidad es eso, que están comprometidos ahí por 200 y algo días. Eso es casi un año por casi un año. La gente mala está en tu casa. Bromeo que es como que el modelo de confianza es este. Si estoy sentado viendo televisión con mi esposa y veo a un tipo sacando cerveza de la nevera, digo: “Cariño, ¿conoces a esa persona sacando cerveza de la nevera?” Y ella dice: “No, yo no”. Yo dije: “Bueno, él es capaz de sacar cerveza de la nevera, por lo tanto puedo inferir que se supone que está aquí. Entonces, deberíamos hacer la habitación de invitados”. Irás a por sábanas limpias y yo voy a cambiar la cama. Eso es lo que sucede en estas organizaciones. Es la inferencia equivocada porque eres capaz de entrar en la red. Deberías estar aquí, no deberías estar aquí. Y si deberías estar aquí, te pondremos en la red. Ese es el problema. Y así, todos los eventos de seguridad significativos y las violaciones de datos del 100% son funcionalmente una explotación de este modelo de confianza roto.

0:21:35.6 Raghu Nandakuma: Absolutamente. Y me encanta la analogía que proporcionaste ahí. Entonces estás en Forrester, escribes estos dos bits de investigación seminal. Y sé a decir verdad que cuando estaba diseñando controles de seguridad para la nube privada en un empleador anterior, uno de nuestros profesionales de seguridad literalmente se me acercó en un taller y puso un papel frente a mí y me dijo: “Raghu, esto es lo que necesitamos en nuestro entorno de nube privada”. Entonces, tú escribiste eso. ¿Cuál era su expectativa en cuanto a lo que harían los practicantes después de eso?

0:22:10.9 John Kindervag: Mi expectativa era bastante baja. Creo que te das cuenta en ese papel que solo estás tratando de sacar una idea ahí afuera que tal vez se percolará. No pensé que estas cosas de Zero Trust iban a despegar como lo hizo. Ciertamente no se estaba incendiando desde el principio. Pero luego hubo algunas personas clave de las que realmente no puedo hablar, pocos diseños clave en los que trabajé, y me di cuenta, guau, hay más gente leyendo esto y escuchando esto y ahora queriendo hablar de ello de lo que me di cuenta. Y luego, en última instancia, estaba de pie en una gran conferencia para uno de los mayores proveedores de redes y ciberseguridad del mundo, solo una conferencia masiva. Y el tipo número dos de toda esta empresa estaba dando una presentación sobre Zero Trust. Y un amigo mío estaba parado a mi lado.

0:23:00.1 John Kindervag: Dijo; “Te das cuenta de que toda tu carrera de aquí en adelante es Zero Trust”. Y yo dije; “No, no lo es”. Estaba cubriendo SIM y haciendo mucha investigación interesante sobre el futuro del cifrado y otras cosas. Y él dijo; “No, lo es”. Y resulta que tenía razón. Entonces, supongo que tengo que darle mucho crédito también. Él lo vio antes que yo lo viera, pero, es algo que realmente resuena hasta los niveles más altos de cualquier organización. Entonces, estuve en una llamada a principios de esta semana con un gobierno extranjero y alguien... era parte de un ministerio, eso está relacionado con la ciberseguridad. Y ellos dijeron; “Oh, cuando vengas aquí, tenemos que ponerte delante del primer ministro”. Ese fue su comentario, ¿verdad? El hecho de que esto es algo sobre lo que el presidente de Estados Unidos ha emitido una orden ejecutiva. Gobiernos como Australia y Singapur han emitido directivas para avanzar en esta dirección. Es bastante loco para mí, un chico de una granja en Nebraska, ¿verdad? El objetivo de toda mi vida al crecer era no levantarme a las cinco de la mañana y alimentar al ganado. Entonces, la barra estaba muy baja y no he tenido que levantarme y alimentar al ganado a las cinco de la mañana desde hace muchos años. Entonces, estoy muy agradecido por eso.

0:24:16.1 Raghu Nandakuma: Bueno, esa historia, creo que por eso eres el padrino. Oye, tu carrera yendo de ahora en adelante va a ser sobre Zero Trust. Entonces, la pregunta que tengo entonces es que cuando como que observaste ir después de 2010 y la reacción a Zero Trust y algunos de los comentarios a su alrededor, ¿te frustraste de que el repunte fuera lento? Pero también hasta cierto punto, había muchos detractores diciendo, en realidad esto no es práctico.

0:24:49.8 John Kindervag: No, no lo estaba. En primer lugar, me gustó que el repunte fuera lento, porque por un tiempo fui la única persona que lo hacía. Entonces llegué a cometer todos los errores yo mismo y luego escribir sobre esos errores y decirte cuáles iban a ser, así no tienes que hacerlos. Y pensé que eso era algo valioso que alguien en mi posición lo hiciera. Entonces en el paso dos del modelo de cinco pasos, si leíste sobre eso en el reporte N stack o algo así, verás que salió de un gran desastre que tuvimos porque no sabíamos cómo funcionaba el sistema. Y alguien sacó un servidor porque decían que era viejo. Ese fue el criterio. Era viejo y derribó toda una red. Y así, tienes algunos de esos desastres y es mejor que yo los tenga.

0:25:31.2 John Kindervag: Entonces suceden simultáneamente en todo el mundo y todo el mundo va, hombre, tú lo jodiste todo. Entonces, poder ser la persona que dice, no hagas esto porque es peligroso, o hacer esto porque funciona, es muy gratificante. Y entonces, solo lo cronóas. Este es un negocio tan joven, pensamos que, gente, oh, alguien me lo ha dicho una vez, he tenido 30 años de experiencia en ciberseguridad y seguí pensando, oh chico, apuesto a que todo ese SNA (arquitectura de red de sistemas) viene de la mano. Y le digo a la gente que tengo seis meses de experiencia en ciberseguridad, ¿verdad? Tengo los últimos seis meses, tengo los siguientes seis meses, y luego todo lo demás son historias de guerra porque esto cambia mucho. Entonces, si estoy haciendo las cosas como lo hacía hace un año, probablemente esté mal porque todo ha cambiado.

0:26:25.0 John Kindervag: Hace un año no veíamos esta revolución de IA generativa que se ha dado. Y no vimos hacia dónde iba, y ciertamente no estábamos pensando en las implicaciones de seguridad de ello, ni estábamos pensando en las oportunidades de que podamos usar estas cosas en seguridad. Así que ahora tenemos una nueva tecnología que ha hecho que todo el mundo piense en ello. Todo el mundo. Sé que esto está grabado, pero anoche moderé un panel sobre IA y ciberseguridad. Y una de las cosas que señalé fue Henry Kissinger, quien murió recientemente a los 100 años de edad, su artículo final que alguna vez escribió de todas las cosas que alguna vez ha escrito fue sobre IA y su capacidad para terminar con la forma racional en que pensamos y hacemos era esencialmente la esencia de ello. Está en el Atlántico. Todo el mundo debería ir a leer eso. Es una vista fascinante de alguien que ha visto el mundo y es a la vez belleza y fealdad de cerca durante 80 años. Y me pareció una lectura fascinante.

0:27:40.0 Raghu Nandakumark: Sí, y me encanta la expresión de esencialmente mis experiencias los últimos seis meses y los siguientes seis meses. Y el resto son historias de guerra, ¿verdad? Eso nos permite mantenernos frescos y mantenernos relevantes. A mí me gustaría, antes de seguir adelante, solo platicar, usted habló de aprender. Me permitió aprender del error para que todos los demás no tengan que hacerlo. ¿Cuáles fueron otros errores significativos en la estrategia Zero Trust que observaste que ahora has rectificado o al menos algo racionalizado en tu propia cabeza que sientes que ha mejorado y lo ha hecho más apetecible, más adoptable?

0:28:22.6 John Kindervag: El mayor error que veo, y siempre fue tentador, fue ir demasiado grande demasiado rápido. Ahora todo el mundo está tratando de hacerlo todo a la vez para toda su organización y realmente codificando el concepto de una superficie de protección. En el modelo de cinco pasos. El primero es 'define tu superficie de protegida'. Y al principio se llamaba 'define tus datos'. Y ahí hubo algunos problemas, que es donde la gente decía; “Bueno, quiero usar Zero Trust para otras cosas que no sean la protección de datos”. Su verdadero objetivo inicial era proteger los datos y hacer de la red un poderoso punto de aplicación de seguridad de datos. Y así, cuando llegué a pensarlo y me di cuenta, oh, están sucediendo muchas cosas en esta industria que son un poco, no sé, espantosas en cierto modo, como la mitigación de la superficie de ataque. Mmiro la superficie de ataque y pienso, oh hombre, eso es como el universo.

0:29:16.4 John Kindervag: Está en constante expansión. Quiero decir, hubo un big bang en tecnología y fue la creación del chip de computadora, ¿verdad? Y todo lo que pasó en 1957, yo estaba con Jack Kilby quien obtuvo un Premio Nobel por inventar el circuito integrado, que es el precursor de eso. Yo estaba con él el día que ganó su Premio Nobel. Entonces llegué a conocerlo y platicar con él sobre cómo pasó eso y todo. Y a partir de 1957, porque Bob Noyce también inventó una versión diferente del circuito integrado ese mismo año. Y acordaron considerarse a sí mismos como coinventores del chip de computadora. Pero desde ese día de 1957, que no es realmente hace tanto tiempo, hemos visto este big bang donde todo se expande y explota. Y así, una vez que tienes internet, simplemente crece y crece. Tengo la edad suficiente para haber conocido a uno de los tipos que hicieron el dominio original, no sé cómo lo llamarías cuando... Es algo así como los registradores de dominio originales, supongo que dirías.

0:30:22.4 John Kindervag: Pero eran solo dos tipos dando vueltas con un cuaderno físico y escribiendo: “Oh, quieres ser www, ¿verdad?” El internet era tan pequeño que podían guardarlo en un cuaderno y escribirlo en papel. Se trataba de un tipo llamado John Postel. Y, ahora está muerto, pero Rodney Joffe, que es un viejo amigo mío, los dos solo lo estaban anotando. Es decir, eso es una locura. Y eso no fue hace tanto tiempo. La primera contraseña se hizo en 1961 en el MIT, todo esto es muy, muy nuevo en comparación con la historia del mundo. Probablemente tardó más en adoptarse la rueda que para que se creara el primer sitio web. Entonces, estamos un poco detrás de eso. Y la innovación es tan emocionante que asegurarla está tan rezagada. Se necesitó... Los edificios se estaban construyendo durante miles de años hasta que Hammurabi en su código escribió sobre cómo si un edificio se cae y mata a alguien, vamos a ejecutar al constructor, y creamos lo que pensamos como ingeniería estructural y códigos de construcción, ¿verdad? Eso es algo que aún no hemos hecho por internet y por las redes y responsabilizamos a la gente por no hacer las cosas de la manera correcta. Hammurabi lo hizo. Tenemos que encontrar nuestro Hammurabi de alguna manera.

0:31:41.0 Raghu Nandakuma: Derecha. Y así cuando miras a... Hoy en día, cuando creo que hemos pasado de que Zero Trust es esta idea novedosa y los comentarios son en realidad eso realmente no va a funcionar. No es realmente adaptable a ahora, la narrativa es que están de acuerdo en que la estrategia Zero Trust es absolutamente lo correcto, pero es muy difícil de adoptar. Cuando escuchas eso hoy, ¿cuál es tu reacción y cuál es tu respuesta a eso?

0:32:10.6 John Kindervag: Creo que mucha gente lo hace sonar más difícil de lo que es y lo hace más complejo. Es muy sencillo, ¿verdad? Hay cuatro principios de diseño y hay un modelo de cinco pasos para hacerlo. Entonces, hay nueve cosas que llegaste a saber. Está diseñado para ser muy, muy sencillo de hacer. Recibí una llamada a principios de año de un amigo mío, el general Greg Tohill, quien fue el primero, es un general retirado de la Fuerza Aérea. Fue el primer CISO del gobierno federal de Estados Unidos. Y ahora está en el CERT. Él dirige el CERT y todos sabemos lo que es CERT, ¿verdad? En Carnegie Mellon. Pero me llamó y me dijo: John: “¿Por qué la gente hace que Zero Trust suene tan complicado?” Y dije, y le llamamos General Cero Confianza. Entonces dije: “Caramba general, no lo sé.

0:32:55.0 John Kindervag: No tengo idea de por qué la gente está haciendo que suene complicado”. Porque leo cosas que otras personas han escrito sobre ello. Y yo voy, guau, me daría miedo hacer esto también si no lo hubiera hecho ya. ¿Correcto? Y he tenido discusiones con la gente. Tuve una discusión con un tipo en un evento de networking sobre Zero Trust, y él sabía quién era yo, pero quería discutir porque está obteniendo su doctorado en Zero Trust. Estoy como, ¿qué? ¿Por qué necesitaría un doctorado en eso? Sólo tienes que salir y hacerlo. ¿Correcto? Pero estaba discutiendo conmigo al respecto por cosas que había escuchado o leído en sus cursos. Dije, no, no, no, no, no, no, no, no, eso no está bien. Y no, pero, y dije, ¿alguna vez lo has hecho? Bueno, no. Bien, pues entonces deberías hacerlo.

0:33:37.4 John Kindervag: Esto es experiencial. Todo nuestro negocio es experiencial. No estamos en un negocio académico. Si los paquetes no se mueven del punto A al B de manera segura y eficiente, entonces hemos fallado. Y no importa lo que hayamos escrito sobre lo que los paquetes deben o no deben hacer, el hecho de que lo hicieran o no lo hicieran es lo importante. Y entonces creo que lo importante es, abrir tu laptop. La idea de un portátil también me sigue siendo una locura porque mi primer equipo fue un K Pro 484, que era transportable, estaba hecho de metal y pesaba alrededor de 25 libras y se puede mover de un lugar a otro. Y tenía un módem de 14.4 bod, y tenía un disco duro de 40 megabytes. 40 Megs. Guau. Eso fue estado del arte. Entonces, todo esto ha llegado muy, muy rápido, y tienes que salir y hacerlo. No querrías que un mecánico trabaje en tu auto que nunca antes haya trabajado en tu auto, pero tienen un doctorado en mecánica automotriz que sería desastroso. Oh, vaya, pensé que las bujías se suponía que estaban por aquí. Dice que están aquí en el, en este libro. ¿Verdad? Y estás como, así que sí, ensuciarte las manos.

0:35:02.3 Raghu Nandakuma: Eso me gusta mucho porque es... Estás hablando desde un lugar de experiencia de alguien que no solo esencialmente elaboró la teoría de la Confianza Cero, sino que en realidad la ha refinado a través de años de práctica. Y como dijiste, tipo de cometer errores y luego aprender de eso a adoptar, a desarrollar un modelo más refinado que facilite la adopción. ¿Verdad? Y sin duda, a medida que más y más practicantes despliegan una estrategia de Confianza Cero, ¿verdad? Eso seguirá evolucionando con el tiempo. Y lo que hoy pensamos como estrategia, puede que no lo sea mañana. Así que pasando de eso.

0:35:41.5 John Kindervag: Bueno en realidad, ahí hay un comentario. Porque recuerda, Zero Trust tiene dos grandes áreas, estrategia y táctica. Y así estrategia de la gran idea detrás de ella. No creo que eso vaya a cambiar.

0:35:53.0 Raghu Nandakuma: Si.

0:35:54.8 John Kindervag: Creo que lo que quieres decir es la táctica, la forma en que lo hacemos, ¿verdad? Y uno de mis mentores que fue un coronel de la Fuerza Aérea que fue el estratega jefe, estratega jefe de la primera Guerra del Golfo, quien me enseñó sobre estrategia y cómo pensar al respecto, dijo que todos confundían estrategia y táctica. Piensan que están siendo estratégicos, pero están siendo tácticos. Y eso es una gran cosa a entender es ¿qué es estrategia y qué es táctica? Las tácticas son cosas, cosas que haces, ¿verdad? Entonces, cuando estás tocando tecnología, eso es táctico, ¿verdad? Esa es la esencia de ello. Es táctica. Podemos sentirlo. La estrategia son estas ideas que tienen principios rectores para lograr una meta misionera o una gran estrategia. Y así entender eso es bastante importante. Y el éxito de Zero Trust no está relacionado con las tácticas. Solo estaba usando tecnología disponible comercialmente, pero la estaba usando de una manera que ese liderazgo, ya fuera liderazgo gubernamental, liderazgo militar, liderazgo empresarial, pudiera entender cómo se podían desarrollar sistemas de ciberseguridad que lograran una meta de misión o una gran meta estratégica.

0:37:16.1 John Kindervag: Y alguien del ejército escribió una vez que lo más importante que John trajo a la ciberseguridad y Zero Trust fue el concepto de gran estrategia, del que nadie había hablado antes. Y eso es lo que la gente echa de menos todo el tiempo. “He estado haciendo esto desde siempre. He estado usando la autenticación multifactor”. Claro, lo tienes, pero no sabías por qué lo estabas usando, ¿verdad? Y entonces está respondiendo a esa pregunta, '¿por qué?' Y no solo porque quiero autenticar a las personas, sino porque quiero que estos ciertos resultados comerciales sucedan de una manera que haga crecer mi negocio de maneras específicas.

0:37:52.4 Raghu Nandakuma: Sí, estoy de acuerdo. Y las palabras son importantes. Tienes toda la razón. Quise decir que una especie de táctica puede evolucionar con el tiempo, pero la estrategia es, la gran estrategia es como la que la has definido, que debería ser justa, bastante constante en todo momento. Así que quiero pasar a algo ahora que tocaste antes, que es el foco de varios gobiernos a nivel mundial y Estados Unidos siendo el más prominente, pero hablamos, usted mencionó Singapur, Australia, el Reino Unido como otros ejemplos. Entonces, antes que nada, ¿qué es lo que ha desencadenado ese movimiento para adoptar una estrategia de Confianza Cero y realmente codificar eso? Hemos estado teniendo estos incidentes cibernéticos masivos, estas brechas cibernéticas, durante un gran número de años. Entonces, ¿qué es lo que realmente ha obligado al gobierno de Estados Unidos como ejemplo, a tomar Zero Trust tan en serio en los últimos dos o tres años?

0:38:51.8 John Kindervag: Bueno, fue la violación de datos de OPM, la Snowden, la Manning, las cosas de Texeira, cosas que fueron muy dañinas. Y hizo que el gobierno se despertara y fuera: “Oh, la ciberseguridad también es contraespionaje de muchas maneras”. Y así hemos visto estos escenarios de trama de películas, y ahora se están jugando. En la vida real, y tenemos que ponernos delante de ellos es como lo ven ellos. Hay mucho trabajo en encriptación resistente cuántica y ese tipo de cosas donde están tratando de salir frente a algo que realmente no existe, que es la computación cuántica. Pero entienden que una vez que suceda, va a ser increíblemente dañino a corto plazo si no estamos preparados para ello. Entonces creo que una de las lecciones de la tecnología es tratar de prepararse para los peores escenarios de los casos más temprano, en lugar de mucho más tarde después de que suceda.

0:39:49.7 Raghu Nandakuma: Entonces sé que usted ha estado involucrado, o muy fuertemente involucrado, en los informes de CISA NSTAC, las recomendaciones al presidente en torno a Zero Trust e identidad. Y quiero escoger dos de las conclusiones de las cuatro conclusiones. Yo solo quiero discutir o tener sus comentarios sobre dos de esas conclusiones. Y uno de ellos, se lee que tipo de gobierno de Estados Unidos corre el riesgo de que Zero Trust se convierta en un experimento incompleto, una colección de proyectos técnicos de seguridad inconexos medidos en años, en lugar de la base de una estrategia duradera, coherente y transformadora medida en décadas. Entonces, ¿cuál es el desafío con este tipo de estos pequeños bolsillos de experimentos? ¿La intención aquí ahora es tener ese tipo de enfoque uniforme para Zero Trust?

0:40:31.6 John Kindervag: Creo que la intención es conseguir que la gente se mueva en esa dirección. Hablo de ello como si todos nos dirigiéramos en la misma dirección, o todos generalmente dirigiéndose al norte, a la derecha, hacia la Estrella del Norte, si estás en el hemisferio norte. Dirígete hacia la Cruz del Sur si estás en el hemisferio sur. Pero si todos van en la misma dirección, a pesar de que puede haber mucha paralelización aquí, terminarán en el mismo lugar, eventualmente convergerán. Y entonces eso es lo que creo que es emocionante, es que todos vamos como que vamos en esa misma dirección. Ese informe de la NSTAC es una especie de estrella del norte de adónde deberíamos ir. Y en realidad no estamos viendo tanta fragmentación como pensé que veríamos. Entregamos ese informe en febrero del 20, 23 de febrero del 22. ¿Verdad?

0:41:18.6 John Kindervag: Y originalmente lo habíamos entregado el 22 de febrero. Entonces podríamos decir que fue 2/22/22. Y luego tuvo que haber una revisión. Por lo que se convirtió en 2/23/22. Pero en fin, eso es solo una cosa extraña que nadie más piensa que es interesante. Pero yo, pero lo que encontramos es que desde ese momento, cada agencia del gobierno federal tiene una oficina de administración del programa Zero Trust y un director del programa Zero Trust. Y entonces ese es un movimiento enorme, tienes a alguien dedicado, que este es su trabajo hacer. Y así has cambiado la estructura de incentivos en un año más o menos. Y de nuevo, los incentivos son súper importantes. Para volver a Charlie Munger, la gente se comportará de acuerdo a cómo se les incentive. Y los incentivos están en su lugar. Y eso significa que el resultado en última instancia va a suceder de la manera correcta. ¿Tomará 10 años?

0:42:13.7 John Kindervag: ¿Tomará tres años? No lo sé. He estado jugando el juego largo en esto durante mucho tiempo, porque me di cuenta de que, al menos en mi opinión, Internet va a estar presente por un tiempo. ¿Correcto? Entonces no va a ninguna parte. No tenemos que apurarnos y arreglarlo antes de que muera o algo así. No es como a mi edad donde tengo que apurarme y arreglar las cosas. Porque, si no lo hago, puede que no esté por aquí temprano. Entonces internet me va a sobrevivir. Y Zero Trust va a sobrevivirme. Pero espero que le dé a las personas una estrella del norte para avanzar y poder encontrar formas de proteger sus datos y sus activos y sus aplicaciones y sus servicios. No se trata de cómo lo haces generalmente como una arquitectura conceptualmente como referencia.

0:43:00.4 John KinderDía: Se trata de cómo lo hace específicamente para este tipo de datos en particular que tiene en su organización. Y luego pasa al siguiente tipo de datos, o a la siguiente aplicación. Y lo haces de manera incremental, lo haces iterativamente. Y al hacerlo en estos pequeños trozos, tomando la ciberseguridad, que es un gran problema, descomponerla en los pequeños trozos consumibles. Ahora, también lo has hecho para que no sea disruptivo. Si metes la pata, vas a meter la pata algo que es tan pequeño que la mayoría de la gente ni siquiera se da cuenta. Y para mí, esa es la ventaja es que no hay que tenerle miedo. A lo largo de mi carrera, sabía que iba a tener éxito cuando haría algunos de los primeros talleres y discusiones tempranas. Y siempre habrá alguien que estaba como odiarlo duro, solo duro, y casi hasta el punto de querer provocar una batalla.

0:43:51.0 John Kindervag: Y tuve que aprender a mantener la calma y simplemente responder con calma sus preguntas y pasar por todo. Pero siempre hubo un momento en el que pude ver la bombilla con solo hacer clic. Y de pronto esa persona en particular se convertiría en la mayor defensora de aquello contra lo que apenas luchaban hace unos minutos. Eso lo vi en una conferencia en la que estaba parado en un rotafolio, y estaba dibujando algo para alguien más. Y alguien se acerca y se va, eso es completo y pronuncian lo que sea, digamos comentario asqueroso que hicieron. Y yo digo: “Oh bien, bien, ¿qué opinas?” Y el tipo para el que lo he estado dibujando que acababa de decir eso, dijo, le dio la vuelta a la página, dijo; “No, no entiendes”. Y él es como, porque yo sólo he estado teniendo la misma conversación. Entonces fue de mi parte, defendiendo Zero Trust y mostrándole a esta persona por qué le funcionó mostrándole a alguien más por qué funciona. ¿Correcto?

0:44:42.5 Raghu Nandakuma: Si.

0:44:44.8 John Kindervag: Y así fue viendo esas pequeñas bombillas encendidas con el tiempo una y otra vez. Y dándome cuenta de que en parte era miedo que voy a tener que aprender a hacer otra cosa. Mi trabajo va a cambiar. No me gusta el cambio. Parcialmente, fue... Y escuché esto todo el tiempo; “Esa no es la forma en que siempre lo hemos hecho”. Y mi respuesta fue; “bueno, vaya, la forma en que siempre lo hemos hecho no ha estado funcionando muy bien, ¿verdad?” Y luego tercero es “No quiero hacer nada nuevo o más no quiero trabajar más duro”. Y si pudiera demostrarles que iba a facilitarte que lo hicieras. Había un tipo, me dijo, discutimos por más tiempo sobre Zero Trust del que me tomó construir la primera red Zero Trust. Y dijo: “Pasó tan rápido.

0:45:33.3 John Kindervag: Y estaba tan estable, que me fui de vacaciones justo después de eso”. Es que la gente no podía creer que me iba de vacaciones. Yo dije: “Sí, puedo irme de vacaciones, esto está funcionando”. Y si hay un problema, puedes llamarme, pero puedes averiguar intuitivamente cómo solucionarlo. Y ese fue un momento clave —simplemente ha habido estos puntos en una línea donde vas, Oh, el panorama está empezando a dibujarse a través de experiencias individuales con diferentes organizaciones, que cada una tenía diferentes problemas, pero fueron capaces de aplicar los principios a los problemas del negocio y lograr el éxito.

0:46:08.8 Raghu Nandakuma: John, solo voy a... Solo quiero decir, bien, creo que esos duran casi cinco minutos más o menos, creo que encapsulaste tan bellamente por qué la estrategia es importante, la forma en que debes abordarla desde una perspectiva táctica para hacer un progreso realista hacia eso. Y también lo poco sobre una vez ese momento ajá, esa bombilla, una vez que tipo de tus oponentes tienen ese momento de bombilla, casi se convierten en tus defensores más fuertes, ¿verdad? Y creo que si no escuchas nada más en este episodio, que esos son los cinco minutos que necesitas digerir. Entonces quiero pasar a otra cosa. Y tú otra vez, lo tocaste en este último pedacito sobre tipo de cultura.

0:46:48.2 Raghu Nandakuma: Y sé a tu amigo, George Finney, quien escribió un libro el año pasado alrededor de Zero Trust, que creo que escribiste bastante hacia adelante a él habla mucho de esto sobre la cultura. Por lo que nuevamente, esta es una de las otras conclusiones del informe de la NSTAC, que es hacer realidad Zero Trust como una verdadera estrategia que transforme de manera significativa los resultados de ciberseguridad en la próxima década y más allá, el gobierno de Estados Unidos debe tomar una serie de acciones políticas ahora para institucionalizar una cultura de confianza cero. Entonces, ¿qué significa una cultura de Confianza Cero? ¿Qué representa?

0:47:20.8 John Kindervag: Bueno, creo que lo primero que significa es que reúne a las personas para lograr esta gran meta estratégica usando Zero Trust. Entonces recuerdo que estaba haciendo un taller temprano de Zero Trust para una gran empresa. Tenía 70 personas de 17 departamentos diferentes. Los 17 departamentos se odiaban entre sí. Eran rivales dentro de la empresa. Y todos me odiaban. Y odiaban que tuvieran que estar ahí. Al final de la misma, habíamos derribado muchas de esas barreras. Y habíamos descubierto cómo crear algo colaborativo. Y siempre sugiero que las personas creen algo en la línea de un centro Zero Trust para la excelencia, donde traigan no solo tecnologías, sino también líderes.

0:48:07.3 John Kindervag: Porque esos líderes pueden hacerlo: “Bien, sé que se supone que debo hacer esto, pero tengo miedo, ¿y si lo hago mal?” ¿Me van a despedir? Pero si tienes un líder entra y te dice que tienes que hacerlo, eso le quita la carga y te vuelve a dar, ese incentivo correcto. Así que una vez hice que el Director Jurídico se sentara en un taller, y todos me preguntaba: “¿Por qué esta persona está aquí?” Bueno, el trabajo de esa persona era proteger la propiedad intelectual de la empresa, las patentes que generaban cientos de millones de dólares en ingresos. Y no tenía idea de cómo hacer eso. Y así, cuando se sentó a través de esto, un taller de tres días, ahora se reduce a un día. Pero en ese momento yo era un poco más verboso, sospecho, y tratando de averiguarlo, francamente.

0:48:44.4 John KinderDía: Y se sentó durante todo el asunto. Y luego dijo; “Bien, voy a ser el campeón, voy a encontrar los fondos, ustedes salgan y háganlo. Y no puede meterse en problemas si está haciendo algo para que el director jurídico proteja las patentes de su empresa. ¿Verdad?” Y así es encontrar esa cobertura de aire o lo que sea para hacerlo. Y así es lo que les ha dado la orden ejecutiva del presidente. Al igual que el gobierno federal de Estados Unidos tiene el intercambio interinstitucional Zero Trust, que es un grupo de CISO en Estados Unidos. El gobierno federal de Estados Unidos que se han unido para compartir las mejores prácticas, ellos mismos han creado la cultura, porque necesitaban derechazar, el hecho de que tuvieran una Estrella del Norte común, un objetivo de misión común significaba que tenían que averiguar la cultura.

0:49:30.2 John Kindervag: Y eso lo estamos viendo una y otra vez. El documento australiano de estrategia de ciberseguridad recién publicado que salió tiene una mención de Zero Trust, pero dice, tenemos que avanzar hacia la creación de una cultura de confianza cero. Derecha. Entonces, mucho de eso viene de la capacitación, de la experiencia, de hacer algunos trabajos de laboratorio, de platicar con otras personas, y luego, en su mayoría, de averiguar qué es lo que necesita proteger. Entonces crea algunos resultados transformacionales, porque ahora pasas por un ejercicio de comprensión de lo que es importante en tu entorno, qué debes proteger, así sabes por qué lo estás haciendo, y luego tienes que averiguar cómo voy a proteger esto una vez que sepa qué proteger.

0:50:16.5 John Kindervag: En general, tradicionalmente solo hemos estado tratando de arrojar la mayor cantidad de tecnología posible al problema y esperamos que atrapemos algo, ¿verdad? Si solo pusimos todo ahí afuera, como que tenía un cliente, tengo un cliente, o, supongo, en mi trabajo anterior, tenían 11 Lops a internet, 11 Lops a internet, todos ellos tecnologías de seguridad, tratando de que no pasara nada malo. Y lo malo fue, era un ambiente inutilizable. ¿Te das cuenta de cuánto tiempo se tarda en hacer algo cuando tienes 11 lúpulos? Estás pasando por tres firewalls y dos IPSs diferentes y dos filtros de contenido web diferentes. Y un WAF aquí y allá. Es que, fue increíble. Y sabían que era increíble, pero no sabían cómo resolver el problema. Porque no sabían lo que intentaban proteger. Y no sabían exactamente por qué lo estaban haciendo. Simplemente pensaron que si podían conseguir más de él, sería mejor. Más siempre es mejor. Derecha.

0:51:17.7 Raghu Nandakuma: Sí, absolutamente al 100%.

0:51:19.7 John Kindervag: Eso es cierto en la barbacoa. Por lo que debe ser cierto en ciberseguridad.

0:51:21.7 Raghu Nandakuma: Probablemente sea más fácil responder a la pregunta, ¿qué no podría salir mal? Eso probablemente sea posible por un lado. Así que pasando por John, antes de que terminemos, ¿verdad? ¿Cómo ve la relevancia de Zero Trust para acelerar la adopción de la nube, verdad? Es un tema candente. La seguridad en la nube es un poco el tema candente en ciberseguridad. Y por supuesto, ¿verdad? La otra cosa que ya mencionaste anteriormente es la relevancia de Zero Trust para la IA generativa, modelos de lenguaje grande en uso por ambas organizaciones y potencialmente también por atacantes. ¿Qué papel tiene que jugar Zero Trust en todos estos?

0:52:10.2 John Kindervag: Bueno, creo que lo más importante, en la nube, cuando entiendes que la nube contiene datos o un activo o algo ahí dentro, una carga de trabajo, como quieras llamarlo, eso es importante para ti, eso está regulado. Y generalmente no está protegido. Escuchas todo el tiempo, que tenemos un modelo de responsabilidad compartida. Pero en Forrester, creo que se nos ocurrió un término mejor, a mi amigo James Staten se le ocurrió. Y lo llamó un apretón de manos desigual. Sí, nos están proporcionando un poco de ayuda básica. Se están asegurando de que el hipervisor esté parcheado. Y hay algunas herramientas que podría usar de forma manual para asegurar las cosas. Pero en general, no estoy transfiriendo el riesgo de seguridad al proveedor de la nube. Solo estoy almacenando los datos allí. Solo estoy usando su hipervisor con fines económicos, principalmente.

0:53:05.2 John Kindervag: Y así, todavía estoy a cargo de asegurar esa carga de trabajo, lo que sea que esté contenida en esa carga de trabajo. Y mucha gente está empezando a entender eso ahora. Y hemos visto algunas violaciones importantes de datos en la nube que generalmente se denominan configuraciones erróneas. Y esa sería otra discusión para un día diferente. Pero solo los controles nativos que tiene no son suficientes contra los ataques modernos, ya que hablé con personas que son pen testers, algunos de ellos muy legendarios, pero no tienen ningún problema para pasar por los controles de seguridad nativos en la nube, y es difícil administrar esos controles de manera ubicua en entornos multinube, porque cada uno tiene una construcción de administración diferente. Entonces la administración, bien, el cuidado y alimentación operacionalmente, de lo que sea que estés haciendo en seguridad, es el mayor costo que vas a tener.

0:54:06.5 John Kindervag: No es adquirir tecnología, es llevarla y alimentarla, ¿verdad? Tienes hijos, lo sabes. Adquirir a los niños no era tan caro. Llevando y alimentando para ellos los cuidados a largo plazo, y simplemente sigue y sigue y sigue y sigue. Y nunca se hace. Sí, esa es la adquisición de costos más grande. La adquisición fue fácil. Operaciones, eso es difícil. Y entonces tenemos que darnos cuenta de eso. Y entonces eso es lo primero en lo que se refiere a la nube. Y luego AI, sí, puede ser capaz de crear algunos ataques realmente sofisticados. Pero hay grandes barandillas en internet llamadas TCP/IP y el modelo OSI, ¿verdad? Entonces realmente no pueden ir más allá de lo que pueden ir, es mucho más dañino, potencialmente culturalmente, que para las redes, porque en realidad, vamos a ser capaces de usar tipos de tecnologías de IA.

0:55:05.0 John Kindervag: Y mi definición favorita de IA que he escuchado alguna vez proviene de un matemático amigo mío que dice; “AI es estadística más si declaraciones”. Y me gusta mucho ese, porque es muy preciso. Entonces, la IA solo funciona porque tenemos computadoras muy, muy rápidas, y podemos obtener más de ellas juntas, para que podamos hacer esto. Y parece que es inteligente, cuando de hecho, es solo computacional. Pero podemos usar esas mismas tecnologías para averiguar qué cosas podemos... Se debe permitir y responder rápidamente a las cosas que nos están atacando. Entonces nos da una ventaja frente a los atacantes, tanto como le da a los atacantes una ventaja contra nosotros. Y especialmente cuando creamos una política de confianza cero, que comienza con la denegación predeterminada, y luego permitimos explícitamente que ocurra cierto tráfico.

0:56:00.9 John KinderDía: Entonces John sólo puede llegar a los recursos a los que se me permite llegar. Y hay otras cosas a las que no puedo llegar. Y si creo que debería llegar a ellos, tengo que ir a la mesa de ayuda y pedir acceso a ella. Así que estoy bastante encerrado. Y eso está bien. Así debería ser. Pero le damos demasiado acceso a demasiados, demasiados datos, sin ninguna razón en absoluto. Por eso Snowden y Manning y Teixeira fueron capaces de hacer estas brechas de big data, no porque la seguridad fuera inherentemente mala. Pero debido a que tenían acceso a recursos, nunca deberían haber sido capaces de tocar o ver. Y ciertamente, nunca debieron haber podido descargar un exfil.

0:56:42.9 Raghu Nandakuma: Entonces, John, antes de concluir, la realmente la pregunta más importante de este podcast de esta conversación. En la película homónima, Kindervag, el verdadero padrino, ¿quién te interpreta? ¿Y quién es el director?

0:56:51.4 John Kindervag: ¿Qué? No queremos esa película. Eso sería muy, muy aburrido. Pregúntale a mi esposa. Creo que eso es en realidad, no quiero que nadie me interprete nunca en una película. Eso sería raro. Quiero que la gente se concentre en las ideas y no en la persona. ¿Correcto? A veces quiero salir del camino. Yo quería que George Finney escribiera el libro Project Zero Trust. Empezó en mi sofá. Y he tenido oportunidades de escribir libros. Pero la realidad es que, si todo viene de mí, entonces no es un mensaje tan importante. Pero si más personas adoptan el mensaje que no eres tú, entonces se convierte en un mensaje más poderoso.

0:57:35.8 John Kindervag: Y el mensaje es lo importante. Así que me gustaría que hubiera un documental sobre el éxito de Zero Trust, detener el ransomware o algo así. Eso sería genial. Para mostrar todas las cosas que he visto donde la gente me ha enviado capturas de pantalla de, mira, este camión de ransomware intentó moverse en mi red, pero solo llegó a una máquina. Y entonces no podía ir a ningún otro lado. Y nos encontraron y así solo miramos toda la telemetría, todos los pings tratando de salir al mando y control. Podemos aislarlo de inmediato y limpiarlo. Ese es el documental. Esa es la película que quiero ver.

0:58:13.6 Raghu Nandakuma: Bueno, John, podría que conozca a alguien en Netflix que encargaría eso.

0:58:17.4 John Kindervag: Bien.

0:58:18.1 Raghu Nandakuma: Muchas gracias, John. Ha sido un placer hablarle como siempre esclarecedor, informativo, y un gran montón de diversión. Gracias.

0:58:23.1 John Kindervag: Gracias, amigo mío.

0:58:27.7 Raghu Nandakuma: Gracias por sintonizar el episodio de esta semana del segmento. Volveremos con nuestro próximo episodio en dos semanas. Mientras tanto, para obtener más recursos de Zero Trust, asegúrese de visitar nuestro sitio web, www.illumio.com y encuéntrenos en LinkedIn y X usando los enlaces en nuestras notas del programa. Eso es todo por hoy. Soy tu anfitrión, Raghu Nandakumara y pronto volveremos con más.

Volver arriba
Leer más