


Convirtiendo el riesgo en resiliencia
En este episodio, el presentador Raghu Nandakumara se sienta con Indy Dhami, Partner de KPMG UK, para explorar la evolución del InfoSec tradicional a la ciberresiliencia. Discuten la implementación estratégica de Zero Trust, el impacto de las presiones regulatorias y los desafíos que plantea la IA. Indy enfatiza el papel crítico de la ciberseguridad fundamental
Transcripción
00:16 Raghu Nandakumara
Hola a todos. Bienvenido de nuevo a otro episodio de The Segment: A Zero Trust Leadership Podcast. Hoy en día, es un gran placer estar acompañado por Indy Dhami, socio cibernético de servicios financieros de KPMG UK, y alguien que ha tenido muchos años de experiencia ayudando a algunas de las organizaciones de servicios financieros más grandes a desarrollar su estrategia y práctica cibernética. Entonces, realmente emocionado de hablar con él hoy y aprender de sus experiencias. Indy, bienvenido a El Segmento.
00:48 Indy Dhami
Gracias. Gracias por invitarme. Es un verdadero placer y honor. Llevo muchos, muchos años siguiendo la historia de Illumio. Así que sí, con ganas de involucrarme y contribuir con algunos de mis aprendizajes.
1:01 Raghu Nandakumara
Bueno, definitivamente estamos aquí para escuchar tu historia hoy, Indy. Entonces, con eso, ¿por qué no empiezas por contarnos tu experiencia en el ciberespacio, y las experiencias que han llegado hasta donde estás en tu carrera hoy?
1:13 Indy Dhami
Sí, claro. Por lo tanto, he estado trabajando en la industria de la seguridad durante casi 21 años en diferentes roles diferentes. Entonces, comencé mi carrera administrando un departamento de TI para una firma de arquitectos. Y eso involucró todo, desde la administración de la red hasta la ejecución de backups, para luego intentar eliminar todos estos molestos virus y malware que estaban proliferando en toda la red. Y ahora, esto es a principios de la década de 2000. Entonces, se pueden imaginar que, ya sabes, la seguridad no estaba en lo más alto de la agenda. Pero lo que realmente me resonó fue poder manejar estas cosas. Pero también, el hecho de que muchas organizaciones no estuvieran preparadas para lo peor que sucedería si perdieran su red, toda su red; no tenían planes de contingencia establecidos. Entonces eso realmente me interesó por la seguridad. Estudié un poco en la universidad, algunos del tipo de principios fundamentales de InfoSec, fue en su momento, y después de haber pasado de ese rol, terminé por mudarme a Mercedes Benz en Milton Keynes, y probablemente un punto fundamental en mi carrera porque terminé trabajando con un tipo que simplemente estaba muy bien informado de todo lo que se te ocurre era seguridad, continuidad del negocio, empresa, gestión de riesgos, seguridad física, todo. Y ahí es donde realmente puso en marcha mi carrera en el mundo de la seguridad.
Construimos un sistema de administración de seguridad de la información. Se convirtió en el primero en Mercedes Benz a nivel mundial en estar certificado a ISO 27001, y teníamos un sistema de gestión de calidad que estaba certificado ISO 9000. Y fue brillante, estábamos haciendo un trabajo realmente interesante. Y aproximadamente alrededor de 2004, 2005, la empresa matriz, Daimler, vio lo que creamos, y pidieron a mi equipo que saliera y replicara lo que hemos construido en Alemania. Entonces, pasé dos años y medio viajando dentro y fuera de Stuttgart y pasando algún tiempo allí. Entonces, gran experiencia en un programa de transformación de modelo operativo global, fundamentalmente, y había un elemento de seguridad en eso. Pero esta es una transformación de proceso a gran escala. Todo basado en el gran trabajo que hicimos en el Reino Unido y mis amigos alemanes, siempre les recuerdo que, ya sabes, es por ahí cuando los alemanes piden a los británicos que salgan y les enseñen los procesos. Odian que diga.
03:34 Indy Dhami
Entonces sí, dejó Mercedes y pasó a Accenture. Y pasó un año en La Haya. Este fue un proyecto realmente interesante, a gran escala, estado-nación, violación de una organización prominente con sede allá. No voy a decir quién es porque mucha gente probablemente pueda adivinar. Y nuestro papel era ayudar, tratando de identificar lo que este estado nación estaba haciendo en la red. Y curiosamente, comenzó con solo mirar los archivos CSV de Excel para intentar averiguarlo, estás mirando los registros para ver qué estaba pasando realmente. En última instancia, la transición a una solución SIEM. Y eso nos permitió luego comenzar a incorporar más fuentes de registros, rompiendo la plataforma un par de veces, porque simplemente no estaba preparado para el tamaño y la escala de los registros. Pero gran experiencia. Me mudé de allí a PwC y pasé dos años en Copenhague, trabajando con un gran conglomerado naviero, un gran programa de transformación de seguridad que cubría todo lo que se pueda imaginar, desde desarrollar políticas hasta ejercicios de simulación de crisis reales, programa completo de transformación de seguridad de extremo a extremo, después de eso, y pasé a dirigir mi propia empresa. Establecí mi propio negocio, fundamentalmente dirigiendo una organización tipo matriz, ya sea proporcionando servicios de consultoría o pruebas de pluma. Una experiencia realmente genial trabajando con un par de organizaciones de servicios financieros tanto en el Reino Unido como en París.
Después de ese cambio a IBM, pasé cuatro años allí liderando el equipo de transformación de FS, principalmente involucrado en servicios de seguridad administrados a gran escala, contrataciones, cosas como ejecutar SOC end-to-end, pero luego también ejecutando evaluaciones de seguridad y trabajos de tipo consultoría. Después de eso, pasé un año con una empresa llamada Historic Global, quienes fueron financiados por el gobierno de Singapur para ir e invertir en otras empresas cibernéticas. Entonces, una gran experiencia ahí. Y luego me uní a KPMG en enero del año pasado con el objetivo de recoger clientes de FS, principalmente la banca, pero luego mi tarea ha crecido un poco más para ejecutar nuestra capacidad de resiliencia cibernética, que luego atraviesa una serie de sectores diferentes.
05:49 Raghu Nandakumara
Quiero decir, que creo que como que... te mereces un episodio de podcast por cada pedacito de esas experiencias, ¿verdad?
5:55 Indy Dhami
Cada uno tiene su propia historia interesante, probablemente podría escribir un libro de algunas de las cosas que he visto que harán que la gente haga rodar los ojos y decir, sí, he experimentado algo similar.
6:06 Raghu Nandakumara
Bueno, creo que la tercera temporada del segmento, Indy, solo van a ser 12 episodios de ti contando tu historia. Eso es increíble. Y estoy tratando de decidir por dónde deberíamos empezar a desmarcar las cosas porque siento que todas esas de alguna manera realmente se han construido hacia no solo el papel que haces hoy en día. Pero realmente, ese enfoque de donde se ha ido, dijiste justo al principio, el enfoque era InfoSec. Derecha. Y así fue como fue contenido. Y ahora, eso realmente se ha desplazado hacia una especie de ciberseguridad. Y ahora, el término resiliencia cibernética. Y lo estoy intentando, estoy conectando lo que dijiste justo al principio, que era, que era como si estuvieras ahí, ¿verdad? Estabas haciendo una especie de soporte de TI en todos sus diversos sabores y tratando de detener, digamos, un virus que corre por la red se cae; no hay contingencia. Y ahora, la resiliencia, no solo la resiliencia cibernética sino la resiliencia operacional, se trata de cómo puedo continuar funcionando incluso cuando tengo todas estas cosas inesperadas sucediendo. ¿En qué momento cree que ese cambio pasó a decir, tenemos que enfocarnos realmente en la resiliencia; no se trata solo de poder ir y solucionar el problema; es poder funcionar mientras arreglamos el problema?
7:26 Indy Dhami
Sí, quiero decir, hay una pregunta realmente interesante porque volvamos a eso, esa primera experiencia que tuve, y en realidad solo estaba mirando algunos de mis documentos recientemente, y en realidad usaba el término ayudar a la organización a ser más resiliente. Y eso probablemente sea mucho antes de que alguien pensara en la resiliencia operativa o la resiliencia cibernética. Y luego, en el ejemplo de Mercedes, ya sabes, estábamos hablando de todas estas cosas cuando se trata de la gestión de identidad y acceso cuando se trata de resiliencia empresarial sobre reunir todas estas cosas convergentes. Ya sea seguridad, si se trata de seguridad física y ambiental, si se trata de fraude. Y desafortunadamente, no llegó en ese momento, probablemente solo apareció en los últimos, digamos, cinco a seis años. Y eso podría deberse a una serie de cosas. Podría tratarse de un mayor número de ciberataques o interrupciones. Sabes, si piensas en algunos de los grandes incidentes basados en el Reino Unido que hemos visto, Buncefield vino a la mente. Ya sabes, hubo una gran explosión, o la erupción del volcán en Islandia lo fue.
Entonces ese tipo de cosas a menudo nunca se consideraron, y recuerdo haber hecho un ejercicio de simulación de crisis a bordo. Y me dijeron: “Indy, esto nunca nos pasaría a nosotros”. Y el escenario que construí fue todo alrededor de la gripe aviar, combate la gripe aviar sucediendo, ¿verdad? Así que ahora tenemos que hacer que la gente sea más consciente de que estos incidentes de tipo operativo sean más frecuentes, luego los ataques cibernéticos aumentan. Entonces, ya sabes, esa conciencia ha crecido dramáticamente porque si piensas solo en las noticias, ahora mismo, ya ves, es posible que veas ciberataques cibernéticos una, dos, tres veces en las noticias ahora, y ahora se ha vuelto más frecuente, y la gente está haciendo preguntas más desafiantes a los líderes de seguridad al respecto.
9:14 Raghu Nandakumara
Entonces solo como un poco aparte, bien, así lo mencionaste vemos cada vez más ciberataques en las noticias. ¿Correcto? ¿Y sentiste que cuando eso cuando se está reportando esa noticia, es en gran medida más de lo mismo? Entonces como alguien como alguien que no está tan informado como tú, que la gente a la que le gusta vea las noticias, digan: “Oh, solo otro ciberataque”. Mientras que las consecuencias reales cuando piensas en la resiliencia, y la razón por la que estamos enfocados en la resiliencia, vamos a cosas como DORA, es porque el efecto de, digamos, que un banco de la calle principal se ve afectado es significativo, ¿verdad? Esas cosas no se están reportando lo suficiente para que solo lo normal pero solo el público en general, aún no tenga ese momento ajá sobre por qué la ciberseguridad es tan importante.
10:09 Indy Dhami
Sí, es un muy buen punto. Y, ya sabes, traté de despegar las capas de estas preguntas desafiantes y por qué es eso. Y hasta que impacte personalmente a mucha gente, ya sabes, generalmente ajenos a la ciberseguridad y por qué es importante. Recuerdo haber tenido esta conversación con ella fue en un evento familiar, una fiesta familiar, y estaba hablando con un médico. Y ya sabes, como que tuvo la conversación aquí, “Entonces, ¿qué es, qué es lo que haces?” Y te expliqué un poco sobre el tipo de trabajo que realizo. Y se puede ver este momento de pánico, realmente cruzando su mente pensando, bueno, en realidad, tenemos muchos datos sensibles, estamos bastante expuestos, en realidad no tengo idea de cómo mi práctica maneja toda esta información sensible que tenemos. Y no tengo idea de si podríamos recuperarnos. Y por extraño que parezca, aproximadamente un año después, vimos el incidente de WannaCry, no Petya todos impactando al NHS. Y creo que fue, fue por un periodo de tiempo, fue bastante prevalente, la gente estaba realmente preocupada por ello. Pero luego se va. Todo vuelve a la normalidad. Y de nuevo, la gente tal vez no tiene tanto interés, como dije, hasta que algo impacta y puede que estén, ya sabes, su cuenta bancaria comprometida y se transfiera dinero. Entonces, todavía parece ser una de estas áreas que tal vez se considera que está afuera, ya sabes, es gente sentada en habitaciones oscuras con sudaderas con capucha para hackear cosas. Pero en realidad, hay una amplia gama de actores de amenazas por ahí, ya sea de. Sí, puedes ir a este niño estereotipado muy inteligente sentado en casa hackeando a empresas comerciales altamente organizadas, altamente organizadas y altamente rentables. Hasta el punto en que, ya sabes, vemos que algunas de estas organizaciones están bastante frustradas con los chicos del script, ya sabes, dañando su reputación, porque ya sabes, tienen la reputación de ser conocidos por si han atacado a una organización con su ransomware. Ellos serían conocidos, ellos devolverán las claves de descifrado si están pagando. Mientras que otras organizaciones pueden no ser tan, como éticas, ¿verdad? Lo cual es una locura pensar en ello. Pero ese es este sombrío inframundo que vemos que mucha gente no es realmente consciente de que opera a la luz del día.
12:23 Raghu Nandakumara
Sí, absolutamente. Y creo que pienso en la ética del ransomware, o actores maliciosos, y algunos actores maliciosos están como que están muy orgullosos de la ética que demuestran. Mientras que, mientras que otros, simplemente no conoce este concepto de, bueno, si paga el rescate, divulgaremos sus datos. A mí me ha preocupado es, si tienen tus datos, bien, Dios sabe qué van a hacer con ellos, si pagas el rescate o no. Así que vamos a pasar a tu papel hoy. Derecha. Y cuando estás comprometido con tus clientes, bien. Y esta es una pregunta muy amplia, ¿cuál es típicamente la primera pregunta que te hacen?
13:09 Indy Dhami
Típicamente, la primera pregunta que me hicieron, dependiendo de una variedad de escenarios diferentes, pero ya sabes, puedo pensar en una que es prominente en mi mente en este momento es, ya sabes, tenemos, creemos que estamos fuera de nuestro apetito de riesgo, cuando se trata de ciberseguridad, ¿verdad? ¿Puede ayudarnos a volver a la tolerancia? Ahora bien, a menudo, la primera pregunta que hago es, entonces, ¿cómo define cuál es su apetito de riesgo? Y luego, en segundo lugar, ¿cuáles son los puntos de datos que te permiten entonces medir si estás dentro o fuera de ese nivel de tolerancia? Y una afirmación un poco controvertida, lo que sí veo, sin embargo, es en muchas organizaciones, no solo en FS, es que los datos deficientes conducen a respuestas fundamentalmente defectuosas a ese punto, estamos dentro o fuera de nuestro apetito. Y hay una serie de razones para ello. Al menos desde una perspectiva cibernética, generalmente es cobertura de controles y fuentes de registro. Podrías tener un SOC o un SIEM funcionando y monitoreando tu patrimonio. Pero lo que lees, de lo que muchas de las personas mayores no se dan cuenta, es que en realidad solo tienes un pequeño porcentaje de cobertura porque no tienes acceso a ciertas tecnologías. Algunas de sus aplicaciones críticas se han desarrollado hace tanto tiempo, es posible que no estén produciendo los logs que necesita para darle esa visibilidad clara, si alguien puede ingresar a su red y luego moverse lateralmente. Entonces, la administración de riesgos y lo mismo se aplica desde una perspectiva de resiliencia operacional. Pero si no entiendes tu patrimonio, no tienes los datos correctos para darte una imagen más clara de todo lo que tienes dentro de tu empresa, y también de tus terceros y cuartos. ¿Cómo puede entonces tomar esas decisiones apropiadas de administración de riesgos? Es fundamentalmente defectuoso.
14:53 Raghu Nandakumara
Sí, absolutamente. Y solo escucharte decir que esa última parte, bien, me conecta a, como regulaciones como DORA que están entrando en vigor y estarán realmente activas para, para el próximo año a principios del próximo año, en lo que quiero decir, eres prácticamente una palabra por palabra lo que acabas de decir, ¿verdad? Debe comenzar con una comprensión realmente buena de cómo interactúan las cosas en su entorno, pero también cómo todos tienen sus proveedores, todas sus dependencias ascendentes y descendentes también interactúan con usted a nivel de sistemas, ¿verdad? Esto no es solo un nivel de proceso del negocio, sino a nivel de sistemas, de modo que pueda comprender su exposición y luego poner en marcha los controles adecuados.
15:37 Indy Dhami
Si. O sea, y también, mencionaste a DORA. Hay muchos, ¿verdad? Y lo único que estoy viendo es que es casi donde las personas se fatigan por la gran cantidad de regulaciones, ya sea cibernética u resiliencia operativa, hay mucha superposición. Y ya sabes, es probablemente en un punto de inflexión donde, ya sabes, algunas organizaciones están diciendo, graciosamente, lo acabamos de ver en las noticias de hoy. Un banco de la calle principal del Reino Unido ha hecho una declaración de que en realidad están dejando ir gran parte de su función de riesgo porque está obstaculizando su capacidad de innovar, verdad, lo cual, para mí, es una posición muy extraña, extraña. Teniendo en cuenta lo que acabo de decir por aquí, el gran número de amenazas, el panorama de vulnerabilidad está aumentando a diario, exponencialmente, ¿verdad? Lo que entonces está teniendo ese efecto en contra de sus riesgos sistémicos y sus riesgos de contagio. Entonces, es una posición realmente interesante en la que estamos ahora mismo. Porque si bien estamos viendo más, más ataques, más organizaciones teniendo interrupciones, y lo vimos hace unas semanas, si recuerda, había un minorista de la calle principal, y un puñado de minoristas de la calle principal que tenían problemas con parte de su procesamiento de pagos. Si bien no se confirmó si fue un ataque cibernético, aún resalta ya sabes, hay un riesgo sistémico aquí, un riesgo de contagio, que si un proveedor de infraestructura crítica que tal vez brinda servicios a varias organizaciones, si tienen una interrupción, el impacto de eso es, en última instancia para algunas organizaciones, no tienen un plan de contingencia.
17:08 Raghu Nandakumara
Sí, no podía comprar mi rollo de salchicha vegana de Greg's hace unas semanas. Fue un día duro, ese día.
17:20 Indy Dhami
Tienes que ir por el completo de grasa.
17:23 Raghu Nandakumara
Entonces hablemos de, hablemos de regulación. Y creo que el, que tiene toda la razón, y como que estaba en la industria de servicios financieros antes de mi función actual, y que ese desafío constante, la presión regulatoria, la necesidad de cumplir con las normas, particularmente cuando trabaja para una organización global que necesita cumplir con todos sus reguladores globales es un desafío enorme. Entonces, ¿ve la transformación o la evolución de las regulaciones tratando de volverse más unificadoras, de modo que pueden estar usando palabras ligeramente diferentes, pero lo que están pidiendo es más o menos lo mismo?
18:00 Indy Dhami
Sí, estoy totalmente de acuerdo. Y tuve esta conversación hace unas semanas con una amiga en torno al propósito de cosas como DORA, y creo que la premisa de ello es correcta, ¿verdad? Está cambiando el enfoque de simplemente garantizar que, ya sabe, tiene solidez financiera, ha mantenido un servicio operativo y resistente. A pesar de esas interrupciones causadas por un problema de TIC, un ciberataque, sea lo que sea, ha sido capaz de resistir y recuperarse, si no recuperar, o continuar las operaciones mientras estás, estás bajo un estrés significativo por una interrupción o un ciberataque. Y, ya sabes, de la manera en que lo veo con algunas de estas regulaciones, está cambiando el enfoque de enfoques basados en muy silos para abordar los requerimientos regulatorios para convertirlo en un, como me convierto, está convirtiendo el cumplimiento de normas en un deporte de equipo, necesitas tener a tu jefe de seguridad de la información en la mesa para DORA. Sin embargo, también necesita contar con la persona que sea responsable de todos los recursos humanos, o la persona que es responsable de sus operaciones comerciales, o usted de sus servicios comerciales importantes. Y las organizaciones más maduras en las que estoy trabajando, con las que estoy trabajando, lo están abordando de esa manera. Tengo a todas esas partes interesadas clave en la mesa. Han entendido que hay ciertos roles que desempeñar para cada una de estas, estas funciones, y están trabajando juntos. Entonces quiero decir, ese es el mayor éxito de la escena. Es decir, muchas organizaciones ven DORA y otras regulaciones como una sola rueda los ojos u otra actividad rotatoria que necesitamos para cumplir con eso. Creo que, desde una perspectiva cultural, está teniendo un impacto mucho más positivo. Bueno, venga enero del próximo año, ya veremos qué tan correcto es eso. Pero al menos en el trabajo que estamos haciendo ahora mismo con el análisis de brechas y los programas de remediación, ya sabes, algunas de esas partes interesadas clave finalmente están en la mesa y realmente entienden y aprenden más sobre lo que sus compañeros están haciendo en tu función de seguridad o incluso desde la perspectiva cibernética, algunos de los CISO aprenden más y se involucren más con los clientes en última instancia, sus partes interesadas del negocio para quienes están brindando el servicio.
20:16 Raghu Nandakumara
Me encanta el término que acabas de usar ahí sobre cómo es realmente DORA está obligando, digamos, resiliencia operativa, resiliencia cibernética para convertirse en un deporte de equipo, porque como practicantes de seguridad, bien, yendo muy atrás a recuerdo cuando obtuve mi CISP, bien, como decía la teoría, la seguridad InfoSec, en ese momento debe ser un deporte de equipo, todos necesitan estar comprometidos. Pero durante demasiado tiempo dentro de las organizaciones, ha tenido la función de seguridad, y luego tiene, digamos, la aplicación, la función de desarrollo de negocios. Y creo que citó ese ejemplo de un banco de la calle principal diciendo que en realidad, estamos reduciendo nuestro equipo de riesgo porque se están interponiendo en el camino de la transformación. Derecha. Entonces. Entonces creo que es genial, la ciberseguridad ahora está siendo vista como un deporte de equipo y el hecho de que la regulación esté habilitando eso probablemente sea como, lo primero positivo que alguien ha tenido que decir sobre regulaciones, ¿verdad? En términos de lo que es lo que está habilitando. Entonces supongo que es que eso es un acto del cielo.
21:24 Indy Dhami
Pero hay que tener que ver estas cosas como algo positivo. Derecha. Muchas organizaciones con las que trabajo están empezando a darse cuenta de que, bien, hay, hay cosas en lo que haces cuando miras algunas de estas, estas regulaciones, te das cuenta de que ya hacemos muchas de estas cosas. ¿Verdad? Simplemente está estructurado de manera diferente. Y hay algunas superposiciones con algunas de las otras regulaciones. Siempre y cuando sea inteligente acerca de cómo abordarlo, no necesita replicar y recrear algo nuevo para cumplir con algunas de estas áreas clave. Y en realidad, donde se identifican las brechas que se identifican, resaltan áreas donde pueden necesitar más inversión. Entonces, por ejemplo, con DORA tienes toda esta pieza para compartir información, y ese es un tema realmente candente en este momento, porque será cómo, cómo y cuándo compartes información, si te incumplen en diferentes jurisdicciones tienen regulaciones diferentes. Ya sabes, si tienes que reportar en EU la SEC tiene requisitos diferentes a los que tienen aquí con el ICO. Y administrar esa información de manera segura y segura para que realmente pueda proporcionar la información fáctica es uno de los grandes desafíos que ha surgido de DORA. Quiero decir, si pensamos en algunas de las otras áreas, el elemento de prueba de resiliencia operativa digital, correcto, que es una declaración muy, muy amplia, ya sabes, que podría incluir pruebas con lápiz, podría estar mirando tu software y tu código y asegurando que esté registrado y que los desarrolladores no tengan un acceso incorrecto. Y luego pasa a una serie de áreas diferentes como, administración de identidad y acceso, habla de seguridad de redes, es muy, muy granular. Pero si has estado trabajando en la industria el tiempo suficiente, no hay nada innovador en que es solo una armonización y enfoque que se ha sacado a la luz con parte del nivel granular del texto de normas de textos normativos que están en el reglamento.
23:16 Raghu Nandakumara
Sí, estoy de acuerdo. Absolutamente. Derecha. Y como tú, he pasado unas buenas horas un poco muy profundo en las minucias de las regulaciones. Y, y estoy de acuerdo en que nada de lo que las regulaciones requieren que hagan las organizaciones, y hemos hablado mucho de DORA, pero para ser honesto, podríamos reemplazar a DORA con una serie de las otras regulaciones que han salido a nivel mundial en los últimos dos años, que son, siempre están arraigadas en el hecho de que asumen que lo inesperado va a suceder, ¿verdad? ¿Eso es como un evento ambiental, como un volcán en erupción, o si se trata de un ciberataque o en su entorno? Y qué pondría en marcha para asegurar que tiene la mejor comprensión de su entorno, correcto, para poder ser resiliente a ese derecho a limitar para contener el impacto del mismo para que pueda seguir siendo productivo mientras recupera esto, esta pequeña parte del mismo derecho. Y lo que yo creo que es mejor ahora con estas regulaciones, es que el objetivo general sea mucho más claro. ¿Verdad? Hay mucha más claridad sobre por qué las organizaciones deberían estar haciendo esto. ¿Estarías de acuerdo?
24:27 Indy Dhami
Sí. Sí, totalmente de acuerdo. Y, ya sabes, pasamos mucho tiempo con Dora. Pero si toma estos dos, por ejemplo, ya sabe, hay enormes superposiciones enfocadas en la administración de riesgos, responsabilidad corporativa, obligaciones de reporte, continuidad del negocio y luego un conjunto de medidas mínimas, las cosas que deben tener en su lugar. Y miré a DORA y miré a NIST2 y luego volví al 2004 2005 cuando estaba en Mercedes, y estábamos implementando ISO 2700 1. Y para ser honesto, no hay nada tan diferente fundamentalmente, y lo fue, es una pieza en la norma que habla de responsabilidad gerencial, que de nuevo, se vincula exactamente de cerca con lo que dice Nizza en torno a la rendición de cuentas corporativas. Se trata de marcar la pauta desde lo más alto contar con los mecanismos de liderazgo y gobernanza adecuados, tener personas capacitadas, para que estén conscientes de, ya sabes, qué hacer cuando sucede lo peor. Entonces, quiero decir, es una, es una de estas cosas que hemos estado en la industria el tiempo suficiente, son solo diferentes permeaciones de estándares y controles que ahora han pasado a primer plano en bastante miedo para algunas organizaciones con este nuevo riesgo potencial de multas por no adherirse a la serie de regulaciones que se aplican específicamente a su industria. Y creo que muchos, muchos desde hace muchos años, se ha cepillado bajo la alfombra. Sabes, como dije, hay organizaciones con las que he trabajado eso dicho, Indy, esto nunca nos ha pasado a nosotros, ya sabes, a nadie le interesarán los datos que tenemos hasta que empiece a hacer algunas preguntas más de sondeo sobre: “Bien, recuérdame lo que hace tu negocio, recuérdame quiénes son tus clientes, y pensar en quién podría beneficiarse potencialmente de acceder a esa información, y luego usarla para otros fines”. Entonces, ya sabes, quiero decir, eso es considerando que no fue hace tanto tiempo, y probablemente sea en los últimos diez años. No obstante, eso ha cambiado. Y tengo que decir que gran parte de la junta directiva y de los directores no ejecutivos se han vuelto más astutos con respecto a lo que se necesita, preguntas difíciles de hacer a los CISO. Entonces, ya sabes, está tomando un proceso un poco doloroso para llegar ahí. Pero creo que ya estamos ahí. Pero lo que sí resalta es que muchas organizaciones simplemente han invertido poco en seguridad a lo largo de muchos, muchos años, y no se puede arreglar con un, “Bien, hagamos un programa de remediación y regresemos a mi apetito por el riesgo dentro de seis a nueve meses”. Considerando que ha habido años y años de infraestructura tecnológica que algunos de los cuales en muchas organizaciones están fuera de soporte. Por lo tanto, Microsoft no parcheará algunos de los servidores que tienen estas organizaciones. Entonces, tratar de encontrar los controles correctivos para algunos CISO es casi un desafío imposible.
27:09 Raghu Nandakumara
Sí, estoy de acuerdo. Derecha. Y es, pero es, creo que es genial. Creo que lo que tocaste son como ejecutivos y están mucho más o mucho mejor informados y están empezando a hacer las preguntas correctas, verdad. Y creo que ese es ese cambio. Si me conecté, ha pasado de estar centrado en el cumplimiento a estar centrado en la resiliencia y la productividad de muchas maneras, ¿verdad? Y diciendo, diciéndole al CISO, lo que nos está entregando nos está permitiendo ser más productivos, ¿verdad? No lo es. Es, quiero decir, el cumplimiento de normas es importante, pero realmente necesita garantizar que no comprometamos la productividad. Entonces, me di cuenta de que este es un podcast de Zero Trust, y no hemos mencionado Zero Trust. Entonces, hablemos de eso. ¿Verdad? Fundamentalmente, todo de lo que estamos hablando gira en torno a tener este foco de, de Confianza Cero, y, y aparece en las regulaciones también. Así que sí, vayamos por esa ruta.
28:02 Raghu Nandakumara
Vamos bien, vamos. Entonces, comencemos, ¿verdad? Entonces, hemos tenido muchos, muchos otros en este podcast y todos comparten su interpretación de Zero Trust o una analogía que usan. Entonces, Indy, el escenario es tuyo. Entonces, ¿cuál es su analogía Zero Trust?
28:22 Indy Dhami
Hablamos de esto hace unas semanas, y fue a partir de conversaciones que tengo con amigos y colegas, los que están trabajando en el proyecto de neón en Arabia Saudita. Y que a mí me saltó a la cabeza es que, ya sabes, si fueras a construir una nueva ciudad, si tuvieras la oportunidad de construir la ciudad desde cero, pero ¿cómo harías para construir en confianza, privacidad, y aplicar casi esa analogía de Zero Trust en la construcción de la ciudad? Y me hizo pensar que realmente es, ya sabes, si piensas en Reino Unido, es un país muy tradicional, construido tradicionalmente durante muchos, muchos años. Pero si tuvieras esa oportunidad, ¿qué harías? Y si te centraras, probablemente más en el modelo tipo Estados Unidos, y pasé tiempo en Mercedes, que está en Milton Keynes. Entonces, el ligero, ligeramente usa ese modelo allí con el sistema de cuadrícula, pero tomas las manzanas de la ciudad como casi una especie de segmentos de carga de trabajo. Y en nuestra ciudad imaginativa, ya sabes, cada bloque representaría diferentes segmentos de cargas de trabajo. Ahora bien, estos podrían ser ya sabes, estos bloques serán especificaciones de vivienda. Pueden ser servicios, pueden ser cargas de trabajo, pero así como las manzanas de la ciudad tienen esas áreas industriales residenciales y comerciales, nuestras manzanas de la ciudad tendrían diferentes propósitos. Podría ser servidores web pueden ser bases de datos, podría ser sus pasarelas de pago. Y luego para eso, entonces también tendrías calles tendrías tus tienes reglas a la carretera también, ¿verdad? Entonces, las calles están conectando esos bloques, como una ruta de red. Luego tienes tu tráfico, que son tus paquetes de datos. Tú también están fluyendo entre los bloques. Entonces piensas en que en realidad necesitaríamos microsegmentación de Zero Trust para establecer reglas específicas para cada calle. Algunas calles solo pueden permitir tipos específicos de vehículos, datos, mientras que otras han cerrado por completo. Y entonces probablemente tengas puntos de control de seguridad, en la entrada de cada uno de estos bloques, ya sabes, hay un punto de control de seguridad, piensa en él como un gatekeeper, antes de permitir que alguien pase, o ese paquete de datos pasar, ahora que hay que verificar, la necesidad de tener esa identidad verificada y el propósito de por qué están viajando por esa, esa zona en particular, y entonces solo se permite el tráfico autorizado. Entonces lo que pensé fue en realidad, podrías tener estos carriles Zero Trust. Entonces dentro de la ciudad, tienes carriles especiales, que, ya sabes, son súper seguros en cada semáforo por el que necesitarían permiso explícito para pasar. Pero entonces también necesitarías algo en torno al aislamiento y la contención para que estalla un incendio en un bloque en particular, eso podría ser un ciberataque, ya sabes, ¿tienes una forma de segmentación que pueda garantizar que no se extienda a tu otro bloque? Y entonces esos son los bloques que no se ven afectados. ¿Y usted maneja eso, ese fuego esa brecha dentro de ese dominio en particular?
Y entonces, para tu ciudad, también tendrías que personalizar la señalización, justo entonces cada bloque tendría sus propias políticas de seguridad. Estos podrían entonces como dictar quién viene, quién va, cómo se comunican. Por ejemplo, ya sabe, tiene su bloque de base de datos, y el letrero puede decir, solo se permiten consultas de base de datos autorizadas, ¿verdad? Entonces esto es, a mi manera de verlo, hay que ser dinámico también. Tan dinámica a medida que evoluciona una ciudad en los planificadores van ajustando sus calles, sus puntos de control, y entonces tu micro segmentación permitiría adaptar esos cambios en las cargas de trabajo, las aplicaciones, tienes nueva nube, nuevos controles en la nube entrando. Entonces, en resumen, si construyes una ciudad y aplicas esa analogía Zero Trust, esa es la forma en que creo que lo haría. Ahora, no soy urbanista, no puedo pretender serlo. Pero ya sabes, tal vez eso es, es una analogía interesante. Simplemente me vino a la mente. No hace tanto tiempo.
32:11 Raghu Nandakumara
Solo estoy imaginando SimCity, la edición Zero Trust, correcto, basado en lo que acaba de decir, y creo que deberíamos lograr que todos los que están en una especie de resiliencia cibernética, ciberseguridad, InfoSec lo jueguen, y deberíamos tener una tabla de clasificación y ver quién puede diseñar la mejor ciudad protegida de Zero Trust. ¿Qué opinas?
32:31 Indy Dhami
Sí, es un gran, gran juego. Solía jugar a eso. Y también parque temático, si recuerdas parque temático, y simplemente te hace pensar diferente. Y creo que es un profesional de la seguridad. Creo que tenemos a todos, ya sabes. He visto muchas veces donde los líderes van delante de la pizarra, y empiezan a hablar en lenguaje técnico. Y casi se aferra a algunos de los C-suite. Entonces, ¿cómo hacemos que sea más fácil de entender? ¿Cómo hacemos que resuene con ellos y lo aplicamos a lo que les preocupa? Una de las cosas clave que siempre hago cuando hablo con los ejecutivos, es que me digas lo que te impulsa? ¿Qué es lo que te motiva? ¿Qué te mantiene ocupado? Y lo que lo mantiene enfocado en su rol porque la responsabilidad del equipo de seguridad es permitirle asegurarse de que no somos la función policial. No solo decimos “No, lo siento, no puedes hacer eso”. Pensamos en esto como si fuéramos las personas inteligentes que saben de seguridad, técnicamente. ¿Verdad? Entonces, ¿cómo ayudamos a habilitar el negocio? ¿Y cómo nos comunicamos con ellos en un lenguaje que resuene con ellos? Y creo que ese sigue siendo uno de los grandes desafíos que veo es que las placas todavía se presentan informes de análisis de vulnerabilidades, o no, aquí hay una vista de los controles técnicos. Y muchos de ellos simplemente, les importa, pero no necesitan preocuparse. Necesitan saber cuál es el resultado del negocio. Ya sabe, ¿cómo nos está apoyando esto y construyendo un nuevo data center en una ubicación diferente? ¿O cómo nos permite esto construir una nueva aplicación para dispositivos móviles que podamos brindar nuevos servicios a nuestros clientes?
34:04 Raghu Nandakumara
Sí, estoy completamente de acuerdo. ¿Correcto? Creo que es muy importante como profesionales de seguridad, y de hecho ahora que trabajo en un proveedor, como proveedores de seguridad, para poder conectarme realmente como lo que hacemos, ¿verdad? Con por qué es importante en última instancia, como la meta que estamos tratando de impulsar. Y en una organización, eso está bien, ¿cuál es el objetivo del negocio? Y entonces ¿cómo funciona qué, cómo hace lo que hace nuestro programa? ¿Cómo se conecta eso con el objetivo del negocio? ¿Y cree que, como la estrategia Zero Trust y las organizaciones que están adoptando una estrategia Zero Trust, que son capaces de contar una mejor historia sobre cómo esa estrategia se está alineando con los objetivos del negocio, o sigue ahí?
34:52 Indy Dhami
Creo que hay dos, probablemente hay dos tipos de individuo, los que pueden contar bien la historia y articularla en un lenguaje que la junta pueda entender y el liderazgo entender, el negocio consigue. Y aquellos que aún están enfocados a los controles tecnológicos. Ahora, estoy viendo más; por suerte, estoy más del lado izquierdo, articulando lo que es Zero Trust. Y se trata de establecer esa escena, si la enmarcas de la manera correcta, y la haces resonar para esos líderes, creo que puedes tener mucho éxito en entregar ese enfoque de Cero Confianza.
35:26 Raghu Nandakumara
Entonces, ¿qué dice, como, de, de la adopción en términos de la adopción de una estrategia Zero Trust? ¿Correcto? Es eso, ¿está viendo que cada vez más organizaciones realmente tienen eso como una iniciativa de alto nivel que está siendo rastreada, digamos a nivel CISO? ¿O es algo que simplemente se está desangrando en cada parte del programa CISO y que no necesariamente se llama explícitamente?
35:49 Indy Dhami
Probablemente sea una combinación de ambos realmente, en algunas organizaciones, forma parte fundamentalmente de su estrategia no solo cibernética, sino que está permeada a la resiliencia operativa, ¿verdad? Porque se ha posicionado de una manera tan convincente. Es una obviedad. Y luego está el otro, el otro lado por ósmosis, o simplemente por pura casualidad, está sucediendo en varios de estos programas de transformación se está planteando en una etapa temprana del diseño. Y, y las organizaciones lo están administrando de esa manera. Entonces probablemente no sea en esa etapa donde todo el mundo lo entiende. Se implementa por las razones correctas.
36:26 Raghu Nandakumara
Y qué tipo de entra en qué cuando vas a tu, a tus clientes, y los estás ayudando a establecer una estrategia Zero Trust, ¿verdad? ¿Cuál es típicamente el tipo de camino que toma?
36:43 Indy Dhami
Típicamente, es, la forma en que lo abordo siempre es comenzar con ¿qué es lo que estás tratando de hacer como negocio? Derecha. Y hace muchos, muchos años, yo estaba me enseñaron esto, y todavía no veo que muchos profesionales lo hagan es recoger tu estrategia de negocio, recoger el informe anual, entender lo que el negocio está tratando de hacer, y luego superponer su aquí es cómo la seguridad y así es como Zero Trust puede apoyarnos en estos cuatro pilares estratégicos. Y si puedes describir eso de alguna manera, ya es bastante simple, siempre es el mejor punto de partida porque entonces puedes empezar a entrar, bien, entonces estos son los controles tecnológicos que necesitamos entregar en cada uno de estos puntos. Y se trata de descomponerlo de manera consumible.
37:29 Raghu Nandakumara
Y ¿crees que lo, quiero decir, lo que escuchamos, cierto, es ese tipo de Zero Trust todavía es que se ha sobrecomercializado? Y estoy de acuerdo, ¿verdad? Creo que hasta cierto punto, eso, que está sobrecomercializado. Pero, ¿hay un reconocimiento real? Ahora bien, generalmente estoy entre la especie de comunidad de practicantes, que como estrategia, es, absolutamente robusta, y necesitas pensar, para subirte al tren, correcto, y pensar en cómo vas a implementar.
38:03 Indy Dhami
Desafortunadamente, es como muchas otras palabras de moda, probablemente sobrecomercializadas, y para muchas organizaciones que afirman proporcionar capacidades de confianza cero. Ellos no. Pueden hacerlo bajo ciertas formas. Pero, ya sabes, es, desafortunadamente, convertido en una de esas palabras de moda. Entonces nuevamente, si tienes a alguien que pueda articularlo, ya sabes, está realmente enfocado, lo verificas explícitamente, o luego siempre autenticar y autorizar en base a la información disponible que tengas, concéntrate en el acceso menos privilegiado. Pero luego hay otro, otro término, que probablemente no, no se usa tanto es, un principio de menor funcionalidad, también. Entonces sí, tienes el menor privilegio. Pero también, si tiene, ya sabe, personas con derechos de acceso específicos y desea limitar la cantidad de funcionalidad que pueden tener con sus credenciales particulares. Y también, creo que ese supuesto estado de compromiso ha comenzado a aterrizar con muchas organizaciones, ellas, ya sabes, porque están empezando a ver y desafortunadamente, cuanto más perseguimos y nos enfocamos en tratar de identificar nuestra finca, más te das cuenta del problema que tienes a la mano, que es, es su espada de doble filo.
39:24 Raghu Nandakumara
Esa es una gran cita, ¿verdad? Cuanto más vas y descubres tu patrimonio, más te das cuenta del problema que tienes, que no has tenido. Y creo que eso también da bastante miedo, porque solo indica lo poco que entendemos realmente de nuestra finca. Derecha. Y creo que esa es la comprensión a la que muchas organizaciones llegan cuando empiezan esto es que en realidad no sé lo que estoy pasando, ¿verdad? Entonces, ¿cómo superas esa joroba?
40:00 Indy Dhami
O sea, es probable que a veces sea un momento desafiante, mucha gente trata de evitar saber, ya sabes, he tenido, me han dicho algunos CISO, prefiero no levantar esa losa de pavimentación, por todos los escalofriantes gatelies que se van a acabar. Y luego aterrizará en mi escritorio para tratar de remediarlo. Y me uní a esto un cliente mío dijo, me uní a la organización hace dos años, pero no puedo ser responsable de los 20 años anteriores de subinversión, diseño de tecnología deficiente. Entonces, es un, es, como dije, un arma de doble filo, pero al hacerlo de la manera correcta, enfocándonos en, bien, entendamos lo que tenemos, salgamos y comencemos a descubrir nuestro emprendimiento un estado. Y es un cuenco extensiado de espaguetis. Ahora, seamos honestos, no es una tarea fácil identificar todos sus componentes tecnológicos, ya sabe, y en los viejos tiempos de ITIL, tal vez todavía días ideales de ITIL, su CI como sus elementos de configuración. Entiende, y tiene un mapa documentado y un inventario de cada elemento de configuración que tiene en su estado, la mayoría de las organizaciones probablemente dirán que no.
Pero entonces cuánto de eso realmente necesitarías saber, ¿verdad? ¿Para asegurarse de que es resiliente? Tal vez 80-90%, podrías salirse con la suya ya sabes, una variación. Pero desafortunadamente, muchas organizaciones probablemente ni siquiera están en ese 80% de su visibilidad de todo su patrimonio, especialmente cuando se tiene tal vez más con aquellas organizaciones que nacen principalmente en la nube, probablemente sea más sencillo para ellas. Pero no es un trato hecho porque entonces tienen sus terceros y luego cuartos. Y algunas de las regulaciones van a un nivel tan granular de detalle de las expectativas de que tengas visibilidad de lo que estás conectando las partes y los proveedores de servicios en conectividad con tu patrimonio es, nuevamente, algo un poco nuevo que muchas organizaciones deben absorber, y luego tener la capacidad de salir y tener esa conversación con suministros críticos.
41:57 Raghu Nandakumara
Yo diría que la nube te da las herramientas para hacerlo más fácil. Pero si no está siguiendo las mejores prácticas, potencialmente está creando un problema aún mayor, simplemente por la capacidad de activar rápidamente todo tipo de recursos, correcto, que al menos como una función de activación en su centro de datos, que es, “Ah, quiere un nuevo servidor en el centro de datos, eso será de seis semanas”.
42:23 Indy Dhami
Pero curiosamente, ya sabes, si piensas en algunas de las grandes brechas que hemos visto en los últimos años, ha habido un puñado de ellas que han estado en la nube por falta de acceso, derechos de acceso a un usuario privilegiado que se ha quedado huérfano. Y luego, un actor de amenazas accede a ellos y los utiliza para moverse por toda la organización. Y curiosamente, estoy viendo no estoy seguro si has visto esto, hay conversaciones que algunas organizaciones están teniendo alrededor, es más barato para mí no estar más en la nube, porque los costos están en espiral. Y en particular, algunas de las nuevas regulaciones que están teniendo un impacto en el costo que los proveedores de la nube debido a que ahora los proveedores de la nube están también están bajo el foco para la regulación. Y la pregunta es, ¿quién va a ser el responsable? ¿Y quién se lleva el costo, quién está absorbiendo ese costo? Y es más que probable que no sean los proveedores de nube los que tengan un efecto detonante para sus clientes. Y es más barato entonces permanecer en la nube o volver a construir sus propios data centers, lo cual es una posición realmente extraña en la que estar, porque estamos volviendo a como éramos hace muchos años. Y tal vez depende del tamaño y la escala de la organización. Pero para una pequeña y mediana empresa, puede que no sea tan rentable como nos dijo hace muchos, muchos años.
43:45 Raghu Nandakumara
Sí, definitivamente me he encontrado con muchos de esos muchos de esos estudios, y todo se reduce a eso para lograr los beneficios de la economía de la nube que se comercializan, tienes que ser muy específico en el tipo de aplicación que ejecutas allí, cómo las diseñas, para que te estés beneficiando de todo ese tipo de naturaleza bajo demanda para optimizar realmente.
Quiero volver a algo que dijiste, bien, estás hablando de la cantidad de datos, cantidad de información que necesitas, para poder avanzar. Derecha. Y las organizaciones luchan. Y a menudo, por lo general ni siquiera tienen necesariamente una comprensión del 80% de lo que tienen en su patrimonio. Entonces cómo, como, cómo, cuánta información es suficiente para comenzar a progresar, cierto, porque creo que esa es la barrera para la adopción de Zero Trust. Una de las barreras es que no creo tener todos los puntos de datos correctos. Y entonces voy a esperar, entonces, ¿cuál es su respuesta?
45:00 Indy Dhami
Sí, quiero decir, ese es un, es un gran, gran punto que has planteado porque, en muchos casos, ahora es el punto donde está bien no tener todos los datos, ¿verdad? Podemos tomar algunas decisiones informadas, ¿verdad? Podemos usar los puntos de datos que tenemos y, ya sabes, construir un en el pasado o construir un tablero para, para que un equipo de liderazgo ejecutivo diga, estamos respondiendo estas cuatro preguntas que tú, tú nos has puesto, ya sabes, ¿qué tan seguros estamos, ya sabes, qué estamos viendo? ¿Cuáles son nuestras principales áreas de enfoque? Y cuándo y el dashboard se construyó fundamentalmente sobre Cuánta confianza tenemos en los puntos de datos de que tenemos un estado rojo, ámbar, verde. Podemos responder a esta pregunta que tiene porque tengo todos los puntos de datos y tengo todos los registros que me permiten responder con confianza a esta pregunta de qué tan seguros estamos. No obstante, en algunos de los otros puntos que puedas tener, es posible que tengas todos los puntos de interés; solo lo estamos respondiendo a un nivel del 50% porque es un estado ámbar; solo tenemos parcialmente la información para poder responder a eso. Y ahí es donde realmente entran cosas como la cuantificación del riesgo cibernético. Ahora mismo. Estamos viendo a muchos de nuestros clientes venir y preguntar esto. Entonces, ¿cómo aplicamos la cuantificación del riesgo cibernético si no tenemos todos los puntos de datos? porque seguramente, este es un ejercicio donde necesitamos de todo para poder cuantificarlo verdaderamente. Y ese no es el enfoque correcto. Es tomar lo que tenemos, usar nuestro conocimiento existente, usar también algún juicio subjetivo, hasta cierto punto. Pero ya sabes, pasar a ese modelo de cuantificación de riesgos, que se basa fundamentalmente en lo que la industria financiera ha estado usando desde hace años, cierto, cuando se trata de cómo hacen algunas de las predicciones de cómo se moverá el mercado, ya sabes, y aplicar esa lógica, que luego te permite hablar el lenguaje empresarial en el mundo de las finanzas, y pero aplicarlo al ciberespacio ha tenido un gran impacto en este momento.
46:47 Raghu Nandakumara
Sí, y creo, absolutamente correcto, porque necesitas tener una manera de poder progresar con tantas incógnitas, bien, eso y muchas veces incógnitas que tienes sobre las que no tienes control. Correcto, y no de otra manera, por lo general solo se va a estancar y la perfección es una especie de enemigo del progreso.
Así que, como mirar hacia adelante, ¿verdad? En realidad, antes de mirar hacia adelante, quiero volver nuevamente a esa noticia que mencionaste sobre una organización en una organización de servicios financieros que esencialmente reduce su riesgo cibernético para algunos. Perdón si lo cité mal, es solo su función de riesgo, ¿verdad? El enfoque, como reducir su función de riesgo para porque estaba obstaculizando su capacidad de transformación. Correcto, e innovar. Y seguramente, el enfoque que las organizaciones deberían estar tomando es acercar esas funciones. De manera que la innovación pueda ocurrir de una manera segura, correcta, segura por diseño y todo eso. Así que para que seas como las cosas que estás construyendo, la seguridad se involucra temprano, para que cuando estén cuando estén construidas, sepas que son seguras. No es No vas a pedir aprobación después. Quiero decir, ¿cuál es tu opinión sobre eso? Es eso que se ha tomado, porque seguramente eso va en contra de lo que estamos predicando como mejor práctica.
48:26 Indy Dhami
Es. Y creo que hay una oportunidad de armonizar. Y esto es algo sobre lo que llevo muchos años predicando. Y de hecho, uno de los white papers que escribí años atrás era en realidad ahora es el momento de converger riesgo, seguridad y fraude, cierto, desde la perspectiva de los servicios financieros. Y desafortunadamente, esas funciones, sigo viendo tal vez riesgo y seguridad juntarse más a menudo. Pero el fraude sigue siendo una capacidad en silos. Lo cual, ya sabes, no tiene mucho sentido, porque las cosas que monitorearías se superpondrían con las cosas que los equipos de ciberseguridad están monitoreando. Pero han invertido en herramientas importantes. Y eso probablemente sea parte del problema, es que el enfoque basado en silos ha causado una cantidad significativa de gastos para una serie de herramientas. Ya sabes, algunos de la noche a la mañana, me dijo un cliente, si piensas en todas las herramientas del mercado de ciberseguridad, probablemente obtuve una de cada una. ¿Verdad? Sí, presupuesto, ¿eso es tan considerable? Pero, ¿realmente están sacando el mayor valor de ello?, no están optimizando. Hay algunas organizaciones con las que trabajé tenían cerca de 20 herramientas SIEM diferentes en todo el mundo, porque una organización en Alemania había salido de las contratadas, construyó sus propias operaciones, y alguien en Estados Unidos había hecho lo mismo. Y ese es probablemente todavía el estado en el que estamos. Y que entonces, ya sabes, el negocio no será ya que los líderes empresariales están viendo que el costo de ello es fundamentalmente bastante caro. Entonces, la respuesta fue, cortemos parte de este equipo de riesgo. Ya sabes, reducirá algunos de los costos y nos permitirá innovar, pero luego los expone a una serie de otras áreas que probablemente aún no han considerado o tal vez sí, porque algunas organizaciones están preparadas para tener contingencia reservada por un incumplimiento o una multa del GDPR. Y a veces es una decisión de negocios que va a aceptar que lo peor nos va a pasar a nosotros. Y tendremos que lidiar con ello como y cuándo, cuando suceda, si alguna vez sucede. Porque me han dicho esto antes, pero ya sabes, “Todas estas cosas cibernéticas son, es un poco como una póliza de seguro, ¿verdad? Porque podría no pasarnos a nosotros. No obtenemos nuestro dinero de nuestra inversión”.
50:31 Raghu Nandakumara
Pero te ayuda a ganar dinero, seguro en el conocimiento de que estás, estás protegido al mejor esfuerzo posible.
50:40 Indy Dhami
A veces eso no es suficiente.
50:45 Raghu Nandakumara
A veces eso no es suficiente. Así que bien, así que echemos un vistazo al futuro cajero mira a su bola de cristal. ¿Correcto? ¿Cuáles ve como los desafíos desde una perspectiva cibernética, que van a estar enfrentando la industria de servicios financieros en los próximos años?
51:00 Indy Dhami
Entonces para mí, existe, probablemente no te sorprenderá, diría yo, el uso de la IA, tanto desde una perspectiva de detective como de control, pero también los actores de amenazas que están usando una serie de herramientas diferentes de IA, el aprendizaje automático para automatizar fundamentalmente algunos de sus ataques, lo que reduce el costo de entrada para ellos. Porque algunos de estos, como mencioné, algunos de estos actores de amenazas altamente organizados, tienen gente trabajando esfuerzo manual. Eso reduce su costo pero también aumenta la superficie de ataque, por lo que pueden atacar continuamente mientras duermen. Entonces, siendo la IA una, y la aparición de la computación cuántica, que tendrá un efecto en cadena en todo, porque puede, entonces puede derrotar todas las medidas de cifrado y cosas que tiene implementadas. Entonces, para mí, eso probablemente no sea solo para FS. Esa es la industria para cada sector.
52:01 Raghu Nandakumara
Sí, y para los que ven el video esten preguntándose qué estaba haciendo, es mi hija desenchufado mi cargador, así que tuve que ir y enchufarlo antes de que me cortaran. Así que sí, y creo que escuchamos eso, quiero decir, tanto los efectos de la IA, como el tipo de potencial que ofrece la computación cuántica, particularmente sobre el tipo de cómo potencialmente hace que los algoritmos criptográficos actuales sean esencialmente, no inútiles, sino muy vulnerables, justo para poder, que se rompan en un tiempo medible. Pero en cuanto a la IA, por supuesto, altamente tópico, no es de extrañar que vayas ahí, en términos del uso real del ataque por parte de atacantes de IA, claro, obviamente escuchamos, digamos, bien, podrían crear falsificaciones profundas, podrían crear correos electrónicos brillantes de phishing que tú y yo seríamos susceptibles de, cierto, olvidar algo de mi papá haciendo clic en todo lo que recibe, pero que pasa con la amenaza de vamos digamos, como, ransomware que está en su organización que tiene acceso a una especie de IA de generación? ¿Con el fin de adaptarse en tiempo real? ¿Ves eso? Como, hemos visto ejemplos de eso a partir de la investigación, pero ¿qué tan real crees que va a ser? ¿Es?
53:22 Indy Dhami
Creo que será real, ya sabes, llevo varios años pensando en IA y escribí una entrada de blog sobre, ya sabes, ¿es abrir un trabajo de Pandora, en lugar de una caja? Porque técnicamente, era un trabajo. Y creo que estamos en esa etapa donde, ya sabes, en realidad uno de mis, uno de mis buenos amigos y colegas, dijo, ¿sabes, el uso de IA? Su punto de vista era que, es, es como, invitar a un vampiro a tu casa. Y es demasiado tarde allá dentro. Por lo tanto, es potencialmente uno para sus actores de amenazas. Es tu propio uso interno de la IA. ¿Cómo puedes confiar en él? ¿Está entregando los resultados que espera que tenga? ¿Se puede alterar? ¿Correcto? Entonces, ¿el modelo crea algo que fue completamente inesperado, que luego tiene un efecto en cadena en varios de sus otros componentes de su negocio? Entonces esa erosión de la confianza es una gran preocupación para muchas organizaciones, y tocaste el deepfake y el elemento y estamos viendo algunos deepfakes muy, muy sofisticados que, como dijiste, los profesionales de la seguridad serán fácilmente engañados.
Entonces es una época muy preocupante la que estamos viviendo ahora mismo. Porque es, ya sabes, ¿cómo confías realmente, y cómo puedes verificar entonces si la persona con la que estás hablando, en el otro extremo de este podcast, por ejemplo, es la persona que estás esperando que sea?
54:54 Raghu Nandakumara
Exactamente, quiero decir, puede que no sea Raghu en absoluto, ¿verdad? Solo una versión deepfake. Estoy hablando de una versión deepfake de Indy. Entonces, a medida que terminamos. Usted, obviamente está muy enfocado en la industria altamente regulada, los servicios financieros correctos entre los más regulados, si no los más regulados a nivel mundial. ¿Qué te emociona, pero luego también qué te asusta de una especie de futuro cercano al cercano?
55:21 Indy Dhami
Entonces lo que me emociona es, en realidad, su gente. La gente con la que trabajo, y los clientes con los que trabajo, y tú haces algunas cosas realmente interesantes, está sucediendo mucha innovación. Al igual que el mundo ha cambiado mucho. Si vuelve a cómo nos involucramos con todo en el día a día, la tecnología nos rodea en todas partes, con fines realmente inteligentes, casos de uso realmente interesantes, algunos beneficios para la salud, también. Entonces, ya sabes, el ingenio y la innovación del hombre, ya sabes, es genial Me encanta me encanta leer sobre nuevas tecnologías, y también me encanta leer sobre algunas de las tecnologías que nos permiten ver cada vez más en el espacio. Me deja boquieto cuando descubren algunos de estos planetas que el tamaño de ellos no puedes entender. Pero lo que me asusta es que a veces sigo viendo organizaciones haciendo lo mismo una y otra vez y esperando un resultado diferente. Y esa, para mí, es la definición de locura.
56:18 Raghu Nandakumara
Sí, totalmente. O sea, estoy completamente de acuerdo. Y aquí es donde pienso que en realidad cuando pensamos en cómo protegemos nuestro futuro, no se trata de tener que hacer cosas nuevas necesariamente. Realmente se trata de ser firmes en cómo hacemos tantos de los básicos que han apuntalado, digamos, como, cibernético durante tanto tiempo, ¿verdad? Y creo que para mí, como practicante, es lo que siempre me preocupa, cada vez que veo la próxima nueva tecnología, me parece genial. Pero hay tantas cosas que todavía tenemos que arreglar.
56:57 Indy Dhami
Los cimientos, el hecho los elementos de cimentación, ya sabes, y voy a volver a ese punto que hice alrededor de una época en Mercedes. Construimos este sistema de gestión de calidad que tenía todos los procesos, la seguridad estaba incrustada, todavía tengo algunos de mis compañeros que ya no trabajan ahí, pasamos a llevarlos a Indy, “Lo que estábamos haciendo ahí en ese momento estaba muy por delante de ustedes saben, todavía no vemos eso ahora”. A veces, vas a organizaciones para mostrarme tus procesos documentados. Y tiene, ya sabe, un montón de sistemas diferentes probablemente estén desactualizados, la política no se ha actualizado en muchos, muchos años. Ahora, y creo que es conseguir tus cimientos justo antes de que empieces a intentar ir a comprar la nueva tecnología Silver Bullet Shiny, whizzy. Derecha. Pero si no puede obtener los cimientos correctos, piense en cómo mitiga su riesgo y ponga en marcha sus controles de administración de riesgos. Y esto fundamentalmente se remonta a lo que es la resiliencia cibernética y de qué se trata la resiliencia operativa. Tener esos elementos fundamentales en su lugar que le permitan continuar operando si está bajo ataque, si lo está si ha perdido su espacio de oficina por cualquier razón, aún puede operar como un negocio porque se remonta al punto completo es ¿cuál es su propósito principal de cualquier negocio? Derecha. Y si podemos apoyarlos en nuestro viaje como líder de seguridad, entonces fantástico, y eso es lo que me motiva.
58:15 Raghu Nandakumara
Sí, absolutamente correcto. Consigue tus fundamentos correctos, para permitirte seguir operando y seguir innovando.
58:25 Indy Dhami
Exactamente.
58:29 Raghu Nandakumara
Oh, Indy, ha sido un verdadero placer hablarte. Creo que hemos cubierto para que podamos continuar por probablemente un par de horas más, con bastante facilidad durante unas horas. Como dije, ¿verdad? Creo que podríamos darte una temporada tres o 12 episodios solo para ti. Correcto y despick Mercedes, deselige tu tiempo en KPMG, Accenture, etc. Pero muchas gracias.
Para nuestros oyentes, consulte las notas del programa para obtener un enlace a los recursos de cumplimiento de DORA de Illumio, donde encontrará todo lo que necesita saber sobre esta importante ordenanza. La seguridad Zero Trust ayuda a lograr el cumplimiento de DORA, lo que afecta a todas las entidades bancarias, de servicios financieros y de seguros que operan dentro de la UE. Estén atentos para un próximo episodio dedicado a explorar en detalle la regulación DORA de la UE.