Abraçando visibilidade, consistência e controle

00:00 Raghu Nandakumara: Bem-vindo ao podcast The Segment: A Zero Trust Leadership. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, estou acompanhado por Stephen Coraggio e Greg Tkaczyk, da IBM Security. Na IBM, Stephen é sócio-gerente que lidera a prática de segurança cibernética de serviços financeiros da América. Com mais de 22 anos de experiência em serviços financeiros e cibernética, Stephen se concentra em projetos de segurança que vão desde a estratégia e o design do programa até a implementação e as operações. Greg é consultor executivo no Centro de Competência em Segurança Global da IBM, com foco na segurança da nuvem e da infraestrutura, incluindo gerenciamento de postura, segurança de contêineres e tecnologias de microssegmentação. Hoje, Stephen e Greg estão se juntando a nós para falar sobre o valor comercial da segurança cibernética, definir suas joias da coroa e como superar a paralisia da análise e outros desafios do Zero Trust. Oi, bem-vindo. Stephen, é fantástico ter você aqui. Como você está?

01:02 Stephen Coraggio: Ótimo. Ótimo Obrigado por me receber. Também estou empolgado por estar aqui.

01:05 Raghu Nandakumara: É um prazer absoluto. E Greg, da mesma forma. Como você está hoje?

01:09 Greg Tkaczyk: Ótimo, Raghu, obrigado por nos receber.

01:11 Raghu Nandakumara: Vocês dois têm caminhos muito amplos até onde estão hoje. Então, Stephen, se eu puder, do ponto de vista comercial, como você observou que a cibersegurança evoluiu em sua percepção comercial?

01:26 Stephen Coraggio: É uma pergunta interessante. Acho que estou nessa área há 16 anos, consultando segurança cibernética, trabalhando com muitos grandes clientes globais, clientes regionais e quase tudo mais. E o que eu vi nos últimos, digamos, três a quatro anos é uma mudança significativa do ponto de vista comercial, do ponto de vista do risco. Por isso, estamos cada vez mais engajados no lado comercial do ciberespaço. Portanto, o risco comercial depende do diretor de risco, até mesmo por meio do conselho de administração e da equipe executiva, sobre qual é o verdadeiro impacto do risco comercial ou o facilitador da cibersegurança e como ela pode impulsionar a transformação, ou até mesmo coisas como a transformação digital corporativa em grande escala e como a segurança cibernética pode permitir isso. E isso realmente foi uma mudança na forma como os clientes nos contrataram nos últimos três a três, três a quatro a cinco anos.

02:18 Raghu Nandakumara: Acho que isso é muito interessante porque acho que vemos também a evolução do CISO e do CISO voltado para os negócios. Então, eu quero voltar a isso em um segundo. Greg, como profissional que se aprofunda em implementações técnicas, como você viu essa mudança, todo o tipo de abordagem da segurança cibernética mudar ao longo dos anos, do ponto de vista técnico e de implementação?

02:41 Greg Tkaczyk: Quando comecei na segurança cibernética, há 20 anos, estávamos muito focados no trabalho de avaliação, entregando relatórios sobre o que pode ser melhorado. E, na verdade, a mudança é que os clientes estão percebendo que precisam do apoio de um consultor confiável para orientá-los na implementação corporativa de software. Na verdade, está se concentrando mais de uma abordagem tradicionalmente baseada em infraestrutura para uma abordagem de segurança cibernética baseada em software.

03:10 Raghu Nandakumara: Incrível. E vamos falar sobre isso. Porque essa é a mudança natural de quase tudo no local, tudo o que você gerencia para a nuvem híbrida, etc., impulsiona essa transformação em software. Então, Steve, quero voltar ao que você disse sobre a forma como pensamos sobre a mudança cibernética e sobre estarmos muito mais alinhados aos requisitos de negócios, que agora se estendem a uma espécie de diretor de risco, etc. O que você acha que desencadeou essa mudança, de ser apenas uma disciplina isolada, quase de TI, para uma disciplina muito mais comercial?

03:43 Stephen Coraggio: Acho que o ciberespaço se tornou popular. Acho que quando você analisa alguns dos principais incidentes que aconteceram nos últimos cinco a sete anos, isso se tornou uma conversa no conselho. Não está mais isolado do CISO e os conselhos agora estão pensando em: qual é o impacto da cibersegurança em nossos resultados financeiros? Como isso afeta o preço de nossas ações, nossos acionistas, nosso valor, a forma como clientes e parceiros pensam sobre nós no mercado? E quando criamos programas cibernéticos, muitas das conversas giram em torno de: “Podemos compartilhar isso com nossos clientes como um facilitador, como um diferencial, para que eles se sintam mais seguros fazendo negócios conosco? Incorporamos a segurança nos produtos que oferecemos, nas plataformas que compartilhamos e na forma como chegamos ao mercado?” E acho que eles perceberam que isso é um facilitador do valor comercial e da forma como os clientes e nossos parceiros entram no mercado. Acho que estamos em um momento muito interessante em nossa época em que a segurança agora pode ser vista como um impulsionador de negócios, um diferencial em empresas de grande porte, onde, há mais de cinco anos, era um centro de custos e considerada uma espécie de lugar onde os fundos morrem. E agora é o oposto.

04:54 Raghu Nandakumara: Sim, com certeza. E também acho que também existe a percepção de que as funções de segurança são sempre vistas como aquelas funções que dizem não às coisas ou questionam tudo. E essa transformação em poder dizer: “Ok, é assim que eu viabilizo seu negócio”. Então, Greg, você pode pagar isso e explicar, de uma perspectiva técnica, como você mostra que está possibilitando negócios e transformações?

05:17 Greg Tkaczyk: Sim, com certeza. Então, uma das coisas que costumo fazer para iniciar a conversa com meus clientes, especialmente quando falamos sobre Zero Trust, é realmente definir os desafios que eles estão enfrentando. E pela minha experiência, isso se resume a três coisas. É visibilidade, consistência e controle. E o Zero Trust é um tópico amplo, mas acho que, em última análise, essas são as três coisas que todos os nossos clientes estão tentando alcançar, independentemente da área da Zero Trust sobre a qual estamos falando. Então, quando você pensa em visibilidade, estamos falando sobre visibilidade de ativos, aplicativos, usuários, dados etc. Quais são todos os recursos de nuvem que estou tentando proteger? Como eles são configurados? Quais são as cargas de trabalho que compõem meus aplicativos? Como eles estão se comunicando? Essa falta de visibilidade pode resultar em pontos cegos que podem permitir que um invasor se mova pelo seu ambiente ou pelo que você está. Em última análise, você não pode criar controles de segurança se não souber o que está tentando proteger.

06:06 Greg Tkaczyk: Mas, na sua opinião, quando você estabelece visibilidade, muitas vezes acaba criando essa fonte compartilhada da verdade entre as partes interessadas no meio ambiente, dentro da empresa, que elas podem aproveitar no futuro para facilitar seu trabalho. Então, uma das coisas que geralmente tento fazer sempre que estou envolvido em uma implementação é me reunir com as diferentes partes interessadas em toda a organização, sejam elas equipes de conformidade, geralmente o CISO e sua organização, a resposta a incidentes e tudo mais, e descobrir como elas podem aproveitar essas ferramentas ou esse novo recurso dentro da empresa para facilitar suas vidas?

06:43 Raghu Nandakumara: Gosto da maneira como você descreveu. Como você usou três palavras: visibilidade, consistência e controle. Essencialmente, são os três pilares da maneira como você descreveu o Zero Trusts. Você pode dar um exemplo de onde... colocar isso na frente de um cliente e ele teve aquele “momento incrível” sobre como isso basicamente acelerará sua transformação digital?

07:03 Greg Tkaczyk: Sim, com certeza. Minha área de foco no momento são essencialmente tecnologias de gerenciamento de postura de microssegmentação e segurança na nuvem. Eu estava trabalhando com um grande cliente implementando o CSPM e o diretor de engenharia desse cliente basicamente disse: “Normalmente, nosso grupo adquire essa tecnologia e a implementa em nosso próprio silo e descobre como vamos gerenciá-la. E é isso.” Na verdade, nunca trabalhamos com um parceiro que viesse e pudesse entrar em contato com a organização de conformidade e entender quais são os recursos que essa nova ferramenta poderia oferecer a eles? Ele pode fornecer relatórios? Há ativos específicos em que eles estão interessados em termos de proteção? Entramos em contato, como mencionei, para responder a incidentes. Isso identificará falhas na configuração, como você lida com isso? Portanto, acho que é fundamental perceber o valor da sintonia externa do que normalmente é o patrocinador do seu projeto, a organização CISO. Porque, à medida que as pessoas começam a aproveitar essa tecnologia internamente, ela se torna normal, não apenas na área de segurança, mas em toda a organização.

08:05 Raghu Nandakumara: Sim. E isso meio que me leva ao tipo de, o que eu queria te perguntar sobre Steve. É que Greg mencionou sobre ir além da organização CISO, como parte da construção desse programa. Então, do nível de patrocínio executivo, como você os ajuda a criar esse tipo de suporte multifuncional para programas como esse?

08:31 Stephen Coraggio: Acho que um dos grandes chavões recentemente é que conversamos com clientes sobre gerenciamento de exposição. E quando nos aprofundamos em termos como gerenciamento de exposição e visibilidade geral de um ambiente, os executivos se divertem dizendo que realmente não entendemos como estamos realmente expostos às vulnerabilidades em nossa infraestrutura. Qual é a verdadeira visibilidade do nosso ambiente? Especialmente agora, a maioria dos nossos clientes são clientes de nuvem híbrida. Portanto, eles têm vários hiperescaladores, vários fornecedores no mercado e ao redor quando você pensa em cobertura de visibilidade e, na verdade, tentando proteger o que é mais valioso, essas conversas no nível executivo realmente ajudam a impulsionar esses programas. Porque antigamente se tratava de proteger tudo, criptografar tudo e realmente garantir que escaneássemos tudo em um ambiente. Agora, quando conversamos com clientes, trata-se de como garantir que estamos realmente cuidando das coisas mais importantes em nosso ambiente, garantindo que elas estejam devidamente protegidas, controladas, tenhamos visibilidade, monitoramos isso e, em seguida, respondemos às ameaças nesses ambientes específicos em vez de tentar ferver o oceano em tudo o que fazemos.

09:43 Stephen Coraggio: Gerenciamento de exposição, que às vezes é chamado de gerenciamento da superfície de ataque ou mapeamento da superfície de ataque. Mas, na verdade, tudo se resume à visibilidade, cobertura e, em seguida, priorização dos ativos mais críticos. E essas conversas no nível executivo sempre ressoam em algum tipo de adesão acordada, adesão, financiamento, esses tipos de programas.

10:05 Raghu Nandakumara: E ouvimos esse termo em torno dos ativos mais críticos, dos componentes mais importantes. Como isso normalmente é definido/identificado no nível executivo?

10:19 Stephen Coraggio: Sim, na maioria das vezes não é. E, na maioria das vezes, temos desafios sobre como isso é definido. Todo tipo de linha de negócios ou função de TI acha que tem ativos essenciais. Então, o que fazemos é adotar uma abordagem de consultoria para definir o que consideramos a joia da coroa de uma organização — dependendo de seu setor, de suas linhas de negócios, de como ela chega ao mercado, público/privado, se é uma empresa de manufatura que implanta produtos ou é uma empresa FinTech que realmente fornece software? Em seguida, definimos seus projetos de negócios, seus imperativos, o que é crítico para eles e, em seguida, adotamos uma abordagem de negócios cruzada para definir o que é isso e, em seguida, classificamos o risco de classificá-la. Então, pegamos o valor desses ativos, levamos o valor para o mercado, o valor para a empresa e, em seguida, aplicamos essa metodologia para ajudar a definir o que é fundamental ou precioso para uma empresa. Portanto, normalmente não é definido até que realmente tentemos montar uma estrutura ou uma metodologia em torno do que isso realmente significa para nossa organização.

11:23 Raghu Nandakumara: E então eu vou... Greg, vindo até você de uma espécie de perspectiva de execução/implementação. Normalmente, quantos ciclos são necessários para que uma organização chegue a um acordo sobre “essa é a importância, essa é a priorização correta e é por aí que precisamos começar”. Como isso é mapeado como um processo e um tempo?

11:45 Greg Tkaczyk: Então, a primeira coisa a dizer é que ninguém tem um CMDB perfeito ou uma lista de aplicativos corporativos, mas geralmente há algo. Normalmente, há um ponto de partida que você pode aproveitar. Então, quando entramos nessas organizações que, obviamente, do ponto de vista de Steve, você não quer ferver o oceano. Você tem que começar em algum lugar. Você precisa priorizar as coisas que são mais relevantes para o negócio. E, normalmente, aproveitamos tudo o que existe. Geralmente, chegar a esse acordo é um processo bastante cíclico, mas é algo que sabemos quando entramos pela porta. Essa deve ser uma prioridade a ser estabelecida. Uma das coisas que geralmente é um desafio é que ninguém quer tomar a decisão final. Portanto, tente orientar sua organização cliente a identificar um defensor do projeto técnico que tenha autoridade para tomar esse tipo de decisão e, em última análise, se essas são decisões relacionadas à arquitetura da solução ou se são decisões sobre a priorização do que você almejará primeiro. Essa é uma parte fundamental da implantação desses tipos de tecnologias.

12:47 Raghu Nandakumara: Na verdade, quero perguntar um pouco mais sobre isso. Porque muitas vezes, muitos projetos de segurança, como você diz, ficam paralisados por causa dessa inércia. Que ninguém quer tomar a decisão de, ok, precisamos ir e fazer X. Então, como você normalmente faz com que os clientes superem esse obstáculo? Qual é o conselho que você dá ou quais são as alavancas que você usa para que o progresso possa começar?

13:10 Greg Tkaczyk: Normalmente, adotamos uma abordagem dupla. Normalmente, há um fluxo de trabalho que chamamos de redução rápida de riscos. Normalmente, seja qual for a tecnologia que você esteja implementando, há algo que você pode fazer, no início da implementação, que pode não ser perfeito, mas vai ajudar e você estará em uma posição melhor do que antes. Então, quais são esses casos de uso para redução rápida de riscos? Não se deixe levar pela paralisia da análise por causa disso. Ao tentar identificá-las, você não quer passar quatro meses decidindo quais são as cinco principais políticas que deseja aplicar em uma solução de CSPM ou o que quer que seja. Portanto, tome essas decisões rapidamente e reduza os riscos. Então, esse é o primeiro fluxo de trabalho. E então a segunda, em termos de meta estratégica, realmente foque esses casos de uso e, novamente, veja se há coisas que você pode fazer para ainda mostrar valor com o entendimento de que a perfeição não é a chave. Portanto, se você estiver tentando proteger os 1000 aplicativos, reduza isso aos 10 principais. E então, entre os 10 primeiros, quão granular você realmente precisa ser? Pode haver decisões políticas que você possa tomar que sejam mais amplas, ainda melhores, não perfeitas, não sejam o estado final. Sim. Mas vamos seguir em frente e mostrar valor.

14:26 Stephen Coraggio: E para acrescentar a isso, talvez haja um terceiro que eu acho que estamos adicionando recentemente nos últimos anos. Normalmente, introduzimos o terceiro fluxo de trabalho em torno da quantificação de riscos. E eu sei que é outro termo amplamente usado, mas o programa de quantificação de riscos acaba de decolar em termos do valor que nossos executivos gostam de ver de um programa em termos de identificação de ameaças, vulnerabilidades, riscos e classificação de ativos. Como podemos pegar o que eles acreditam ser joias da coroa, podemos aplicar a quantificação a esses ativos em torno de ameaças externas que vemos no mercado, ameaças a um setor específico. Podemos simular o que seria um ataque a esses ativos ou ambientes específicos e, em seguida, quantificar o que realmente custaria à empresa se algo acontecesse. Portanto, esse modelo de quantificação de risco é um investimento bastante baixo para muitas empresas, mas fornece um ROI significativo em termos de onde elas querem gastar dinheiro em controles, visibilidade, microssegmentação, visibilidade de ativos e tudo mais. Para mim, isso está começando a se incorporar a muitas coisas que fazemos, mesmo que elas não necessariamente fizessem parte de um programa de quantificação de riscos.

15:36 Raghu Nandakumara: Sim. Na verdade, você quase respondeu à pergunta que eu ia fazer antes mesmo de eu perguntar, porque eu queria resumir algo que Greg disse logo no início quando disse que, quando entrou na área de cibersegurança, há cerca de 20 anos, era basicamente um exercício de caixa de seleção. Era muito focado na conformidade: “Preciso estar em conformidade com esses requisitos, verificar, verificar e estou em conformidade”. E todos nós sabemos que estar em conformidade não significa que eu esteja seguro. Estar em conformidade não significa estar seguro. E é isso que eu queria perguntar: parece que agora existe uma maior percepção de que entender o risco requer algum nível de modelagem e pontuação de ameaças associado a isso para então identificar: “Ok, aqui é onde eu corro o maior risco e é aí que preciso me concentrar do ponto de vista dos controles”. Essa é uma mudança significativa que você viu nos últimos anos?

16:22 Stephen Coraggio: Sim, eu diria que a cibersegurança não é mais uma capacidade na qual os clientes estão apenas pensando. Isso já existe há algum tempo. Talvez no final dos anos 2000, estivéssemos pensando que todo mundo estava comprando produtos de tecnologia e um talão de cheques aberto. Os últimos quatro a cinco anos, e talvez até os últimos três, tenham sido: “Como faço mais com menos? Como eu realmente penso em racionalização de gastos, tecnologia e expansão?” Nosso cliente médio tem 78 produtos de segurança diferentes. Tem muito a ver com: “Como faço para racionalizar, fornecer ROI, quantificar riscos para que possamos aplicar a tecnologia certa no ambiente certo e depois economizar dinheiro ao despriorizar outras coisas?” Então, quando você pensa em algumas das tecnologias da próxima geração, como microssegmentação, que inclui visibilidade, conceitos de Zero Trust que incluem IA e automação, nossos clientes estão pensando nessas coisas porque, na verdade, se trata de alavancar os investimentos da maneira certa e priorizar os gastos, em vez de simplesmente sair e comprar o próximo objeto brilhante. E isso é realmente o que estamos vendo, especialmente em mercados como os que estamos hoje.

17:32 Raghu Nandakumara: Isso é muito interessante, porque você falou sobre consolidação de ferramentas e como obter mais com menos. Então, eu quero, novamente, fazer essa pergunta em duas partes, Steve, uma para você e Greg, do ponto de vista de um profissional, é que, como você fala, digamos que você tenha... Você está na frente desse tipo de patrocinador executivo e diz: “Ok, você deve investir nessa capacidade, porque ela lhe trará esses benefícios”. E, da mesma forma, Greg pagando isso. Como você demonstra que esses benefícios realmente serão realizados? Então, Greg, talvez você queira ir primeiro?

18:06 Greg Tkaczyk: Claro. Então, só para acrescentar ao que Steve estava dizendo — visibilidade, consistência, controle — a parte da consistência é a racionalização de ferramentas, escolhendo tecnologias que funcionarão em sua infraestrutura heterogênea. Não apenas data center, mas aplicativos híbridos, multinuvem, tecnologias em contêineres, tecnologias sem servidor etc. Então, você deve pensar em selecionar as tecnologias que podem funcionar nesse ecossistema. Em termos de conversar com o patrocinador executivo e mostrar valor, eu daria um passo atrás. Muitas vezes, os clientes querem atingir o objetivo final ou a capacidade total que uma tecnologia fornecerá. Mas durante esse processo de soluções e vendas, muitas vezes há oportunidades de trabalhar com eles e ainda arquitetar uma solução que possa alcançar esses objetivos de negócios e reduzir riscos. Quero dizer, tipo “O que é o licenciamento, quais são os recursos, quais são os módulos que você precisa, quando você vai precisar deles? E que tipo de suporte você precisará nesse lançamento?” Sejam serviços profissionais ou serviços gerenciados. Portanto, focar esse escopo inicial no que é a preocupação imediata, para que você possa imediatamente mostrar valor em relação a um tipo de meta que seja mais realista e prática de alcançar em comparação com um tipo de estado final alvo que pode demorar dois ou três anos, é fundamental.

19:33 Greg Tkaczyk: E se você pensar sobre isso no processo de aquisição e solução, muitas vezes você pode reduzir riscos, reduzir custos e maximizar o ROI, sobre o qual estávamos falando antes. Criando um modelo de aceleração em termos de volume, recursos e tudo mais. Quando falo com clientes, primeiro, gostaria de abordar o assunto com antecedência e, depois, uma vez que você participasse, quais são as métricas que você pode destacar continuamente para alcançar esses critérios de sucesso? Se você o construiu corretamente, se solucionou o escopo inicial corretamente, medir esses critérios de sucesso deve ser bem fácil.

20:06 Raghu Nandakumara: Sim, sim. Definitivamente. Steve?

20:11 Stephen Coraggio: Sim, é interessante. Eu cubro serviços financeiros. Então, para mim, nossos clientes são os clientes mais maduros que existem. Há muitos anos que observamos esse nível de maturidade alto e elogio nossos clientes por quererem ser os melhores dos melhores, e acho que isso é demonstrado no que vemos do ponto de vista da capacidade. Estamos migrando para organizações dentro do meu mercado ou até mesmo para as 10 ou 20 melhores em outros mercados, onde elas desejam migrar para recursos como centros de risco integrados. Pense em como integramos totalmente o risco aos controles cibernéticos, ao centro de fusão cibernética e a alguns de nossos recursos de SOC ou gerenciamento de ameaças de última geração. Acho que é uma ótima visão onde esses clientes querem estar. Mas, na opinião de Greg, esses são roteiros de três a cinco anos, roteiros de três a quatro anos.

20:54 Stephen Coraggio: Então, nossa visão é: vamos adotar uma abordagem ponderada para chegar lá. Vamos encontrar os fornecedores, as soluções e os recursos certos que tenham essa mesma visão em mente e que queiram chegar lá com você nos próximos três a cinco anos, e criaremos um processo rápido para chegar lá. Mas há elementos fundamentais. Já falamos sobre coisas sobre visibilidade, controles, acesso e gerenciamento básicos nesta ligação. Esses são os itens fundamentais de uma organização quando ela quer chegar ao centro de risco integrado da próxima geração. Mas vamos começar do começo. Vamos construir os blocos de construção fundamentais. Vamos garantir que estejamos cobertos do ponto de vista da visibilidade e da vulnerabilidade, tenhamos esses recursos básicos implementados e, em seguida, desenvolvamos esse roteiro com fornecedores de produtos e fornecedores de soluções ao longo do caminho.

21:44 Raghu Nandakumara: Só de ouvir vocês dois falarem, certo, é como se nessa conversa Greg, no início, tivesse dito... Zero Trust é realmente visibilidade, consistência e controle. E vocês dois repetiram esses termos várias vezes. E Steve, o que você acabou de dizer, essas são as bases. Visibilidade, consistência e controle são os elementos básicos de qualquer bom programa de segurança. Em termos dos programas que você vê seus clientes mapeando, e vamos nos concentrar um pouco no setor de serviços financeiros, qual o papel do Zero Trust ou de uma estratégia Zero Trust no desenvolvimento desses programas? Isso é uma coisa real que eles mencionam ou é quase uma... E se fizermos isso, isso resultará em uma estratégia de Zero Trust? Como o Zero Trust está sendo discutido e planejado em seu grupo de clientes?

22:37 Stephen Coraggio: Quando retiramos o que pensamos sobre Zero Trust, para mim e para nós, é uma estrutura. É um princípio orientador para chegar a um lugar onde você possa realmente ajudar os clientes a fornecer a visibilidade, os controles, a identidade e, na verdade, verificar continuamente quem tem acesso a quê e por quê. Para mim, é realmente apenas uma estrutura. É o que o NIST era, é o que muitas dessas outras estruturas são. E então, quando você analisa os recursos dessa estrutura, como visibilidade e compreensão de coisas básicas como CMDB, cobertura de vulnerabilidades, gerenciamento de ativos, elementos básicos de uma organização de segurança, é quando toda a capacidade Zero Trust se reúne. É sobre construir tudo isso junto.

23:22 Raghu Nandakumara: Certo. Do ponto de vista financeiro, como você disse, o setor financeiro sempre esteve na vanguarda da segurança por causa das regulamentações envolvidas, dos requisitos, do lugar do regulador. O que você está vendo? Você está vendo uma maior adoção do Zero Trust e sabe que não necessariamente o denuncia por causa de todas as coisas que mencionou? Ou é só isso, novamente, que as organizações estão apenas aprimorando esses fundamentos e, essencialmente, a remoção da confiança implícita que, em última análise, leva a um resultado de Zero Trust?

23:52 Stephen Coraggio: Sim, acho que os 10 ou 20 principais CISOs dos serviços financeiros estão aproveitando o Zero Trust como uma conversa no conselho. Como os conselhos conhecem o termo, eles entendem o termo. É muito fácil saber o que significa Zero Trust. Mas o que eles estão adotando são as estruturas de Zero Trust e implementando-as como parte das capacidades e investimentos que estão fazendo, de modo que, ao resumi-las para seus conselhos, diretores e sua equipe executiva, mostrem seu progresso e maturidade em uma escala de Zero Trust para dizer: “Até que ponto estamos cobertos? Quão bem temos visibilidade? Até que ponto estamos protegidos? Temos a resiliência certa? Podemos nos recuperar de um incidente? Até que ponto estamos preparados para nos recuperarmos e se um incidente realmente acontecesse?”

24:37 Stephen Coraggio: Então, essa é a estrutura que eles estão usando para uma conversa no conselho porque, novamente, é bastante básica do ponto de vista da compreensão, mas impulsiona as capacidades subjacentes do ponto de vista do investimento.

24:48 Raghu Nandakumara: E é muito interessante que o Zero Trust, em termos de como um programa de segurança é apresentado, seja apresentado ao conselho em uma estrutura Zero Trust, enquanto a execução real subjacente gira mais em torno dos elementos básicos. Acho isso muito interessante porque muitas vezes acho que nós, praticantes, quase viramos isso de cabeça para baixo e dizemos: “Ah, ok, vou aplicar os princípios do Zero Trust aqui”. E como você disse, isso meio que se dilui porque todo mundo tem sua própria definição disso. Greg, quero falar com você, como profissional, quando seus clientes falarem com você sobre Zero Trust, quais são as perguntas que surgem e quais são seus conselhos, quais são suas respostas?

25:23 Greg Tkaczyk: Então eu acho que a primeira pergunta que sempre surge é como você começa. E, como mencionamos, a primeira coisa a considerar é que o Zero Trust é uma jornada. Na verdade, é uma jornada. O foco deve estar na melhoria contínua e incremental que seja mensurável. E não implementações gigantescas que vão atrapalhar os negócios. E, como mencionei, muitas vezes você começa a desenvolver quais controles você vai fazer de uma forma muito direcionada, mas também quais controles você vai aplicar de uma forma muito ampla em toda a sua organização para reduzir o risco? E você pode fazer as duas coisas em paralelo e, em qualquer uma das abordagens, está bem. Mas cada um é um trampolim para o Zero Trust. Então, quando falo com meus clientes sobre isso, eu realmente tento delinear qualquer domínio de tecnologia sobre o qual estamos falando, tipo, como vamos fazer isso?

26:09 Raghu Nandakumara: Sim, com certeza. Então, mudando um pouco de marcha, Steve, vou voltar para você, quando você está ansioso, digamos, no setor de serviços financeiros. O que você vê como as forças motrizes que exigirão um maior foco em melhor visibilidade, melhor consistência e melhor controle? O que você vê do ponto de vista regulatório, do ponto de vista da adoção de tecnologia, quais são os principais tipos de forças motrizes nesse espaço para a adoção ou a melhoria desses três controles básicos?

26:38 Stephen Coraggio: Uma das maiores áreas sobre as quais conversamos com clientes fora da segurança é a transformação digital. Está acelerando mais rápido do que eu já vi. E talvez seja por causa da concorrência, seja por causa do investimento, seja apenas por causa do grande volume de empresas que estão no mercado. Mas quando conversamos com clientes sobre transformação digital, seja no processo de integração, na experiência do cliente ou na melhoria do processo. A base de conhecimento do usuário final e como aplicamos a automação para entender o que os clientes estão procurando em produtos, serviços e expectativas. Essa transformação está realmente impulsionando a necessidade desses recursos. E estamos cada vez mais envolvidos nas conversas sobre se migrarmos para esses cenários de nuvem híbrida e aproveitarmos diferentes hiperescaladores e ambientes, como podemos realmente aplicar visibilidade, cobertura, controles, atividades de resposta e resiliência nesses ambientes?

27:41 Stephen Coraggio: Porque temos muito medo de que nossa empresa esteja avançando mais rápido do que podemos realmente aplicar os requisitos de segurança e segurança. Então, acho que acompanhar a transformação dos negócios, a transformação digital e a evolução dos negócios é provavelmente a conversa mais comum que estamos tendo a partir de uma perspectiva cibernética voltada para o futuro.

28:00 Greg Tkaczyk: Gostaria de acrescentar que parte disso é a modernização de aplicativos. Nossos clientes estão passando por grandes transformações nas quais pegam esses aplicativos legados e os refatoram em contêineres ou sem servidor, ou os transferem ou os transformam em aplicativos híbridos. Muitas dessas tecnologias podem, como já falamos muito sobre visibilidade, fornecer visibilidade que pode ajudar a tornar essas decisões mais fáceis, mas é o momento perfeito para incorporar a segurança ao aplicativo. Enquanto você está passando por essa transformação. Por que passar por isso e depois pensar de trás para frente sobre como vou proteger meus aplicativos recém-fatorados?

28:36 Raghu Nandakumara: Sim, com certeza. E sobre isso, certo, enquanto eles estão fazendo essa transformação, e ouvimos esse termo cada vez mais, mais ou menos resiliência cibernética é um termo muito em voga nos dias de hoje. Esse é um tipo real de ponto de discussão que você está tendo com seus clientes? Eles fazem a pergunta: como faço para me tornar mais resiliente cibernético? Ou isso é apenas um resultado esperado dos programas em que você está envolvido?

29:00 Stephen Coraggio: Sim, acho que é uma conversa. Não é necessariamente uma oferta. É uma conversa porque realmente impulsiona os subcomponentes e alguns dos programas subjacentes. Quando pensamos em resiliência cibernética, muitas conversas são sobre o direito de um incidente. Você está preparado? Você sabe como responder e se recuperar de alguma coisa? Quão resiliente você é se algo acontecesse? Muitas dessas conversas são sobre preparação, conscientização, educação, resposta, apoio e recuperação. Garantir que tenhamos essas peças no lugar certo para que, se e quando algo acontecer, as organizações estejam preparadas. Então, coisas como jogos de guerra cibernética, exercícios de mesa, experiências imersivas em cenários de ameaças e simulações de ameaças. É aí que os clientes estão realmente começando a gastar dinheiro na preparação de toda a empresa e em garantir que saibam quem é o comandante em termos de um incidente. Quais são os controles e a comunicação corretos?

30:00 Stephen Coraggio: Como podemos voltar a funcionar? Temos os sistemas de backup corretos e eles estão protegidos? Então, essas são muitas das conversas sobre resiliência. Não, certamente à esquerda de um incidente, trata-se de controles, visibilidade, monitoramento, e é isso que existe há algum tempo. Mas agora estamos analisando os dois lados desse espectro.

30:17 Raghu Nandakumara: Incrível, incrível. Então Greg, indo até você. Olhando um pouco para o futuro, onde você vê os próximos passos interessantes de uma cibersegurança, seja uma perspectiva de capacidade, seja uma perspectiva de ameaça com a qual os profissionais precisam realmente ter cuidado?

30:35 Greg Tkaczyk: Acho que cada vez mais se trata de otimizar e automatizar o aspecto de automação e remediação. Muitas dessas ferramentas identificarão coisas, alertarão você, mas requerem uma resposta humana. Muitas ferramentas e integrações com as plataformas SIEM e SOAR estão meio que fechando esse ciclo. Não vejo isso sendo muito usado em nossos clientes. A capacidade de fazer isso acontecer, talvez do ponto de vista técnico e hidráulico, existe, mas quando os clientes realmente se sentam e pensam sobre quais são esses casos de uso em que me sinto confortável em automatizar totalmente minha resposta. Acho que essa será uma área que será o foco daqui para frente.

31:16 Raghu Nandakumara: E aí, digamos, por que existe uma lacuna: porque hoje em dia, alguns clientes não conseguem definir quais são esses casos de uso ou porque não sabem quais dados precisam para instrumentar e operacionalizar esses casos de uso?

31:33 Greg Tkaczyk: Sim, mas também é assustador. Você está cedendo o controle de partes de sua infraestrutura a algo em que você confia inerentemente para tomar a decisão certa. E é isso que eu quero dizer. Acho que você precisa começar com pequenos casos de uso definidos com os quais se sinta muito confortável. Esses casos de uso não precisam ser aplicados em toda a empresa. E à medida que você se sente mais confortável, desenvolve essa capacidade de resposta automatizada.

31:58 Raghu Nandakumara: Sim, e se eu pensar nos pilares do Zero Trust da Forrester, temos aquele anel de automação e orquestração que existe lá. E vinculado ao tipo de visibilidade e monitoramento com o tipo de objetivo final, é esse tipo de ecossistema que está essencialmente se reportando, respondendo às mudanças no ambiente, etc., e ajustando o acesso ao longo do caminho. Então eu acho que é aí que todo mundo quer chegar. Mas, como você disse, abrir mão do controle é difícil. Steve, como qualquer outro tipo de desafio significativo que você vê, seja na área de serviços financeiros ou, em geral, com organizações que buscam realmente levar seus programas cibernéticos ao próximo nível e potencialmente acelerar esse progresso em direção ao Zero Trust.

32:46 Stephen Coraggio: Eu diria que a maior coisa que vemos dos clientes é realmente fornecer ROIs e investimentos em programas e ajudá-los, os CISOs, a agora entregar esse caso de negócios ao conselho sobre o valor de um investimento em segurança cibernética. Seja um componente de software ou de serviços. Fizemos mais programas de casos de negócios/ROI/quantificação no último ano do que provavelmente fizemos nos 10 anteriores. Porque se trata de ser mais cuidadoso quando se trata de gastar e ser mais definido com os parceiros, em vez de distribuir a riqueza com muitos. Então, acho que veremos cada vez mais disso à medida que as empresas reduzirem os orçamentos e pensarem em como eu me transformo com o negócio, mas também de maneira cuidadosa e eficiente? Mas acho que existe o suficiente em termos de fornecedores e soluções em que os clientes estão vendo cada vez mais o retorno do investimento nas organizações do que nunca. Então, estou esperançoso de saber para onde isso está indo.

33:45 Raghu Nandakumara: Acho que isso é muito interessante porque abordamos o ROI em alguns lugares desta conversa. E isso é definitivamente, como você disse corretamente, que foi um tema muito importante nos últimos 12 meses. E vimos praticamente todo tipo de líder de segurança, seja do lado do fornecedor ou do lado do cliente, falar sobre a necessidade de demonstrar o ROI. Em poucas palavras, quando saímos para construir, digamos, um modelo de ROI, aqui estão as principais coisas que enfatizamos e articulamos tão bem ao conselho. Você pode esclarecer um pouco isso?

34:16 Stephen Coraggio: Muitas coisas giram em torno do que Greg mencionou sobre automação, pontuação e eliminação de ameaças. Quando temos uma enorme base de clientes e podemos aproveitar o poder de muitos e sintetizar os dados para devolver valor e dizer: “Já vimos essa ameaça, já vimos esse incidente antes e, com base em nossas análises e pesquisas, é um falso positivo, feche-a automaticamente”. Isso economiza tempo e dinheiro dos analistas. Isso economiza tempo e dinheiro com a escalada. Na verdade, economiza tempo e dinheiro até mesmo contratando um analista de primeira linha. Portanto, somos capazes de fornecer cada vez mais plataformas automatizadas, respostas cada vez mais automatizadas e realmente tentar incorporar tecnologia a essas soluções para eliminar muitas das ameaças comoditizadas, digamos, ou vetores de ameaças conhecidos e realmente focar naqueles que são mais importantes e valiosos para as organizações. E para mim, mostramos valor ao dizer que isso reduzirá X quantidade de horas de trabalho e X quantidade de recursos ao substituí-la por uma plataforma, tecnologia ou modelo de IA. Isso é muito do investimento que fazemos.

35:16 Raghu Nandakumara: Greg, se você puder, eu gostaria que você combinasse isso. Então esse é o caso comercial. Como você então relata e mostra que, sim, eu automatizei essa porcentagem dessas tarefas. Como esse tipo de validação disso é feito?

35:30 Greg Tkaczyk: Normalmente, iniciar um noivado. Parte da definição dos critérios de sucesso será quais são as métricas que podemos rastrear e relatar, basicamente, semanalmente, em relação ao tipo de meta. Quantos agentes foram destacados? Qual o número de ativos que estão sendo protegidos? Quantos casos de uso foram ativados? Qual porcentagem do ambiente está em um determinado estado de segurança em relação ao resto. Como isso é mapeado em diferentes unidades de negócios ou sistemas operacionais diferentes ou qualquer que seja a métrica? Então, normalmente, parte desse processo é identificar essas métricas e KPIs, medi-los semanalmente e, em seguida, disponibilizamos esses dados trimestralmente para as partes interessadas executivas.

36:09 Raghu Nandakumara: Incrível. Steve, Greg, alguma outra pérola de sabedoria que vocês gostariam de compartilhar com os ouvintes?

36:15 Stephen Coraggio: Minha ideia inicial aqui é escolher um fornecedor de serviços para parceiros de soluções que esteja investindo nesses recursos. Existem muitos tipos de tecnologias e plataformas antigas que funcionaram muito bem, mas as empresas que estão brilhando no momento são empresas que não só podem fornecer informações sobre microssegmentação e Zero Trust, mas também visibilidade, além de entender o que há nesses contêineres ou áreas específicas? E então visibilidade e cobertura contínuas dentro dessas áreas específicas. Então, acho que analisar as empresas com as quais certamente fazemos parceria e sobre o que estamos falando aqui é extremamente importante para investimentos futuros. Acho que os modelos de rasgar e substituir são desafiadores. Acho que precisamos pensar em investimentos contínuos e construir parceiros estratégicos fortes, construindo um programa para o futuro. Portanto, é importante escolher o fornecedor certo no início desses programas.

37:09 Raghu Nandakumara: Obrigado, Steve. Greg?

37:10 Greg Tkaczyk: Eu diria que faça um piloto de produção e não uma prova de conceito. Essa é a maior coisa que vejo nos meus clientes bem-sucedidos fazerem isso. Ao fazer isso, você começa aos poucos, define os casos de uso e os critérios de sucesso do piloto, valida a tecnologia e valida as habilidades do seu parceiro de implementação. E, como parte desse processo, você descobrirá quaisquer insights, dependências ou restrições que serão relevantes para sua implementação. E realmente informe a abordagem que você adota para uma implantação corporativa.

37:41 Raghu Nandakumara: Esse é realmente um ótimo conselho. Piloto de produção versus prova de conceito, porque você deseja validar se isso funcionará quando a borracha cair na estrada. Greg, este é um podcast do Zero Trust. Qual é a sua analogia favorita do Zero Trust?

37:55 Greg Tkaczyk: Tudo bem, então eu realmente tenho alguns, se você tiver paciência comigo.

37:57 Raghu Nandakumara: Oh, tudo bem, tudo bem. Você tem que deixar Steve ter um também.

38:00 Greg Tkaczyk: Tudo bem.

38:01 Raghu Nandakumara: Então continue, você pode ter dois.

38:04 Greg Tkaczyk: Bem, eu vou ser rápido. O modelo histórico de segurança do doce duro com um centro macio. Mas quando penso em Zero Trust, é uma confiança altamente granular e distribuída. Então, isso não se aplica mais. Então, talvez seja um saco desses doces. Você ainda tem um perímetro que precisa abrir. Há controles nos quais você precisa entrar, mas lá dentro estão muitos desses doces. Cada um representa os controles de segurança. Eles estão mais perto do que você está tentando proteger. Então, isso permite uma tomada de decisão mais granular. A outra é que eu estava conversando com um amigo meu ontem e decidimos que o Zero Trust é como um sanduíche de queijo. Como conceito, é fácil dizer que é apenas um sanduíche de queijo. Mas quando você começa a se aprofundar nos detalhes, que tipo de pão, que tipo de queijo, quais são as coberturas, é grelhado? Isso significa algo totalmente diferente para todos.

38:48 Raghu Nandakumara: Bom, eu realmente gosto desses dois porque, de um lado, você acabou de explicar que o saco de doces é o conceito e, em seguida, o sanduíche de queijo é, na verdade, tem muitas nuances e cada um tem sua própria opinião. E também gosto do fato de você estar conversando com seus amigos diariamente sobre o Zero Trust, criando novas analogias. Steve, é melhor sacar de doces ou sanduíche de queijo?

39:09 Stephen Coraggio: Sim, bem, acho que Greg está com mais fome do que eu estou agora. Então, minha analogia não é relacionada a alimentos, mas eu usei essa analogia por um tempo e acho que esse tipo de setor está certo. Assim como você pensa em um aeroporto, você pensa no que é preciso para passar por um aeroporto, passando por verificações de segurança e validação de uma identidade e, em seguida, validação contínua à medida que você se move pelo terminal, pelo portão, pelo avião, pelo assento. Acho que esse tipo de metodologia, que é granular e granular à medida que você avança no processo, você está constantemente sendo validado em termos de verificações de segurança, sua identidade, o portão e o terminal em que deveria estar. E acho que se você olhar isso do ponto de vista da segurança e da quantidade de pessoas e coisas que passam, acho que elas fizeram isso muito bem. E é claro que existem problemas e desafios e algumas coisas pelas quais eles superam, mas, na maioria das vezes, esse processo ininterrupto, a validação contínua funcionou muito bem.

40:04 Raghu Nandakumara: Acho que foi uma ótima conversa, Steve, Greg, com vocês mesmos, e realmente obtiveram uma visão incrível da perspectiva de um profissional sobre como, desde o nível da diretoria, até a implementação técnica e o gerenciamento de programas, além de relatórios sobre como você oferece programas de segurança bem-sucedidos que oferecem resultados reais de redução de riscos. Acho que é isso que considero a principal lição. E também como, em última análise, você realmente é, quando pensamos em Zero Trust, estamos pensando realmente em três coisas principais. Visibilidade, consistência, controle e aplicação disso em toda a sua propriedade nos lugares certos para afetar a redução de riscos e, essencialmente, melhorar a resiliência cibernética. Então, muito obrigado novamente por seu tempo hoje. E, se todos estiverem interessados em saber mais sobre como a IBM e a Illumio estão trabalhando juntas para capacitar as organizações a alcançar uma melhor resiliência com visibilidade aprimorada e segmentação Zero Trust, acesse nosso site. Steve, Greg, muito obrigado pelo seu tempo hoje. Eu agradeço.

41:16 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter @illumio. E se você gostou da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.

‍