Humanizando a cibersegurança: a mentalidade orientada pela missão

Dra. Kelley Misata 00:02

Um dos temas comuns que eu absolutamente amo e que aprendi com esse trabalho, que simplesmente aquece meu coração, é que essas organizações sempre colocarão a missão em primeiro lugar.

Raghu Nandakumara 00:16

Então, bem-vindo de volta a outro episódio de The Segment. Sou seu anfitrião, Raghu Nandakumara, e continuo com nosso tema não oficial da terceira temporada de trazer convidados que forneçam perspectivas essenciais, mas provavelmente não suficientemente ouvidas, sobre cibersegurança. É um grande prazer receber o podcast hoje. Dra. Kelley Misata, PhD. Ela é fundadora e CEO da Sightline Security, uma organização sem fins lucrativos que ajuda outras organizações sem fins lucrativos a integrar a segurança cibernética em suas operações diárias, e ela vem com uma riqueza de conhecimento e experiência. Então, Kelley, bem-vinda ao segmento. É maravilhoso ter você aqui.

Dra. Kelley Misata 01:01

É lindo estar aqui. Muito obrigado por me convidar.

Raghu Nandakumara 01:06

Absolutamente! Então, mais ou menos sobre esse tema geral sobre o plano de fundo. Acho que carreiras particularmente duradouras na área cibernética exigem que o indivíduo seja muito motivado por uma missão. Como você descreveria sua missão e o que o motiva em sua carreira na área cibernética.

Dra. Kelley Misata 01:24

Eu realmente amo essa pergunta! É a primeira vez que é perguntado nesse quadro. Isso me atrai a essa conversa que tive com um querido amigo meu que está na área de segurança há muito, muito mais tempo do que eu. E ela me disse, ela disse: “Kelley, você fica tão animada o tempo todo com tudo”, e eu disse: “Eu aceito”. Por exemplo, eu realmente sinto que temos a oportunidade de fazer a diferença no mundo quando se trata de ajudar organizações, indivíduos e grupos de pessoas a adotarem a segurança cibernética com muito mais confiança e a derrubar todas essas camadas de mistério, unicórnios voadores e pó de fada. E acho que é isso que me motiva todos os dias, é que vejo essa possibilidade em todos os diferentes cantos do meu trabalho. E eu geralmente me levanto de manhã dizendo: “Nossa, que coisa excitante vai me acontecer hoje”. Quer eu aprenda algo novo, ajude alguém a pensar de forma diferente, participe de um grupo de trabalho que você sabe que está tentando tornar o mundo um lugar melhor. É realmente uma jornada todas as manhãs.

Raghu Nandakumara 02:28

Surpreendente. Porque, e eu ouvi você mencionar isso em outras entrevistas e podcasts que você recebeu, na verdade você meio que desafia a forma como a segurança é retratada ou representada nas organizações como uma? Acho que sua crítica é que ela geralmente é vista como uma função isolada, quando na verdade você quer que ela realmente permeie toda a organização. Você pode falar um pouco mais sobre isso e, em seu estado ideal, como a segurança seria organizada?

Dra. Kelley Misata 02:59

Sim, você sabe, estamos interagindo com essa tecnologia todos os dias e ainda mais, certo? Por exemplo, pense bem, eu me lembro da época do correio entre escritórios. Você se lembra daqueles dias com os envelopes, certo? E você falaria sobre PII. É como se você riscasse o nome de alguém, é como, oh, isso acabou de ir para o presidente, depois foi para o RH, quem está sendo demitido, certo? Mas, tipo, penso muito em como adotamos a tecnologia com tanto abandono; como nos mantemos seguros? E meu estado de sonho é que estamos sempre pensando: eu deveria estar fazendo isso? Qual é o impacto do meu comportamento? Qual é o meu impacto ao me envolver com um novo software? Qual é o meu impacto na minha organização se eu optar por seguir essa direção em um modelo de desenvolvimento de produto? Meu sonho é dar um passo atrás e dizer: “Ah, talvez devêssemos pensar novamente sobre isso”. Então, é quase fazer uma pausa em vez de ser como, oh Deus, temos que ir falar com a equipe de segurança. E nós realmente não queremos falar com a equipe de segurança porque eles vão atrapalhar o progresso da nossa organização, certo? Ou eles vão nos assustar ainda mais. Ter isso apenas como memória muscular para organizações e indivíduos, para mim, é o estado dos sonhos. E acho que estamos nos mudando para lá quase inconscientemente, mas está demorando muito, e acho que as pessoas da área de segurança estão impacientes com isso, e espero que eu traga um pouco de paciência à conversa para dizer: “Tudo bem, progredimos. Vamos continuar.”

Raghu Nandakumara 04:44

Eu adoro como você classificou os profissionais de segurança como impacientes e, na verdade, o que precisamos é de mais paciência, mas falaremos sobre isso em um segundo. Mas quero dar mais um passo atrás em relação ao que você disse sobre como cada indivíduo é incentivado a abordar qualquer decisão, como: “Como isso contribui para a segurança dos meus dados, da minha organização?” Então, teremos uma cultura de segurança totalmente melhor do que a que temos hoje, em que a segurança é basicamente a guardiã ou a barreira ao progresso. Então, você acha que há uma oportunidade de modificar a forma como fazemos o treinamento de conscientização sobre segurança para incorporar mais dessa propriedade pessoal?

Dra. Kelley Misata 05:30

Ah, com certeza. Acho que tem que descer para o nível cultural. E isso é difícil, certo? Porque uma das coisas mais difíceis em segurança são as pessoas. Somos o elemento mais confuso e complicado. Então, quando falamos sobre treinamento de conscientização sobre segurança, não estamos falando de treinamento de conscientização sobre os sistemas, estamos falando das pessoas. Então, você está automaticamente falando sobre o tipo de dor no pescoço mais complicado com o qual você tem que lidar em segurança. Então, talvez você precise tirá-lo dessa caixa especial de “vamos fazer um treinamento” e fazê-lo bem, vamos falar sobre como estamos usando esses sistemas e esses dispositivos. Vamos falar sobre as hipóteses e os impactos em nossa organização. Quero dizer, um caso muito interessante em que penso, e você sabe, minha perspectiva é um pouco única, eu acho, é que eu penso que, mesmo que eu publique algo em minhas mídias sociais pessoais, penso no impacto disso nas pessoas que podem estar recebendo isso, ou se eu tirar uma foto, você sabe, eu sou muito, muito protetora das imagens das pessoas, porque eu não sei o que elas estão acontecendo em suas vidas. Então, eu não quero dizer: “Ei, aqui eu e um monte de estranhos atrás de mim”. Então, trata-se de pensar mais profundamente nisso, mas também é a consideração de que estou usando essa tecnologia. Eu tenho pessoas ao meu redor. Eu tenho sistemas ao meu redor. Qual é o risco não só para mim, mas para todos os tentáculos que estão conectados a mim? E parece opressor, mas meio que se torna parte da memória muscular, porque já estamos fazendo isso em alguns casos. Quero dizer, você provavelmente se lembra, tipo, eu uso sua primeira senha. Ridículo! Tipo, eu nem quero dizer o que era, mas todo mundo pode adivinhar. Mas agora, se você dissesse isso até mesmo para minha mãe de 82 anos, e ela adora isso, eu digo a idade dela no podcast, porque eu digo: “Você tem 82 anos”. Mas nem ela faz mais isso. E ela não fez nenhum treinamento de conscientização sobre cibersegurança. Ela acabou de se envolver na cultura de sua vida e nos sistemas que está usando para forçá-la a se comportar de maneira diferente. Para mim, esse é o ponto ideal. Mas, novamente, é preciso paciência. É preciso pensar no futuro. É preciso paciência. É preciso dar um passo atrás e dizer: “Ah, não entendi direito. Vamos passar para essa maneira de fazer isso.”

Raghu Nandakumara 08:04

E eu acho que aquele exemplo que você deu de sua mãe, e obrigado a ela, certo, por ser capaz, é algo sobre ser capaz de conectar a ação que você está realizando a algo com o qual você é capaz de se relacionar na vida real, certo? O que torna a associação, torna a razão por trás dela novamente, como a motivação de que a missão por trás dela é muito mais poderosa, e eu concordo, certo? Acho que provavelmente há uma oportunidade significativa de reformular a forma como fazemos o treinamento de conscientização sobre segurança com essa abordagem. No centro, está a questão de como torná-lo o mais facilmente identificável possível, versus o tipo de abstração. Mas vamos ao comentário do paciente porque você o mencionou novamente aqui. Então, você e eu, trabalhamos com profissionais de segurança. Estamos no setor. Por que estamos impacientes?

Dra. Kelley Misata 08:53

Oh, é porque estamos constantemente pensando sobre onde estão os bandidos. Onde está a ameaça? Onde está a próxima coisa terrível que vai atingir alguém? Penso nisso o tempo todo e observei pessoas no início da minha jornada pelo espaço de segurança. Eu estava vendo pessoas se cansando naquela época, e não parava de pensar no porquê. E foi só quando fiquei lá por um pouco mais de tempo, assim como em minha própria jornada rumo à segurança, que percebi que quanto mais você pensa sobre a coisa ruim que vai acontecer a seguir, mais exausto você se sentirá mental e fisicamente. E acho que é daí que vem a impaciência. E também acho que o pessoal de segurança vê o mundo por uma lente diferente. Você sabe, somos condicionados e treinados para olhar para esses dispositivos e esses sistemas através de uma lente diferente, então, para nós, é natural. Como eu me lembro quando estava no Projeto Tor, observava desenvolvedores interagindo com jornalistas em partes comprometidas do mundo, e eles realmente começavam a perder a cabeça. Eles dizem: “Por que eles simplesmente não entendem?” E eu continuei dizendo a eles: “Eles não conseguem ver isso”. Sim, é tudo um mistério, então se pudermos ajudá-los a ver isso. Então, eu construí um treinamento usando, você se lembra daquelas luzes negras, aquelas canetas que você costumava ter quando criança, e você dá ao seu melhor amigo, certo? Então, eu comprei um monte desses, trouxe esses envelopes para este treinamento, e pedi que pessoas na platéia se voluntariassem para serem os nós, e eu pego a mensagem e a escrevi na luz negra, certo? Porque isso é um pouco como o PGP. É tipo, ok, eu vou criptografar isso, colocá-lo nos três envelopes, colocá-lo por aí e eles literalmente, de uma forma física, experimentar como o Tor operava. E no final disso, essa foi a primeira vez que um grupo de pessoas, bem, que eu vi, deu um passo atrás e disse: “Ah, agora eu sei por que o Tor é lento.” Eu digo, sim, sim, porque está produzindo todo esse lúpulo. Mas foi realmente para eles que, oh, agora eu vejo onde os bandidos estão. Agora eu vejo onde os sistemas estão. Agora eu vejo como isso funciona. Você não pode fazer isso com tudo em segurança, mas podemos fazer melhor. Podemos parar de apresentar tudo como mágico.

Raghu Nandakumara 11:19

Sim, sim, com certeza. E estou muito feliz que você tenha falado sobre o exemplo do Tor com os envelopes porque eu estava lendo a transcrição de um, eu acho, sobre o IBM Security Intelligence. Você fez uma gravação com eles há um tempo atrás, e eu li isso, e pensei, por algum motivo, não consegui acessar o áudio. Não tenho certeza de como ela meio que manifesta aquele exemplo de envelope. Mas agora, agora eu absolutamente entendo. Então, obrigado. Obrigado por isso. Sim. E eu acho que sim, vamos fazer de novo, certo? Novamente, mais ou menos, está ligado à peça anterior sobre a qual estamos falando sobre conscientização, que é como, como profissionais de segurança, acho que precisamos fazer com que pareça menos mágica, certo? É como realmente ser capaz de colocar isso no contexto de. Atualmente, fala-se muito sobre princípios de segurança no contexto dos resultados comerciais, e acho que há muito o que fazer lá. Além disso, acho que está definitivamente desmistificando a cibernética em geral, porque há muita coisa por aí que parece que você tem tantos engenheiros brilhantes, pessoas brilhantes que trabalham em TI e riscos, etc., mas eu não entendo a cibernética. Então, há uma grande, enorme oportunidade aí. Eu concordo, conectando isso agora a alguns dos trabalhos que você está fazendo hoje, certo? E eu adoraria que você o fizesse rapidamente, porque tenho certeza de que o público provavelmente não está muito familiarizado com o que o Sightline faz e qual é o seu papel lá. Então, antes de nos aprofundarmos nessa área, que é fascinante, nos dê uma rápida visão geral da Sightline.

Dra. Kelley Misata 12:51

Sim, então a Sightline Security é uma organização sem fins lucrativos com sede aqui nos Estados Unidos que eu construí a partir da minha pesquisa de dissertação. Eu tenho que dar crédito a Becky Base, que foi uma das minhas mentoras naquela época. Foi construído porque comecei um programa de doutorado depois de ser perseguido por muitos anos, decidi fazer o doutorado como uma forma de entender como meu agressor podia fazer o que estava fazendo e quando chego à dissertação, que, aliás, pensei que eles estavam me expulsando a cada semestre. Eu estava tipo, Oh, isso foi divertido. Vou esperar para ver quando eles vão dizer: “Muito obrigado, até mais tarde”. Então, chego à dissertação e pensei: “O que eu faço?” Tipo, foi uma coisa tão assustadora. E voltei para aquele espaço de, oh, eu costumava fazer TQM antigamente, fui avaliador do Prêmio Baldridge por um tempo, então eu sabia como fazer avaliações e então fiz minha dissertação sobre uma análise de lacunas sobre como analisar a preparação para a segurança cibernética com organizações que trabalham com vítimas de violência. Eu queria todo o espaço sem fins lucrativos e meu comitê de doutorado disse, sim, faça o doutorado primeiro e depois vá salvar o mundo. Mas, resumindo, o que essa experiência me iluminou foi que as organizações sem fins lucrativos recebiam todo esse material gratuito de lugares diferentes, mas ninguém as estava ajudando a recuar e dizer: “O que eu preciso, por que preciso disso e qual é o valor para minha empresa?” E foi aí que surgiu o Sightline. Porque, inacreditavelmente, eu estava me preparando para minha defesa, para minha dissertação. Becky entrou na sala, me surpreendeu, dirigiu de Mobile, Alabama, até West Lafayette para me surpreender e, no final da minha defesa, ela disse: “Você tem que fazer algo com essa maneira de pensar que construiu em torno dessa pesquisa”, e isso se tornou o Sightline. Então, nosso objetivo é realmente ajudar organizações sem fins lucrativos a descobrir onde elas estão. Para nós, trata-se de pegar os controles existentes no espaço de segurança, nos controles CSF e CIS e reutilizá-los em uma linguagem sem fins lucrativos. Mas a única maneira de fazer isso é passar muito tempo ouvindo essas organizações. Então, na verdade, está na cerca entre o espaço de segurança e o espaço sem fins lucrativos, para que possamos ajudar essas organizações sem fins lucrativos a descobrir onde estão.

Raghu Nandakumara 15:24

Fascinante. E você falou, mais ou menos sobre como a experiência pessoal que essencialmente o motivou a explorar essa área em seu doutorado, você se importaria de falar um pouco sobre essa experiência? Se você não se importa em compartilhar.

Dra. Kelley Misata 15:41

Sim, acho que, para mim, é uma moldura até hoje, onde vejo segurança e mais ou menos como vejo todo esse espaço. Sabe, comecei minha carreira da mesma forma que a maioria das pessoas, apenas aceitando o primeiro emprego, mas passei a fazer muito desenvolvimento de negócios. Eu tenho um MBA em marketing, o que também é muito estranho, porque eu tenho um PhD em cibersegurança e MBA em marketing.

Raghu Nandakumara 16:07

É a maneira certa de contornar. Essa é a maneira certa de contornar.

Dra. Kelley Misata 16:11

Exatamente, mas eu estava trabalhando para uma grande empresa, e um dos meus colegas de trabalho meio que se intrometeu comigo de uma forma que não era amigável nem boa, e continuou por quase sete anos. Na verdade, entrei em contato com a segurança, porque continuei pedindo ajuda, porque fiquei pensando, tipo, como é possível que essa pessoa a 3.000 milhas de distância não só atrapalhasse minha vida, mas continuasse estendendo a mão para pessoas conectadas a mim. Então eu estava recebendo picadas de abelha, porque recebo todos esses e-mails de pessoas da minha vida. Você sabe, muitos relacionamentos completamente destruídos por essa situação e muitos medos. Então, eu estava experimentando esse nível elevado de medo, assim como meus familiares e de outras pessoas. E eu me lembro de ir ao projeto Tor porque ele estava usando o Tor, e me lembro de ligar para Andrew Lumen e dizer: “Você tem que me ajudar porque o FBI e outras agências policiais disseram: “Não podemos ajudá-lo, ele está usando o Tor”. E fiquei perplexo como uma peça de tecnologia poderia proteger os bandidos e deixar o ônus da evidência para os mocinhos, certo? Então, em todas essas diferentes conjunturas, eu pensei, como é que isso é vencer? E era um pouco dele ganhando, mas era mais que a tecnologia estava vencendo. E fiquei pensando que não pode ser assim que a segurança funciona. Simplesmente não pode ser. Então, felizmente conheci o Dr. Eugene Baffert e, você sabe, foi uma espécie de homenagem por me salvar no rumo da minha vida. E ele me disse: “Ei, por que você não se inscreve neste programa de doutorado em Purdue?” Eu digo: “Sim, certo. Você quer que uma mãe solteira que mora em Boston na casa dos 40 anos com um MBA em marketing participe de um programa de doutorado em segurança cibernética. Você tem que estar fora de si.” Então, sim, eu fiz isso. Eu escrevi o aplicativo sobre Amelia Earhart. Entrei pensando que só queria obter o máximo de informações possível, para poder entender como ele podia fazer o que estava fazendo e como os outros, você sabe, não podiam me ajudar ao longo do caminho. E isso está completamente estruturado na forma como eu abordo a segurança, porque aquela mente de principiante em que vivi por todos esses anos. Quer dizer, eu me lembro de ligar para um amigo meu antigamente, Marcus Raynham. Liguei para Marcus, fomos apresentados por outros amigos em comum e disse: “Ajude-me a entender como o firewall funciona. Você literalmente gosta de um dos pioneiros nessa tecnologia.” E ele disse: “Não tenho tempo para isso”. No estilo típico de Marcus, certo? Tipo, essa era a personalidade dele, cara de bom coração, mas essa era a personalidade dele, e isso foi parte da minha entrada na área de segurança de, uau, existem todas essas pessoas inteligentes que eu não quero dizer a contragosto, mas não tiveram a paciência de intervir e dizer, deixe-me explicar para você, para que você possa entender como isso se conecta ao que você está vivenciando. Então, é isso que eu carrego comigo onde quer que eu vá.

Raghu Nandakumara 19:32

Muito obrigado por compartilhá-la, e acho que, vinculando-a ao que eu estava falando logo no início, é muito fácil entender sua missão e como essa experiência agora se relaciona com o que você fez e o que está fazendo hoje. Então, muito obrigado por compartilhar isso. Então, vamos falar sobre o Sightline e vamos falar sobre organizações sem fins lucrativos. E enquanto você fala sobre isso, mais ou menos uma introdução no Sightline, você falou sobre ajudar organizações sem fins lucrativos a entender o que precisam fazer no mundo cibernético. E você falou sobre uma espécie de mapeamento para coisas como CSF, etc. e outras estruturas, e traduziu isso em requisitos que as representem. Então, ajude-nos a entender isso um pouco mais. Porque se eu olhar para o CSF, vejo tipos de requisitos que são relevantes para todos. Não vejo uma lente do setor privado versus setor público versus organizações sem fins lucrativos quando o leio, certo? Mas, claramente, há uma diferença. Então, eu adoraria entender isso.

Dra. Kelley Misata 20:31

Sim, foi uma jornada muito interessante e, na verdade, continua, o que é muito divertido enquanto continuamos nosso trabalho na Sightline, é que nunca existe esse momento em que eu digo: “Ah, é isso”, e entendemos. Então, um caso muito interessante é que o palavreado no CSF do NIST é tão lógico quanto parece para a maioria das pessoas. Se você pegar isso e colocá-lo em uma organização baseada em missões, eles imediatamente entrarão nisso com a mentalidade de: “Ah, é segurança cibernética. É complicado”, então você tem que quebrar toda essa barreira. A outra coisa é o idioma. A primeira vez que pedi a uma organização sem fins lucrativos que fizesse um inventário de seu hardware e software, eles voltaram e disseram: “O que você quer dizer com inventário”. Para qualquer pessoa, você disse: “Bem, você tem uma lista?” Sim, eu sei. Você tem uma lista? Mas, novamente, foi aquele momento em que é como, ok, então eles estão pensando que é algo como algum sistema ou aplicativo que eles precisam ter para conseguir pegar coisas. E então, assim que comecei a falar sobre ativos, havia uma chaleira cheia de peixe, tipo, bem longe na esquina. Isso nem chegou às entranhas dessas famílias de controle que falam sobre detecção, resposta, você sabe, firewalls, detecção de intrusão, como todos os registros. Uma organização sem fins lucrativos não vai entender o que é um registro, ok. Então, foi sair do espaço de segurança e entrar no mundo deles para dizer: “O que posso fazer para ajudá-los a ver onde a segurança se conecta à sua missão?” E a primeira coisa que comecei a fazer quando estava configurando um Sightline foi fazer essas chamadas de integração com nossos membros e disse a eles: “Segurança cibernética é um termo de marketing. Não vamos falar sobre isso.” E eles disseram: “Ok, todo o seu site diz segurança cibernética”, eu disse, “mas deixe-me ajudá-lo a detalhá-la”. Segurança da informação é proteger informações, como número de telefone, fotografia, nome, qualquer coisa, certo? Você pode colocar suas mãos nisso. E eles dizem: “Sim, a segurança cibernética de um espaço, não podemos controlar isso, esse é o domínio”. Mas se você se concentrar no que então eles intervieram, eles dizem: “Oh, bem, nós temos, você sabe, um banco de dados de doadores aqui”. Sim, provavelmente deveríamos pensar em, você sabe, garantir isso. Esse é o momento em que essas organizações intervêm e dizem: Ah, ok, o segundo turno estava eliminando todas as coisas assustadoras porque elas já estão com medo. Eles lêem os novos avanços em tecnologia, como IA e aprendizado de máquina, e dizem: “Oh Deus, os robôs vão dominar o mundo?” No momento em que pude dar um passo atrás e dizer: “Ei, você sabia que se você fizer algumas coisas simples e puder contar histórias sobre isso, seus doadores podem realmente ver que você se importa com as informações que estão compartilhando com você para ajudar na sua missão”. Não seria uma história adorável para contar a eles, e eles imediatamente dizem: “Ah, sim, vamos contar algumas histórias sobre isso”. Então, é uma forma diferente de pensar sobre como apresentar o negócio. E tudo isso combinado era, na verdade, sobre entrarmos e dizermos: “Eu não sei o que fazer”. Talvez eu conheça a cibersegurança e conheça as famílias de controle por dentro e por fora. Eu não conheço o seu negócio. Então, na Sightline, meu sonho é não ter apenas segurança cibernética para organizações sem fins lucrativos. Quero entender a segurança por missão. Quero entender qual é a diferença entre uma organização de tráfico humano versus um banco de alimentos, sim, versus a Cruz Vermelha versus meu abrigo local para animais de estimação, aqui na minha cidade, como se houvesse todas essas camadas. Então, na Sightline, é basicamente minha missão parar de dizer: ei, dois pontos, seja qual for o milhão de organizações sem fins lucrativos nos EUA, vocês são todos iguais, então vamos dar a mesma ajuda e presumir que vocês têm os mesmos problemas. Quero detalhar tudo isso e dizer que poderíamos fazer melhor.

Raghu Nandakumara 24:53

Adoro isso porque acho que contar histórias é muito importante agora. Como, no direito cibernético, realmente progredir. E acho que isso se aplica a organizações de qualquer tamanho, de qualquer complexidade. Ser capaz de contar histórias eficazes sobre por que a cibersegurança é importante para quase todas as partes individuais de uma organização é essencial para obter a adesão. E acho que isso se aplica ainda mais ao voltar a algo que você disse logo no início, em que há potencialmente uma distância muito grande entre as pessoas que estão cumprindo a missão da organização e suas funções de TI ou cibersegurança. Então, eu acho que isso é muito importante. Acho que esse é o motivo pelo qual isso coloca você no melhor lugar, MBA em marketing, doutorado em segurança cibernética, certo? Meio que realmente se unindo naquela tempestade perfeita. Mas sim, eu meio que escrevi completamente. Acho que há outra coisa que você disse no passado sobre o setor de organizações sem fins lucrativos, mas um equívoco comum é que olhamos para organizações sem fins lucrativos, significando: “Ah, certo, elas dependem apenas de pessoas que não têm fins lucrativos”, certo? E eles não têm recursos, não têm experiência, não têm dinheiro. Mas o que você expressou é que, não, o problema geralmente é que, especialmente se você observar algumas das maiores organizações sem fins lucrativos, é que, na verdade, elas têm muitos recursos, são muito bem financiadas e têm acesso a tudo. Mas eles não sabem necessariamente como juntar tudo, e é aí que precisam de ajuda.

Dra. Kelley Misata 26:33

Correto. E há esse contexto de, por que isso importa? Sabe, se você perguntar a alguém, mal posso esperar pela RSA, porque geralmente ando pelo chão da exposição fora das palestras e me encontro com amigos ou colegas. Eu vou dizer: “Então, ei, qual é a sua opinião sobre o espaço sem fins lucrativos no momento?” E eu entendo as coisas de sempre: eles são pobres, não conhecem a cibersegurança, você sabe, a lista de lavanderia. Eu fico tipo, sim, não, sim. Deixe-me dizer, eles têm dinheiro! Eles precisam explicar como usam esse dinheiro de forma diferente, porque se você olhar para a estrutura do negócio, certo, é diferente da empresa. Então, novamente, isso está nos tirando, como profissionais de segurança, do “ah, eu só preciso descobrir como fazer com que eles cumpram os controles do CSF” e mais do que “Puxa, eu me pergunto como eles tomam decisões sobre dinheiro”. Depois de entender isso, você poderá abordar a questão do investimento em segurança de forma diferente. Então, é sobre não entrar e dizer: “Ah, sim, você sabe, vocês estão todos meio que presos aqui, e vocês são todos iguais” porque eles não estão. E, honestamente, um dos temas comuns que eu absolutamente amo, que aprendi com esse trabalho, que realmente aquece meu coração, é que essas organizações sempre colocarão a missão em primeiro lugar, sempre. Se é um abrigo para violência doméstica com quem conversei, lembro-me que, no início de minha pesquisa para meu doutorado, uma querida amiga minha estava sentada na minha varanda e eu disse: “Ei, eu disse, vou fazer isso, e o que você acha? E eu tenho uma pesquisa e é ótima.” E ela diz: “Kelley, tenho 100.000 visitas ao meu site todos os dias de todas as partes do mundo. Não consigo pensar nisso porque tenho uma família que precisa de um lugar para dormir esta noite.” Ela diz: “Isso é tudo que importa para mim. Então, novamente, voltando à forma como os profissionais de segurança realmente querem ajudar, querem trazer essa urgência para as organizações. Quanto mais podemos dar um passo atrás e dizer: “Oh, eu não pensei dessa forma. O que posso fazer para ajudar?” Basta dizer, sabe, colocar meu dedo na represa para ter certeza de que você não gosta do tipo de coisa que desmorona?

Raghu Nandakumara 29:02

Acho que essa é uma imagem muito poderosa de se ter na mente. Porque, novamente, mais ou menos assim, o que parece ser um tema em nossa conversa de hoje é sobre isso, orientado por uma missão, certo. E sobre alinhá-lo à missão e traçar provavelmente um paralelo bruto entre, digamos, o setor com fins lucrativos e o setor privado, onde, como eu costumo dizer, todos se preocupam com a segurança até que você cause uma interrupção no principal aplicativo gerador de receita. Nesse ponto, ninguém se preocupa com a segurança. E tudo gira em torno de: quando essa coisa voltará a ficar online? Porque a cada segundo que está offline, estou perdendo X mil dólares ou o que quer que seja. E no setor sem fins lucrativos, o impacto disso geralmente é humano, certo? E como você acabou de descrever, e temos que estar atentos ao assunto, como podemos garantir isso melhor sem comprometer de forma alguma a missão?

Dra. Kelley Misata 29:57

Com certeza, quero dizer, eu vi exemplos de membros em nossa comunidade que foram atingidos por um ataque de ransomware. Não vou citar o nome do ataque. Era muito famoso. Isso os impediu de oferecer almoços para crianças por semanas, não apenas alguns dias. Mas você está falando sobre famílias e crianças que contam com esse apoio para passar as semanas. E não é, nem sempre se trata apenas dessas histórias tristes, mas o problema das organizações sem fins lucrativos é que elas estão lá quando tudo dá errado. Sejam incêndios em LA ou uma doação de sangue porque alguém local precisa de uma transfusão, ou alguém está passando por um momento muito, muito difícil e liga para uma linha direta de suicídio. Essas organizações sem fins lucrativos estão lá quando precisamos delas. No entanto, estamos meio que os deixando de lado e dizendo: “Bem, eles não são o dinheiro, não são nosso mercado preferido”, ou eles, sim, não têm dinheiro, ou não vão recebê-lo, ou vou levar muito tempo, mas acho que é difícil para muitos profissionais de segurança intervir. E eu acho que quando eles giram demais, e eu já vi isso também, e isso meio que me deixa um pouco louco com alguma coisa. Eles dizem: “Ei, eu tenho a cibersegurança no meu sangue. Vou me voluntariar e, tipo, ajudá-los.” E minha reação imediata, então ele diz: “Por favor, não, por favor, por favor, não vá”, tipo, entra como um super-herói e diz: “Eu vou sentar no quadro”. Eu vou, tipo, te ajudar a fazer tudo. Eu só quero que eles recuem e digam: “Uau, então como você opera?” Tipo, o que é isso? Por exemplo, entre com muita humildade e você poderá progredir muito mais, porque acho que essas organizações também veem nosso campo como esse espaço de super-heróis. E se um deles bater na porta, é claro, eles vão dizer: “Entrem. Conserte-nos. Porque estamos com medo. Estamos ocupados, estamos com medo. Vocês são super-heróis, então vão entrar e nos curar.” Essa é uma combinação super perigosa.

Raghu Nandakumara 32:10

Mais uma vez, estou tentando traçar alguns paralelos com o que eu vi: muitas vezes, acho que, seja como profissionais de segurança ou como fornecedores, somos muito, muito rápidos em dizer: “aqui estão todas as coisas incríveis que fazemos” ou “aqui estão todas as coisas incríveis que fazemos” ou “aqui estão todas as coisas aqui, aqui está meu conjunto de superhabilidades”, certo? E nunca pensamos primeiro, nunca pensamos, na verdade, a primeira pergunta que eu deveria fazer é: “O que você faz? Com o que você se importa? Diga-me, tipo, “Quais são seus problemas?” E quase reformular a conversa dessa forma resultaria em um engajamento muito mais poderoso, é isso que você descobre?

Dra. Kelley Misata 32:45

Exatamente, para mim, quando trabalho com essas organizações e, na verdade, com a maioria das coisas em segurança, ainda sinto que sou aquela estudante de doutorado no primeiro semestre, você sabe, em Purdue, e está tudo bem, tipo, o que é criptografia? Gostar? O que são curvas elípticas? A propósito, eles me fizeram chorar. E eu lembro que fiz uma chave, fiz uma palestra, e Martin Hellman, da bolsa Diffie-Hellman, foi uma palestra pela manhã. Nos encontramos na sala verde e fui até ele. Eu disse: “Olá, sou Kelley Misata.” E ele conhece a equipe, e eu meio que fiz isso no braço dele. Ele diz: “Para que serve isso?” Eu digo: “Suas coisas me fazem chorar”. Só vou te dizer, mas é como se estivéssemos tornando essas coisas tão, tão complicadas. Então, quando você pode entrar em algo, seja sua área de especialização ou não, se você entra com aquela mente de principiante, e não precisa, eu odeio o tipo de termo que simplifica as coisas. Não é emburrecer as coisas. Está sendo curioso. Sim, está dizendo, ei, eu nunca fiz isso antes. Não tenho ideia do que é preciso para administrar um abrigo de animais. Nem mesmo um pouquinho. Conte-me sobre como você faz isso. Isso é enorme. E então, se você tiver essas conversas usando as palavras deles, conhecendo seus negócios, isso é extremamente poderoso. Eu tenho uma história que você quer ouvir? Sim, por favor. Ok, então essa é uma daquelas histórias humilhantes. Eu estava trabalhando com um de nossos membros. Eles acabaram de dar o pontapé inicial, que é a nossa maneira de fazer com que eles comecem sua jornada de segurança. E eu faço muitas pesquisas do lado de fora. Eu vejo todos os seus sites e suas mídias sociais. Então, essa organização ajuda sobreviventes de suicídio. E eles têm um fórum, e o fórum é muito popular, e eu me lembro de falar e dizer, oh, como se a pessoa de segurança em mim estivesse, tipo, gritando, dizendo, oh meu Deus, oh meu Deus. Tipo, eu me lembro, eu me lembro de ir e vir, oh caramba Louise, do que vamos gostar? Eu realmente me lembro de me encontrar meio que seguindo esse caminho. E dizendo “Ok, caramba, vou ter que falar com essas pessoas”, certo? E resisti à tentação de ligar para eles imediatamente, esperei pela apresentação dos resultados. Eu estava sentado lá, tipo, “Oh”, eu chego à apresentação sobre essa plataforma em particular e disse, eu tenho algumas preocupações, tipo, eu disse, exatamente assim. E a mulher que fundou a organização me interrompeu e disse: “Kelley, acho que sei o que você vai dizer, mas deixe-me falar com você. Deixe-me compartilhar com você por que nossa plataforma está aberta.” Ela disse: “Pessoas que tiveram alguém em suas vidas cometendo suicídio estão em um espaço de cabeça cheio de perguntas, tristeza, estresse, incerteza e problemas de confiança, e todas essas coisas estão acontecendo”. Ela disse: “Essas pessoas precisam de um espaço onde possam simplesmente sentar e assistir e ter uma ideia do que está acontecendo, das conversas e de tudo mais. E ela diz, e às vezes eles ficam lá por um tempo, e quando estão confortáveis, eles entram. Mas não até que estejam confortáveis.” E ela disse: “É disso que nossa comunidade precisa”. E era como eu deveria ter sabido, como eu deveria ter pensado sobre isso, mas como eu não vivo nesse mundo dia após dia, como eu entenderia como essas pessoas que atendem estão navegando por esse espaço para pedir ajuda? Então eu disse: “Meu Deus, vamos pensar em algumas maneiras criativas de talvez podermos fazer um pouco mais sem mudar a essência e a necessidade dessa plataforma operar dessa maneira”. Então, e ela entendeu, ela disse: “Sim, se você tem sugestões, nós entendemos, mas estamos colocando a missão em primeiro lugar”. Mas foi extremamente humilhante. E eu a amo por isso. Adoro que ela tenha se sentido confortável dizendo isso para mim.

Raghu Nandakumara 36:57

Sim, com certeza. Acho que há muito a aprender com o que você acabou de descrever. Porque, novamente, vem, é, é, como você disse, certo? É aquela coisa humilhante de quando você, quando gasta esse tempo para entender por que alguém ou uma organização está operando de uma forma específica, você meio que coloca aquele contexto que você não tinha. Onde, por exemplo, é que sua experiência está tentando liderar o caminho, tipo, Oh, eu sei como resolver isso, certo? Contra isso, provavelmente há uma boa razão pela qual você fez isso, então me fale sobre isso. Antes de passarmos para o próximo tópico, acho que é apenas a última coisa sobre não apenas as organizações que você apoia, mas também sobre quem elas servem. Você descreveu vários cenários, como o de que essas são as organizações que estão em crise. Eles são o primeiro porto de escala. Além disso, acho que uma parte do seu trabalho provavelmente não é ignorada. Muitas vezes, essas vítimas também são aquelas que os atacantes estão tentando atacar naquele exato momento, porque sabem que são as mais vulneráveis. Portanto, você deve ser mais gentil e as organizações com as quais trabalha provavelmente estão enfrentando todos esses desafios.

Dra. Kelley Misata 38:11

Sim, e é interessante, é aí que a compreensão da missão da organização realmente entra em jogo, porque ajuda você a entrar nela novamente, não dizendo a eles o que fazer, mas ouvindo coisas diferentes. Então, quando eu estava trabalhando em minha dissertação, eu estava trabalhando com organizações que apoiavam vítimas de tráfico humano. Essa é uma mentalidade de segurança muito diferente, porque não só essas vítimas são alvos, mas a organização que as apoia também são alvos. E um deles estava fazendo isso, como um hackathon. Não vou dar detalhes, porque isso me assustou muito, mas eles estavam fazendo um hackathon, e então eu disse a eles: “Então, o que vocês estão fazendo para fortalecer seus sistemas?” E eles dizem: “O quê?” Como os olhos grandes dizem: “Bem, você está promovendo esse hackathon”. E eles dizem: “Sim, em todo o Facebook, Twitter e tudo mais”. Eu digo: “Oh, os bandidos também leem essas coisas.” E eles disseram, imediatamente, “o quê? Oh, atire.” Mas é. É intervir e realmente entender, tipo, quem gostaria de vir atrás deles? Como se eu tivesse trabalhado com organizações sem fins lucrativos que são, você sabe, do lado político. Você sabe, a missão deles é muito controversa. Eu trabalhei com organizações que, por estarem usando várias ferramentas de terceiros, algumas delas tão antigas que são meio ridículas, que ainda existem, que você fica tipo, oh Deus, o que você está fazendo? Temos que endurecer você. E eles dizem: “Sim, mas quem virá nos buscar?” E essa é a parte da mentalidade da qual também tentamos afastá-los, é que eu tinha uma diretora executiva na ligação e ela disse: “Vá lá”. Ela diz: “Bandidos. Eu sei que você está ouvindo. De qualquer forma, você pode vir, venha nos pegar.” E eu digo: “Não faça isso!” Não que isso vá acontecer, mas tipo, só ela, sua mentalidade, tipo, nós não temos nada, você não vai conseguir nada de nós. Eu disse: “Bem, sim, tudo bem, ótimo. Mas, novamente, acho que esse é um dos desafios que a Sightline sempre enfrentou desde que a comecei, é que, você sabe, somos, alguém me disse que somos muito brancos e temos muitas nuances, mas as informações que reuni nesses anos são simplesmente incríveis e me ajudaram a ver a segurança de uma forma muito diferente, porque não é... Há algumas coisas que podemos fazer isso cobrirá muitas pessoas. Quero dizer. MFA, olá. Muito obrigado Ótimo. Mas há muitas coisas na área de segurança que não se encaixam em todos no mesmo nível, então devemos pensar onde essas oportunidades existem.

Raghu Nandakumara 40:57

Acho que a analogia da luva branca está absolutamente correta. E acho que é cibernético. Por mais que queiramos generalizar, precisamos lembrar que, em última análise, a única maneira de sermos bem-sucedidos é adotando essa abordagem de luva branca para cada problema que tentamos resolver. Então, indo e voltando, mais ou menos, nesta última parte, você falou sobre o tipo de uso deles, tipo de software de terceiros, etc., certo? Então, você gasta sua outra paixão ou área de especialização, e a paixão é o código aberto. E acho que o código aberto agora está recebendo um grande foco do ponto de vista cibernético, principalmente por causa da semelhança entre riscos de terceiros, cadeia de suprimentos, ataques etc. no momento. Então, vamos começar com a segurança de código aberto, uma visão geral. Quais são os desafios? O que estamos procurando resolver? Quais são as prioridades?

Dra. Kelley Misata 41:55

Sim, é uma ótima pergunta. E provavelmente é um segmento totalmente diferente.

Raghu Nandakumara 41:59

Eu sei! Estou meio que pensando em como podemos nos dedicar o máximo possível a isso, em algo que, provavelmente, poderia lidar com uma temporada inteira de si mesma? Então, sim!

Dra. Kelley Misata 42:09

Bem, eu acho que, você sabe, sem falar sobre isso na RSA, vou falar sobre isso na RSA. Eu acho que, você sabe, ainda existem, uma espécie de organizações sem fins lucrativos. Ainda há muito mistério em torno disso, certo? Quando se trata de uma organização sem fins lucrativos, todo mundo assume coisas no espaço de código aberto, é o mesmo tipo de mentalidade. As pessoas pensam nisso como um bando de caras com capuz preto sentados no porão em algum lugar do GitHub, gostando de fazer coisas, certo? Eles não pensam no grande parâmetro do espaço de código aberto e eu tive a sorte de servir como presidente da fundação de segurança da informação aberta por 12 anos. E Suricata é, você sabe, uma grande parte do espaço de segurança de rede. E temos Suricatas em lugares que você nem imagina em todo o mundo. Mas a razão pela qual o OIS seven Suricata, uma espécie de modelo de trabalhos de código aberto, é porque estamos vendo isso de uma perspectiva multidimensional. Então, você sabe, não é só um monte de pessoas que gostam umas das outras de sair. Na verdade, é um modelo de negócios. E se você começar a olhar para o código aberto como um fornecedor terceirizado da mesma forma que faria com um fornecedor corporativo, de repente, a adoção e o uso dele nessas organizações maiores mudam. Porque então você tem que pensar em, oh, o que acontece se esse projeto implodir? Ou o que acontece se o roteiro parar de inovar? E quanto à governança? Onde eles estão conseguindo seu dinheiro? Eles estão pagando alguém que é contribuinte? Como se começasse a abrir todas essas complexidades. E é isso que eu adoro no espaço de código aberto. Agora e no futuro, é que não vai ficar mais simples. Vai ficar mais complexo, mas temos essa ótima oportunidade de dar um passo atrás e dizer: “Como podemos reformular nosso pensamento sobre o que é código aberto?” Ainda tem todos esses aspectos comunitários? Absolutamente minha coisa favorita, e a coisa que eu mais odeio é nossa conferência, Surrey con. Organizamos Surrey Con todos os anos. Eu odeio construir conferências. Desculpe, todo mundo que está ouvindo. Não é minha pista. Mas no segundo em que subo ao palco e vejo os rostos desses membros da comunidade que vejo há 10 anos ainda aparecendo, ainda contribuindo... é isso que me impulsiona e impulsiona minha equipe a continuar é que sabemos que ela tem um lugar no mundo. Nem todos os projetos têm isso. Portanto, ao tomar essas decisões importantes do ponto de vista da cadeia de suprimentos, ao usar o código aberto, você precisa abrir os olhos. Você tem que olhar de todas essas dimensões diferentes. Você precisa pensar nisso em torno do risco da cadeia de suprimentos. Assim como você faria com qualquer outra coisa. E pare de pensar nisso assim, tipo, Oh, vamos ver ao redor da fogueira, cantando músicas em nossos laptops. E confie em mim, meus primeiros dias de turnê, nunca vou esquecer que os desenvolvedores da turnê estiveram em Boston para uma reunião e convidei todo mundo para um jantar de lasanha, porque é isso que eu faço. E eu me lembro, tipo, de um monte deles meio que ocupados na sala de estar. E minhas filhas, que estavam no ensino médio na época, disseram: “Mãe, acho que elas não estão indo embora. Todos estão ficando muito confortáveis aqui na sala de estar.” _ E eu disse: “Tudo bem. Vou apenas dizer a eles que saiam quando chegar a hora.”

Raghu Nandakumara 45:42

Isso é muito engraçado. Bem, espero que sempre que eu tiver a chance de visitar Boston, você me presenteie com uma lasanha vegetariana. Você disse tratar o projeto de código aberto como um fornecedor terceirizado, certo? Mas, e também estou simplificando muito aqui, porque reconheço que minha compreensão dos espaços é limitada, mas tudo bem, você diz, os tratei como um fornecedor terceirizado. Mas se eu estiver fazendo uma lista de verificação de conformidade, certo, e se for um fornecedor terceirizado com quem tenho um contrato, posso enviar a eles sua parte da lista de verificação e dizer: vou preenchê-la e enviá-la de volta para mim e avaliá-la. Como você faz isso com um projeto de código aberto, como, por exemplo, quem responde ao questionário? Acho que esse não é o desafio que a organização enfrenta? Eu realmente não sei como gerenciar esse risco, como gerenciar essa exposição.

Dra. Kelley Misata 46:32

Bem, é daí que vem. A primeira decisão de quem em sua organização está fazendo a escolha de usar esse software, certo? É sobre essa pausa que falamos no início do programa. Você sabe, e eu já vi usuários muitas vezes, começarem a usar o Suricata como exemplo e dizerem: “oh, oh, talvez precisemos começar a pensar em licenças e talvez precisemos começar a pensar sobre essas coisas de conformidade”. E só depois desses momentos é que eles batem à nossa porta. Mas para muitos projetos, eles não têm essa infraestrutura. Eles não têm esses canais para poder fazer essas perguntas. Seja um software de código aberto vinculado a uma empresa comercial ou seja um projeto de código aberto que talvez tenha se dissolvido um pouco ou não tenha mais esses principais contribuidores. Mas é e é difícil porque, eu acho, para alguns dos mais obstinados do espaço de código aberto, a beleza é entrar e brincar com alguma coisa, dar uma olhada e ver se funciona bem. Ótimo. Não pare com isso. Mas quando estiver no ambiente que você decide gostar, use-o com mais profundidade, coloque-o em um roteiro de produto, seja ele qual for. É quando você realmente deveria dar um passo atrás, fazer uma pausa forte e dizer: “Hmm, agora precisamos pensar sobre isso de forma um pouco diferente”. E essas são as conversas que tenho com os membros do consórcio o tempo todo na OISF. Acho que é por isso que temos tido tanto sucesso, é que não somos uma barreira para o progresso deles. Mas o que queremos fazer é garantir que Suricata permaneça por perto para servi-los por mais tempo. E se você não consegue ter essa conversa com um projeto porque ele não existe ou não consegue encontrá-lo, basta reconhecer o risco que está correndo?

Raghu Nandakumara 48:21

Sim, com certeza. E acho que o outro desafio, talvez percebido, é que, até onde você vai em termos de, ok, existe seu próprio consumo direto de software de código aberto para algo que você está construindo. Mas então, se você estiver licenciando algo de um fornecedor terceirizado, o uso de código aberto por eles e se eles estiverem licenciando outra coisa. E então, tipo, até onde você percorre esse caminho para chegar ao, eu acho, tipo, aquele tipo de quanta indivisível sobre o qual tudo meio que fica em cima.

Dra. Kelley Misata 48:55

Esse é o desafio, e é por isso que, bem, minha família meio que rejeita essa ideia. Mas eu estava tipo, oh, eu quero me formar em direito porque eu quero entender, tipo, os componentes legais de tudo isso, porque seria super fascinante responder, ser capaz de responder a essa pergunta. Acho que o que estamos hoje é que ainda não sabemos muito do que ainda não sabemos. E para projetos que têm, novamente, alguma estrutura e alguma organização em torno dela. Pensamos sobre isso, mas mesmo na OISF, os membros do nosso consórcio vêm até nós com algumas dessas complexas questões básicas sobre licenciamento, e estamos coçando a cabeça, dizendo: “Como isso vai funcionar? Isso é um problema dos EUA ou é um problema seu?” Então, é muito, muito desafiador, mas também o torna meio empolgante.

Raghu Nandakumara 49:45

Sim, acho que é muito interessante quando analisamos isso, especialmente agora. Então, como tenho certeza de que você sabe, vários órgãos reguladores em todo o mundo estão começando a emitir cada vez mais regulamentações sobre resiliência operacional e, como parte disso, eles falam sobre isso. Como gerenciadores desse tipo de risco terceirizado, os provedores de serviços terceirizados geralmente gostam em grande parte, são voltados para hiperescaladores e, como os principais, provedores de serviços de TI. Mas você pode ver um cenário em que, como organização, você criou um aplicativo que depende muito de um projeto de código aberto. E se esse projeto de código aberto, o que quer que aconteça com ele, certo? Isso compromete a resiliência desse aplicativo, então é mais ou menos como isso se manifesta na forma como você relaxa, e acho que, em última análise, é sobre para quem você aponta o dedo?

Dra. Kelley Misata 50:41

Tudo bem, e isso se você puder relaxar. Mas é aí que as melhores práticas nesse ciclo de desenvolvimento também precisam desempenhar um papel. E acho que esse é um dos desafios. Nós vemos isso com Suricata, como se quiséssemos que as pessoas o usassem. Queremos que as pessoas o testem e o coloquem em diferentes cenários, mas reconhecemos que, se você faz parte de uma grande organização empresarial, precisará perguntar, não pode simplesmente colocá-la na esquina e brincar com ela. Então, acho que muitos usuários realmente terão dificuldades com isso, mas é aí que estou tentando ficar do lado da positividade, porque acho que alguns projetos de código aberto estão realmente com medo de perdermos a essência da comunidade, da inovação e da liberdade que está embutida nesses projetos e no software. Quero acreditar que podemos ser criativos e que não vamos perder isso, que podemos equilibrar as duas coisas de alguma forma, mas acho que não vai ser fácil. E, novamente, teremos que trabalhar juntos para pensar sobre isso. Quando o Escritório Nacional de Defesa Cibernética da Casa Branca solicitou informações sobre a proteção de software de código aberto, saí da minha zona de conforto e respondi, porque vi no que eles estavam pensando. Eu fico tipo, eu fico tipo, vocês estão perdendo todas essas outras peças, pessoal. Como podemos ver todos os componentes do que é código aberto? Em vez de apenas proteger o software com absolutamente 200%, eu concordo com isso. Essa não é a única coisa. Então, temos que trazer experiência de todos esses diferentes níveis. O que me leva a uma observação rápida de que, sabe, muitas vezes, na área de segurança, sempre temos essa divisão entre técnico e não técnico, e se pudermos quebrar essa divisão, trazemos mais pessoas à mesa para ter melhores conversas sobre esses problemas, porque se as pessoas disserem: “Ah, sim, você não é técnico, porque não está trabalhando no desenvolvimento todos os dias, você não é tão importante” ou “você não sabe tanto quanto”, estamos prestando um péssimo serviço a nós mesmos, principalmente em relação ao código aberto.

Raghu Nandakumara 53:00

Com certeza, e estou feliz que você tenha mencionado isso, porque vou acrescentar algo a isso. Você falou sobre a necessidade de uma gama muito diversificada de opiniões e criatividade para resolver esse problema, além de ter indivíduos técnicos e não técnicos. E acho que, no mundo cibernético, não quero dizer apenas cibernética, mas o que estamos falando aqui realmente precisa repensar sobre como abordar a questão, tornando-a uma profissão muito mais diversificada e inclusiva, certo? Há tantas pessoas incríveis, mas ainda estamos muito, muito focados em um perfil muito particular que funciona na área cibernética. Então, eu concordo, certo? Acho que há uma grande oportunidade, uma enorme quantidade de conjuntos de habilidades e conhecimentos que precisamos trazer e somente pressionando ainda mais, mais ou menos pela diversidade, equidade e inclusão, é assim que vamos nos manifestar.

Dra. Kelley Misata 53:53

Sim, lembro que, no início da minha vida na área de segurança, as pessoas gostariam de definir a privacidade correta, semelhante à técnica versus não técnica, e eu recuava de uma forma respeitosa, e diria que a maneira como vejo a privacidade é muito diferente da nossa. Eu venho de uma formação diferente, tenho experiências diferentes e acho que nunca conseguirei usar a tecnologia da mesma forma que fazia antes desse evento na minha vida. Então, minha definição de privacidade será diferente. É a mesma coisa que estamos tentando definir o que é técnico. Pergunto às pessoas e, novamente, não é para ser desagradável. É porque estou curioso. Sim, quando alguém me diz: “Bem, você não é técnico” ou “Essa pessoa é técnica”, eu sempre pergunto: “O que isso significa? Você pode descrevê-lo para mim?” Então, para mim, estou curioso sobre como podemos mudar a conversa? Mas primeiro é dizer que não entendo porque posso calcular a curva elíptica, não é isso que vou fazer novamente. Então, nem pergunte. Mas eu posso. Eu vou? Não, eu sei programar. Eu vou? Não. Quero dizer, minha equipe na OISF está morrendo de vontade de receber um pull request sobre Suricata. Eu fico tipo, sim, esperem, pessoal. Mas minha paixão e meu amor são todas essas outras coisas. Agora vou sentar onde é divertido para mim. Sim, não significa que eu não seja um valor para a conversa, e é aí que eu retiro a Dra. Misata.

Raghu Nandakumara 55:26

Com certeza, acho que você realmente encerrou toda essa conversa que estamos tendo hoje, que gira em torno de que só podemos atender nossos clientes, nossos clientes, nossos parceiros, melhor se, quando digo que, quero dizer, seja individualmente ou em equipe que trabalhamos conosco, tivermos a capacidade de entender o que estamos tentando resolver e por quê. E isso só pode acontecer ouvindo, mas também tendo pessoas em nossa equipe capazes de se relacionar com essas experiências, e é por isso que ter uma espécie de espectro de origens de indivíduos é tão importante para progredirmos no mundo cibernético.

Dra. Kelley Misata 56:20

Eu concordo. Eu concordo. E, você sabe, meio que voltando ao meu mundo. Sabe, as pessoas costumavam me dizer, por que você não vai atrás desse indivíduo? Tipo, vá fazer isso. Por que você foi fazer um PhD? E eu continuei dizendo que não sei se algum dia poderei mudar isso. Você não pode mudar as pessoas. Não posso mudar isso, mas posso afetar a mudança na maneira como penso e na maneira como entendo como as coisas funcionam, na maneira como posso abordar o uso dessas tecnologias e como posso me proteger como resultado desse conhecimento. É aí que o controle, a mudança e o impacto acontecem, não na tentativa de mudar uma situação terrível por aqui. Então, para mim, é como podemos melhorar as coisas tendo essas conversas mais amplas e abordando isso com, novamente, um pouco de humildade.

Raghu Nandakumara 57:19

Absolutamente Dra. Misata, Kelley, não consegui pensar em uma maneira melhor de encerrar essa conversa. Infelizmente, devo acrescentar que adoraria continuar falando e falando, mas estou consciente do seu tempo. Então, com isso, muito obrigado por sua sabedoria, por sua humildade, por sua experiência e pela perspectiva que você traz para os dois problemas muito, muito importantes que você meio que assumiu como missão ajudar a progredir.

Dra. Kelley Misata 57:50

Obrigada. Obrigado por me receber. Tem sido muito divertido.

Raghu Nandakumara 57:53

Da mesma forma. Obrigado por assistir ao episódio desta semana do segmento para obter ainda mais informações e recursos do Zero Trust. Confira nosso site em illumio.com, você também pode se conectar conosco no LinkedIn e no Twitter na Illumio e, se gostar da conversa de hoje, poderá encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve. Você.

‍