O CISO em evolução

dizem que eles realmente não têm isso, não conseguem ver isso tão de perto. Se você apenas dirige isso como líder de negócios, é de certa forma superficial. Você não conseguirá se aprofundar na compreensão real do que está acontecendo. E então você administra isso como uma empresa, em vez de administrá-la como CISO ou como profissional. Mas acho que, para responder à sua pergunta específica, acho que, devido à profunda empatia, sou capaz de orientar dos dois lados.

10:28 Vishal Salvi: Então, quando, por exemplo, inovamos e inovamos muito internamente para tentar estar na vanguarda da inovação em segurança cibernética, como, por exemplo, de cinco ou seis anos atrás, executamos um programa de medição métrica completamente diferente na Infosys, fizemos hiperautomação para isso, construímos muito IP em torno disso e, depois de executá-lo por quatro anos com sucesso, pensamos foi... chegou a um estágio em que podíamos levá-lo aos nossos clientes, e meio que fizemos uma engenharia reversa em que migrei todo o código e toda a solução para nossa equipe de prática. Agora, a equipe de consultório ampliou e agora apoia a Enforce em todas as inovações e mudanças que estão acontecendo, porque eles conseguiram sentir isso de nossos clientes e receber esse feedback.

11:16 Vishal Salvi: E estamos vendo muito disso acontecer em outras coisas, como, por exemplo, quando estamos incubando uma clínica, podemos pegar alguns recursos de nossa equipe, entrar internamente e usá-los para incubar isso, levá-la a um determinado nível de maturidade e depois retirá-los para devolvê-los aos nossos clientes. Portanto, isso cria muitas possibilidades e vantagens para nós, além do fato de podermos expor o que está acontecendo com todos os nossos clientes. A natureza senciente de ser capaz de sentir e entender, obviamente, podemos usar esse conhecimento para fortalecer nossa compreensão do que está acontecendo no cenário de ameaças e usá-lo internamente também para a Infosys.

11:57 Raghu Nandakumara: Adoro a maneira como você expressa isso, pois é quase uma incubadora de melhorias do outro lado e aquele ciclo de feedback muito rico que você tem. Então, vamos agora mudar um pouco de assunto e voltar ao que significa Zero Trust para o CISO da Infosys?

12:14 Vishal Salvi: Sim, então, eu acho, vamos dar um passo atrás. A segurança cibernética envolve riscos, vulnerabilidades e ameaças e, se você quiser apenas estendê-la, também pode falar sobre incidentes. Então, no final das contas, estamos sempre lidando com incidentes. Estamos lidando com vulnerabilidades, estamos lidando com ameaças e estamos lidando com riscos. Essas são as únicas quatro coisas com as quais estamos lidando. Agora, isso é irreversível, isso não é, isso nunca vai mudar por décadas. Foi assim que tudo começou e é assim que permanecerá. O que fazemos em termos de nossa metodologia... então tivemos a BS 7799, depois temos a ISO 27001 e, em seguida, temos tantos padrões diferentes. Então, temos várias metodologias de medição de risco, como NIST, FISMA, tudo isso. Então, temos tantos padrões diferentes, tudo isso é uma evolução de como estamos encarando a solução desse problema. Mas, no final das contas, ainda se trata de risco, vulnerabilidade, incidentes e ameaças. Portanto, os princípios fundamentais da segurança da informação ainda estão intactos e os princípios fundamentais continuarão existindo.

13:16 Vishal Salvi: Então, então, quando olhamos para algo como um Zero Trust, o que isso realmente significa? Costumávamos chamar essa profissão de “segurança da informação” até 2008, 2007. De repente, tornou-se cibersegurança e agora todo mundo fala sobre isso como cibersegurança. Amanhã começaremos a chamá-la de segurança digital. Então, as nomenclaturas podem mudar, mas a profissão avança, mas a base continua a mesma. Os fundamentos permanecem os mesmos e, portanto, eu diria que o Zero Trust é a evolução da mesma coisa em que evoluímos em direção a isso. Zero Trust é um novo conceito; amanhã há algo mais que surgirá. Só que, assim como a palavra cibersegurança permaneceu na última década, o Zero Trust talvez também fique preso por mais algum tempo antes que outra coisa, algo mais atraente, apareça. Mas não é só marketing. Acho que está surgindo como uma filosofia e a filosofia da clandestinidade consiste em pensar: “Ok, então por que estamos falando sobre...”

14:26 Vishal Salvi: É quase como um oxímoro. Porque quando analisamos o Zero Trust e estamos no ramo da confiança como profissionais de segurança cibernética, então por que estamos falando sobre o Zero Trust? Então, o que isso realmente significa é que, dado o fato de que agora o perímetro não é mais o perímetro tradicional que tínhamos, adotamos a nuvem e há dispersão de todos os terminais, agora estamos falando de qualquer lugar, a qualquer hora, de qualquer acesso a qualquer dispositivo e 24 por 7. Acho que a forma como conectamos computadores mudou fundamentalmente e, para realmente confiarmos nessas conexões no ambiente atual, você precisa adotar o Zero Trust, que criará freios e contrapesos adicionais nas portas certas dessas conexões, para que eu sinta que essas conexões são confiáveis. Portanto, do meu ponto de vista, quando alguém entrar, terei uma confiança zero nessa pessoa até me convencer de que essas conexões são confiáveis, e então você constrói modelos diferentes em torno disso para que funcione. Então eu acho que essa é a maneira mais simples de explicar o que Zero Trust realmente significa.

15:45 Raghu Nandakumara: Adoro ouvir isso na íntegra. Então, primeiro, obrigado e, em tudo isso, acho que a mensagem realmente poderosa que você transmitiu é que cada era traz sua própria nova abordagem e uma nova estratégia. Mas acho que o que me chamou a atenção foi quando você disse: “Mas os fundamentos continuam os mesmos”, e acho que essa é uma lição muito importante. E acho que o Zero Trust está literalmente dizendo isso. É realmente sobre os fundamentos, e eu quero usar isso como um trampolim para alguns dos itens sobre os quais você está falando em seu boletim informativo mensal, que é uma ótima leitura e eu encorajo todos a darem uma olhada. Você fala sobre a importância da higiene de segurança e a razão pela qual eu digo que equiparo Zero Trust aos fundamentos é que digo que uma boa higiene de segurança é o mesmo que bons fundamentos de segurança e um dos fundamentos disso deve ser que nada receba confiança implícita, o que é realmente o que o Zero Trust está dizendo. Então, a higiene de segurança é muito importante. Você articulou isso de forma brilhante. Mas por que muitas vezes acontece a mesma coisa? Toda vez que leio sobre um novo ataque de ransomware, uma nova violação de qualquer tipo, você investiga e, muitas vezes, a causa raiz disso é a falta de higiene de segurança. Por que isso ainda é um desafio para organizações grandes e pequenas?

17:11 Vishal Salvi: Eu chamo isso de “fazer coisas chatas”, e acho que a razão pela qual não chama tanta atenção é porque é muito chato. Mas não é só chato, também é ingrato. Então, acho que a outra parte, e a terceira parte, é um problema difícil. Então, você pode imaginar por que vemos a maioria da organização errar por causa desses três problemas. Acho que precisamos fazer algo para que as pessoas entendam que precisamos glorificar as coisas chatas. Essas são coisas fundamentais. Número dois, precisamos descobrir uma maneira de incentivar as pessoas para que elas não se tornem ingratas e recompensar e reconhecer os sentinelas. E não é a equipe cibernética, é a equipe de tecnologia, as equipes de TI que estão constantemente fazendo isso, porque adivinhe? Estamos lançando vulnerabilidades e patches como nunca antes. E você tem que acertar, e é uma guerra assimétrica. Você precisa acertar o tempo todo, e os bandidos precisam acertar apenas uma vez. Portanto, temos uma quantidade significativa de assimetria na forma como isso acontece. E a terceira coisa é que chegou o momento em que, assim como você está falando sobre Zero Trust, precisamos ter uma tolerância zero em relação à higiene tecnológica básica.

18:29 Vishal Salvi: Por exemplo, não importa o quão dinâmico seja seu cenário de TI, você deve saber exatamente quantos ativos existem em sua organização, quantos aplicativos existem em sua organização, quanto de dados ocultos e quanto de TI paralela você tem? Quantas mudanças estão acontecendo, onde estão acontecendo por meio de um processo de gerenciamento de mudanças e em quantos lugares você tem a capacidade adequada de gerenciar essas mudanças? À medida que a tecnologia evoluiu, fomos forçados a abandonar esse controle e os ganchos que tradicionalmente eram muito fortes nas equipes de tecnologia e TI, porque toda a equipe da empresa e as unidades de negócios se tornaram capacitadas para impulsionar sua própria pilha de tecnologia. Mas, ao fazer isso, temos a sensação de não sermos capazes de controlar porque ela se torna uma hidra com várias pernas.

19:19 Vishal Salvi: Se você começar a adotar uma abordagem de tolerância zero, precisamos começar a ter uma sensação de maior governança em torno de: “Como podemos gerenciar isso?” Embora queiramos capacitar as pessoas, embora queiramos ter velocidade e agilidade, você não pode fazer isso à custa da higiene da TI e, portanto, do risco de ser violado. Então, acho que esses são alguns dos elementos importantes que devemos considerar quando fazemos isso, e acho que, como você disse e como eu disse no passado, que a maioria das violações e a maioria dos ataques que vimos não estão acontecendo porque os atacantes estão usando algum mecanismo de ataque muito pesado ou muito sofisticado. Eles são... Na verdade, alguns dos ataques estão realmente acontecendo à vista de todos. Eles nem precisam explorar alguma coisa. Eles já têm as credenciais de outro lugar, basta fazer o login e fazer o movimento lateral.

20:13 Raghu Nandakumara: Sim, com certeza. A propósito, para voltar quando você falava sobre higiene de segurança como algo chato, ingrato, difícil. Isso me lembra de tentar fazer com que meus filhos façam a lição de casa porque eles associam a lição de casa a todas essas três coisas e você precisa torná-la interessante. Você precisa fazer com que eles vejam o valor e incentivá-los. Mas, como você disse, os atacantes, em última análise, para eles, estão envolvidos, é um negócio para eles, então eles querem... idealmente, querem fazer pouco esforço e alto retorno. E, portanto, eles estão sempre atacando as frutas mais fáceis. Mas acho que você estava realmente... Em sua resposta, você realmente apresentou algo que era realmente atual, pois diz que agora cada vez mais equipes de negócios estão administrando sua própria pilha de tecnologia. Portanto, não é o caso de dizer: “Ok, TI, você administra a infraestrutura, vá e corrija”. Você precisa levar todos ao longo dessa jornada. Eu sei que uma de suas áreas de interesse real é democratizar a segurança. Então, como CISO e também como líder de prática, como você implementa esse modelo de democratização da segurança para que todos esses diversos grupos que têm alguma participação ou partes interessadas na segurança em suas aplicações se unam em torno de uma abordagem comum à cibersegurança?

21:38 Vishal Salvi: Sim, eu acho que o... É uma questão cultural. Trata-se de construir uma cultura em que possamos fazer com que todas as partes interessadas entendam seu papel em termos de responsabilidade e responsabilidade em relação à segurança cibernética. Como profissão, não fizemos um bom trabalho em anunciar bem essa profissão, porque quando nos chamamos de equipes de segurança cibernética, geralmente a percepção e a expectativa são de que, magicamente... essa equipe resolverá e gerenciará meus riscos, e eu não preciso fazer nada. Ao passo que, na verdade, a verdade é exatamente o oposto disso. As equipes de segurança cibernética são o catalisador ativo dessa mudança, mas a mudança real são as partes interessadas, os líderes de negócios, o conselho, a liderança da organização, a equipe, os funcionários, as equipes de tecnologia, as equipes de SI e todas as outras partes interessadas presentes, e cada uma delas precisa entender sua função e responsabilidade e, em seguida, cumpri-las. O lado ruim da segurança é que ela só é visível quando não está funcionando e é invisível quando está funcionando.

22:48 Vishal Salvi: Enquanto ninguém estiver explorando sua má segurança, você pode viver na falácia de que, na verdade, você está seguro porque ninguém está atacando você. Foi exatamente o que aconteceu no caso do ransomware, em que, pela primeira vez, quando o ransomware chegou com o WannaCry e o NotPetya, foi a primeira vez que tivemos um impacto indiscriminado da vulnerabilidade de segurança em todos os setores. E, de repente, toda a insegurança que existia foi exposta, o que de outra forma não existia. E é por isso que você pode explicar que o setor financeiro é muito regulamentado e muito mais maduro, porque a maior parte das fraudes acontecia até o momento em que começamos a ver ransomware. E o ransomware afeta apenas qualquer pessoa que entre em contato. Na internet, todo mundo entra em contato com todo mundo. Portanto, voltando ao seu ponto de vista, você precisa começar a analisá-lo desse ponto de vista para garantir que o democratizemos e que todas as partes interessadas entendam seu papel com muita clareza. Isso tem que ser feito como uma cultura e, a cada oportunidade que você tiver, você precisa garantir que seja impulsionada para que se torne um problema cultural onde...

24:01 Vishal Salvi: E devo dizer isso de antemão, Raghu, que ainda estamos em um estágio inicial quando falamos sobre a compreensão de que a segurança cibernética é uma questão cultural. As pessoas, mesmo agora, como vemos, a maioria das partes interessadas externalizam isso. Eles acham que não é problema deles, e sempre há esse problema que sofremos. A cibersegurança é vista como uma ciência de foguetes. É visto como algo que só um especialista pode fazer. Não é. Eu acho que é uma coisa de muito bom senso. Qualquer pessoa que entenda os fundamentos da tecnologia não leva muito tempo para entender os princípios e os fundamentos da segurança cibernética. Na verdade, a remediação é algo que deve ser feito por pessoas que têm acesso administrativo; não pode ser feita pelos profissionais de segurança cibernética. Eles podem, na melhor das hipóteses, descobrir esse risco e a vulnerabilidade e contar isso a você. Mas eles precisam... As equipes que têm acesso são as que devem exercê-lo e devem saber como configurar sistemas com segurança. Então essa é a mudança que precisamos promover, e é isso que quero dizer com democratização cibernética.

25:06 Raghu Nandakumara: Há muito conteúdo bom no que você acabou de abordar. Isso é tanta coisa que eu poderia simplesmente mergulhar fundo... Acho que poderíamos fazer um episódio de podcast sobre cada segmento do que você disse. E eu quero perguntar então, em primeiro lugar, a cibersegurança, se você resumir, é senso comum. Aplicar o bom senso a uma variedade de problemas de tecnologia e informação é, na verdade, a essência da segurança cibernética e quando se trata dessa mudança de cultura e de todos os envolvidos na segurança cibernética. E, como diz o clichê, sua primeira linha de defesa é seu pessoal, e eles precisam se engajar em seu programa cibernético. Para organizações que estão adotando uma estratégia de Zero Trust, a democratização da segurança é uma parte fundamental de qualquer adoção bem-sucedida do Zero Trust? Quais são seus pensamentos?

26:06 Vishal Salvi: Não, com certeza. O Zero Trust é uma metodologia para implantar sua arquitetura de segurança e a única maneira de ter sucesso na implantação de uma arquitetura de segurança é quando todas as partes interessadas comparecem à festa. Por exemplo, quando você fala sobre Zero Trust, uma das mudanças importantes que estão acontecendo é sobre...

26:29 Vishal Salvi: Há uma convergência que está acontecendo entre segurança e rede, e precisamos colocar a equipe de rede na mesa para poder realmente montar a arquitetura, porque esse será o futuro da segurança e da rede. Portanto, os modelos antigos e tradicionais de conectividade estão sendo significativamente desafiados. E a menos que consigamos mudar a mentalidade da equipe de rede para adotar essa segurança definida por software e uma rede definida por software, isso se tornará difícil. Então, acho que colaboração e parceria são importantes. Somente se eles fizerem isso em um nível arquitetônico, poderemos realmente ter sucesso em impulsionar a implementação disso. Portanto, acho que, por mais que seja técnico, acho que também é humano e um aspecto que precisa ser direcionado a isso. Então, eu definitivamente acredito que as duas coisas precisam acontecer juntas para que você tenha um programa bem-sucedido.

27:21 Raghu Nandakumara: Muitas vezes me perguntam: “Ok, como posso fazer algo tão rápido? Como posso impulsionar a transformação de forma muito rápida? Eu tenho esse novo recurso que quero lançar.” E o que eu digo a eles é que sempre podemos encontrar uma tecnologia e fazer a tecnologia funcionar. Podemos até mesmo criar um processo para usar essa tecnologia. Mas você só impulsionará a adoção rápida se A) tiver um forte mandato sobre por que essa adoção precisa acontecer e B) se todas as partes interessadas estiverem engajadas. E que eles vejam o valor disso. Sem esses dois, o mandato e o engajamento das partes interessadas, você nunca conseguirá nenhum tipo de adoção rápida. E isso acontece em todos os lugares. Mas quero perguntar, na verdade, porque quero vincular isso a algo que você disse anteriormente sobre como o valor de um investimento em segurança nunca é óbvio.

28:13 Raghu Nandakumara: Porque é como se você nunca dissesse: “Não fomos comprometidos porque tínhamos X.” É mais o caso de “Fomos comprometidos, fomos violados porque não tínhamos Y”. O que eu gostaria de saber, tanto do seu CISO quanto do seu líder de prática, é: como você demonstra o ROI tangível dos investimentos em segurança? Tanto antes de obter o compromisso do seu conselho de fazer o investimento, quanto, digamos, seis meses depois, 12 meses depois, quando alguém pergunta: “Ok, fizemos, gastamos X, mostre-me o que estou recebendo em troca”. Como você faz isso?

28:55 Vishal Salvi: Minha opinião sobre isso é que você não deve se dar ao trabalho de tentar convencer qualquer pessoa financeira sobre o ROI em produtos de segurança. Porque você pode discutir dos dois lados e nunca pode concordar. Se você não quiser. Então eu acho que é um exercício inútil. Eu sei que as pessoas fazem isso, mas eu não acho que você deva fazer isso. Acho que a forma como o modelo deve funcionar é a seguinte: você precisa decidir, como organização, qual é o risco que corre devido à segurança cibernética para sua organização e quanto está disposto a investir. Esse é o número um. E então, na minha opinião, a segurança tem tudo a ver com melhorar a cada dia. Então, onde estamos hoje, você precisa melhorar amanhã e, no dia seguinte, deve ser melhor do que amanhã. Então isso é realmente o que, como você deve fazer isso.

29:48 Vishal Salvi: Nunca pode ser que hoje você seja zero, amanhã você tenha cem anos, isso simplesmente não vai acontecer. Portanto, deve haver um nível de confiança de que, uma vez que você tenha uma equipe profissional para entregá-la, diga, você sabe o que... como você precisa gastar esse dinheiro. Você entrega o valor máximo e eu o responsabilizo por isso. Porque é somente a equipe de segurança que precisa realmente justificar para si mesma como quer gastar esse dinheiro. E eles saberiam o melhor, seja entregando valor ou não. Não há outra pessoa externa que possa chegar perto de realmente entender o que está fazendo, especialmente quando se trata de finanças. Então eu penso o seguinte: você precisa realmente dar uma olhada e dizer que não perca tempo tentando fazer um cálculo matemático do ROI, mas capacite as equipes a impulsionarem seu próprio ROI. Portanto, dentro das equipes de segurança, você pode definitivamente obter o ROI. Você pode saber quanto investiu e como isso controla, qual é a eficiência e eficácia desse controle. Você pode fazer isso. Mas não permita que outra pessoa venha e desafie esse processo porque, no final do dia, você passará mais tempo explicando isso para a terceira pessoa, em vez de realmente gastar esse tempo protegendo sua organização.

31:05 Raghu Nandakumara: Estou rindo porque estou rindo porque tenho certeza de que muitos líderes de vendas já ouviram isso. E vou colocar a fita na frente de um comprador econômico e dizer: veja o que o CISO Infosys diz sobre tentar convencê-lo sobre o valor desse investimento.

31:20 Vishal Salvi: Mais uma vez, tive o privilégio de trabalhar em organizações maduras que nos deixaram para fazer nosso trabalho.

31:27 Raghu Nandakumara: Sim.

31:27 Vishal Salvi: E não perca muito tempo perguntando onde você está gastando esse dinheiro, por que você está gastando esse dinheiro aqui. E porque o que acontecerá é que, se você fizer isso, acabará gastando em controles que são de baixa prioridade, porque os agentes financeiros estão convencidos disso em comparação com aquele que é mais importante para você. Certo? E é aí que eu acho que isso se torna um problema. Portanto, é melhor que façamos dessa maneira.

31:49 Raghu Nandakumara: Eu realmente gosto da maneira como você expressou isso, mas então deixe-me fazer uma pergunta relacionada. Como profissional de segurança: você fez uma avaliação de risco. Você fez isso, modelou seu ambiente contra ameaças e identificou suas lacunas. Onde você diz agora: “Ok, eu tenho um pote de dinheiro. E eu tenho, cabe a mim decidir onde investir.” O que impulsiona o investimento ao dizer “capacidade X” ou “capacidade Y”? E então, como você mede se está obtendo valor com isso?

32:22 Vishal Salvi: Sim, acho que tudo se resume à metodologia de analisar sua avaliação de risco e, obviamente, fazemos isso todos os anos, e você faz... a melhor maneira de fazer isso é ter uma base de sua avaliação de risco empresarial, na qual você analisou todos os riscos e analisou quais são os de alto risco e como você deseja priorizar a remediação.

32:43 Vishal Salvi: E então você olha, ok, o que está lá fora e o que eu preciso fazer e quais são os elementos importantes que eu preciso analisar. E então você diz, ok, você faz uma classificação e então você diz, ok, essas são as que eu realmente preciso, e é claro, você precisa analisar a acessibilidade porque você não pode, mesmo que, por exemplo, você receba todo o dinheiro necessário para todas elas, seja impraticável que você realmente execute isso. Você terá dificuldade em realmente gastar esse dinheiro. Portanto, você precisa ser capaz de equilibrar praticamente o quanto você será capaz de implementar e também qual é a acessibilidade de sua organização, considerando o contexto da sua organização e o contexto do seu negócio, e você precisa ser realista em relação a isso. Você não pode estar pedindo um tipo de situação sem fundo.

33:24 Vishal Salvi: Então eu acho que se você é capaz de fazer essas duas coisas e calibrá-las bem, você ganha um pote de dinheiro e, obviamente, define o programa, o entrega à sua equipe e diz, ok, agora que você tem isso, agora certifique-se de executá-lo. Mas o mais importante é que acho que você precisa garantir uma revisão pós-implementação desse investimento e devolver esse feedback às equipes para que elas possam ter alguma garantia de que conseguimos executar nossos programas conforme definido em tempo hábil e alcançar nossos objetivos. Então, isso gera mais confiança.

34:01 Raghu Nandakumara: Sim, 100%, 100%. Então, com isso, o que você vê como as taxas de sucesso, digamos, dos clientes na adoção de uma estratégia de Zero Trust. Aqueles que seguiram esse caminho e estão seguindo esse caminho potencialmente com a ajuda de vocês mesmos. O que você está vendo como alguns dos sucessos e fracassos?

34:21 Vishal Salvi: O desafio de adotá-lo é que, na verdade, estamos atualmente em um tipo de mundo arquitetônico muito complexo. Onde temos soluções completas, várias ferramentas. Alguns deles estão integrados, muitos deles estão trabalhando em silos e é como uma montagem muito complicada de diferentes tecnologias. E é necessário consolidar. É necessário integrar. É necessário analisar isso profundamente com a integração com a pilha de tecnologia. E acho que estamos longe disso. Portanto, esse é um desafio muito importante e uma das razões pelas quais a implementação não é bem-sucedida é por causa disso. A outra parte é que, em termos de tanto legado, o que eu priorizo e como faço para modernizar. E eu faço uma cirurgia cardíaca aberta ou tomo remédios?

35:08 Vishal Salvi: Acho que essas perguntas são muito críticas e, muitas vezes, devido à enorme quantidade de legado, não é muito fácil mudar e adotar uma nova maneira de fazer as coisas. Existem organizações voltadas para o futuro que estão adotando uma abordagem completamente diferente para realizar grandes transformações e grandes modernizações de sua tecnologia, bem como de sua pilha de segurança. Uma vez que o encaram como um programa e o conduzem de forma holística, acho que essas organizações têm mais chances de serem bem-sucedidas do que fazê-lo dessa maneira, certo? Especialmente porque estamos apostando muito no mundo híbrido e na adoção da nuvem, e isso não é uma mudança trivial. É uma transformação massiva e você não pode sublinhar a importância da mudança na arquitetura de segurança.

36:00 Raghu Nandakumara: Sim. Você acha que uma transformação, todo esse tipo de mudança arquitetônica, mudança no modelo de consumo e até mesmo na forma como criamos aplicativos, essa mudança precisa ser madura antes que a transformação da segurança possa acontecer? Ou você vê isso como trilhas muito paralelas que devem acontecer juntas em sincronia?

36:23 Vishal Salvi: Acho que o que é necessário é que seja um esforço colaborativo. Por exemplo, quando você estiver fazendo qualquer novo aplicativo que precise fazer, analise a modelagem de ameaças. Você precisa começar a analisar, além de fazer outras coisas, a segurança da API, o SDLC seguro e o pipeline seguro de CI/CD. Muitas coisas precisam ser feitas. Então eu acho que isso tem que ser feito. Eu diria que não é realista esperar que tudo aconteça ao mesmo tempo. Acho que o importante é um esforço colaborativo e uma abordagem voltada para a segurança desde o design. Portanto, tudo o que você faz deve sempre considerar a segurança. Não ignore a segurança porque você não consegue imaginar nenhum mundo hoje sem o digital. E onde quer que haja digital, a segurança tem que estar presente. Acho que essa é a base fundamental para criar uma arquitetura preparada para o futuro. E essa mudança é importante. Se alguém está apenas usando um cartão de crédito e comprando uma carga de trabalho na nuvem e depois colocando um código comercial e tentando fazer alguma coisa e pronto, você ignora descaradamente todos os controles de segurança, está apenas pedindo que um desastre aconteça. Então, isso é realmente o que eu quero dizer.

37:47 Raghu Nandakumara: Sim. Você fala como se tivesse visto isso algumas vezes. Eu li uma de suas postagens realmente interessantes e acho que foi intitulada “Zero Trust with Zero Touch”. E você apresenta a ideia de como o ML e talvez, no futuro, mais um tipo de IA de uso geral realmente beneficiarão a implementação dos controles Zero Trust e, eu vou chamá-los de segurança sempre ativa, ou segura por design, ou como você quiser chamá-la. Onde você acredita na aplicação do aprendizado de máquina e, mais geralmente, da IA, em direção ao Zero Trust? Tipo, o que é isso?

38:30 Vishal Salvi: Sim, então Raghu, na verdade, “Zero Trust through Zero Touch” realmente significa uma visão de fazer hiperautomação. Isso é realmente o que isso significa. Porque as coisas não estão se adaptando à solução de problemas de operações de segurança.

38:47 Vishal Salvi: Você sempre encontrará lapsos porque simplesmente não conseguimos entendê-los. Então, assim como os carros agora são totalmente automatizados e os bots estão fabricando carros, você precisa ter robôs que precisem fazer as operações de segurança funcionarem. Isso é realmente o que isso significa. Mas essa é a visão. É para lá que precisamos ir. Acho que não estamos prontos lá agora. Eu diria que não teríamos chegado onde estamos em inovação de segurança sem o uso do ML, porque há uma quantidade significativa de ML em tudo o que fazemos. Atualmente, todos os aspectos da segurança ou da tecnologia precisam ser aprendidos, pois não interromperíamos 92% do spam se não tivéssemos o ML. Acho que o uso da IA e como a faremos no futuro será um aspecto importante a ser observado.

39:34 Vishal Salvi: Há muitos exemplos de casos de uso em que poderíamos fazer isso. Por exemplo, em testes, em termos de monitoramento, poderíamos realmente criar um algoritmo de IA para tudo isso, e eles amadurecerão cada vez mais. Ao mesmo tempo, também analisaremos a IA adversária e como começaremos a mitigar e criar alguns controles em torno disso. E depois há uma terceira coisa. Assim como temos segurança por design, temos privacidade por design, a IA ética por design será um elemento importante do futuro.

40:00 Vishal Salvi: Portanto, teremos que observar de perto e ver como isso afeta o mundo da cibersegurança. Acho que são as pessoas que o projetam e todo o trabalho cognitivo deve se concentrar em pensar em vez de realizar atividades mundanas, que é o que estamos usando agora, uma largura de banda muito cognitiva para fazer coisas que não agregam valor ao ser humano. De qualquer forma, temos um sério desafio de demanda versus oferta. Então, acho que nunca sairemos dessa situação de desemprego zero para profissionais de segurança cibernética, apesar de toda a automação que faremos. Portanto, não acho que seja um risco com o qual precisemos nos preocupar. Acho que devemos sempre nos esforçar para fazer mais e mais trabalho cognitivo e automatizar totalmente tudo o que não agrega muito.

40:46 Raghu Nandakumara: Sim. Parece óbvio que nós, profissionais cibernéticos, temos empregos para sempre. Então, pouco antes de concluirmos, o que o entusiasma sobre o que está por vir como líder em práticas cibernéticas? O que você está vendo de seus clientes que realmente o entusiasma como profissional de segurança?

41:05 Vishal Salvi: Por um lado, sempre espero que consigamos resolver esse problema e que tenhamos menos violações e menores incidentes, porque esse é o mundo que queremos almejar. E não queremos ter uma situação em que esperemos que mais incidentes aconteçam para que possamos ter mais segurança no emprego ou mais receitas chegando. Pelo menos eu não concordo com isso. Então, eu quero ter um mundo onde estejamos mais seguros digitalmente, assim como conseguimos resolver esse problema para viagens aéreas e tantas outras atividades em que haja tolerância zero a quaisquer riscos.

41:40 Vishal Salvi: Acho que a cibersegurança atingirá esse ponto crítico em algum momento em que todos acordarão e começarão a levá-la muito a sério, e nós teríamos verdadeiramente democratizado a cibersegurança. Acho que é aí que, na verdade, ele tombará e depois começará a cair, e não será um problema. Eventualmente, não será mais uma notícia e será uma forma de fazer as coisas, mas estamos longe disso, talvez décadas de distância disso agora. No momento, ainda é alguém que está recebendo brechas nas manchetes do momento. Acho que precisamos... Então, esperançosamente, criaremos sistemas mais seguros por design, para que não tenhamos esses... o desafio de remendar e colocar bandagens todas as vezes e bagunçar todo o encanamento.

42:18 Raghu Nandakumara: Sim. E eu acho isso muito interessante porque se baseia muito bem nesse impulso real que estamos vendo em torno da resiliência cibernética. Que é quase como se as violações fossem acontecer. Se construirmos nossa infraestrutura, nossos controles, etc., de uma forma que nos permita continuar a funcionar da melhor maneira possível, eles se tornarão essencialmente um inconveniente. Eles não se tornam manchetes toda vez que a mesma coisa acontece.

42:47 Vishal Salvi: Não, acho que a resiliência cibernética é um tópico muito importante no contexto atual, porque temos que presumir que as violações acontecerão. E você precisa descobrir que precisamos ter uma maneira pela qual sua organização seja capaz de responder com calma e frieza a essa violação específica, de uma forma que não seja capaz de apenas conter e se recuperar dela, mas também voltar à retomada dos negócios muito rapidamente, e fazê-lo de uma maneira muito profissional e calma. E todos entendem suas funções e responsabilidades e têm um manual adequado para executá-las.

43:18 Vishal Salvi: Então, acho que esse é um tópico muito importante e quase todo grande número de organizações está analisando isso. E eu acho que é algo que é um ingrediente muito importante de sua estratégia daqui para frente.

43:27 Raghu Nandakumara: Sim, eu gosto das palavras com calma e frieza. A resiliência cibernética é ser capaz de continuar a operação com calma e frieza, mesmo após uma violação. Sim, é bom deixar os ouvintes bem. Vishal, agradecemos muito o tempo que dedicamos para ter essa conversa conosco aqui no The Segment. Todos estão ouvindo bem, por favor, confira o boletim informativo mensal de Vishal no LinkedIn. É excelente; ideias incríveis de CISO do próprio Vishal. É chamado de “CyberTalks: a visão de um CISO sobre todas as coisas sobre segurança cibernética”. Vishal, muito obrigado. Só isso foi um prazer.

44:03 Vishal Salvi: Obrigado. E o mesmo aqui. Muito obrigado por me receber aqui hoje, Raghu, e foi um prazer conversar hoje e eu realmente gostei dessa conversa.

44:13 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos da Zero Trusts, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter na Illumio. E se você gostar da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Ragu Nandakumara, e voltaremos em breve.