Transformando risco em resiliência

00:16 Raghu Nandakumara

Oi, pessoal. Bem-vindo de volta a outro episódio do podcast The Segment: A Zero Trust Leadership. Hoje, é um grande prazer ter a companhia de Indy Dhami, parceira cibernética de serviços financeiros da KPMG UK, e alguém que tem muitos anos de experiência ajudando algumas das maiores organizações de serviços financeiros a desenvolver sua estratégia e prática cibernética. Então, estou muito animado para falar com ele hoje e aprender com suas experiências. Indy, bem-vinda ao The Segment.

00:48 Indy Dhami

Obrigada. Obrigado por me convidar. É um verdadeiro prazer e honra. Eu acompanho a história da Illumio há muitos e muitos anos. Então, sim, estou ansioso para me envolver e contribuir com alguns dos meus aprendizados.

1:01 Raghu Nandakumara

Bem, definitivamente estamos aqui para ouvir sua história hoje, Indy. Então, com isso, por que você não começa nos contando sua experiência em cibersegurança e as experiências que o levaram até onde você está em sua carreira hoje?

1:13 Indy Dhami

Sim, claro. Então, trabalho no setor de segurança há 21 anos em várias funções diferentes. Então, comecei minha carreira gerenciando um departamento de TI para uma empresa de arquitetura. E isso envolveu tudo, desde o gerenciamento da rede até a execução de backups, até então você tentar eliminar todos esses vírus e malwares incômodos que estavam meio que proliferando em toda a rede. E agora, estamos no início dos anos 2000. Então, você pode imaginar que, você sabe, a segurança não estava no topo da agenda. Mas o que realmente me impressionou foi ser capaz de gerenciar essas coisas. Além disso, o fato de muitas organizações não estarem preparadas para o pior que aconteceria se elas perdessem sua rede, toda a rede; elas não tinham planos de contingência em vigor. Então, isso realmente me interessou pela segurança. Estudei um pouco na universidade, alguns dos principais princípios da InfoSec, na época, e depois de deixar essa função, acabei me mudando para a Mercedes Benz em Milton Keynes, e provavelmente um ponto crucial na minha carreira, porque acabei trabalhando com um cara que conhecia muito bem tudo o que você pode imaginar: segurança, continuidade de negócios, negócios, gerenciamento de riscos, física segurança, tudo. E foi aí que realmente deu início à minha carreira no mundo da segurança.

Construímos um sistema de gerenciamento de segurança da informação. Ela se tornou a primeira da Mercedes Benz globalmente a ser certificada pela ISO 27001, e tínhamos um sistema de gerenciamento de qualidade com certificação ISO 9000. E foi brilhante, estávamos fazendo um trabalho muito interessante. Por volta de 2004 e 2005, a empresa-mãe, a Daimler, viu o que criamos e pediu à minha equipe que replicasse o que construímos na Alemanha. Então, passei dois anos e meio viajando para dentro e para fora de Stuttgart e passando algum tempo lá. Então, basicamente, uma ótima experiência em um programa global de transformação do modelo operacional, e havia um elemento de segurança nisso. Mas essa é uma transformação de processo em grande escala. Com base no excelente trabalho que fizemos no Reino Unido e em meus amigos alemães, sempre lembro a eles que, você sabe, é nessa época que os alemães pedem aos britânicos que saiam e lhes ensinem os processos. Eles odeiam que eu diga.

03:34 Indy Dhami

Então, sim, deixou a Mercedes e foi para a Accenture. E passei um ano em Haia. Este foi um projeto muito interessante, em grande escala, que violou uma organização proeminente sediada lá. Não vou dizer quem é porque muitas pessoas provavelmente conseguem adivinhar. E nosso papel era ajudar, tentando identificar o que esse estado-nação estava fazendo na rede. E, curiosamente, tudo começou com apenas olhar os arquivos CSV do Excel para tentar descobrir se você está olhando os registros para ver o que realmente estava acontecendo. Por fim, faça a transição para uma solução de SIEM. E isso nos permitiu começar a integrar mais fontes de registros, quebrando a plataforma algumas vezes, porque você simplesmente não estava preparado para o tamanho e a escala dos registros. Mas ótima experiência. Mudei-me de lá para a PwC e passei dois anos em Copenhague, trabalhando com um grande conglomerado marítimo, um grande programa de transformação de segurança que abrangeu tudo o que você pode imaginar, desde o desenvolvimento de políticas até exercícios reais de simulação de crises, um programa completo de transformação de segurança de ponta a ponta, e passei a administrar minha própria empresa. Eu montei meu próprio negócio, administrando fundamentalmente uma organização do tipo matriz, seja fornecendo serviços de consultoria ou de teste de caneta. Uma experiência muito boa trabalhar com algumas organizações de serviços financeiros no Reino Unido e em Paris.

Depois dessa mudança para a IBM, passei quatro anos liderando a equipe de transformação do FS, envolvida principalmente em serviços e contratos gerenciados de segurança em grande escala, como executar SOC de ponta a ponta, mas também executando avaliações de segurança e trabalhos de consultoria. Depois disso, passei um ano com uma empresa chamada Historic Global, que foi financiada pelo governo de Singapura para investir em outras empresas cibernéticas. Então, uma ótima experiência lá. Então entrei para a KPMG em janeiro do ano passado com a missão de contratar clientes do FS, principalmente bancários, mas minha missão cresceu um pouco mais para administrar nossa capacidade de resiliência cibernética, que então abrange vários setores diferentes.

05:49 Raghu Nandakumara

Quero dizer, acho que nós meio que... você merece um episódio de podcast para cada pedacinho dessas experiências, certo?

5:55 Indy Dhami

Cada um tem sua própria história interessante. Eu provavelmente poderia escrever um livro com algumas das coisas que vi que farão as pessoas revirarem os olhos e dizerem que sim, eu vivenciei algo semelhante.

6:06 Raghu Nandakumara

Bem, acho que a terceira temporada do segmento, Indy, terá apenas 12 episódios de você contando sua história. Isso é incrível. E estou tentando decidir por onde devemos começar a desvendar as coisas, porque sinto que todas elas, de alguma forma, realmente se esforçaram para não apenas o papel que você desempenha hoje. Mas, na verdade, esse foco de onde saiu, você disse logo no início, o foco era InfoSec. Certo. E foi assim que ficou contente. E agora, isso realmente mudou para um tipo de cibersegurança. E agora, o termo resiliência cibernética. E estou tentando, estou conectando o que você disse logo no começo, que era como se você estivesse lá, certo? Você estava prestando uma espécie de suporte de TI em todos os seus vários tipos e tentando impedir, digamos, que um vírus que percorra a rede caísse; não há contingência. E agora, resiliência, não apenas resiliência cibernética, mas resiliência operacional, tem tudo a ver com como posso continuar funcionando mesmo quando tenho todas essas coisas inesperadas acontecendo. Em que momento você acha que essa mudança aconteceu para dizer que precisamos realmente nos concentrar na resiliência; não se trata apenas de sermos capazes de resolver o problema; é sermos capazes de funcionar enquanto resolvemos o problema?

7:26 Indy Dhami

Sim, quero dizer, há uma pergunta muito interessante porque voltando a essa primeira experiência que tive, e eu estava apenas examinando alguns dos meus documentos recentemente, e ela realmente usou o termo ajudando a organização a se tornar mais resiliente. E isso provavelmente foi muito antes de alguém pensar em resiliência operacional ou resiliência cibernética. E depois, no exemplo da Mercedes, você sabe, estávamos falando sobre todas essas coisas quando se trata de gerenciamento de identidade e acesso quando se trata de resiliência corporativa, sobre reunir todas essas coisas. Seja segurança, seja segurança física e ambiental, seja fraude. E, infelizmente, não surgiu naquele momento, provavelmente só apareceu nos últimos, digamos, cinco a seis anos. E isso pode ser devido a várias coisas. Pode ser um número maior de ataques cibernéticos ou interrupções. Você sabe, se você pensar em alguns dos grandes incidentes no Reino Unido que vimos, Buncefield veio à mente. Você sabe, houve uma grande explosão, ou foi a erupção do vulcão na Islândia.

Então, esses tipos de coisas muitas vezes nunca foram considerados, e eu me lembro de fazer um exercício de simulação de crise a bordo. E eles me disseram: “Indy, isso nunca aconteceria conosco.” E o cenário que eu construí girava em torno da gripe aviária, do combate à gripe aviária acontecendo, certo? Então, agora temos pessoas mais conscientes de que esses incidentes operacionais são mais prevalentes, do que os ataques cibernéticos estão aumentando. Então, você sabe, essa conscientização cresceu dramaticamente porque, se você pensar apenas nas notícias, agora, você pode ver ataques cibernéticos uma, duas, três vezes nas notícias agora, e isso se tornou mais predominante, e as pessoas estão fazendo perguntas mais desafiadoras aos líderes de segurança.

9:14 Raghu Nandakumara

Então, como um pouco de aparte, certo, você mencionou que vemos ataques cibernéticos cada vez mais nas notícias. Certo? E você sentiu que, quando essa notícia está sendo divulgada, é basicamente mais do mesmo? Então, como alguém que não está tão informado quanto você, as pessoas que gostam de assistir ao noticiário dizem: “Ah, só mais um ataque cibernético”. Considerando que as consequências reais, quando pensamos em resiliência, e a razão pela qual estamos focados na resiliência, abordaremos coisas como DORA, são porque o efeito indireto de, digamos, um banco de rua ser impactado é significativo, certo? Essas coisas não estão sendo relatadas o suficiente para que apenas o público normal, mas apenas o público em geral, ainda não saiba por que a segurança cibernética é tão importante.

10:09 Indy Dhami

Sim, é um ponto muito bom. E, você sabe, eu tentei remover as camadas dessas questões desafiadoras e por que isso acontece. E até que isso afete pessoalmente muitas pessoas, você sabe, elas geralmente não percebem a segurança cibernética e por que ela é importante. Lembro-me de ter essa conversa com ele em um evento familiar, uma festa familiar, e eu estava falando com um médico. E você sabe, ele meio que conversou aqui: “Então, o que é, o que você faz?” E expliquei um pouco sobre o tipo de trabalho que faço. E você pode ver esse momento de pânico, realmente passando pela cabeça dele pensando, bem, na verdade, temos muitos dados confidenciais, estamos bastante expostos. Na verdade, não tenho ideia de como minha clínica gerencia todas essas informações confidenciais que temos. E eu não tenho ideia se poderíamos nos recuperar. E, curiosamente, cerca de um ano depois, vimos o incidente do WannaCry, NotPetya, impactando o NHS. E eu acho que foi, foi por um período de tempo, foi bastante comum, as pessoas estavam realmente preocupadas com isso. Mas depois desaparece. Tudo volta ao normal. E, novamente, as pessoas talvez não tenham muito interesse, como eu disse, até que algo impacte e elas possam, você sabe, ter sua conta bancária comprometida e o dinheiro ser transferido. Então, ainda parece ser uma dessas áreas que talvez seja considerada excluída, você sabe, são pessoas sentadas em salas escuras com capuzes cortando coisas. Mas, na verdade, existe uma grande variedade de agentes de ameaças, sejam eles de. Sim, você pode interpretar esse garoto estereotipado muito inteligente sentado em casa invadindo empresas comerciais altamente organizadas, altamente organizadas e altamente lucrativas. Até o ponto em que, você sabe, vemos algumas dessas organizações ficarem bastante frustradas com o script kiddies, você sabe, prejudicando sua reputação, porque você sabe, elas têm a reputação de serem conhecidas por terem atacado uma organização com seu ransomware. Sabe-se que eles devolverão as chaves de decodificação se estiverem pagando. Enquanto outras organizações podem não ser tão éticas, certo? O que é uma coisa louca de se pensar. Mas esse é esse submundo sombrio que vemos, do qual muitas pessoas não estão realmente cientes, que opera à luz do dia.

12:23 Raghu Nandakumara

Sim, com certeza. E acho que penso na ética do ransomware, ou de agentes maliciosos, e alguns agentes maliciosos meio que estão muito orgulhosos da ética que demonstram. Enquanto outros, você simplesmente não conhece esse conceito de, bem, se você pagar o resgate, divulgaremos seus dados. O que me preocupa é que, se eles tiverem seus dados, só Deus sabe o que farão com eles, quer você pague o resgate ou não. Então, vamos abordar seu papel hoje. Certo. E quando você é engajado por seus clientes, certo. E essa é uma pergunta muito ampla, qual é normalmente a primeira pergunta que eles fazem a você?

13:09 Indy Dhami

Normalmente, a primeira pergunta que eles me faziam, dependendo de uma variedade de cenários diferentes, mas você sabe, eu consigo pensar em uma que está proeminente em minha mente agora é: você sabe, acreditamos que estamos sem apetite pelo risco, quando se trata de segurança cibernética, certo? Você pode nos ajudar a voltar à tolerância? Agora, muitas vezes, a primeira pergunta que faço é: então, como você define qual é o seu apetite pelo risco? Em segundo lugar, quais são os pontos de dados que permitem avaliar se você está dentro ou fora desse nível de tolerância? E uma afirmação um pouco controversa, porém, que vejo em muitas organizações, não apenas no FS, é que dados insuficientes levam a respostas fundamentalmente erradas a esse ponto: estamos dentro ou fora de nosso apetite. E há várias razões para isso. Pelo menos do ponto de vista cibernético, geralmente é uma cobertura de controles e fontes de registro. Você pode ter um SOC ou um SIEM executando e monitorando sua propriedade. Mas o que você lê, o que muitos idosos não percebem, é que, na verdade, você só tem uma pequena porcentagem de cobertura porque não tem acesso a determinadas tecnologias. Alguns de seus aplicativos essenciais foram desenvolvidos há muito tempo e podem não estar produzindo os registros necessários para dar a você uma visibilidade clara de se alguém pode entrar na sua rede e depois se mover lateralmente. Portanto, o gerenciamento de riscos e o mesmo se aplicam do ponto de vista da resiliência operacional. Mas se você não entende sua propriedade, não tem os dados corretos para ter uma visão mais clara de tudo o que você tem em sua empresa e também de terceiros e terceiros. Como você pode então tomar essas decisões apropriadas de gerenciamento de risco? É fundamentalmente falho.

14:53 Raghu Nandakumara

Sim, com certeza. E só de ouvir você dizer essa última parte, certo, meio que me conecta a, por exemplo, regulamentações como a DORA, que estão entrando em vigor e estarão realmente ativas até o próximo ano, até o início do próximo ano, quero dizer, você é basicamente palavra por palavra o que acabou de dizer, certo? Você precisa começar com uma compreensão muito boa de como as coisas em seu ambiente interagem, mas também de como todos vocês têm seus fornecedores, todas as suas dependências upstream e downstream também interagem com você em um nível de sistema, certo? Isso não é apenas no nível do processo de negócios, mas no nível dos sistemas, para que você possa entender sua exposição e, em seguida, implementar os controles corretos.

15:37 Indy Dhami

Sim. Quero dizer, e também, você mencionou DORA. Há muitos, certo? E a única coisa que vejo é que é quase quando as pessoas estão cansadas da grande quantidade de regulamentações, seja de resiliência cibernética ou operacional, que há muita sobreposição. E você sabe, provavelmente está em um ponto crítico em que, você sabe, algumas organizações estão dizendo que, curiosamente, acabamos de ver isso nas notícias de hoje. Na verdade, um banco de rua do Reino Unido declarou que, na verdade, está abandonando grande parte de sua função de risco porque isso está prejudicando sua capacidade de inovar, certo, o que, para mim, é uma posição muito estranha. Tendo em mente o que acabei de dizer por aqui, o grande número de ameaças, o cenário de vulnerabilidade, está aumentando diariamente, exponencialmente, certo? O que, então, está tendo esse efeito indireto em seus riscos sistêmicos e em seus riscos de contágio. Então, é uma posição muito interessante em que estamos agora. Porque, embora estejamos vendo mais, mais ataques, mais organizações sofrendo interrupções, como vimos isso há algumas semanas, se você se lembra, havia um varejista de rua e um punhado de varejistas de rua tendo problemas com o processamento de pagamentos. Embora não tenha sido confirmado se foi um ataque cibernético, ainda ressalta que há um risco sistêmico aqui, o risco de contágio: se um provedor de infraestrutura crítica que talvez forneça serviços a várias organizações tenha uma interrupção, o impacto disso é que, em última análise, para algumas organizações, ele não tem um plano de contingência.

17:08 Raghu Nandakumara

Sim, não consegui comprar meu pãozinho de salsicha vegano no Greg's há algumas semanas. Foi um dia difícil, aquele dia.

17:20 Indy Dhami

Você tem que escolher o gordo.

17:23 Raghu Nandakumara

Então, vamos falar sobre, vamos falar sobre regulamentação. E eu acho que você está absolutamente certo, e eu meio que estive no setor de serviços financeiros um pouco antes, antes da minha função atual, e que esse desafio constante, a pressão regulatória, a necessidade de estar em conformidade, especialmente quando você trabalha para uma organização global que precisa estar em conformidade com todos os seus reguladores globais, é um grande desafio. Então, você vê a transformação ou a evolução dos regulamentos tentando se tornar mais unificadores, de modo que eles podem estar usando palavras ligeiramente diferentes, mas o que eles estão perguntando é praticamente o mesmo?

18:00 Indy Dhami

Sim, eu concordo totalmente. E eu tive essa conversa há algumas semanas com um amigo sobre o propósito de coisas como DORA, e acho que a premissa está correta, certo? Está mudando o foco de apenas garantir que, você sabe, tenha solidez financeira, mantenha um serviço operacional e resiliente. Apesar das interrupções causadas por um problema de TIC, um ataque cibernético, seja o que for, ele tem sido capaz de resistir e se recuperar, se não recuperar ou continuar as operações enquanto você está sob estresse significativo devido a uma interrupção ou ataque cibernético. E, você sabe, do jeito que vejo algumas dessas regulamentações, isso está mudando o foco de abordagens muito isoladas para lidar com os requisitos regulatórios para transformá-las em, por minha vez, transformar a conformidade em um esporte coletivo. Você precisa ter seu diretor de segurança da informação à mesa da DORA. No entanto, você também precisa ter a pessoa responsável por todos os recursos humanos, a pessoa responsável por suas operações comerciais ou você por seus importantes serviços comerciais. E as organizações mais maduras em que estou trabalhando, com as quais estou trabalhando, estão abordando isso dessa forma. Eu tenho todas as principais partes interessadas na mesa. Eles entenderam que existem certos papéis a desempenhar para cada uma dessas funções e estão trabalhando juntos. Então, quero dizer, esse é o maior sucesso da cena. Quero dizer, muitas organizações veem a DORA e outras regulamentações como apenas uma reviravolta ou outra atividade rotativa que precisamos cumprir. Acho que, do ponto de vista cultural, está tendo um impacto muito mais positivo. Bem, em janeiro do próximo ano, veremos se isso é correto. Mas pelo menos no trabalho que estamos fazendo agora com programas de análise de lacunas e remediação, você sabe, algumas dessas principais partes interessadas estão finalmente sentadas à mesa e, na verdade, entendendo e aprendendo mais sobre o que seus colegas estão fazendo em sua função de segurança ou até mesmo do ponto de vista cibernético, alguns dos CISOs aprendendo mais e interagindo mais com, em última análise, seus clientes, as partes interessadas de negócios para quem estão prestando o serviço.

20:16 Raghu Nandakumara

Adoro o termo que você acabou de usar sobre como a DORA realmente está forçando, digamos, a resiliência operacional, a resiliência cibernética a se tornar um esporte coletivo, porque, como profissionais de segurança, desde que me lembro de quando recebi meu CISP, certo, como dizia a teoria, o InfoSec de segurança, naquela época deve ser um esporte coletivo, todos precisam estar engajados. Mas por muito tempo dentro das organizações, você teve a função de segurança e, então, você tem, digamos, a aplicação, a função de desenvolvimento de negócios. E acho que você citou o exemplo de um banco de rua dizendo que, na verdade, estamos meio que reduzindo nossa equipe de risco porque ela está atrapalhando a transformação. Certo. Então. Então eu acho ótimo, a cibersegurança agora está sendo vista como um esporte coletivo e o fato de a regulamentação permitir isso provavelmente é a primeira coisa positiva que alguém tem a dizer sobre regulamentações, certo? Em termos do que é, o que está permitindo. Então eu acho que isso é uma dádiva de Deus.

21:24 Indy Dhami

Mas você tem que ver essas coisas como algo positivo. Certo. Muitas organizações com as quais trabalho estão começando a perceber que, certo, existem coisas no que você faz com elas. Quando analisa algumas dessas regulamentações, percebe que já fazemos muitas dessas coisas. Certo? É apenas estruturado de uma maneira diferente. E existem algumas sobreposições com alguns dos outros regulamentos. Desde que você seja inteligente sobre como abordá-la, não precisa replicar e recriar algo novo para oferecer resultados em algumas dessas áreas-chave. E, na verdade, onde as lacunas são identificadas, destaque as áreas em que elas podem precisar de mais investimento. Então, por exemplo, com a DORA, você tem toda essa parte de compartilhamento de informações, e esse é um tópico muito importante no momento, porque como, como e quando você compartilha informações, se você for violado em diferentes jurisdições, terá regulamentações diferentes. Você sabe, se você tiver que reportar nos EUA, a SEC tem requisitos diferentes dos que eles têm aqui com o ICO. E gerenciar essas informações com segurança e confiança de que você pode realmente fornecer as informações factuais é um dos grandes desafios que surgiram do DORA. Quero dizer, se pensarmos em algumas das outras áreas, o elemento de teste de resiliência operacional digital, certo, que é uma afirmação muito, muito ampla, que pode incluir testes de caneta, pode ser analisar seu software e seu código e garantir que eles sejam registrados e enviados e que os desenvolvedores não tenham acesso incorreto. E então ele vai para várias áreas diferentes, como gerenciamento de identidade e acesso, fala sobre segurança de rede, é muito, muito granular. Mas se você trabalha na indústria há tempo suficiente, não há nada inovador, pois é apenas uma harmonização e um foco que foram revelados com parte do nível granular do texto dos textos regulatórios e padrões que estão no regulamento.

23:16 Raghu Nandakumara

Sim, eu concordo. Absolutamente Certo. E, como você, passei algumas horas meio que mergulhando nas minúcias dos regulamentos. E eu concordo que nada do que os regulamentos exigem que as organizações façam, e falamos muito sobre a DORA, mas, para ser honesto, poderíamos substituir a DORA por várias outras regulamentações que surgiram globalmente nos últimos dois anos, ou seja, elas estão sempre enraizadas no fato de presumir que o inesperado vai acontecer, certo? Seja como um evento ambiental, como a erupção de um vulcão, ou seja um ataque cibernético ou em seu ambiente? E o que você adotaria para garantir que tivesse a melhor compreensão do seu ambiente, certo? Para ser capaz de ser resiliente a esse direito de limitar e conter o impacto dele, para que você possa continuar sendo produtivo enquanto recupera isso, essa pequena parte, certo? E o que eu acho que é melhor agora com esses regulamentos, é que o objetivo geral é muito mais claro. Certo? Há muito mais clareza sobre por que as organizações deveriam fazer isso. Você concordaria?

24:27 Indy Dhami

Sim. Sim, concordo totalmente. E, você sabe, passamos muito tempo com Dora. Mas se você pegar esses dois, por exemplo, você sabe que há grandes sobreposições focadas em gerenciamento de riscos, responsabilidade corporativa, obrigações de relatórios, continuidade de negócios e, em seguida, um conjunto de medidas mínimas, as coisas que elas devem ter em vigor. E eu olhei para o DORA e olhei para o NIST2 e depois voltei para 2004 a 2005, quando eu estava na Mercedes, e estávamos implementando a ISO 2700 1. E, para ser honesto, não há nada de diferente fundamentalmente, e foi, é uma peça da norma que fala sobre responsabilidade gerencial, que, novamente, está exatamente de acordo com o que Nizza diz sobre responsabilidade corporativa. Trata-se de definir o tom desde o início, ter os mecanismos apropriados de liderança e governança implementados, ter pessoas treinadas, para que elas saibam, você sabe, o que fazer quando o pior acontece. Então, quero dizer, é uma dessas coisas que já estamos no setor há bastante tempo, são apenas diferentes permeações de padrões e controles que agora surgiram e são bastante assustadoras para algumas organizações com esse novo risco potencial de multas por não cumprirem uma série de regulamentações aplicadas especificamente ao setor. E acho que muitos, muitos, por muitos anos, ele foi escovado para debaixo do tapete. Você sabe, como eu disse, há organizações com as quais trabalhei que disseram: “Indy, isso nunca aconteceu conosco, você sabe, ninguém se interessará pelos dados que mantemos até que eu comece a fazer mais perguntas investigativas sobre: “Ok, lembre-me o que sua empresa faz, lembre-me quem são seus clientes e pense em quem poderia se beneficiar de acessar essas informações e depois usá-las para outros fins”. Então, você sabe, quero dizer, considerando que não foi há muito tempo, e provavelmente foi nos últimos dez anos. No entanto, isso mudou. E devo dizer que muitos diretores e diretores não executivos se tornaram mais experientes em relação ao que é necessário e difícil de fazer aos CISOs. Então, você sabe, é um processo um pouco doloroso para chegar lá. Mas acho que estamos lá agora. Mas o que ele destaca é que muitas organizações simplesmente investiram pouco em segurança ao longo de muitos e muitos anos, e isso não pode ser resolvido da seguinte forma: “Ok, vamos fazer um programa de remediação e voltar ao meu apetite pelo risco dentro de seis a nove meses”. Considerando que há anos e anos de infraestrutura tecnológica, alguns dos quais, em muitas organizações, estão sem suporte. Portanto, a Microsoft não corrigirá alguns dos servidores que essas organizações possuem. Portanto, tentar encontrar os controles corretivos para alguns CISOs é um desafio quase impossível.

27:09 Raghu Nandakumara

Sim, eu concordo. Certo. E é, mas é, eu acho que é ótimo. Acho que o que você mencionou são executivos semelhantes, que estão muito mais ou muito mais bem informados e estão começando a fazer as perguntas certas, certo. E eu acho que essa é a mudança. Se eu me conectei, deixei de ser focado na conformidade para ser focado na resiliência e na produtividade de várias maneiras, certo? E dizer, dizendo ao CISO, o que você está entregando para nós está nos permitindo ser mais produtivos, certo? Não é. Quero dizer, a conformidade é importante, mas ela realmente precisa garantir que não comprometamos a produtividade. Então, percebi que este é um podcast do Zero Trust e não mencionamos o Zero Trust. Então, vamos falar sobre isso. Certo? Fundamentalmente, tudo de que estamos falando gira em torno de ter esse foco em Zero Trust e, e isso também aparece nos regulamentos. Então, sim, vamos seguir esse caminho.

28:02 Raghu Nandakumara

Vamos bem, vamos. Então, vamos começar, certo? Então, tivemos muitos, muitos outros neste podcast e todo mundo meio que compartilha sua interpretação do Zero Trust ou uma analogia que eles usam. Então, Indy, o palco é seu. Então, qual é a sua analogia com o Zero Trust?

28:22 Indy Dhami

Falamos sobre isso há algumas semanas, e foi na sequência de conversas que tenho com amigos e colegas, aqueles que estão trabalhando no projeto neon na Arábia Saudita. E o que me chamou a atenção é que, você sabe, se você fosse construir uma nova cidade, se tivesse a oportunidade de construir a cidade do zero, mas como você faria para construir confiança, privacidade e aplicar quase essa analogia do Zero Trust na construção da cidade? E isso me fez pensar que realmente, você sabe, se você pensar no Reino Unido, é um país muito tradicional, construído tradicionalmente ao longo de muitos e muitos anos. Mas se você tivesse essa oportunidade, o que você faria? E se você se concentrar, provavelmente mais no modelo americano, passei um tempo na Mercedes, que fica em Milton Keynes. Então, use um pouco esse modelo com o sistema de grade, mas você considera os quarteirões da cidade quase como uma espécie de segmento de carga de trabalho. E em nossa cidade imaginativa, você sabe, cada bloco representaria um segmento de cargas de trabalho diferente. Agora, você pode saber, esses blocos serão especificações de habitação. Podem ser serviços, podem ser cargas de trabalho, mas assim como os quarteirões têm essas áreas industriais residenciais e comerciais, nossos quarteirões teriam finalidades diferentes. Podem ser servidores web, bancos de dados, podem ser seus gateways de pagamento. E então, para isso, você também teria ruas e também teria regras de trânsito, certo? Então, as ruas estão conectando esses quarteirões, como um caminho de rede. Então você tem seu tráfego, que são seus pacotes de dados. Você é que eles também estão fluindo entre os blocos. Então você pensa que, na verdade, precisaríamos da microssegmentação do Zero Trust para definir regras específicas para cada rua. Algumas ruas podem permitir apenas tipos específicos de veículos e dados, enquanto outras foram totalmente fechadas. E então você provavelmente tem pontos de verificação de segurança, na entrada de cada um desses blocos, você sabe, há um ponto de verificação de segurança, pense nele como um porteiro, antes de permitir que alguém passe, ou aquele pacote de dados, agora que precisa ser verificado, a necessidade de verificar essa identidade e o motivo pelo qual eles estão viajando por aquela zona específica, e então somente o tráfego autorizado é permitido. Então, o que eu pensei foi, na verdade, que você poderia ter essas pistas do Zero Trust. Então, dentro da cidade, você tem faixas especiais, que, você sabe, são super seguras em todos os semáforos pelos quais precisariam de permissão explícita para prosseguir. Mas você também precisaria de algo em torno de isolamento e contenção para que ocorresse um incêndio em um bloco específico, o que poderia ser um ataque cibernético, você sabe, você tem uma maneira de segmentar que possa garantir que ele não se espalhe para o outro bloco. E então esses são os blocos que permanecem inalterados. E você gerencia isso, aquele incêndio, aquela brecha dentro desse domínio específico?

E então, para sua cidade, você também precisaria personalizar a sinalização. Nesse momento, cada quarteirão teria suas próprias políticas de segurança. Eles poderiam então ditar quem está entrando, quem vai, como eles se comunicam. Por exemplo, você sabe que seu banco de dados está bloqueado, e o sinal pode dizer: somente consultas autorizadas de banco de dados são permitidas, certo? Então, do jeito que eu vejo, você também tem que ser dinâmico. Tão dinâmica quanto uma cidade evolui, os planejadores ajustam suas ruas, seus postos de controle e, em seguida, sua microssegmentação permitiria adaptar essas mudanças nas cargas de trabalho, nos aplicativos. Você tem uma nova nuvem, novos controles de nuvem chegando. Então, em resumo, se você construir uma cidade e aplicar a analogia do Zero Trust, é assim que eu acho que faria isso. Agora, eu não sou um planejador urbano, não posso afirmar que sou. Mas você sabe, talvez seja uma analogia interessante. Acabou de me vir à mente. Não faz muito tempo.

32:11 Raghu Nandakumara

Estou apenas imaginando SimCity, a edição Zero Trust, certo, com base no que você acabou de dizer, e acho que devemos fazer com que todos que estão em resiliência cibernética, segurança cibernética e InfoSec joguem, e devemos ter uma tabela de classificação e ver quem pode projetar a melhor cidade protegida pelo Zero Trust. O que você acha?

32:31 Indy Dhami

Sim, é um ótimo, ótimo jogo. Eu costumava jogar isso. E também parque temático, se você se lembra do parque temático, e isso só faz você pensar de forma diferente. E acho que é um profissional de segurança. Acho que temos todos, você sabe. Já vi muitas vezes líderes aparecerem na frente do conselho e começarem a falar em linguagem técnica. E está quase se agarrando a alguns membros da suíte C. Então, como podemos torná-lo mais fácil de entender? Como podemos fazer com que isso ressoe com eles e aplicá-lo ao que lhes preocupa? Uma das principais coisas que eu sempre faço quando falo com os executivos é me dizer o que motiva você? O que é que motiva você? O que o mantém ocupado? E o que mantém você focado em sua função, porque a responsabilidade da equipe de segurança é permitir que você se certifique de que não somos a função de policiamento. Não dizemos apenas “Não, desculpe, você não pode fazer isso”. Pensamos nisso como se fôssemos as pessoas inteligentes que conhecem tecnicamente a segurança. Certo? Então, como podemos ajudar a viabilizar o negócio? E como nos comunicamos com eles em um idioma que ressoe com eles? E acho que esse ainda é um dos grandes desafios que vejo é que os conselhos ainda estão recebendo relatórios de verificação de vulnerabilidades, ou não, aqui está uma visão dos controles técnicos. E muitos deles simplesmente se importam, mas não precisam se importar. Eles precisam saber qual é o resultado do negócio. Você sabe, como isso está nos ajudando a construir um novo data center em um local diferente? Ou como isso nos permite criar um novo aplicativo para dispositivos móveis para que possamos fornecer novos serviços aos nossos clientes?

34:04 Raghu Nandakumara

Sim, eu concordo totalmente. Certo? Acho que é muito importante como profissionais de segurança e, na verdade, agora que trabalho em um fornecedor, como fornecedores de segurança, poder me conectar da maneira que fazemos, certo? Explicando por que é importante, em última análise, gostar da meta que estamos tentando atingir. E em uma organização, tudo bem, qual é o objetivo do negócio? E então, como funciona o que, como funciona o nosso programa? Como isso se conecta ao objetivo comercial? E você acha que, por exemplo, a estratégia Zero Trust e as organizações que estão adotando uma estratégia Zero Trust, são capazes de contar uma história melhor sobre como essa estratégia está se alinhando aos objetivos de negócios, ou isso ainda existe?

34:52 Indy Dhami

Acho que há dois, provavelmente dois tipos de indivíduos, aqueles que conseguem contar bem a história e articulá-la em uma linguagem que o conselho possa entender e que a liderança entenda, como a empresa entende. E aqueles que ainda estão focados em controles de tecnologia. Agora, estou vendo mais; felizmente, estou mais do lado esquerdo, articulando o que é Zero Trust. E tudo se resume a definir esse cenário. Se você o enquadrar da maneira correta e fazer com que ressoe para esses líderes, acho que você pode ter muito sucesso em oferecer essa abordagem de Zero Trust.

35:26 Raghu Nandakumara

Então, o que você diz, tipo, da adoção em termos da adoção de uma estratégia de Zero Trust? Certo? Ou seja, você está vendo que cada vez mais organizações realmente têm isso como uma iniciativa de alto nível que está sendo monitorada, digamos, no nível do CISO? Ou é algo que está apenas invadindo todas as partes do programa CISO e não necessariamente sendo explicitado?

35:49 Indy Dhami

Provavelmente é uma combinação de ambas. Na verdade, em algumas organizações, faz parte não apenas de sua estratégia cibernética, mas está permeada pela resiliência operacional, certo? Porque foi posicionado de uma forma muito convincente. É óbvio. E depois há o outro lado, o outro lado por osmose, ou simplesmente por puro acaso, está acontecendo em vários desses programas de transformação e está sendo criado em um estágio inicial de design. E as organizações estão gerenciando isso dessa forma. Portanto, provavelmente não é nesse estágio em que todos entendem isso. Ele é implementado pelos motivos certos.

36:26 Raghu Nandakumara

E o que acontece quando você entra em contato com seus clientes e os ajuda a estabelecer uma estratégia de Zero Trust, certo? O que normalmente é o tipo de caminho que percorre?

36:43 Indy Dhami

Normalmente, a maneira como eu abordo isso é sempre começar com o que você está tentando fazer como empresa? Certo. E há muitos e muitos anos, aprendi isso, e ainda não vejo muitos profissionais fazendo isso: escolha sua estratégia de negócios, pegue o relatório anual, entenda o que a empresa está tentando fazer e, em seguida, sobreponha a sua. Veja como a segurança e veja como a Zero Trust pode nos apoiar nesses quatro pilares estratégicos. E se você puder descrever isso de uma forma bastante simples, é sempre o melhor ponto de partida, porque então você pode começar a pensar: ok, então esses são os controles de tecnologia que precisamos fornecer em cada um desses pontos. E se trata de decompô-lo de uma forma consumível.

37:29 Raghu Nandakumara

E você acha que, quero dizer, o que ouvimos, certo, é que esse tipo de Zero Trust ainda é o fato de ter sido supercomercializado? E eu concordo, certo? Eu acho que, até certo ponto, é supercomercializado. Mas existe um reconhecimento real? Agora, geralmente estou entre uma espécie de comunidade de praticantes que, como estratégia, é absolutamente robusta, e você precisa pensar, entrar no trem, da maneira certa, e pensar em como implementar.

38:03 Indy Dhami

Infelizmente, é como muitos outros chavões, provavelmente supercomercializados e para muitas organizações que afirmam fornecer recursos de Zero Trust. Eles não têm. Eles podem funcionar de certas formas. Mas, você sabe, é, infelizmente, transformado em um desses chavões. Então, novamente, se você tem alguém que pode articulá-lo, sabe, está realmente focado, você verifica explicitamente ou sempre autentica e autoriza com base nas informações disponíveis que você tem, concentre-se no acesso menos privilegiado. Mas há outro, outro termo, que provavelmente não é usado, também é um princípio de menor funcionalidade. Então, sim, você tem o menor privilégio. Mas também, se você tiver, você sabe, pessoas com direitos de acesso específicos e quiser limitar a quantidade de funcionalidade que elas podem ter com suas credenciais específicas. Além disso, acho que esse suposto estado de compromisso começou a surgir em muitas organizações, elas, você sabe, porque estão começando a ver e, infelizmente, quanto mais buscamos e nos concentramos em tentar identificar nossa propriedade, mais você percebe o problema que tem em mãos, que é sua faca de dois gumes.

39:24 Raghu Nandakumara

Essa é uma ótima citação, certo? Quanto mais você vai e descobre sua propriedade, mais você percebe o problema que você tem, que você não teve. E acho que isso também é bastante assustador, porque indica o quão pouco realmente entendemos sobre nossa propriedade. Certo. E acho que essa é a constatação que muitas organizações percebem quando começam isso é que eu realmente não sei o que estou acontecendo, certo? Então, como você supera esse obstáculo?

40:00 Indy Dhami

Quer dizer, é provável que às vezes seja um momento desafiador, muitas pessoas tentam evitar saber, você sabe, eu já ouvi, alguns CISOs me dizendo que prefiro não levantar aquela laje de pavimentação, por causa de todos os rastejantes assustadores que virão correndo. E então ele cairá na minha mesa para tentar remediá-lo. E eu me juntei a um cliente meu que disse: Entrei para a organização há dois anos, mas não posso ser responsável pelos 20 anos anteriores de subinvestimento e design de tecnologia deficiente. Então, é, como eu disse, uma faca de dois gumes, mas fazendo isso da maneira certa, focando em, ok, vamos entender o que temos, vamos sair e começar a descobrir nossa empresa, um estado. E é uma tigela enorme de espaguete. Agora, sejamos honestos, não é uma tarefa fácil identificar todos os seus componentes de tecnologia, você sabe, e nos velhos tempos do ITIL, talvez ainda fosse ideal, seu CI como seus itens de configuração. Se você entende e tem um mapa e um inventário documentados de cada item de configuração que você tem em seu estado, a maioria das organizações provavelmente dirá que não.

Mas então quanto disso você realmente precisa saber, certo? Para garantir que você seja resiliente? Talvez 80-90%, você poderia escapar impune, você sabe, de uma variação. Mas, infelizmente, muitas organizações provavelmente não têm nem 80% de visibilidade de toda a sua propriedade, especialmente quando talvez você tenha mais visibilidade, com as organizações que nasceram principalmente na nuvem, provavelmente seja mais simples para elas. Mas não é um negócio fechado, porque então eles têm seus terceiros e depois quatro partes. E algumas das regulamentações que estabelecem um nível tão granular de detalhamento das expectativas de que você tenha visibilidade do que está conectando partes e prestadores de serviços em conectividade com sua propriedade é, novamente, algo um pouco novo para muitas organizações absorverem e depois terem a capacidade de sair e conversar com suprimentos essenciais.

41:57 Raghu Nandakumara

Eu diria que a nuvem oferece as ferramentas para facilitar as coisas. Mas se você não está seguindo as melhores práticas, está potencialmente criando um problema ainda maior, simplesmente por causa da capacidade de ativar rapidamente todos os tipos de recursos, certo? Pelo menos como uma função de bloqueio em seu data center, que é: “Ah, você quer um novo servidor no data center, isso levará seis semanas”.

42:23 Indy Dhami

Mas, curiosamente, se você pensar em algumas das grandes violações que vimos nos últimos anos, algumas delas estão na nuvem por causa da falta de acesso, direitos de acesso a um usuário privilegiado que ficou órfão. Em seguida, eles são acessados por um agente de ameaças e usados para se movimentar pela organização. E, curiosamente, vejo que não tenho certeza se você já viu isso, há conversas que algumas organizações estão tendo por aí sobre se é mais barato para mim não estar mais na nuvem, porque os custos estão aumentando. E, em particular, algumas das novas regulamentações que estão afetando o custo dos provedores de nuvem, porque os provedores de nuvem agora também estão sob os holofotes da regulamentação. E a pergunta é: quem será o responsável? E quem está assumindo o custo, quem está absorvendo esse custo? E é mais do que provável que não sejam os provedores de nuvem que afetarão seus clientes. E é mais barato permanecer na nuvem ou construir seus próprios data centers novamente, o que é uma posição muito estranha, porque estamos voltando a ser como éramos há muitos anos. E talvez isso dependa do tamanho e da escala da organização. Mas para uma empresa de pequeno a médio porte, pode não ser tão econômico quanto ele nos disse há muitos e muitos anos.

43:45 Raghu Nandakumara

Sim, eu definitivamente me deparei com muitos desses estudos, e tudo se resume a isso, para alcançar os benefícios da economia da nuvem que é comercializada, você meio que precisa ser muito específico sobre os tipos de aplicativos que você executa lá, como você os projeta, de modo que você se beneficie de todo esse tipo de natureza sob demanda para realmente otimizá-los.

Eu quero voltar a algo que você disse, certo, você está falando sobre a quantidade de dados, a quantidade de informações que você precisa, para poder progredir. Certo. E as organizações lutam. E, muitas vezes, eles normalmente nem sequer têm cerca de 80% de compreensão do que têm em sua propriedade. Então, como, quanta informação é suficiente para começar a progredir, certo, porque acho que essa é a barreira para a adoção do Zero Trust. Uma das barreiras é que acho que não tenho todos os pontos de dados corretos. E então eu vou esperar, então qual é a sua resposta?

45:00 Indy Dhami

Sim, quero dizer, esse é um ótimo ponto que você levantou porque, em muitos casos, agora é o ponto em que não há problema em não ter todos os dados, certo? Podemos tomar algumas decisões informadas, certo? Podemos usar os pontos de dados que temos e, você sabe, criar um painel no passado ou criar um painel para uma equipe de liderança executiva dizer que estamos respondendo a essas quatro perguntas que você, você nos fez, sabe, quão seguros estamos, você sabe, o que estamos vendo? Quais são nossas maiores áreas de foco? E quando e o painel foi fundamentalmente baseado na quantidade de confiança que temos nos pontos de dados de que temos um status vermelho, âmbar e verde. Podemos responder a essa pergunta que você tem porque eu tenho todos os pontos de dados e todos os registros que me permitem responder com confiança a essa pergunta de quão seguros estamos. No entanto, em alguns dos outros pontos que você possa ter, você pode ter todos os pontos de interesse; estamos respondendo apenas a um nível de 50% porque é um status âmbar; temos apenas parcialmente as informações para poder responder a isso. E é aí que coisas como a quantificação do risco cibernético realmente entram em cena. Agora mesmo. Estamos vendo muitos de nossos clientes chegando e perguntando isso. Então, como aplicamos a quantificação do risco cibernético se não temos todos os pontos de dados? porque, certamente, este é um exercício em que precisamos de tudo para poder realmente quantificá-lo. E essa não é a abordagem correta. É pegar o que temos, usar nosso conhecimento existente, usar também algum julgamento subjetivo, até certo ponto. Mas você sabe, mudar para esse modelo de quantificação de risco, que se baseia fundamentalmente no que o setor financeiro vem usando há anos, certo, quando se trata de como eles fazem algumas das previsões de como o mercado se moverá, você sabe, e aplicar essa lógica, que permite que você fale a linguagem comercial no mundo financeiro, mas aplicá-la ao ciberespaço teve um grande impacto no momento.

46:47 Raghu Nandakumara

Sim, e eu acho que está absolutamente certo, porque você precisa ter uma maneira de progredir com tantas incógnitas, certo, essas e muitas vezes incógnitas que você tem e sobre as quais não tem controle. Certo, e não o contrário, geralmente fica estagnado e a perfeição é uma espécie de inimiga do progresso.

Então, é como olhar para frente, certo? Na verdade, antes de olharmos para frente, quero voltar à notícia que você mencionou sobre uma organização em uma organização de serviços financeiros essencialmente reduzindo o risco cibernético para alguns. Desculpe se eu citei erroneamente, é apenas a função de risco deles, certo? O foco, como reduzir sua função de risco, porque isso estava prejudicando sua capacidade de transformação. Certo, e inove. E, certamente, a abordagem que as organizações deveriam adotar é aproximar essas funções. Para que a inovação possa acontecer de forma segura, correta, segura por design e tudo mais. Para que você organize as coisas que está construindo, a segurança esteja envolvida desde o início, para que, quando estiverem construídas, você saiba que estão seguras. Não é. Você não vai pedir aprovação mais tarde. Quero dizer, qual é a sua opinião sobre isso? É isso que foi considerado, porque certamente isso é contra o que estamos pregando como melhor prática.

48:26 Indy Dhami

É. E acho que há uma oportunidade de harmonizar. E isso é algo sobre o qual venho pregando há muitos anos. E, na verdade, um dos documentos técnicos que escrevi anos atrás era, na verdade, agora é a hora de convergir risco, segurança e fraude, do ponto de vista dos serviços financeiros. E, infelizmente, essas funções, ainda vejo que talvez o risco e a segurança se unam com mais frequência. Mas a fraude ainda é uma capacidade isolada. O que, você sabe, não faz muito sentido, porque as coisas que você monitoraria se sobreporiam às coisas que as equipes de segurança cibernética estão monitorando. Mas eles investiram em ferramentas significativas. E isso provavelmente faz parte do problema: a abordagem baseada em silos causou uma quantidade significativa de gastos com várias ferramentas. Sabe, da noite para o dia, um cliente me disse que, se você pensar em todas as ferramentas do mercado de cibersegurança, provavelmente comprei uma de cada. Certo? Sim, orçamento, isso é tão grande? Mas eles estão realmente obtendo o máximo valor disso, não estão otimizando. Algumas organizações com as quais trabalhei tinham cerca de 20 ferramentas SIEM diferentes em todo o mundo, porque uma organização na Alemanha abandonou as adquiridas e construiu suas próprias operações e alguém nos EUA fez a mesma coisa. E esse provavelmente ainda é o estado em que estamos. E o que, então, você sabe, o negócio não será, pois os líderes empresariais estão considerando o custo, pois é fundamentalmente muito caro. Então, a resposta foi: vamos cortar parte dessa equipe de risco. Você sabe, isso reduzirá alguns dos custos e nos permitirá inovar, mas depois os expõe a várias outras áreas que eles provavelmente ainda não consideraram ou talvez tenham considerado, porque algumas organizações estão preparadas para ter a contingência reservada para uma violação ou multa do GDPR. E às vezes é uma decisão comercial que aceita que o pior acontecerá conosco. E teremos que lidar com isso como e quando, quando acontecer, se algum dia acontecer. Porque eu já ouvi isso antes, mas você sabe: “Toda essa coisa cibernética é, na verdade, uma espécie de apólice de seguro, não é? Porque isso pode não acontecer conosco. Não tiramos nosso dinheiro do nosso investimento.”

50:31 Raghu Nandakumara

Mas isso ajuda você a ganhar dinheiro, sabendo que você está protegido da melhor maneira possível.

50:40 Indy Dhami

Às vezes, isso não é suficiente.

50:45 Raghu Nandakumara

Às vezes, isso não é suficiente. Então, ok, então vamos dar uma olhada no futuro contador que olha para sua bola de cristal. Certo? O que você vê como os desafios, do ponto de vista cibernético, que o setor de serviços financeiros enfrentará nos próximos anos.

51:00 Indy Dhami

Então, para mim, você provavelmente não ficará surpreso, eu diria, com o uso da IA, tanto do ponto de vista de detetive quanto do controle, mas também com os agentes de ameaças que estão usando várias ferramentas diferentes de IA, o aprendizado de máquina, para automatizar fundamentalmente alguns de seus ataques, o que reduz o custo de entrada para eles. Porque alguns desses, como mencionei, alguns desses agentes de ameaças altamente organizados, têm pessoas trabalhando manualmente. Isso reduz seu custo, mas também aumenta a superfície de ataque, para que eles possam atacar continuamente enquanto dormem. Então, sendo a IA uma delas, e o surgimento da computação quântica, que terá um efeito indireto em tudo, porque ela pode, então, derrotar todas as medidas de criptografia e coisas que você tem em vigor. Então, para mim, isso provavelmente não é só para FS. Essa é a indústria de todos os setores.

52:01 Raghu Nandakumara

Sim, e para quem assiste ao vídeo está se perguntando o que eu estava fazendo, é que minha filha desconectou meu carregador, então eu tive que ligá-lo antes de ser desligado. Então, sim, e acho que ouvimos isso, quero dizer, tanto os efeitos da IA quanto o tipo de potencial que a computação quântica oferece, particularmente sobre como ela potencialmente torna os algoritmos criptográficos atuais, essencialmente, não inúteis, mas muito vulneráveis, capazes de serem invadidos em um tempo mensurável. Mas em termos de IA, é claro, altamente atual, não é surpresa que você tenha ido lá, em termos do uso real de ataques por atacantes de IA, certo, obviamente ouvimos, digamos, ok, que eles poderiam criar falsificações profundas, eles poderiam criar e-mails de phishing brilhantes que você, que você e eu seríamos suscetíveis a, certo, esquecer meu pai clicando em tudo o que ele recebe, mas e a ameaça ou, digamos, um ransomware que está em sua organização e tem acesso a uma espécie de IA de geração? Para se adaptar em tempo real? Você vê isso? Por exemplo, vimos exemplos disso em pesquisas, mas quão real você acha que isso vai ser? Isso?

53:22 Indy Dhami

Acho que vai ser real, sabe, venho pensando em IA há vários anos e escrevi um post no blog sobre, você sabe, é abrir um emprego de Pandora, em vez de uma caixa? Porque, tecnicamente, era um trabalho. E eu acho que estamos naquela fase em que, você sabe, na verdade, um dos meus, um dos meus bons amigos e colegas, disse, você sabe, o uso da IA? A visão dele era que, é como convidar um vampiro para sua casa. E aí é tarde demais. Portanto, é potencialmente um para seus agentes de ameaças. É seu próprio uso interno da IA. Como você pode confiar nisso? Está produzindo os resultados que você espera que ele produza? Pode ser adulterado? Certo? O modelo então cria algo completamente inesperado, que então tem um efeito indireto em vários outros componentes do seu negócio? Então, essa erosão da confiança é uma grande preocupação para muitas organizações, e você abordou o deepfake e o elemento, e estamos vendo alguns deepfakes muito, muito sofisticados, pelos quais, como você disse, os profissionais de segurança serão facilmente enganados.

Portanto, é uma era muito preocupante em que estamos vivendo agora. Porque é, você sabe, como você realmente confia e como você pode verificar se a pessoa com quem você está falando, do outro lado deste podcast, por exemplo, é a pessoa que você espera que seja?

54:54 Raghu Nandakumara

Exatamente, quero dizer, posso nem um pouco ser Raghu, certo? Apenas uma versão deepfake. Estou falando com uma versão deepfake de Indy. Então, enquanto terminamos. Obviamente, você está muito focado em um setor altamente regulamentado, e os serviços financeiros estão entre os mais regulamentados, se não os mais regulamentados, globalmente. O que te excita, mas também o que te assusta no futuro próximo?

55:21 Indy Dhami

Então, o que me excita é, na verdade, suas pessoas. As pessoas com quem trabalho, os clientes com quem trabalho, e você faz algumas coisas realmente interessantes, há muita inovação acontecendo. Como se o mundo tivesse mudado muito. Se você voltar à forma como nos envolvemos com tudo no dia a dia, a tecnologia está ao nosso redor em todos os lugares, para propósitos realmente inteligentes, casos de uso muito interessantes e também para alguns benefícios à saúde. Então, você sabe, a engenhosidade e a inovação do homem, você sabe, é ótimo. Adoro ler sobre novas tecnologias e também adoro ler sobre algumas das tecnologias que nos permitem ver cada vez mais o espaço. Me surpreende quando eles descobrem alguns desses planetas cujo tamanho você não consegue imaginar. Mas o que me assusta é que às vezes ainda vejo organizações fazendo a mesma coisa repetidamente e esperando um resultado diferente. E isso, para mim, é a definição de insanidade.

56:18 Raghu Nandakumara

Sim, totalmente. Quer dizer, eu concordo totalmente. E é aqui que eu acho que, na verdade, quando pensamos em como proteger nosso futuro, não se trata necessariamente de ter que fazer coisas novas. Na verdade, trata-se de sermos firmes na forma como fazemos muitos dos princípios básicos que sustentaram, digamos, a cibersegurança por tanto tempo, certo? E acho que, para mim, como profissional, é a parte que sempre me preocupa. Sempre que vejo a próxima nova tecnologia, acho que é ótima. Mas há muitas coisas que ainda precisamos corrigir.

56:57 Indy Dhami

As fundações, o fato, os elementos fundamentais, você sabe, e eu vou voltar ao ponto que fiz por volta de uma época na Mercedes. Construímos esse sistema de gerenciamento de qualidade que tinha todos os processos, a segurança estava incorporada, ainda tenho alguns colegas que não trabalham mais lá, passamos a levá-los para Indy. “O que estávamos fazendo lá naquela época estava muito à frente, você sabe, ainda não vemos isso agora”. Às vezes, você entra em organizações para me mostrar seus processos documentados. E você tem, você sabe, vários sistemas diferentes provavelmente estão desatualizados, a política não é atualizada há muitos e muitos anos. Agora, e eu acho que é melhor começar a tentar comprar a nova tecnologia Silver Bullet Shiny and Wizzy. Certo. Mas se você não conseguir estabelecer as bases certas, pense em como mitigar seus riscos e implementar seus controles de gerenciamento de riscos. E isso remonta fundamentalmente ao que é a resiliência cibernética e ao que é a resiliência operacional. Estabeleça esses elementos fundamentais que permitam que você continue operando se estiver sob ataque; se estiver perdendo seu espaço de escritório por qualquer motivo, ainda poderá operar como empresa, porque a questão principal é qual é o objetivo principal de qualquer empresa? Certo. E se pudermos apoiá-los em nossa jornada como líder de segurança, então fantástico, e é isso que me motiva.

58:15 Raghu Nandakumara

Sim, absolutamente certo. Estabeleça suas bases corretas, para permitir que você continue operando e inovando.

58:25 Indy Dhami

Exatamente.

58:29 Raghu Nandakumara

Oh, Indy, foi um verdadeiro prazer falar com você. Acho que abordamos para que pudéssemos continuar por provavelmente mais algumas horas, com bastante facilidade por algumas horas. Como eu disse, certo? Acho que poderíamos te dar uma terceira ou 12 episódios da terceira temporada só para você. Certo e desescolha Mercedes, desmarque seu tempo na KPMG, Accenture, etc. Mas muito obrigado.

Para nossos ouvintes, confira as notas do programa para obter um link para os recursos de conformidade com o DORA da Illumio, onde você encontrará tudo o que precisa saber sobre essa importante lei. A segurança Zero Trust ajuda a alcançar a conformidade com a DORA, que afeta todas as entidades bancárias, de serviços financeiros e de seguros que operam na UE. Fique ligado no próximo episódio dedicado a explorar detalhadamente a regulamentação DORA da UE.

‍