Rehman Khan: Ich denke, es wird das Design sein, das Sicherheitsdesign. Wie ich schon sagte, konzentrieren wir uns wirklich auf das Sicherheitsdesign und stellen sicher, dass wir die Sicherheit nicht nur mit einer ganzen Reihe von Tools angehen, sondern dass wir wirklich einen Schritt zurücktreten und die Sicherheit in die gesamte Organisation, den Prozess, integrieren.
Produzent: Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, CSO bei Netskope. Sie haben gerade von unserem heutigen Gast Rehman Khan, Director of Security Strategy, Research & Design bei Charles Schwab, gehört. Rehman verfügt über mehr als 20 Jahre Erfahrung im Sicherheitsbereich und hat mit den unterschiedlichsten Menschen zusammengearbeitet. Angesichts dieser Erfahrung gibt es einen Grund, warum er vor allem empfiehlt, sich verstärkt auf die Leute zu konzentrieren. Die Auswahl der richtigen Teammitglieder durch Sicherheitsverantwortliche hat einen tiefgreifenden Dominoeffekt. Die Bedeutung dieser Entscheidungen entscheidet über Erfolg oder Misserfolg einer Karriere im Sicherheitsbereich. Wählen Sie also mit Bedacht. Bevor wir in das Interview eintauchen, hier ein kurzes Wort von unserem Sponsor.
Anzeige: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Netskope ist der freche Marktführer und bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im Tempo der heutigen Geschäftswelt bereitzustellen. Erfahren Sie mehr auf Netskope
Produzent: Genießen Sie ohne weitere Umschweife die achte Folge von Security Visionaries mit Rehman Khan, Director of Security Strategy, Research & Design bei Charles Schwab, und Ihrem Gastgeber Jason Clark.
Jason Clark: Willkommen bei Security Visionaries. Ich bin Ihr Gastgeber, Jason Clark, CSO von Netskope. Und heute habe ich einen New Gast bei mir: Rehman Khan. Rehman, erzähl uns ein bisschen über dich.
Rehman Khan: Hey, Jason. Ja, ich bin froh, hier zu sein. Im Wesentlichen leite ich die Charles Schwab Security Strategy, Research & Design Organization. Und ich lebe in St. Louis, Missouri, und lebe dort seit fast acht Jahren. Und davor war ich etwa 12 bis 15 Jahre in Minneapolis im Bereich Cybersicherheit tätig und habe nebenbei noch andere Dinge gemacht. Das bin also ich.
Jason Clark: Ja, seit ich Sie kenne, waren Sie Architekt und Leiter der Architekturabteilung vieler wirklich großer Unternehmen, globaler Unternehmen. Sie haben in den Organisationen, in denen Sie tätig waren, einen großen Einfluss gehabt. Aber eines ist mir gerade aufgefallen: Ihre Haare sind viel kürzer als beim letzten Mal, als ich Sie gesehen habe. War das eine Folge der Pandemie und des anschließenden Herauskommens, bei dem ich nicht einmal weiß, wie viele Zentimeter Sie gerade abgeschnitten haben?
Rehman Khan: Nun ja. Hey, ich glaube, wir basteln alle irgendwie an unseren kleinen Bedürfnissen und Wünschen herum. Ja, ich würde wahrscheinlich sagen, dass ich erst vor ein paar Wochen 15 cm abgenommen habe. Ich dachte, ich räume einfach für das New Jahr auf. Das geht und vielleicht fangen wir neu an, aber diese Pandemie hat uns definitiv die Möglichkeit gegeben, unsere Haare vielleicht lang wachsen zu lassen.
Jason Clark: Wie hat Ihre Familie oder Ihr Arbeitgeber reagiert, wer hat am besten oder am schlechtesten darauf reagiert, dass Sie alles abgebrochen haben?
Rehman Khan: Ich glaube, sie haben mich so genommen, wie ich mich präsentiert habe. Ich glaube, bei mir ist immer etwas los. Ich meine, ich habe einen Spitzbart und dann, ein paar Jahre später, habe ich plötzlich einen Bart. Und ich glaube, die Leute sind irgendwie daran gewöhnt, dass sich die Dinge an meinem Aussehen ändern. Aber ich sage Ihnen, ich glaube, die Leute waren im Allgemeinen sehr schmeichelhaft, aber es gab ein paar Mal, wo – ich glaube, es war tatsächlich einer der Vorsitzenden der Wash U – sie mich ansahen und sagten: „Wow, waren Sie bei der Survivor-Show?“ Ich meine, ihre Reaktion war buchstäblich so: „Wo warst du?“ Und ja, ich denke, es ist eine Art gemischte Mischung, aber die meisten Leute waren nett und haben das verstanden.
Sprecher 5: Tiefer Einblick. Tauchen. Tauchen. Tauchen. Tauchen.
Jason Clark: Sie sprechen also sechs Sprachen. Erzählen Sie uns ein wenig, was das ist und wie wertvoll es für Sie war.
Rehman Khan: Ja. Was meine Herkunft betrifft, so bin ich in Kuwait aufgewachsen. Ich bin dort aufgewachsen und dann nach Abu Dhabi gegangen. Und mein Vater arbeitete für die Lufthansa, also können Sie schon erkennen, wie es dazu kam, dass wir die Welt bereisen konnten. Und dann bin ich von Abu Dhabi nach Minneapolis gezogen, was eine große Veränderung war. Aber um auf Ihre Frage zurückzukommen: Eigentlich würde ich sagen, dass Abu Dhabi eine Stadt war, in der ich etwas lernen und mit einem internationalen Publikum interagieren konnte. Und ich habe Deutsch gelernt. Arabisch war bereits da, Urdu, und es ging einfach weiter. Und ich glaube, das spricht mich an und hat meinen Gaumen immer weiter bereichert.
Jason Clark: Darüber denke ich nach. Ich bin also auch als Kind eines Soldaten global aufgewachsen. Und ich denke darüber nach, wie ich meinen Kindern dieselbe Erfahrung vermitteln kann. Ich möchte, dass sie zu Weltbürgern heranwachsen und nicht ihr ganzes Leben lang nur in einer Stadt verbringen. Und ich habe beschlossen, dass wir ab zwei Jahren jeden Sommer in einem anderen Land verbringen werden. Und auf diese Weise werde ich sie, soweit ich kann, zu Weltbürgern machen.
Rehman Khan: Ja. Nein, ich finde, das ist eine großartige Idee. Ich glaube, wir haben die Hoffnung, dass wir mit der Pandemie in den nächsten Jahren eine solche Chance bekommen, uns frei zu mobilisieren. Denn ein Teil davon besteht nicht nur darin, dass Sie zu Hause sitzen und all diese Sprachen lernen könnten, und wir machen dasselbe mit der Cybersicherheit und so weiter und so fort. Aber teilweise geht es dabei um Interaktion. Und wenn man mit Menschen interagiert, sowohl im Privatleben, lernt man wirklich etwas. Und ich glaube, dass man durch Reisen lernt. Sie vermitteln Ihren Kindern Selbstvertrauen. Und ich finde, das ist ein großartiger Plan. Ich selbst möchte das tun, aber ich denke, es geht darum, in eine Umgebung zu gehen, in der man mit der Situation umgehen muss, und dann beginnt man-
Jason Clark: Es ist die Kultur.
Rehman Khan: Ja.
Jason Clark: Es ist so, als gäbe es zwei Arten von Menschen: Die einen gehen irgendwo hin und sagen: „In Ordnung. Hier sind die 10 Websites. Ich möchte sie besuchen“, was Sie im Grunde durch Googeln herausfinden können, oder die Leute, die sagen: „Ich möchte die Kultur kennenlernen.“ Ich möchte das Essen probieren. Ich möchte die Leute kennenlernen. Ich möchte in die örtlichen Bars gehen." Es ist eine ganz andere Essenz dessen, was Sie erreichen möchten. Normalerweise stelle ich diese Frage etwas später, aber jetzt bin ich neugierig: Was ist Ihr bevorzugter Sicherheitsbereich, wenn Sie in die Sicherheit einsteigen? Sie sind für die Architektur zuständig und haben das schon oft getan. Das bedeutet, dass Sie wie ein CSO die Aufsicht über jeden Sicherheitsbereich haben. Was ist Ihre Lieblingsdomäne?
Rehman Khan: Junge, das ist eine schwierige Frage. Kann ich Ihnen zwei geben?
Jason Clark: Ja. Gib mir deine erste und dann deine zweite.
Rehman Khan: Okay. Ich werde es sagen. Sehen Sie, ich bin im Bereich Identitäts- und Zugriffsverwaltung aufgewachsen und habe dort alles gelernt, und ich sehe, wie sich dieser Bereich ständig weiterentwickelt. Ich glaube, das ist mein erstes. Das ist sozusagen die erste Anlaufstelle, und gleich dahinter steht die Datensicherheit. Die beiden waren schon immer da. Ja. Ich meine, ich denke, dass sie irgendwie Hand in Hand gehen. Sie könnten es aus der Perspektive der Anwendungssicherheit betrachten. Aber ja, ich denke, das sind sozusagen die Domänen.
Jason Clark: Das sind tolle Domänen. Und wenn ich Sie fragen müsste, welches ist das, was Sie am meisten hassen?
Rehman Khan: Und das mag auf alles oben Genannte zutreffen, aber es handelt sich sozusagen um Sicherheitsoperationen. Das ist ein so wichtiger Aspekt, aber ich glaube auch, dass es um Sicherheitsoperationen geht, und vielleicht kann ich Ihnen sagen, warum.
Jason Clark: Es ist eine andere Art von Stress. Erzählen Sie uns, warum Sie Operationen hassen.
Rehman Khan: Nun, ich bin Designer. Ich war schon immer Designer. Mir geht es um die Ästhetik. Mir geht es um das eigentliche Design. Und ich glaube, der Grund für unseren aktuellen Betrieb liegt darin, dass wir uns nicht auf das Design konzentrieren. Wir entwickeln Sicherheitslösungen und -anwendungen usw. nicht mit Blick auf die Sicherheit. Und es besteht ein Restrisiko und eine Restwirkung davon. Und genau das sind Sicherheitsoperationen heute. Ich meine, ich glaube, das ist der Grund, warum ich mich davon fernhalte, denn warum müssen wir uns darüber so aufregen? Warum kann es nicht wie andere Betriebsbereiche automatisiert sein? Sie arbeiten, funktionieren und produzieren. Ich meine, Sie nehmen irgendeinen anderen Geschäftsbereich, also-
Jason Clark: Sie möchten nicht das Ergebnis der schlechten Designs anderer Leute sein. Du willst nicht das Schlusslicht sein. Sie möchten Dinge reparieren und richtig gestalten.
Rehman Khan: Ja.
Jason Clark: Macht viel Sinn. Ich verstehe es. Und wenn man im Betrieb schlechte Designs sieht, ist man grundsätzlich frustriert.
Rehman Khan: Ja. Ja. Und dann sieht man sie immer und immer wieder. Ich meine, wir sehen es mit Log4j. Es ist eine interessante Landschaft, wenn man so will.
Jason Clark: Ich glaube, das hat vielen Leuten den Dezember verdorben. Es hat vielen Leuten den Urlaub verdorben. Jeder, mit dem ich mindestens 45 Tage lang gesprochen habe, sagte: „Oh, was ist los?“ „Jep.“ Log4j. Das ist, was los ist. Wir geraten deswegen einfach in Schwierigkeiten." Sie unterrichten an einigen Universitäten, was ich immer begrüße, und helfen so der nächsten Generation. Und eine davon ist Wash U, wo ich meinen MBA gemacht habe, und ich finde es toll, das in Ihrem Hintergrund und Ihrer Arbeit zu sehen. Also, warum machst du das? Wie sehen Sie die nächste Generation und wie wichtig ist es, ihr Cybersicherheit beizubringen? Und was bringen Sie ihnen bei?
Rehman Khan: Ja. Ich betrachte es wirklich als einen Lernprozess. Indem ich unterrichte, lerne ich. Ich glaube, das ist der Punkt, auf den ich mich wirklich konzentriere, weil man mit den Studenten interagiert und Fragen bekommt. Und manchmal habe ich die Antworten und manchmal nicht. Das ist eine ganz andere Frage, die ich nicht erwartet hatte. Ein Teil davon ist, dass es sich um etwas handelt, das man vielleicht als eine Art selbsterfüllende Prophezeiung bezeichnen könnte. Ich versuche, den Dingen einen Schritt voraus zu sein.
Rehman Khan: Was unterrichte ich? Als ich zum ersten Mal auf das Programm angesprochen wurde, gab es an der Wash U keinen Kurs zum Identitäts- und Zugriffsmanagement. Also trafen Joe und ich uns und wir besprachen es. Und ich sagte: „Also, sehen Sie, ich habe ziemlich viel Zeit mit Identitäts- und Zugriffsverwaltung verbracht, und ich glaube, das ist ein Bereich, dem wir nicht wirklich mehr Zeit widmen, da er mit Zertifikaten und Programmen zur Cybersicherheit zusammenhängt. Lassen Sie uns also etwas damit anfangen, aber lassen Sie es nicht nur eine theoretische Sache bleiben. Lasst uns tatsächlich Labore implementieren und an so etwas arbeiten.“ Also habe ich den gesamten Lehrplan für diesen Kurs erstellt. Und als ich einige Kurse besuchte, wurde mir klar, dass im Bereich Identitäts- und Zugriffsverwaltung noch viel Arbeit zu erledigen ist. Auch wenn es im Vergleich zu anderen Bereichen so relativ ist, würde ich sagen, dass es das schon immer gab. Es gibt es schon seit-
Jason Clark: Es ist alt, aber am wenigsten ausgereift. Das Gleiche würde ich übrigens auch für die Datensicherheit sagen. Beides sind alte Industrien oder alte Bereiche mit der geringsten Reife und der größten Fragmentierung.
Rehman Khan: Ja. Das ist es, worüber ich immer wieder erstaunt bin, und es ist großartig. Eine weitere Sache, die sich sozusagen verändert hat, war ein Kurs zur Netzwerksicherheit in Unternehmen, den ich tatsächlich zusammen mit einigen anderen Dozenten unterrichtet habe, und zwar eher im Beobachtungsmodus. Und mir fiel auf, dass wir weder Zero-Trust-Networking noch Zero-Trust-Konzepte behandelten. Und wir sprachen immer noch über die traditionelle Firewall und, wie ich finde, über ein fast veraltetes Konzept. Also habe ich diesen Kurs genommen und ihn umgestaltet. Und jetzt konzentrieren wir uns auf Zero-Trust-Networking. Ich meine, ich unterrichte es jetzt seit zwei Jahren. Ich habe den Kurs wirklich gut absolviert, und ja.
Jason Clark: Gibt es also einen Zero-Trust-Kurs oder nur Zero-Trust-Networking?
Rehman Khan: Das ist also eine gute Frage. Wir haben das folgendermaßen gemacht: Da es Teil des Kurses zur Netzwerksicherheit in Unternehmen war, haben wir die Aspekte der Netzwerksicherheit im Kurs beibehalten, aber auch die Konzepte der Personenidentität und der Geräteidentität eingeführt und begonnen, das Bild zusammenzusetzen: Es gibt ein zugrunde liegendes Netzwerk, auf dem diese Informationen laufen, aber man muss auch wissen, wer diese Person ist und von welchem Gerät sie kommt. Ich würde also sagen, dass es sich um Zero-Trust handelt, das sich aber hauptsächlich auf die Netzwerkaspekte konzentriert. Die Kontrollebene und die Datenebene, über die ich im Kurs spreche und an denen ich mit den Studenten arbeite, konzentrieren sich wirklich auf die Frage: Woher kommt dieser Datenverkehr? Woher wissen wir, dass es guter Verkehr ist?
Jason Clark: Was war eine der schwierigsten Fragen, die Ihnen ein Student je gestellt hat?
Rehman Khan: Ich denke, die schwierigste Frage ist, wie wir unsere aktuellen Umgebungen in dieses Zero-Trust-Denken und -Implementieren überführen können. Wie machen wir das eigentlich? Und das ist eine schwierige Frage, denn ich glaube, dass wir mit Zero Trust noch nicht so weit sind. Es gibt noch viel zu tun. Beispielsweise gibt es die Vorstellung, dass wir alle Geräte und alle Konfigurationen in unseren Umgebungen kennen müssen, um tatsächlich bestätigen zu können, dass dieses Gerät legitim ist und Zugriff hat. Wie viele Organisationen verfügen tatsächlich über diese Informationen, und zwar in einer Weise, auf die wir uns tatsächlich verlassen können, ohne dass die Datenqualität ein Problem darstellt? Daher ist es schwierig, das immer zu erklären, da es von Organisation zu Organisation unterschiedlich ist. Ich glaube, das ist eine schwierige Frage.
Jason Clark: Der Job eines Sicherheitsbeamten ist sehr hart. Viele Leute haben geschrieben, dass es sich dabei um einen der schwierigsten Jobs auf der Führungsebene handelt, wenn nicht sogar um den schwierigsten nach dem CEO-Job, weil er so komplex ist. Aber wie schaffen Sie es persönlich, mitzuhalten? Wie behalten Sie als Leiter aller New Technologien und der gesamten Architektur eines sehr großen Unternehmens den Überblick?
Rehman Khan: Ich finde, das ist eine großartige Frage. Und es ist ein Kampf. Ich denke, dass für mich... Ich konzentriere mich, wie gesagt, auf einige Bereiche im Besonderen. Und dann ist die Idee, dass Sie durch die Interaktion mit unseren Kollegen auf dem Laufenden bleiben. Ich lese offensichtlich viel, also lese ich ständig alle möglichen unterschiedlichen Artikel.
Jason Clark: Hast du einen Favoriten?
Rehman Khan: Ich würde sagen, nicht wirklich. Ich denke nur, dass es ... gibt. Das Traditionelle [Bruce Dyer 00:17:04] und diese Art von-
Jason Clark: Ja, ja. Dark Reading, CSO Online und-
Rehman Khan: Ja.
Jason Clark: Es gibt keine New Version, erstaunlicherweise ... Es gibt keine Version zum Thema Cybersicherheit, die dem Wall Street Journal und New York Times entspricht.
Rehman Khan: Ja, nein. Es geht wirklich darum, Informationen aus verschiedenen Quellen auszuwählen. Und in einem der Abschnitte, die ich für meine Studenten mache, spreche ich wirklich über die Nachrichten des Tages aus der Perspektive der Cybersicherheit. Und ich werde ganz ehrlich sein. Das ist wahrscheinlich der Ort, an den ich fast täglich gehe und diese Informationen sammle. Dann wird wirklich über die Gründe gesprochen, warum die Dinge so laufen, wie sie laufen, und was getan werden kann, um das Risiko zu managen. Abgesehen davon lese ich hauptsächlich Bücher zum Thema künstliche Intelligenz. Ich werde bestimmte Berichte lesen, beispielsweise von Gartner und so weiter und so fort. Aber ja, das ist irgendwie [unverständlich 00:18:18].
Jason Clark: Okay. Sie haben gerade künstliche Intelligenz gesagt. Lassen Sie uns darüber reden. Sie haben darüber gelesen und es ist offensichtlich, dass Sie sich dafür interessieren. Erzählen Sie uns mehr über die Auswirkungen aus Ihrer Sicht der Cybersicherheit.
Rehman Khan: Ich denke, wie Sie erwähnt haben, müssen wir angesichts der Komplexität unserer Umgebung, die immer komplexer wird, einen Weg finden, die Cybersicherheit zu skalieren. Und unser aktuelles Modell ist mit der Menge der generierten Informationen einfach nicht skalierbar. Und ich glaube, dass das Burnout, das wir möglicherweise in Sicherheitsorganisationen verursachen, darauf zurückzuführen ist, dass sich Sicherheitsexperten auf die richtigen Probleme konzentrieren. Arbeiten sie an der Argumentation oder an der Reaktion? Ich denke, dass künstliche Intelligenz dort ins Spiel kommen kann, wo wir uns mit unserem engen Sicherheitsbereich, der Cybersicherheit, befassen. Wir können uns auf bestimmte eng begrenzte Aufgaben konzentrieren und wirklich mit der Automatisierung und der Steuerung von Entscheidungen zu diesen eng begrenzten Aufgaben beginnen. So gibt es beispielsweise Möglichkeiten, die stattfindenden Ereignisse zu klassifizieren. Müssen wir den ganzen Tag einen Analysten damit beauftragen, diese Ereignisse zu beobachten? Warum können wir nicht maschinelles Lernen nutzen, um die Ereignisse tatsächlich zu katalogisieren, tatsächlich eine gewisse Absichtsebene zu verwenden und diese mit dem Ergebnis abzugleichen, und das Ergebnis tatsächlich zu betrachten und zu sehen, ob dies die Absicht war, die wir beim Einsatz des maschinellen Lernens hatten.
Rehman Khan: Ich denke, dass maschinelles Lernen uns in dieser Hinsicht helfen kann, indem wir einen Teil der Arbeitslast auf eng fokussierte Algorithmen der künstlichen Intelligenz verlagern, die bestimmte Entscheidungspunkte filtern und bewerten können.
Jason Clark: Haben Sie viele gesehen … Wer ist als Architekt der Beste darin? Welcher Anbieter hat das Ihrer Meinung nach wirklich gut gemacht?
Rehman Khan: Anbietermäßig? Ich würde sagen, ich weiß es nicht. Ich weiß nicht. Ich bin noch keinem Anbieter begegnet, der das kann... Ich denke, es gibt bestimmte Aspekte davon. Es gibt bestimmte Algorithmen, die im Hintergrund ablaufen. Aber ganz offen gesagt sehe ich zumindest keinen Anbieter, der völlig [unverständlich 00:20:57]
Jason Clark: Okay. Gab es auch nur ein bisschen jemanden, bei dem Sie dachten: „Okay, sie sind auf dem richtigen Weg.“ Was sie tun, ist interessant." Startup oder groß, spielt keine Rolle.
Rehman Khan: Ja. Ich würde sagen, es gibt Unternehmen wie CrowdStrike und natürlich einige aus Palo Alto. Da ist ein bisschen was davon im Gange. Ich denke, dass hierzu eine Menge Forschung betrieben wird. Aber ich sehe nicht unbedingt eine Produktversion von … Es gibt Deepwatch. Es gibt Unternehmen, die es versuchen, aber ich sehe noch nicht unbedingt einen Gewinner.
Jason Clark: Okay. Sie sind also uninspiriert. An diesem Punkt sind Sie uninspiriert. Was begeistert Sie technisch gesehen am meisten?
Rehman Khan: Komplexität, schwierige Probleme, denke ich. Ich meine, ich liebe es, Probleme zu lösen.
Jason Clark: In Ordnung. Also schauen wir uns die Cloud an. Wenn wir uns die Cloud-Sicherheit ansehen, wie würden Sie sagen, dass sich dadurch die Sicherheitslandschaft verändert? Ich meine, die Einführung der Cloud in Ihrem Unternehmen beispielsweise verändert die Art und Weise, wie Sicherheit für CSOs in allen Bereichen ausgeführt wird und funktioniert?
Rehman Khan: Ja. Ich denke, die öffentliche Cloud ist für uns tatsächlich fast eine Art Rettung, weil … Das hat zwei Aspekte, ich habe zwei Perspektiven. Einer davon ist, dass uns die öffentliche Cloud die Größenordnung bietet, die wir uns immer gewünscht haben. Ich kann diese Größenordnung nutzen, um meine Sicherheitsdienste zu stärken. Und übrigens müssen diese Sicherheitsdienste kein Produkt sein, das ich von einem Anbieter oder Beschaffer kaufe. Es kann unser eigenes Sicherheitsprodukt sein. Aber jetzt muss ich diese Infrastruktur und diese Fähigkeiten nicht mehr aufbauen. Ich kann die öffentliche Cloud tatsächlich nutzen, um meine Sicherheitsfähigkeiten zu verbessern. Und ich denke, dass einige Aspekte der Datenwissenschaft für Organisationen, die sich auf künstliche Intelligenz konzentrieren und aus der Perspektive der Erkennung und Prävention sozusagen ihr eigenes Universum aufbauen, besser skalierbar sein werden.
Rehman Khan: Ich denke, der zweite Aspekt der öffentlichen Cloud, der meiner Meinung nach schwierig ist, Ihre Frage direkt zu beantworten, ist, dass wir meiner Meinung nach wiederum nicht über Sicherheitsexperten oder, wenn Sie so wollen, über genügend Sicherheitsexperten mit Erfahrung in der öffentlichen Cloud verfügen. Die Herausforderung besteht also darin, dass wir Leute brauchen, die Lösungen entwickeln oder sogar Cloud-Lösungen und -Anwendungen bewerten, die migriert werden. Wir müssen also über qualifizierte Mitarbeiter verfügen. Wir müssen in der Lage sein, die Denkweise zu verstehen, die sich auf einer sehr logischen Ebene der Architektur befindet. Wir beschäftigen uns nicht mehr mit physischen Geräten oder Firewalls oder Appliances. Wir beschäftigen uns mit Software. Wir haben es mit Code zu tun. Und wie können Sie eine Organisation, eine Sicherheitsorganisation, die sich bisher hauptsächlich auf einen Ansatz zur Risikobewertung konzentriert hat, also eher auf einen reaktiven Ansatz zur Risikobewertung, dazu bringen, gleichzeitig wirklich handelsübliche Sicherheitsprodukte zu nutzen und diese Produkte zu implementieren? Sie müssen also in der Lage sein, dies zu schwenken.
Rehman Khan: Meiner Erfahrung nach erfordert dies ein Team aus Personen, die sich mit dem Programmieren gut auskennen. Sie verfügen über gute Kenntnisse in der Programmierung verteilter Systeme. Und Sie bringen dieses Team in der Sicherheitsorganisation zusammen. Und ich glaube, das ist wirklich sehr hilfreich. Es gibt einige andere Bereitstellungsmechanismen, wie z. B. [unverständlich 00:25:17] Sie könnten eine Automatisierung erstellen. Sie können beispielsweise Richtlinien als Code erstellen. All diese Aspekte sind sozusagen Nebenprodukte. Aber ich denke, das müssen Sie tun, meiner Meinung nach sind es die Menschen. Ich denke, man muss mit dem richtigen Team beginnen.
Jason Clark: Mir gefällt, wie Sie gesagt haben, dass die Cloud so etwas wie die Rettung für die Sicherheit ist, und ich stimme Ihnen zu 100 % zu. Tatsächlich sage ich, es ist der perfekte Neustart. Es ist wie ein Neustart. Es handelt sich um eine New Möglichkeit, Einfluss zu gewinnen, die wir nie zuvor hatten. Die Cloud ist für uns äußerst nützlich, wenn wir sie richtig nutzen.
Rehman Khan: Sie sind offensichtlich bei Netskope, ich meine, Sie sehen das, oder? Sie sehen, wie die Cloud genutzt wird und wie Ihr Unternehmen skalieren kann. Ich bin der Meinung, dass dies für Unternehmen eine Chance darstellt, und ich denke, es ist eine einmalige Gelegenheit, Ihre aktuellen Anwendungen zu nutzen und sie wirklich so einzusetzen und zu gestalten bzw. neu zu gestalten, dass sie die Skalierbarkeit der öffentlichen Cloud nutzen können, aber dennoch sicher sind. Ich denke, es ist eine einmalige Gelegenheit, denn ich glaube, wenn wir es nicht richtig machen, werden wir in der gleichen Situation enden. Jetzt werden wir einfach mehr Code haben und möglicherweise keine Struktur darum herum. Also, ich denke, Sie müssen so darüber nachdenken.
Jason Clark: Wenn Sie auf Ihre Karriere zurückblicken, was würden Sie als eine der besten Entscheidungen bezeichnen, die Sie je getroffen haben, und warum?
Rehman Khan: Nun, da gab es einige Male, aber als Erstes möchte ich sagen, dass ich meine Laufbahn im Bereich der Elektrotechnik tatsächlich schon während des Studiums begonnen habe. Und während ich meine Elektrotechnikkurse belegte, stellte ich fest: Wow, da wird Software verwendet, Zeichensoftware und dies und das. Und ich sehe mir das an und sage: „Okay, warum konzentriere ich mich nicht auf Informatik? Wohin möchte ich damit? Und ich würde sagen, es war die beste Entscheidung, die ich getroffen habe. Ich bin von der Elektrotechnik umgestiegen. Ich war eigentlich schon auf halbem Weg und wechselte zur Informatik, weil ich schon immer von Computern fasziniert war.
Rehman Khan: Und das Interessante ist, dass ich diese Geschichte mit Ihnen teilen muss. Ich habe meine Karriere eigentlich in der eingebetteten Programmierung begonnen. Ich habe also hauptsächlich in Minneapolis gearbeitet. Ich habe für ein Medizintechnikunternehmen gearbeitet. Wir waren im Geschäft mit Infusionspumpen tätig und haben im Wesentlichen Insulin oder Schmerzmittel verabreicht. Und ich begann meine Karriere dort mit dem Schreiben einer Schnittstelle für Infusionspumpen. Im Grunde genommen versetzen Sie die Pumpe des Patienten in einen Kontrollmodus, in dem der Arzt die Pumpe einwählt und sie basierend auf Ihren Symptomen neu programmiert. Also, Sie [unverständlich 00:28:16]
Jason Clark: Wie viele Codezeilen hat eine davon?
Rehman Khan: Oh Mann, ich kann mich nicht einmal erinnern. Ich meine, es sind Hunderte von Codezeilen, und damals war alles serielle Kommunikation, die dann wirklich durch den Konnektivitätsprozess geführt wurde. Aber wie auch immer, ich habe in der Welt der eingebetteten Systeme angefangen. Tatsächlich musste ich ein Protokoll schreiben, weil man sicherstellen musste, dass diese Verbindung sicher und zuverlässig war, denn man wollte nicht, dass der Patient Schmerzen hat und die Verbindung trotzdem abbricht, sodass man seine Pumpe nicht neu programmieren kann. Also habe ich damit angefangen, und während ich das tat und mir Software ansah, begann ich, mir die Leistungsfähigkeit von Software anzuschauen, und ich dachte: „Wow, das ist großartig. Ich meine, das ist der Punkt, an dem …“ Ich glaube, das war so etwas wie der Wendepunkt, als ich meinen Abschluss machte, zur Informatik wechselte und dann einfach so weitermachte. Und dann würde ich sagen, der zweite Punkt ist, entschuldigen Sie, der Wechsel von dort zu Geschäftsanwendungen. Das war so ungefähr das Zweite.
Jason Clark: Wo ist das passiert?
Rehman Khan: Das passierte, als ich die eingebetteten Systeme verließ. Eigentlich ging ich zu Carlson Companies. Und ich habe dort als Anwendungsentwickler angefangen und einige Zeit mit der Entwicklung von Anwendungen verbracht, dann habe ich angefangen, Möglichkeiten zu erkennen. Der Schwerpunkt lag hauptsächlich auf J2EE-Anwendungen und man begann, Möglichkeiten aus der Sicherheitsperspektive zu erkennen. Junge, ich meine, wir müssen Code sicherer schreiben. Wir müssen über den Benutzerzugriff nachdenken. Wir müssen darüber nachdenken, wie die Zertifikatsverwaltung funktioniert. Ich meine, all diese Aspekte begannen, Realität zu werden. Also ja, das waren irgendwie meine...
Jason Clark: Schneller Vorlauf, fünf oder zehn Jahre in die Zukunft.
Sprecher 6: Zukunft. Deine Zukunft.
Sprecher 7: Zukunft. Zukunft. Zukunft.
Jason Clark: Was würden sich die Leute Ihrer Meinung nach jetzt wünschen, sie hätten investiert? Was sollten sie im Hinblick auf Architektur, Strategie, Technologien und Perspektive investieren? Was werden Ihrer Meinung nach die bedeutendsten Änderungen sein? Nutzen Sie Ihre Organisation oder jede andere Organisation, die es sehen wird.
Rehman Khan: Ich denke, es sind ein paar Dinge. Ich fühle diese Leute. Ich denke, es wird sich auszahlen, jetzt wirklich die richtigen Teammitglieder auszuwählen und diese Entscheidungen zu treffen. Ich glaube, wir alle haben in diesem Bereich Probleme, weil wir nicht genug Talent haben. Und wir müssen in der Lage sein, in Talente zu investieren. Rückblickend denke ich, dass es zum Teil daran liegt, dass wir noch mehr in unsere Mitarbeiter hätten investieren sollen, in den Bereich der Cybersicherheit, wenn man so will. Ich denke, dass es dort noch viel mehr Möglichkeiten gibt und dass die Leute zurückblicken und sagen werden: „Wir hätten uns nach Leuten umsehen sollen, die mehr Informatikkenntnisse haben, oder ihnen vielleicht dieses Wissen vermitteln sollen.“
Rehman Khan: Ich denke, das Zweite, was ich sagen würde, ist, dass es das Design sein wird, das Sicherheitsdesign. Wie ich bereits sagte, konzentrieren wir uns wirklich auf das Sicherheitsdesign und stellen sicher, dass wir die Sicherheit nicht nur mit einer ganzen Reihe von Tools angehen, sondern dass wir wirklich einen Schritt zurücktreten und die Sicherheit in die gesamte Organisation, den Prozess, integrieren. Ich denke, das sind einige Dinge, bei denen ich das Gefühl habe, dass die Unternehmen im Rückblick diese Chancen verpasst haben. Und ich glaube, das ist der Grund, warum es derzeit einen enormen Kampf um Talente gibt. Alle Technologieunternehmen neigen dazu, mehr Leute in den Bereich Cybersicherheit zu holen, weil sie den Wert erkennen.
Jason Clark: So, letzter Abschnitt hier, etwas persönlich.
Sprecher 8: Schnell, schnell, schnell.
Sprecher 9: Gehen Sie. Muss schnell gehen.
Sprecher 10: Ich möchte schnell fahren.
Jason Clark: Sie kennen jeden Bereich der Sicherheit. Sie waren Leiter der Architektur für viele große Fortune-Unternehmen. Wann möchten Sie CSO werden? Wollen Sie irgendwann CISO werden? Oder sehen Sie sich den Job an und sagen: „Ja, nein.“
Rehman Khan: Ich denke, wie wir gesprochen haben, richtig? Ich denke, wir sprechen von einer strategischen Rolle, aber ich weiß nicht, ob wir schon so weit gekommen sind. Ich denke, dass diese Rolle immer noch als operativ angesehen wird, nach dem Motto: „Hey, lasst uns einfach unsere Vermögenswerte schützen, und zwar schnell.“ Und ja, es wird eine Zeit kommen, in der ich das weiterverfolgen werde. Aber für mich gibt es noch so viel zu tun, Jason. Aus Designperspektive gibt es noch so viel zu tun, insbesondere bei der Entwicklung der richtigen Sicherheitslösungen, dass ich das Gefühl habe, dass ich dort meinen Beitrag leisten sollte. Und ich denke, das ist der Punkt, an dem ich Einfluss auf die Organisation nehmen möchte.
Jason Clark: Ich liebe es. Eines Tages wirst du diesen Job bekommen, da bin ich mir sicher. Wir werden in den nächsten 10 Jahren reden. Ich denke, Sie werden dabei sein. Wenn Sie sich also nicht um die Sicherheit kümmern würden, was würden Sie tun, wenn es keine Sicherheit gäbe?
Rehman Khan: Ich wäre irgendwo Chefkoch.
Jason Clark: Ich liebe es. Welche Art von Essen?
Rehman Khan: Also, es ist hauptsächlich indisch-pakistanisches Essen. Das ist mein Hintergrund. Aber ich liebe es, zu verschmelzen. Ich liebe Fusion. Also.
Jason Clark: Also, was würden Sie damit verschmelzen? Wenn Sie also indisch-pakistanisches Essen nehmen würden, womit würden Sie es kombinieren?
Rehman Khan: Nun, ich gebe Ihnen ein Beispiel. Amerikaner lieben Steak. So bereite ich mein Steak zu, und natürlich werde ich damit angeben: Meine Töchter lieben das Steak, das ich gemacht habe. Sie denken, es sei das Beste der Welt. Aber ich verwende pakistanische Gewürze. Ich habe gewisse Probleme, die ich da draußen nicht loswerde. Es ist alles meine eigene Gewürzmischung. Und ich möchte dieses amerikanische Steak zubereiten können, aber mit einer Art pakistanischem Flair.
Jason Clark: Ja. Ja. Ich liebe es. Das ist unglaublich. Wir müssen irgendwann mal zusammen abhängen.
Rehman Khan: Ja.
Jason Clark: Ja, in dieser Verwirrung. Was ist also eine Fähigkeit (oder Sie können beides tun, Fähigkeit oder Hobby), die nicht in Ihrem Lebenslauf steht? Möchten Sie sich also auf Ihr Hobby konzentrieren, das die meisten Leute nicht kennen, oder auf eine Fähigkeit? Was gibt es, was die Leute kochen, und es könnte sein, dass sie kochen?
Rehman Khan: Also, ich meine, Kochen ist eines davon. Aber mein Hobby, das Kochen, hat für mich auch eine spirituelle Bedeutung. In vielerlei Hinsicht hilft es mir tatsächlich, mich zu entspannen. Eigentlich ist es ganz nett. Ich würde sagen, ich habe früher Musik remixt und es war wie House-Musik. Ich liebe das. Und ich liebe Musik im Allgemeinen, aber ja, ich denke, dass ich Musik irgendwo remixe, ich wirklich-
Jason Clark: Ich liebe es. Und das verschmelzen Sie auch.
Rehman Khan: Ja.
Jason Clark: Ich bin sicher, dass Sie etwas Fusion-Musik machen. Völlig. Ich erinnere mich an Tage, an denen ich fünf oder sechs Stunden damit verbrachte, Musik herunterzuladen und zu versuchen, jede noch so kleine MP3 von jedem Song zu [CatGrab 00:36:29], die ich kriegen konnte. Also ja, das ist eine gute Antwort. Und als letzte Frage: Was wäre Ihr wichtigster Ratschlag für jemanden, der Ihre Rolle anstrebt? Was würden Sie ihnen raten?
Rehman Khan: Ich würde sagen, wenn Sie eine Führungskraft sind, möchten Sie die Menschen um Sie herum befähigen und wirklich das beste Team unter sich haben, das beste Team, das Sie zusammenstellen können, das Team, zu dem Sie Vertrauen aufbauen können. Ich denke, das ist der Maßstab für Erfolg. Und wenn wir das mit den Menschen um uns herum aufbauen können, wird es meiner Meinung nach viel einfacher, die Probleme zu lösen. Ich kann es nicht einmal betonen.
Jason Clark: Ja. Und alle möglichen Leute. Ich denke, man kann mit Fug und Recht behaupten, dass die Menschen letztlich das absolut Wichtigste sind, was man tun kann. Und insbesondere in Ihrer Rolle als Leiter der Architektur besteht Ihre Aufgabe darin, Menschen zu inspirieren. Es soll sie motivieren. Denn Sie haben ein kleines Team, aber Sie müssen – ich weiß nicht einmal, wie viele Techniker in Ihrem Unternehmen arbeiten, aber ich bin sicher, es sind 5.000, 10.000 Leute – alle müssen Sie motivieren, etwas für Sie zu tun, für die Sicherheit. Und das lässt sich nicht durch politische Maßnahmen erreichen. Indem wir sie inspirieren. Dies geschieht, indem man sie dazu motiviert, es zu wollen und sich zu kümmern. Und Sie sagen, dass Ihr Team, Ihre direkten Untergebenen, dasselbe tun müssen. Sie müssen den Rest der Organisation dazu inspirieren, sich dafür zu interessieren.
Rehman Khan: Ja, nein, ich meine, als Führungskraft bringt es einfach so viel Vertrauen in die Organisation. Und Sie möchten auch, dass sie Fehler machen können, indem Sie sie etwas ausprobieren lassen. Und ich denke, Sie müssen sie unterstützen. Und ich denke, das ist sehr wichtig. Wenn jemand ein Team aus Architekten und Ingenieuren leiten möchte, muss er sich auf seine Fähigkeiten verlassen können. Sie müssen ihnen zuhören.
Jason Clark: Das ist alles, wofür wir heute Zeit haben. Aber wenn jemand Rehman begegnet und Kontakt mit ihm aufnehmen möchte, kann er ihn auf LinkedIn finden. Er ist ein toller Typ und redet gerne über alles, was mit Sicherheitsarchitektur zu tun hat, insbesondere über die bevorstehenden Änderungen, einfach alles. Wenn Sie ihn jemals treffen, fragen Sie ihn, welche Gewürze er auf sein Steak gibt. Das werde ich auf jeden Fall.
Rehman Khan: Ja, das ist ein Geheimrezept. Meine Töchter beschützen es einfach, als ob Sie es nicht glauben würden. Und sie sagen: „Das ist Papas Geheimrezept.“ Und ich sage: „Nun, das ist ein kleines Rezept. Ich mache einfach alles, aber-"
Jason Clark: Sie wollen ein Restaurant eröffnen. Sie möchten ein Restaurant eröffnen.
Rehman Khan: Ja.
Jason Clark: Aber nein, das war großartig. Vielen Dank für Ihre Zeit und dafür, dass Sie uns einfach Ihr Privatleben, Ihre Vorlieben und vieles zum Thema Cybersicherheit gezeigt haben. Wir möchten also lediglich dazu beitragen, dass diese Branche besser wird, und wie Sie sagten, geht es darum … Ich glaube, Sie haben es ungefähr 50 Mal gesagt. In diesem Gespräch geht es nur um die Menschen. Das ist der Schlüssel. Und genau das versuchen wir hier: den Menschen zu helfen. Vielen Dank.
Rehman Khan: Ja. Danke schön. Vielen Dank, Jason, für die Gelegenheit.
Jason Clark: Großartig.
Anzeige: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Suchen Sie nach der richtigen Cloud-Sicherheitsplattform, um Ihre digitale Transformation zu ermöglichen? Mit der Netskope Security Cloud können Sie Benutzer sicher und schnell direkt mit dem Internet verbinden, von jedem Gerät aus mit jeder Anwendung. Erfahren Sie mehr auf Netskope.
Produzent: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu bewerten und zu rezensieren, und teilen Sie sie mit jemandem, dem Sie gefallen könnten. Bleiben Sie dran für die Episoden, die alle zwei Wochen erscheinen, und wir sehen uns in der nächsten.
){kind=icon}
