Rehman Khan: Ich denke, es wird das Design sein, das Sicherheitsdesign. Wie ich schon sagte: Konzentrieren wir uns wirklich auf das Sicherheitsdesign und stellen wir sicher, dass wir die Sicherheit nicht nur mit einer ganzen Reihe von Tools angehen, sondern wirklich einen Schritt zurücktreten und die Sicherheit in die gesamte Organisation, den Prozess, integrieren.
Produzent: Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, CSO bei Netskope. Sie haben gerade vom heutigen Gast Rehman Khan gehört, Direktor für Sicherheitsstrategie, Forschung und Design bei Charles Schwab. Mit mehr als 20 Jahren Erfahrung im Sicherheitsbereich hat Rehman mit den unterschiedlichsten Menschen zusammengearbeitet. Angesichts dieser Erfahrung gibt es einen Grund, warum eine seiner Top-Empfehlungen darin besteht, den Menschen mehr Aufmerksamkeit zu schenken. Die Auswahl der richtigen Teammitglieder durch Sicherheitsverantwortliche hat weitreichende Auswirkungen. Die Bedeutung dieser Entscheidungen entscheidet über Karrieren im Sicherheitsbereich. Wählen Sie also mit Bedacht. Bevor wir in das Interview eintauchen, hier ein kurzes Wort unseres Sponsors.
Anzeige: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Netskope ist der freche Marktführer und bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im heutigen Geschäftstempo zu bieten. Erfahren Sie mehr unter Netskope
Produzent: Genießen Sie ohne weitere Umschweife Folge acht von Security Visionaries mit Rehman Khan, Direktor für Sicherheitsstrategie, Forschung und Design bei Charles Schwab, und Ihrem Moderator Jason Clark.
Jason Clark: Willkommen bei Security Visionaries. Ich bin Ihr Gastgeber, Jason Clark, CSO von Netskope. Und heute gesellt sich ein neuer Gast zu mir: Rehman Khan. Rehman, erzähl uns ein wenig über dich.
Rehman Khan: Hey, Jason. Ja, ich bin froh, hier zu sein. Grundsätzlich leite ich die Charles Schwab Security Strategy, Research & Design Organization. Und ich lebe in St. Louis, Missouri, und lebe dort seit fast acht Jahren. Und davor war ich in Minneapolis, wo ich ungefähr 12 bis 15 Jahre lang im Bereich Cybersicherheit gearbeitet und nebenbei noch andere Dinge erledigt habe. Also, das bin ich.
Jason Clark: Ja, seit ich Sie kenne, waren Sie Architekt und Architekturleiter für viele wirklich große Unternehmen, globale Unternehmen. Sie haben in Ihren Organisationen, in denen Sie tätig waren, große Wirkung erzielt. Aber mir ist gerade aufgefallen, dass deine Haare viel kürzer sind als beim letzten Mal, als ich dich gesehen habe. War das eine Folge der Pandemie und dann, als ich herauskam? Ich weiß nicht einmal, wie viele Zentimeter Sie gerade abgeschnitten haben.
Rehman Khan: Nun ja. Hey, ich glaube, wir basteln alle irgendwie an unseren kleinen Bedürfnissen und Wünschen herum, schätze ich. Ja, ich würde wahrscheinlich sagen, dass ich erst vor ein paar Wochen 15 Zentimeter abgenommen habe. Ich dachte, ich räume einfach für das neue Jahr auf. Das geht und vielleicht ein Neuanfang, aber diese Pandemie hat uns auf jeden Fall die Möglichkeit gegeben, uns vielleicht die Haare lang wachsen zu lassen.
Jason Clark: Wie hat Ihre Familie oder bei der Arbeit, wer am besten oder am schlechtesten auf Sie reagiert, alles abgeschnitten?
Rehman Khan: Ich glaube, sie haben mich mitgenommen, als ich präsentiert habe. Ich schätze, bei mir ist immer etwas los. Ich meine, ich werde einen Spitzbart haben, und dann, ein paar Jahre später, werde ich plötzlich einen Bart haben. Und ich denke, die Leute sind irgendwie daran gewöhnt, wie sich die Dinge an meinem Aussehen ändern. Aber ich sage Ihnen, ich denke, die Leute waren im Allgemeinen sehr höflich, aber ich hatte ein paar Mal, wo, ich glaube, es war tatsächlich einer der Vorsitzenden von Wash U, sie mich ansahen und sagten: „Wow, warst du bei der Survivor-Show?“ Ich meine, im wahrsten Sinne des Wortes war ihre Reaktion so: „Wo warst du?“ Und so, ja, ich denke, dass es eine Art gemischte Stimmung gibt, aber die meisten Leute waren nett und haben das verstanden.
Sprecher 5: Tiefer Einblick. Tauchen. Tauchen. Tauchen. Tauchen.
Jason Clark: Sie sprechen also sechs Sprachen. Erzählen Sie uns ein wenig, was das ist und wie wertvoll sie für Sie waren.
Rehman Khan: Ja. Wenn ich also aufgewachsen bin, wurde ich in Kuwait geboren. Ich bin dort aufgewachsen und dann nach Abu Dhabi gegangen. Und mein Vater hat für Lufthansa gearbeitet, man kann also erkennen, dass wir in der Lage sind, die Welt zu bereisen. Und dann bin ich von Abu Dhabi nach Minneapolis gezogen, was eine große Veränderung war. Aber ich denke, um auf Ihre Frage zurückzukommen: Abu Dhabi war eine Stadt, in der ich lernen und mit der internationalen Masse interagieren konnte. Und ich habe Deutsch gelernt. Arabisch war schon da, Urdu, und es ging einfach weiter. Und ich denke, das hat bei mir Anklang gefunden und es hat meine Palette immer weiter bereichert.
Jason Clark: Darüber denke ich nach. Ich bin also auch global aufgewachsen und habe mich als Militärgöre gefühlt. Und ich denke darüber nach: Wie kann ich meinen Kindern die gleiche Aufmerksamkeit schenken? Ich möchte, dass sie zu Weltbürgern heranwachsen und nicht ihr ganzes Leben lang in einer Stadt sitzen. Und ich habe beschlossen, dass wir ab zwei Jahren jeden Sommer diesen Sommer in einem anderen Land verbringen werden. Und so werde ich sie, soweit ich kann, zu Weltbürgern machen.
Rehman Khan: Ja. Nein, ich denke, das ist eine tolle Idee. Ich habe das Gefühl, dass wir hoffen, dass wir angesichts der Pandemie in den nächsten Jahren eine solche Chance bekommen, frei zu mobilisieren. Denn ein Teil davon ist nicht nur, dass man zu Hause sitzen und all diese Sprachen lernen könnte, und wir machen dasselbe mit der Cybersicherheit und so weiter und so fort. Aber einiges davon hat mit Interaktion zu tun. Und wenn man mit Menschen interagiert, sowohl im Privatleben, lernt man wirklich. Und ich denke, dass man durch Reisen lernt. Sie vermitteln Ihren Kindern Vertrauen. Und ich denke, das ist ein toller Plan. Ich selbst möchte das tun, aber ich denke, es geht darum, in eine Umgebung zu gehen, in der man sich mit der Situation auseinandersetzen muss, und dann fängt man an-
Jason Clark: Es ist die Kultur.
Rehman Khan: Ja.
Jason Clark: Es ist so, als gäbe es zwei Arten von Menschen, diejenigen, die irgendwo hingehen und sagen: „Alles klar. Hier sind die 10 Websites. Ich möchte sie sehen“, was man im Grunde sehen kann, indem man danach googelt, oder die Leute, die sagen: „Ich möchte die Kultur annehmen.“ Ich möchte das Essen probieren. Ich möchte die Leute kennenlernen. Ich möchte in die örtlichen Bars gehen. Es ist eine ganz, ganz andere Essenz dessen, was Sie erreichen wollen. Normalerweise stelle ich diese Frage also etwas später, aber jetzt bin ich neugierig: Was ist Ihr Lieblingsbereich im Bereich Sicherheit? Sie leiten die Architektur, und das haben Sie immer und immer wieder getan, was bedeutet, dass Sie, wie ein CSO, jede Sicherheitsdomäne überwachen können. Was ist Ihre Lieblingsdomain?
Rehman Khan: Junge, das ist eine schwierige Frage. Kann ich Ihnen zwei geben?
Jason Clark: Ja. Gib mir deinen ersten und dann deinen zweiten.
Rehman Khan: Okay. Ich werde es sagen. Look, Identitäts- und Zugriffsmanagement sind das, wo ich aufgewachsen bin und was ich gelernt habe, und ich sehe, dass es sich weiterhin weiterentwickelt. Ich glaube, das ist mein erster. Das ist sozusagen das A und O, und direkt dahinter steht die Datensicherheit. Die beiden waren schon immer da. Ja. Ich meine, ich denke, dass sie irgendwie Hand in Hand gehen. Man könnte es aus der Perspektive der Anwendungssicherheit betrachten. Aber ja, ich denke, das sind sozusagen die Domänen.
Jason Clark: Das sind großartige Domains. Und wenn ich Sie fragen müsste, welches ist Ihr Hass am meisten?
Rehman Khan: Und das mag auf alle oben genannten Punkte zutreffen, aber es handelt sich, wenn man so will, um eine Art Sicherheitsoperationen. Es ist ein so wichtiger Aspekt, aber ich habe auch das Gefühl, dass es sich um Sicherheitsoperationen handelt, und vielleicht kann ich Ihnen sagen, warum.
Jason Clark: Es ist eine andere Art von Stress. Sagen Sie uns, warum Sie Operationen hassen.
Rehman Khan: Nun, ich bin Designer. Ich war schon immer Designer. Mir geht es um die Ästhetik. Ich bin hinter dem eigentlichen Design her. Und ich glaube, der Grund dafür, dass wir den Betrieb in seinem jetzigen Zustand haben, liegt darin, dass wir uns nicht auf Design konzentrieren. Wir entwerfen Sicherheitslösungen und -anwendungen usw. nicht mit Blick auf die Sicherheit. Und nun ja, es gibt ein Restrisiko und einen Resteffekt davon. Und das ist es, was Sicherheitsoperationen heute ausmachen. Ich meine, ich denke, das ist der Grund, warum ich mich davon fernhalte, denn warum müssen wir uns deswegen so viel Stress machen? Warum kann es nicht wie andere automatisierte Betriebsbereiche sein? Sie arbeiten, funktionieren, produzieren. Ich meine, Sie nehmen eine der anderen Geschäftsdomänen, also-
Jason Clark: Sie möchten nicht das Ergebnis der schlechten Absichten anderer sein. Du willst nicht der Schwanz sein. Sie möchten Dinge reparieren und richtig gestalten.
Rehman Khan: Ja.
Jason Clark: Macht sehr viel Sinn. Ich verstehe es. Und so ist man im Betrieb frustriert, wenn man grundsätzlich schlechte Designs sieht.
Rehman Khan: Ja. Ja. Und dann sieht man sie immer und immer wieder. Ich meine, wir sehen es mit Log4j. Es ist eine interessante Landschaft, wenn man so will.
Jason Clark: Ich glaube, das hat den Dezember vieler Menschen geschadet. Es hat vielen Urlaubern wehgetan. Jeder, mit dem ich mindestens 45 Tage lang gesprochen habe, fragte: „Oh, was ist los?“ "Ja. Log4j. Das ist es, was los ist. Wir geraten deswegen einfach ins Straucheln. Sie unterrichten also an einigen Universitäten, was ich immer begrüße, um der nächsten Generation zu helfen. Und eines davon ist Wash U, wo ich meinen MBA gemacht habe, und ich liebe es, das an Ihrem Hintergrund und an dem, woran Sie arbeiten, zu sehen. Also, warum machst du das? Was halten Sie von der nächsten Generation und wie wichtig es ist, ihnen Cybersicherheit beizubringen? Und was bringen Sie ihnen bei?
Rehman Khan: Ja. Ich betrachte es eigentlich als einen Lernprozess. Indem ich lehre, lerne ich. Ich denke, das ist das Einzige, worauf ich mich wirklich konzentriere, weil man mit den Studenten interagiert und Fragen bekommt. Und manchmal habe ich die Antworten und manchmal nicht. Es ist eine ganz andere Frage, die ich nicht erwartet hatte. Ein Teil davon ist also, dass es sich vielleicht um eine Art selbsterfüllende Prophezeiung handelt. Ich versuche, den Dingen einen Schritt voraus zu sein.
Rehman Khan: Was unterrichte ich? Als ich bei Wash U zum ersten Mal auf das Programm angesprochen wurde, gab es bei Wash U keinen Kurs für Identitäts- und Zugriffsmanagement. Also haben Joe und ich uns getroffen und darüber gesprochen. Und ich sagte: „Nun, ich habe ziemlich viel Zeit mit Identitäts- und Zugriffsmanagement verbracht, und ich denke, das ist ein Bereich, dem wir nicht wirklich mehr Zeit widmen, da es sich um Cybersicherheitszertifikate und -programme handelt.“ Lassen Sie uns also etwas damit anfangen, aber machen wir es nicht nur zu einer theoretischen Sache. Lasst uns tatsächlich Labore implementieren und an so etwas arbeiten.“ Also habe ich den gesamten Lehrplan für diesen Kurs erstellt. Und als ich einige Kurse belegte, wurde mir klar, dass es im Bereich Identitäts- und Zugriffsmanagement noch viel zu tun gibt. Auch wenn es im Vergleich zu anderen Bereichen relativ ist, würde ich sagen, dass es dort schon war. Es gibt es schon seit-
Jason Clark: Es ist alt, aber am wenigsten ausgereift. Das Gleiche würde ich übrigens auch zur Datensicherheit sagen. Bei beiden handelt es sich um alte Industrien oder alte Bereiche mit der geringsten Reife und der größten Fragmentierung.
Rehman Khan: Ja. Darüber staune ich immer wieder und es war großartig. Die andere Sache, die sich, wenn Sie so wollen, verändert hat, war ein Kurs zur Unternehmensnetzwerksicherheit, den ich tatsächlich gemeinsam mit ein paar anderen Dozenten unterrichtet habe, und zwar eher im Beobachtungsmodus. Und mir fiel auf, dass wir weder Zero-Trust-Networking noch Zero-Trust-Konzepte behandelten. Und wir sprachen immer noch über eine Art traditionelle Firewall und einfach über eine Art, ich glaube, fast veraltete Art von Konzepten. Also habe ich diesen Kurs belegt und ihn transformiert. Und jetzt konzentrieren wir uns auf Zero-Trust-Networking. Ich meine, ich unterrichte es nun schon seit zwei Jahren. Ich habe den Kurs wirklich gut gemacht, und ja.
Jason Clark: Gibt es also einen Zero-Trust-Kurs oder einfach nur Zero-Trust-Networking?
Rehman Khan: Das ist also eine gute Frage. Da es sich um den Kurs „Unternehmensnetzwerksicherheit“ handelte, haben wir dies so gemacht, dass wir die Netzwerksicherheitsaspekte im Kurs beibehalten haben, aber auch die Personenidentitäts- und Geräteidentitätskonzepte eingeführt haben und damit begonnen haben, das Bild zusammenzustellen , es gibt ein zugrunde liegendes Netzwerk, auf dem diese Informationen basieren, aber Sie müssen auch wissen, wer diese Person ist und mit welchem Gerät sie kommt. Ich würde also sagen, dass es sich um ein Zero-Trust-Unternehmen handelt, das sich jedoch hauptsächlich auf die Netzwerkaspekte konzentriert. Die Kontrollebene und die Datenebene, über die ich im Kurs spreche und an denen ich mit Studenten arbeite, konzentrieren sich wirklich auf die Frage: Woher kommt dieser Datenverkehr? Woher wissen wir, dass es guten Verkehr gibt?
Jason Clark: Was ist eine der schwierigsten Fragen, die Ihnen ein Student gestellt hat?
Rehman Khan: Ich denke, die schwierigste Frage ist wirklich: Wie können wir unsere aktuellen Umgebungen in dieses Zero-Trust-Denken und in die Umsetzung überführen? Wie machen wir das eigentlich? Und das ist eine schwierige Frage, denn ich habe das Gefühl, dass wir mit Null-Vertrauen noch nicht am Ziel sind. Es gibt noch viel zu tun. Es gibt zum Beispiel die Vorstellung: Okay, wir müssen alle Geräte und alle Konfigurationen in unseren Umgebungen kennen, damit wir tatsächlich zertifizieren können, dass dieses Gerät legitim ist und auf dieses Gerät Zugriff gewährt wird. Nun, wie viele Organisationen verfügen wirklich über diese Informationen, sodass wir uns tatsächlich darauf verlassen können, dass die Datenqualität keine Herausforderung darstellt? Daher ist es schwierig, das immer zu erklären, weil es von Organisation zu Organisation unterschiedlich ist. Ich denke, das ist es, was ich als schwierig empfinde.
Jason Clark: Der Job des Sicherheitsdienstes ist sehr hart. Viele Leute haben geschrieben, dass es einer der schwierigsten Jobs auf der C-Ebene ist, wenn nicht der schwierigste außer dem des CEO, weil es so komplex ist. Aber wenn Sie das so betrachten, wie können Sie persönlich mithalten? Wie halten Sie als Leiter aller neuen Technologien und der gesamten Architektur eines sehr großen Unternehmens mit all dem Schritt?
Rehman Khan: Ich denke, das ist eine großartige Frage. Und es ist ein Kampf. Ich denke, für mich... Ich konzentriere mich, wie gesagt, insbesondere auf einige Bereiche. Und dann besteht die Idee darin, dass Sie durch die Interaktion mit unseren Kollegen auf dem Laufenden bleiben. Ich lese offensichtlich viel und lese daher immer die unterschiedlichsten Artikel.
Jason Clark: Haben Sie einen Favoriten?
Rehman Khan: Ich würde sagen, nicht wirklich. Ich denke nur, dass es... Das traditionelle [Bruce Dyer 00:17:04] und diese Art von-
Jason Clark: Ja, ja. Dark Reading, CSO Online und-
Rehman Khan: Ja.
Jason Clark: Es gibt keine neue, erstaunliche Version ... Es gibt keine Wall Street Journal- und New York Times-Version von Cybersicherheitsthemen.
Rehman Khan: Ja, nein. Es geht wirklich darum, Informationen aus verschiedenen Quellen auszuwählen. Und einer der Abschnitte, die ich für meine Studenten mache, besteht darin, dass ich wirklich über die Nachrichten des Tages spreche, und zwar aus der Perspektive der Cybersicherheit. Und ich werde ganz ehrlich sein. Ich meine, das ist wahrscheinlich der Ort, an den ich gehe, fast täglich, und ich sammle diese Informationen, und dann reden sie wirklich über die Gründe, warum die Dinge so passieren, wie sie sind, und was getan werden kann, um das Risiko zu bewältigen. Ansonsten lese ich hauptsächlich Bücher über künstliche Intelligenz. Ich werde bestimmte Berichte der Gartners usw. lesen. Aber ja, das ist irgendwie [unverständlich 00:18:18].
Jason Clark: Okay. Sie haben also gerade von künstlicher Intelligenz gesprochen. Lass uns darüber reden. Sie haben darüber gelesen, und offensichtlich ist das eindeutig Ihr Interesse. Erzählen Sie uns mehr über die Auswirkungen aus Sicht der Cybersicherheit auf Sie.
Rehman Khan: Ich denke, wie Sie bereits erwähnt haben, die Komplexität unserer Umgebung, und sie wird immer komplexer. Ich denke, wir müssen einen Weg finden, die Cybersicherheit zu skalieren. Und in unserem aktuellen Modell werden unsere aktuellen Modelle einfach nicht mit der Menge der generierten Informationen skalieren können. Und ich denke, der Burnout, den wir in Sicherheitsorganisationen hervorrufen könnten, sind Sicherheitsexperten, die sich auf die richtigen Probleme konzentrieren. Arbeiten sie an der Argumentation oder an der Reaktion? Ich denke also, dass künstliche Intelligenz ins Spiel kommen kann, wenn wir anfangen, uns mit unserem engen Bereich der Sicherheit, der Cybersicherheit, zu befassen, wir können uns auf bestimmte eng gefasste Aufgaben konzentrieren und wirklich mit der Automatisierung beginnen und Entscheidungen für diese eng gefassten Aufgaben vorantreiben . So gibt es beispielsweise Möglichkeiten, die stattfindenden Ereignisse zu klassifizieren. Brauchen wir einen Analysten, der sich den ganzen Tag über diese Ereignisse ansieht? Warum können wir maschinelles Lernen nicht verwenden, um die Ereignisse tatsächlich zu katalogisieren, tatsächlich ein gewisses Maß an Absicht zu verwenden und es mit dem Ergebnis abzugleichen und tatsächlich das Ergebnis zu betrachten und zu sehen, ob dies die Absicht war, die wir mit maschinellem Lernen hatten?
Rehman Khan: Ich denke also, dass maschinelles Lernen uns aus diesem Blickwinkel helfen kann, indem wir damit beginnen können, einen Teil der Arbeitslast auf eng fokussierte Algorithmen der künstlichen Intelligenz zu verlagern, die bestimmte Entscheidungspunkte filtern und bewerten können.
Jason Clark: Haben Sie viele gesehen ... Wer ist als Architekt der Beste darin? Wer hat das Ihrer Meinung nach wirklich gut hinbekommen, was den Anbieter betrifft?
Rehman Khan: Was den Anbieter angeht? Ich würde sagen, ich weiß es nicht. Ich weiß nicht. Ich bin noch keinem Anbieter begegnet, der das kann... Ich denke, es gibt bestimmte Aspekte. Es gibt bestimmte Algorithmen, die sich hinter den Kulissen befinden. Aber ganz offen gesagt sehe ich zumindest keinen Anbieter, der völlig [unverständlich 00:20:57]
Jason Clark: Okay. Gab es schon einmal jemanden, von dem Sie dachten: „Okay, sie sind auf dem richtigen Weg.“ Was sie tun, ist interessant. Startup oder groß, egal.
Rehman Khan: Ja. Ich würde sagen, es gibt Leute wie CrowdStrike und natürlich auch einige von denen in Palo Alto. Da ist ein bisschen was los. Ich denke, es wird viel geforscht. Aber ich sehe nicht unbedingt eine produktive Version von ... Es gibt Deepwatch. Es gibt Unternehmen, die es versuchen, aber ich sehe noch nicht unbedingt einen Gewinner.
Jason Clark: Okay. Du bist also uninspiriert. Zu diesem Zeitpunkt sind Sie uninspiriert. Was hat Sie aus technischer Sicht begeistert?
Rehman Khan: Komplexität, schwierige Probleme, denke ich. Ich meine, ich liebe es, Probleme zu lösen.
Jason Clark: Alles klar. Also schauen wir uns die Wolke an. Wenn wir uns die Cloud-Sicherheit ansehen, wie verändert sich Ihrer Meinung nach die Sicherheitslandschaft? Ich meine, wie verändert sich beispielsweise die Einführung der Cloud in Ihrem Unternehmen auf die Art und Weise, wie Sicherheit ausgeführt und funktioniert, für alles, für CSOs?
Rehman Khan: Ja. Ich denke, dass die öffentliche Cloud für mich tatsächlich eine Art Rettung für uns ist, weil ... Ich habe zwei Aspekte davon, zwei Perspektiven. Erstens bietet uns die Public Cloud die Skalierung, die wir uns immer gewünscht haben. Ich kann diese Größenordnung nutzen, um meine Sicherheitsdienste zu stärken. Übrigens muss es sich bei diesen Sicherheitsdiensten nicht unbedingt um ein Produkt handeln, das ich von einem Anbieter oder Beschaffer kaufe. Es kann unser eigenes Sicherheitsprodukt sein. Aber jetzt muss ich diese Infrastruktur und diese Fähigkeiten nicht mehr aufbringen. Ich kann die öffentliche Cloud tatsächlich nutzen, um meine Sicherheitsfähigkeiten zu verbessern. Und ich denke, dass hier einige der datenwissenschaftlichen Aspekte besser skalierbar sein werden für Organisationen, die sich auf künstliche Intelligenz und den Aufbau ihres eigenen Universums konzentrieren, wenn man so will, aus Sicht der Erkennung und Prävention.
Rehman Khan: Ich denke, der zweite Aspekt der Public Cloud, den ich für schwierig halte, um Ihre Frage direkt zu beantworten, ist, dass wir meiner Meinung nach wiederum keine Sicherheitsexperten haben oder nicht genug Sicherheitsexperten, wenn Sie so wollen, mit der Erfahrung von öffentliche Cloud. Die Herausforderung besteht also darin, dass wir Menschen brauchen, die Lösungen entwickeln oder sogar Cloud-Lösungen und Anwendungen bewerten, die migriert werden. Wir müssen also in der Lage sein, qualifizierte Leute zu haben. Wir müssen in der Lage sein, die Denkweise zu verstehen, die eine sehr logische Ebene der Architektur darstellt. Wir haben es nicht mehr mit physischen Geräten oder Firewalls oder Appliances zu tun. Wir haben es mit Software zu tun. Wir haben es mit Code zu tun. Und wie kann man eine Organisation, eine Sicherheitsorganisation, betrachten, die sich hauptsächlich auf einen der beiden Risikobewertungstypen konzentriert, eher auf eine Art reaktiven Ansatz zur Risikobewertung, und gleichzeitig wirklich Sicherheit von der Stange nutzt? Produkte und die Implementierung dieser Produkte. Sie müssen also in der Lage sein, das zu ändern.
Rehman Khan: Meiner Erfahrung nach ist dafür ein Team von Personen erforderlich, die sich gut mit dem Programmieren auskennen. Sie haben gute Kenntnisse in der Programmierung verteilter Systeme. Und Sie bringen dieses Team in der Sicherheitsorganisation zusammen. Und ich denke, dass das wirklich viel bringt. Es gibt einige andere Bereitstellungsmechanismen, wie zum Beispiel [unverständlich 00:25:17], mit denen Sie eine Automatisierung erstellen könnten. Sie können beispielsweise Richtlinien als Code erstellen. All diese Aspekte sind sozusagen Nebenprodukte. Aber ich denke, das muss man tun. Meiner Meinung nach sind es die Menschen. Ich denke, man muss mit dem richtigen Team beginnen.
Jason Clark: Ich finde es toll, dass Sie gesagt haben, dass die Cloud eine Art Rettung für die Sicherheit ist, und ich stimme zu 100 % zu. Tatsächlich sage ich, es ist der perfekte Neustart. Es ist wie beim Neustart. Es ist eine neue Gelegenheit, eine Hebelwirkung zu erzielen, die wir noch nie zuvor hatten. Die Cloud ist für uns äußerst vorteilhaft, wenn wir sie richtig nutzen.
Rehman Khan: Sie sind offensichtlich bei Netskope, ich meine, Sie sehen das, oder? Sie sehen die Nutzung der Cloud und sehen, wie Ihr Unternehmen skalieren kann. Ich glaube, dass es für Unternehmen eine Chance ist, und ich denke, es ist eine einmalige Gelegenheit, Ihre aktuellen Anwendungen zu nutzen und sie wirklich auf eine Weise bereitzustellen und sie so zu gestalten, neu zu gestalten, dass sie sie nutzen können die Skalierbarkeit der Public Cloud, aber auch gesichert sein. Ich denke, es ist eine einmalige Gelegenheit, denn ich denke, wenn wir das nicht richtig machen, werden wir meiner Meinung nach in der gleichen Situation landen. Jetzt werden wir einfach mehr Code haben und möglicherweise keine Struktur darum haben. Deshalb denke ich, dass man so darüber nachdenken muss.
Jason Clark: Wenn Sie auf Ihre Karriere zurückblicken, was würden Sie als eine der besten Entscheidungen bezeichnen, die Sie je getroffen haben, und warum?
Rehman Khan: Nun ja, das gibt es ein paar Mal, aber das erste, was ich sagen möchte, ist, dass ich meine Reise tatsächlich schon während meines Studiums im Bereich der Elektrotechnik begonnen habe. Und als ich Elektrotechnikkurse absolvierte, fing ich an zu schauen, wow, da wird Software verwendet, Software wird entworfen und dies und das. Und ich schaue mir das an und sage: „Okay, warum konzentriere ich mich nicht auf Informatik?“ Wohin möchte ich damit gehen? Und ich würde sagen, es war die beste Entscheidung, die ich getroffen habe. Ich habe von der Elektrotechnik gewechselt. Eigentlich war ich schon auf halbem Weg und wechselte in die Informatik, weil ich schon immer von Computern fasziniert war.
Rehman Khan: Und das Interessante ist, dass ich diese Geschichte mit Ihnen teilen muss. Eigentlich habe ich meine Karriere in der eingebetteten Programmierung begonnen. Also habe ich im Grunde in Minneapolis gearbeitet. Ich habe für ein Medizingeräteunternehmen gearbeitet. Wir waren im Bereich der Infusionspumpen tätig und lieferten im Wesentlichen Insulin oder Schmerzmittel. Und dort begann ich meine Karriere mit dem Schreiben einer Schnittstelle für Infusionspumpen. Im Grunde genommen würden Sie die Pumpe des Patienten in einen Kontrollmodus versetzen, in dem sich der Arzt in diese Pumpe einwählt und sie basierend auf Ihren Symptomen neu programmiert. Also du [unverständlich 00:28:16]
Jason Clark: Wie viele Codezeilen hat eine davon?
Rehman Khan: Oh Mann, ich erinnere mich nicht einmal. Ich meine, es sind Hunderte von Codezeilen, und damals war alles eine serielle Kommunikation und dann wirklich der Konnektivitätsprozess. Aber egal, ich habe in der Welt der eingebetteten Systeme angefangen. Eigentlich musste ich ein Protokoll schreiben, weil Sie sicherstellen mussten, dass diese Konnektivität sicher und zuverlässig ist, weil Sie nicht möchten, dass der Patient Schmerzen hat und die Konnektivität trotzdem abbricht und Sie seine Pumpe nicht neu programmieren können. Also fing ich damit an, und als ich das tat und mir Software ansah, begann ich, die Leistungsfähigkeit von Software zu betrachten, und ich dachte: „Wow, das ist großartig.“ Ich meine, hier ist …“ Ich glaube, das war eine Art Wendepunkt, an dem ich meinen Abschluss machte, in die Informatik wechselte und dann einfach weitermachte. Und dann würde ich sagen, dass der zweite Punkt, sorry, der Wechsel von dort zu Geschäftsanwendungen ist. Das war sozusagen der zweite.
Jason Clark: Wo ist das passiert?
Rehman Khan: Das geschah, als ich die eingebetteten Systeme verließ. Eigentlich bin ich zu Carlson Companies gegangen. Und ich habe dort als Anwendungsentwickler angefangen und einige Zeit damit verbracht, Anwendungen zu entwickeln, und dann begann ich, Chancen zu erkennen. Es konzentrierte sich hauptsächlich auf J2EE-Anwendungen und begann, Chancen aus Sicherheitsperspektive zu erkennen. Junge, ich meine, wir müssen Code sicherer schreiben. Wir müssen über den Benutzerzugriff nachdenken. Wir müssen darüber nachdenken, wie das Zertifikatsmanagement funktioniert. Ich meine, all diese Aspekte begannen, Realität zu werden. Also ja, das waren meine...
Jason Clark: Schneller Vorlauf: Gehen Sie fünf oder zehn Jahre in die Zukunft.
Sprecher 6: Zukunft. Deine Zukunft.
Sprecher 7: Zukunft. Zukunft. Zukunft.
Jason Clark: In was würden sich die Leute Ihrer Meinung nach jetzt wünschen, dass sie investiert hätten? Was sollten sie in Bezug auf Architektur, Strategie, Technologien und Perspektive investieren? Was werden Ihrer Meinung nach einige der bedeutendsten Änderungen sein? Verwenden Sie Ihre Organisation oder eine andere Organisation, die sehen wird.
Rehman Khan: Ich denke, es sind ein paar Dinge. Ich habe das Gefühl, dass Leute. Ich denke, dass es sich auszahlen wird, wirklich die richtigen Teammitglieder auszuwählen und diese Entscheidungen jetzt zu treffen. Ich denke, dass wir alle mit diesem Bereich zu kämpfen haben, dass wir nicht genug Talent haben. Und wir müssen in der Lage sein, in Talente zu investieren. Ich denke, ein Teil davon ist, wenn ich zurückblicke, meiner Meinung nach wirklich so, dass wir noch mehr in unsere Mitarbeiter hätten investieren sollen, in den Bereich der Cybersicherheit, wenn Sie so wollen. Ich denke, dass es dort noch viel mehr Möglichkeiten gibt, dass die Leute meiner Meinung nach zurückblicken und sagen werden: „Wir hätten uns nach Leuten mit mehr Informatik-Hintergrund umsehen oder sie vielleicht zu diesem Hintergrund bringen sollen.“
Rehman Khan: Ich denke, das zweite, was ich sagen würde, ist, dass es meiner Meinung nach das Design und das Sicherheitsdesign sein wird. Wie ich schon sagte, konzentrieren wir uns wirklich auf das Sicherheitsdesign und stellen sicher, dass wir die Sicherheit nicht nur mit einer ganzen Reihe von Tools angehen, sondern wirklich einen Schritt zurücktreten und die Sicherheit in die gesamte Organisation, den Prozess, integrieren. Ich denke, das sind ein paar Dinge, von denen ich denke, dass Unternehmen im Rückblick diese Chancen verpasst hätten. Und ich denke, das ist der Grund, warum es derzeit eine große Talentsuche gibt. Alle Technologieunternehmen neigen dazu, mehr Menschen in den Bereich der Cybersicherheit zu bringen, weil sie den Wert erkennen.
Jason Clark: So, letzter Abschnitt hier, etwas persönlich.
Sprecher 8: Schnell, schnell, schnell.
Sprecher 9: Los. Es muss schnell gehen.
Sprecher 10: Ich möchte schnell gehen.
Jason Clark: Sie kennen jeden Bereich der Sicherheit. Sie waren Leiter der Architekturabteilung für mehrere hundert große Fortune-Unternehmen. Wann möchten Sie CSO werden? Wollten Sie jemals CISO werden? Oder schauen Sie sich den Job an und sagen: „Ja, nein.“
Rehman Khan: Ich denke, als hätten wir uns unterhalten, oder? Ich denke, wir sagen, dass es eine strategische Rolle ist, aber ich weiß nicht, ob es schon so weit ist. Ich denke, es handelt sich immer noch um eine Aufgabe, die von operativer Natur ist: „Hey, lasst uns einfach unsere Vermögenswerte schützen, und zwar schnell.“ Und ja, es wird eine Zeit geben, in der ich dem nachgehen kann. Aber für mich gibt es noch so viel zu tun, Jason. Aus gestalterischer Sicht und vor allem bei der Entwicklung der richtigen Sicherheitslösungen gibt es einfach noch so viel zu tun, dass ich das Gefühl habe, dass ich hier meinen Beitrag leisten sollte. Und ich denke, da möchte ich Einfluss auf die Organisation nehmen können.
Jason Clark: Ich liebe es. Du wirst diesen Job eines Tages übernehmen, da bin ich mir sicher. In den nächsten 10 Jahren werden wir reden. Ich denke, du wirst dabei sein. Wenn Sie sich also nicht um Sicherheit kümmern würden, was würden Sie dann tun, wenn es keine Sicherheit gäbe?
Rehman Khan: Irgendwo würde ich Chefkoch werden.
Jason Clark: Ich liebe es. Welche Art von Essen?
Rehman Khan: Nun, es ist also hauptsächlich indisch-pakistanisches Essen. Das ist mein Hintergrund. Aber ich liebe es, zu verschmelzen. Ich liebe Fusion. Also.
Jason Clark: Was würden Sie damit verbinden? Wenn Sie also indisch-pakistanisches Essen zu sich nehmen würden, womit würden Sie das vermischen?
Rehman Khan: Nun, ich gebe Ihnen ein Beispiel. Amerikaner lieben Steak. So wie ich mein Steak zubereite, und natürlich werde ich damit prahlen, meine Töchter lieben das Steak, das ich gemacht habe. Sie denken, es sei das Beste der Welt. Aber ich verwende pakistanische Gewürze. Ich habe bestimmte Probleme, die ich da nicht rausbekomme. Es ist alles meine eigene Gewürzmischung. Und ich möchte in der Lage sein, dieses amerikanische Steak zuzubereiten, aber mit einem pakistanischen Flair.
Jason Clark: Ja. Ja. Ich liebe es. Das ist erstaunlich. Irgendwann müssen wir etwas abhängen.
Rehman Khan: Ja.
Jason Clark: Ja, in dieser Verwirrung. Was ist also eine Fähigkeit, oder Sie können beides tun, eine Fähigkeit oder ein Hobby, die nicht in Ihrem Lebenslauf steht? Wollen Sie sich also auf Ihr Hobby konzentrieren, von dem die meisten Menschen nichts wissen, oder auf eine Fertigkeit? Was ist irgendetwas, was die Leute haben, und es könnte Kochen sein?
Rehman Khan: Nun, ich meine, Kochen ist eine davon. Aber Hobby, Kochen ist für mich auch spirituell. In vielerlei Hinsicht hilft es mir tatsächlich, mich zu entspannen. Eigentlich ist es ganz nett. Ich würde sagen, ich habe früher Musik remixt, und das war wie House-Musik. Ich liebe das. Und ich liebe Musik im Allgemeinen, aber ja, ich denke, wenn ich irgendwo Musik remixe, muss ich wirklich-
Jason Clark: Ich liebe es. Und das verschmelzen Sie auch.
Rehman Khan: Ja.
Jason Clark: Ich bin mir sicher, dass du Fusion-Musik machst. Total. Ich erinnere mich an Tage, an denen ich fünf oder sechs Stunden damit verbracht habe, Musik herunterzuladen und einfach zu versuchen, [CatGrab 00:36:29] so viele MP3s wie möglich von jedem Song zu machen. Also ja, das ist eine gute Antwort. Letzte Frage: Was wäre Ihr wichtigster Ratschlag für jemanden, der eine Person sein möchte, die in Ihre Rolle schlüpfen möchte? Was würden Sie ihnen raten?
Rehman Khan: Ich würde sagen, wenn Sie eine Führungspersönlichkeit sind, möchten Sie meiner Meinung nach die Menschen um Sie herum stärken und wirklich das beste Team unter sich haben, das beste Team, das Sie zusammenbringen können, das Team, mit dem Sie Vertrauen aufbauen können. Ich denke, das ist der Maßstab für den Erfolg. Und wenn wir das mit den Menschen um uns herum aufbauen können, wird es meiner Meinung nach so einfach, Probleme zu lösen. Ich kann nicht einmal Stress machen.
Jason Clark: Ja. Und alle möglichen Leute. Ich denke, man könnte leicht sagen, dass die Menschen am Ende absolut das Wichtigste sind, was man tun kann. Und gerade in Ihrer Rolle als Leiter der Architektur ist es Ihre Aufgabe, Menschen zu inspirieren. Es geht darum, sie zu motivieren. Denn Sie haben ein kleines Team, aber Sie müssen, ich weiß nicht einmal, wie viele Technologiemitarbeiter es in Ihrer Organisation gibt, aber ich bin sicher, es sind 5.000, 10.000 Leute, man muss sie alle motivieren, etwas zu tun Sie, aus Sicherheitsgründen. Und um das tatsächlich zu erreichen, geschieht das nicht durch Politik. Es geht darum, sie zu inspirieren. Es geht darum, sie zu motivieren, etwas zu wollen und sich darum zu kümmern. Und was Sie damit sagen, ist, dass Ihr Team, Ihre direkten Mitarbeiter, das Gleiche tun müssen. Sie müssen den Rest der Organisation dazu inspirieren, sich darum zu kümmern.
Rehman Khan: Ja, nein, ich meine, als Führungskraft bringt es einfach so viel Vertrauen in die Organisation. Und Sie möchten auch, dass sie Fehler machen können, indem Sie sie etwas ausprobieren lassen. Und ich denke, man muss sie unterstützen. Und ich denke, das ist sehr wichtig. Wer ein Team aus Architekten und Ingenieuren leiten möchte, ist auf deren Fähigkeiten angewiesen. Man muss ihnen zuhören.
Jason Clark: Das ist alles, wofür wir heute Zeit haben. Aber wenn jemand Rehman trifft und mit ihm Kontakt aufnehmen möchte, können Sie ihn auf LinkedIn finden. Er ist ein toller Kerl, redet gerne über alles, insbesondere die Sicherheitsarchitektur, die bevorstehenden Veränderungen, alles. Wenn Sie ihn jemals treffen, fragen Sie ihn, welche Gewürze er für sein Steak verwendet. Das werde ich auf jeden Fall tun.
Rehman Khan: Ja, das ist ein Geheimrezept. Meine Töchter beschützen es einfach, als ob Sie es nicht glauben würden. Und sie sagen: „Das ist Papas Geheimrezept.“ Und ich denke: „Nun, das ist ein kleines Rezept.“ Ich mache einfach alles, aber-“
Jason Clark: Sie wollen ein Restaurant eröffnen. Sie wollen ein Restaurant eröffnen.
Rehman Khan: Ja.
Jason Clark: Aber nein, das war großartig. Vielen Dank für Ihre Zeit und dass Sie einfach nur Ihr Privatleben und Ihre Lieben und viel über Cybersicherheit mit uns teilen. Alles, was wir tun wollen, ist, dieser Branche zu helfen, besser zu werden, und wie Sie sagten, geht es darum... Sie haben es ungefähr 50 Mal gesagt, ich glaube, in diesem Gespräch geht es um die Menschen, und das ist der Schlüssel, und das ist es, was wir hier zu tun versuchen: den Menschen zu helfen. Vielen Dank.
Rehman Khan: Ja. Danke schön. Vielen Dank, Jason, für die Gelegenheit.
Jason Clark: Großartig.
Anzeige: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Suchen Sie nach der richtigen Cloud-Sicherheitsplattform für Ihre digitale Transformation? Mit der Netskope Security Cloud können Sie Benutzer von jedem Gerät und jeder Anwendung sicher und schnell direkt mit dem Internet verbinden. Erfahren Sie mehr auf Netskope.
Produzent: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren, und teilen Sie sie mit jemandem, den Sie kennen und dem es gefallen könnte. Seien Sie gespannt auf die Episoden, die alle zwei Wochen erscheinen, und wir sehen uns in der nächsten.
Warum Netskope? 
){kind=icon}
