0:00:00.0 Max Havey: Hola, y bienvenidos a una nueva edición de Security Visionaries. Un podcast sobre el mundo de la infraestructura cibernética, de datos y tecnológica, que reúne a expertos de todo el mundo y de todos los ámbitos. Soy su anfitrión, Max Havey, y hoy estamos echando un vistazo a lo que se vislumbra en el horizonte para el próximo año, hablando de las predicciones para 2025 con nuestro invitado, Kiersten Todt. Kiersten, que actualmente se desempeña como presidenta de Wondros, ha pasado gran parte de su carrera trabajando en el sector público. Incluyendo períodos como Jefe de Gabinete de la Agencia de Seguridad de Infraestructura y Ciberseguridad, CISA y Director Ejecutivo de la Comisión Presidencial para la Mejora de la Ciberseguridad Nacional. Y estoy muy emocionada de escuchar sus pensamientos sobre el año que viene. Así que, Kiersten, muchas gracias y bienvenido al espectáculo.
0:00:40.2 Kiersten Todt: Muchas gracias, Max. Es un placer estar contigo.
0:00:43.1 Max Havey: Absolutamente. Y a medida que nos acercamos al final del año, entramos en un momento que muchos en el Sector han calificado como una temporada de predicciones en la que los líderes de opinión de todo el Sector ofrecen sus opiniones sobre lo que se avecina para el próximo año. Así que hoy, quería elegir tu mente y conocer tu opinión sobre algunas de las predicciones que están en tu mente. Entonces, Kiersten, ¿puedes darnos tu primera predicción aquí?
0:01:00.3 Kiersten Todt: Así que creo que uno de los elementos clave es la inteligencia artificial. Obviamente, hemos estado hablando mucho sobre la IA durante los últimos dos años, y creo que lo que vamos a ver es que esa burbuja va a estallar un poco, que este tipo de aumento, hay una curva de la que hablan en la investigación de que se ve la mayor actividad cuando la gente sabe menos sobre algo, y creo que hemos llegado a ese pináculo. Pero lo que vamos a ver ahora es probablemente una mirada más centrada en cómo la inteligencia artificial es una herramienta, cómo se puede utilizar realmente para mejorar la ciberseguridad. Cuando estamos analizando la refactorización del código y el escaneo de vulnerabilidades, existe una oportunidad real para que la inteligencia artificial trabaje con la ciberseguridad.
0:01:41.4 Max Havey: Absolutamente. Y eso es un poco vanidoso. ¿Qué tipo de información crees que la gente cibernética puede obtener de esta burbuja que comienza a explotar?
0:01:48.3 Kiersten Todt: Bueno, creo que se trata de entender realmente cómo apreciamos la amplitud de la inteligencia artificial. Creo que gran parte de la tecnología tiene que ver con usarla como una herramienta, como una oportunidad, y también ser consciente de los desafíos que presenta. Y así, ciertamente, nos enfocamos en estas cosas de una manera muy extrema. En lo que respecta a la inteligencia artificial, hemos visto que se va a apoderar del mundo, se va a apoderar de los humanos, y también va a ser esta innovación del santo grial la que va a salvar al mundo. Y, por lo general, la realidad está en algún lugar justo en el medio y hemos oscilado el péndulo en esas diferentes direcciones. Y ahora, mientras nos enfocamos, creo que volveremos a ver la inteligencia artificial como una herramienta para ayudarnos a mejorar la ciberseguridad, mejorar estos problemas técnicos en los que no necesariamente necesitamos tener humanos como parte de ella, pero los humanos ciertamente deben mantenerse comprometidos.
0:02:36.3 Max Havey: Seguro. Es, hasta cierto punto, una especie de encontrar ese punto medio. No se trata de ser agorero al respecto, de no ser demasiado optimista, sino de entender el valor real de ello en este momento.
0:02:45.8 Kiersten Todt: Sí, exactamente.
0:02:46.2 Max Havey: Sobre ese mismo tema, ¿cómo crees que ese tipo de ideas en torno a la búsqueda de ese punto medio pueden ayudar a avanzar en la seguridad?
0:02:53.1 Kiersten Todt: Bueno, creo que cuanto más nos entendamos y nos eduquemos, creo que el desafío con la inteligencia artificial es que hay tanta variabilidad en lo que la gente sabe. Se convirtió en la plaza central y en el cartón de bingo de todos. Y así, se escucha a las juntas directivas, a los directores ejecutivos y a los ejecutivos hablar de cómo estamos utilizando la IA cuando sabemos que, de hecho, la inteligencia artificial existe desde hace tiempo y muchas empresas la han utilizado durante un tiempo. Así que lo que esperamos ver ahora es una mayor fluidez, una mayor alfabetización, y qué es la inteligencia artificial, cómo se puede usar y la precaución adecuada sobre cómo siempre vamos a integrar la innovación cuando en realidad no conocemos todas las aplicaciones de la misma, que son parte de la investigación y parte del crecimiento del tema.
0:03:36.9 Max Havey: Absolutamente. Bueno, porque es esa sensación de, conozco la forma en que la gente habla mucho sobre la IA generativa. A menudo ha sido una especie de vida que encuentra un camino. La gente encontrará constantemente formas de trabajar con esto y de utilizarlo tanto en beneficio como en detrimento de mucha organización. Por lo tanto, tener esa precaución adecuada parece clave para encontrar la mejor manera de avanzar.
0:03:54.2 Kiersten Todt: Sí, exactamente, exactamente. Porque creo que como cualquier cosa, siempre, son barandillas y guía. Podemos ver cómo podemos guiarnos por esta tecnología, pero necesitamos tener las barreras de seguridad adecuadas. Y no creo que en nuestra vida vaya a haber una situación en la que vayamos a entregar importantes infraestructuras críticas o elementos importantes de nuestra sociedad a la tecnología de la que siempre tenemos que tener en cuenta el juicio humano. Y creo que eso es particularmente crítico cuando se trata de herramientas que se basan en IA.
0:04:23.5 Max Havey: Seguro. Creo que sin dejar de lado el elemento humano en todo esto, especialmente en todo lo relacionado con la seguridad, el elemento humano es algo que siempre hay que tener en cuenta.
0:04:31.0 Kiersten Todt: Derecha. Porque creo que la otra parte es que tenemos que apreciar eso, particularmente la IA generativa que compartiste, es que todo el mundo siempre habla de basura que entra, basura que sale. Al igual que lo que sea que vaya a la inteligencia artificial, si estamos ingresando cualquier tipo de datos sesgados, entonces lo que el modelo va a lanzar va a estar exponencialmente sesgado. Y entonces no es que sea... La gente tiende a ver eso como un extremo, pero es solo un recordatorio importante de que si algo de lo que ponemos sutilmente en la inteligencia artificial no es preciso, la IA generativa lo producirá en formas mucho más extremas. Así que tenemos que prestar atención a las cosas que solo los humanos pueden determinar. El tono, el tenor y los problemas culturales a medida que construimos estos modelos de IA.
0:05:14.4 Max Havey: Absolutamente. Bueno, y en esa misma línea, para sacar una predicción de uno de nuestros amigos aquí en Netskope, Neil Thacker, nuestro CISO en EMEA, predijo la idea de que el aumento de aún más regulaciones de IA y la organización que desea más visibilidad en la IA, potencialmente verá el aumento de un rol Nuevo, una especie de director de IA. Y ya que estamos hablando de IA, quería que me hicieras una idea de cómo te parece ese tipo de predicción de cara al futuro.
0:05:37.3 Kiersten Todt: Ya lo tenemos. No sé si en realidad es predictivo para la próxima. Al igual que nosotros, eso ha sido parte del orden ejecutivo en el gobierno y el gobierno rara vez es el líder cuando se trata de estas cosas. Pero son la orden ejecutiva y la inteligencia artificial identificó a un director de IA y todas las agencias federales. Así que están viendo que creo que Sector le seguirá de cerca. Sin embargo, creo que lo que va a suceder, de lo que tenemos que tener cuidado, porque realmente hemos visto esto en el gobierno, es que simplemente no quieres a alguien que esté haciendo todo este otro trabajo, si es un CISO, si tiene otras responsabilidades, ahora de repente agregan al director de IA a su rol. Eso podría estar bien, pero de manera similar a la forma en que evolucionaron los CISO y los CIO, a menudo era un rol que ocupaba alguien que tenía otro conjunto de responsabilidades que tenían habilidades y experiencia adyacentes, y luego tenían que averiguar cuál era el rol, y que había esta variabilidad de lo que era un CISO o un CIO.
0:06:30.2 Kiersten Todt: Creo que estamos incorporando eso más. Pero creo que si nos fijamos en la descripción de la posición en las principales empresas y en lo que hicieron su CIO y CISO , sin duda veríamos algunos puntos en común, pero veríamos algunas diferencias fuertes en función de la empresa. Es probable que veamos evolucionar ese tipo de rol. Supongo que probablemente verás a los CISO y CIO asumir el trabajo de Director de IA. Es posible que veas a un jefe de investigación y desarrollo convertirse en parte de la posición Descripción u otros roles. Creo que la clave será la claridad de lo que se espera. Creo que tenemos que tener cuidado de no entrar en un ejercicio de marcar la casilla de la IA. Es como, sí, tenemos a ese oficial. ¿Qué significa eso? Habrá diferentes áreas de enfoque, pero el elemento clave para esto será ¿qué busca lograr la empresa a través de este rol y con la inteligencia artificial?
0:07:17.4 Max Havey: Absolutamente. Poner los resultados en primer lugar y lo que quieren ver del uso de este tipo de tecnologías y cómo están tratando de protegerse con ellas o protegerse de ellas.
0:07:25.6 Kiersten Todt: Sí. Sí.
0:07:26.5 Max Havey: Excelente. Bueno, para pasarle la batuta a usted, como alguien con un entorno gubernamental / sector público realmente fuerte, ¿tiene alguna predicción sobre la seguridad y el sector público de cara a 2025?
0:07:36.0 Kiersten Todt: Bueno, creo que es probable que veamos más intrusiones de alto perfil de China como actor de un Estado nación. Hemos visto la familia de tifones este año, Tifón Flax, Tifón Volt, Tifón Sal. Y creo que veremos algo con un impacto similar, si no mayor, que revelará de una manera diferente potencialmente, pero cómo China está sentada en las redes de infraestructura crítica. Y la clave será ¿qué tan preparados estamos para responder a eso? ¿Cómo estamos compartiendo eso con nuestros socios de infraestructura crítica, y cambia la forma en que nos estamos protegiendo, cómo estamos tratando esta amenaza que sabemos que es finita en este período de tiempo entre ahora y 2027 cuando hay una predicción de que China tomará una acción estratégica contra Taiwán? Así que creo que mirar no solo la conciencia de que este tipo de evento sea revelado y público, sino ¿qué hacemos con él como nación?
0:08:32.8 Max Havey: Seguro. Y específicamente, ¿qué significaría realmente detectar otro incidente como este para la seguridad del sector federal?
0:08:38.8 Kiersten Todt: Bueno, creo que lo que se podría ver potencialmente es si esto crea un catalizador para la regulación. En el último año estamos viendo mucha agitación y debate sobre la regulación de las infraestructuras críticas, la forma en que analizamos los sectores y la protección de los sectores y las agencias de gestión de riesgos sectoriales. Siempre ha existido esta preocupación por la regulación de la infraestructura crítica en toda la infraestructura porque diferentes... Hay colaboración y, de nuevo, hay mucha variabilidad. Creo que si vemos que estos ataques continúan ocurriendo en infraestructuras críticas, ¿eso eleva el listón de lo que se espera? ¿Cómo estamos viendo a la Organización del gobierno federal para trabajar con el Sector y proteger la infraestructura crítica? Creo que podría crear, una vez más, un catalizador para algunos de estos debates y, potencialmente, con suerte, algunas medidas adicionales que ayuden a aclarar sus funciones, pero lo que es más importante, a mejorar y aumentar la seguridad.
0:09:28.7 Max Havey: Definitivamente. ¿Y qué significa eso también para los CISO globales, para la gente incluso fuera de los EE. UU.? ¿Qué es lo que este tipo de incidentes les señala?
0:09:37.2 Kiersten Todt: Creo que, como sabemos, la ciberseguridad no respeta realmente las fronteras geográficas. Y así, las preocupaciones que tenemos son ciertamente compartidas por nuestros socios económicos de ideas afines, por nuestros aliados occidentales. Y con suerte, creo que el trabajo que el Departamento de Estado ha hecho con la oficina que el embajador Nate Fickett está llevando a cabo sobre la tecnología emergente y realmente analiza la diplomacia en seguridad cibernética, y la creación de cierta normalización y armonización de la regulación, pero también las respuestas que esto brindará una oportunidad para que trabajemos juntos y colaboremos más a nivel mundial e internacional, que siempre es algo en lo que pensamos que podemos hacerlo mejor.
0:10:14.7 Max Havey: Por supuesto, porque esto no es necesariamente una cosa de Nuevo, pero se está volviendo cada vez más prominente a medida que ocurren estos incidentes. Eso se convierte cada vez más en una noticia para la gente del mundo.
0:10:23.9 Kiersten Todt: Bueno, creo que el preposicionamiento de China y nuestra infraestructura están muy específicamente relacionados con Taiwán, es decir, Nuevo, y creo que es por eso que estamos viendo la desclasificación de esta inteligencia dentro de este país en particular aún más hacia adelante debido a la importancia de compartir esta información, asegurándose de que la conciencia, los monitores y los CISO y los directores ejecutivos estén prestando mucha atención después del tifón sal, que fue cuando entendimos que China estaba en la red de comunicaciones, las empresas habían violado las empresas de comunicaciones, y específicamente el sistema que estaba compartiendo datos con las fuerzas del orden sobre las escuchas telefónicas. Varios directores ejecutivos y altos ejecutivos con los que había realizado algún trabajo cibernético me preguntaron qué significa esto para mí. Y creo que eso sigue siendo un desafío cuando vemos empresas prominentes que todavía se preguntan cómo deben responder a esto. Esperemos que haya un mayor compromiso colaborativo por parte de estas empresas y que el trabajo continuo con el sector y el gobierno y esa colaboración aumenten.
0:11:25.5 Max Havey: Absolutamente. Colaboración es la palabra clave cuando se trata de muchas cosas de seguridad. Un tema anterior de esta serie fue la seguridad como deporte de equipo. Y creo que la idea de que esto es algo con lo que todo el mundo está lidiando en algún momento, todo el mundo está tratando de averiguar cómo pueden protegerse mejor contra estas amenazas Nuevo a medida que van surgiendo es extremadamente importante.
0:11:45.1 Kiersten Todt: Sí, absolutamente.
0:11:46.4 Max Havey: Me encantaría ver, ¿tienes alguna otra predicción que esté en tu mente en este momento?
0:11:51.8 Kiersten Todt: Creo que es tanto una predicción como una aspiración. Creo que si lo digo como una predicción, podría ser capaz de manifestarlo y hacerlo realidad. Pero creo que la forma en que identificamos la infraestructura crítica, lo que es una infraestructura crítica, sigue evolucionando en función del entorno de amenazas y otras cuestiones. Pero la nube, el tema de la nube, lo que es, lo que ponemos allí, para mí, necesitamos identificar la nube como infraestructura crítica. Y creo que, después de haber estado en este espacio durante mucho tiempo, hubo un período de tiempo en el que la identificación de una empresa como infraestructura crítica no se veía realmente como una oportunidad, se veía casi más como una penalización porque normalmente significaba que te iban a regular y que se te imponían más restricciones que oportunidades.
0:12:34.9 Kiersten Todt: Espero, y sé que hay muchos esfuerzos en marcha por parte del gobierno federal, que ser identificados como infraestructura crítica brinde la oportunidad de participar más estrechamente, más directamente con el gobierno federal para ayudar a proteger lo que es infraestructura crítica. Y creo que también ayuda a gestionar cómo se prestan estos servicios. Así que, ciertamente, los proveedores de servicios en la nube, en todos los lugares en los que son omnipresentes en este espacio, tenemos que pensar en cómo gestionamos esa herramienta y cómo nos aseguramos de que tenga un nivel básico de seguridad, dado lo conectada que está a gran parte de cómo operamos, no solo como nación. sino como un mundo.
0:13:10.7 Max Havey: Absolutamente. Y quiero decir, ¿cómo impactaría ese tipo de cambio en la forma en que Organización hoy piensa sobre la nube tal como operan dentro de ella?
0:13:19.9 Kiersten Todt: Creo que podría significar que hay un esfuerzo más deliberado para entender lo que significa traerlos a su Organización. Creo que se ve como una tecnología que sí, así es como tengo que operar, pero en algunas empresas, incluso puede verse como algo bueno no tener la necesidad de tener. Creo que si lo vemos como algo que es tan ubicuo y tiene tanto impacto y puntos de contacto en todas las cadenas de suministro, será más reflexivo, no solo sobre cómo lo estamos eligiendo, sino también sobre las preguntas que hacemos al involucrar al proveedor de servicios en la nube.
0:13:49.7 Max Havey: Seguro. Hasta cierto punto, parece casi tan importante para el trabajo diario y para mantener la continuidad del negocio como Internet. Están ocupando un espacio similar en el que, para algunos, Internet no era un recurso imperativo, no se veía como una necesidad de tener.
0:14:02.8 Kiersten Todt: Correcto, exactamente.
0:14:03.5 Max Havey: Y la nube se está moviendo hacia el mismo tipo de, esto solía ser bueno de tener, pero ahora es absolutamente necesario tener esto.
0:14:09.3 Kiersten Todt: Sí, exactamente. Exactamente.
0:14:11.9 Max Havey: Bueno, y en ese mismo sentido, ¿qué tipo de resultados esperamos ver de este tipo de reclasificación?
0:14:17.3 Kiersten Todt: Creo que esperamos ver un aumento de la seguridad y una mayor colaboración con el gobierno sobre cómo avanza la tecnología y garantizar que no sustituyamos la innovación por la seguridad. No creo que tengan que ser mutuamente excluyentes. En tecnología, a veces se ve de esa manera, pero podemos avanzar de manera reflexiva y deliberada y garantizar niveles importantes de seguridad y protección, no solo para la empresa que es el proveedor de servicios en la nube, sino también para las empresas a las que sirve y las cadenas de suministro que tocan ese ecosistema.
0:14:50.3 Max Havey: Seguro. Es la noción de que el mundo se ha vuelto mucho más pequeño a medida que todos avanzamos hacia un mundo más híbrido. Ahora todo el mundo opera en la nube. Es algo que, como tu abuela, sabe ahora.
0:15:00.6 Kiersten Todt: Sí.
0:15:00.7 Max Havey: Y toca todo de una manera que tú y yo probablemente reconocemos que todos tocamos, pero de una manera que como tu persona común en la calle tal vez no se dio cuenta hasta que fue arrojada justo frente a ellos.
0:15:10.7 Kiersten Todt: Sí, sí, exactamente.
0:15:12.4 Max Havey: Y así, los ataques en la nube, el tipo de amenazas que estamos viendo en la nube, lo harán potencialmente más catastrófico.
0:15:20.2 Kiersten Todt: Sí. Bueno, y creo que eso es exactamente como miramos esto, vemos cuán interdependientes son los sistemas con la nube. Entonces, algo que le sucede a la nube en la nube a una empresa que realmente tiene impactos de gran alcance.
0:15:33.8 Max Havey: ¿Y hay algún ejemplo reciente de ese tipo de cosas que hayas visto en el mundo que estarías dispuesto a compartir de la manera en que has visto que se desarrolla ese tipo de interdependencia?
0:15:41.4 Kiersten Todt: Bueno, creo que el primer ejemplo que sacudió un poco a todo el mundo porque mostró cómo algo podía impactar fue cuando hubo una violación de AWS que afectó a Capital One. Se determinó que Capital One tenía la vulnerabilidad y no era por culpa de Amazon. Y ahora no recuerdo los detalles, pero fue este primer tipo de conciencia pública de que estas cosas están conectadas y si algo le sucede a una empresa, en realidad es una discusión de la cadena de suministro. Si hablamos de estas cosas en términos nuevos, ecosistema en la nube, pero siempre se trata realmente de una cadena de suministro. Es cómo el impacto de una empresa que está en su cadena de suministro, no solo en la forma en que produce, sino también en cómo opera, puede afectar a la empresa misma. La seguridad, la seguridad, su vulnerabilidad.
0:16:26.0 Max Havey: Absolutamente. Entonces, para atar las cosas aquí, Kiersten, ¿podrías darnos una resolución que tengas como experto en seguridad y hacia dónde estás resolviendo como experto en seguridad en 2025?
0:16:40.7 Kiersten Todt: Seguro. Así que he estado trabajando en este espacio durante más de un par de décadas, y siempre hemos estado mirando la naturaleza abstracta de la tecnología y la cibernética. Es la pieza de tecnología. Y más recientemente, en los últimos cinco a siete años, el trabajo que he realizado se ha centrado mucho más en el ser humano en lo que respecta a la ciberseguridad. ¿Y cuál es el papel de los humanos? Al fin y al cabo, la ciberseguridad es una herramienta. Protege la infraestructura, pero los seres humanos son la base de cómo estamos protegiendo a nuestra nación con la seguridad de que tenemos una rendición de cuentas y una responsabilidad como individuos. Y es una de las razones por las que acepté este papel en Wondros, que realmente se trata de involucrar contenido creativo para crear impacto social, para crear movimientos humanos donde el comportamiento de las personas cambia para bien, mirando los problemas de política social, pero también mirando la tecnología.
0:17:32.2 Kiersten Todt: Y hace un mes lanzamos una campaña con Craig Newmark filanthropies llamada Take9, que trata sobre cómo nosotros, como individuos, dejamos de convertirnos en víctimas en un momento en el que no somos víctimas de la urgencia de pasar de una reacción a responder reflexivamente a actuar. Y creo que si miro al próximo año, y pienso en cuál es la visión de Craig Newmark, que es que si involucramos a las comunidades de defensores civiles cibernéticos, comenzamos a crear una comunidad y una cultura que exige más de Sector, de la infraestructura crítica y no como un nosotros contra ellos, sino de una manera colaborativa. Y lo que me gustaría ver el próximo año es que tengamos más individuos que sean activistas, activando y pidiendo más seguridad, pidiendo más seguridad a estas empresas, porque podemos poner mucho de esto en marcha a nivel del gobierno federal. Pero al final del día, estas son empresas públicas, empresas privadas que se basan en la generación de ingresos. Y la atracción más fuerte es si los individuos, las entidades y las organizaciones comienzan a tomar decisiones sobre las empresas y las organizaciones con las que trabajan en función de su seguridad y su postura de seguridad, eso contribuirá en gran medida a crear culturas de seguridad, culturas de seguridad y, lo que es más importante, a crear una nación más segura y resiliente.
0:18:49.5 Max Havey: Absolutamente. Eso me encanta. Es la idea de que todo el mundo es responsable de su propia ciberseguridad y de la ciberseguridad de todos los que nos rodean y una marea creciente levanta todos los barcos.
0:18:57.6 Kiersten Todt: Exactamente, porque cualquier evento que sucede, puede ser masivo, puede ser global, pero impacta a las comunidades. Y comienzas con una de las cosas que hicimos en CISA que creo que es un éxito muy fuerte durante esta administración, fue realmente reforzar el trabajo de las oficinas regionales, porque cuando hay un evento de una empresa de energía, un distrito escolar, tener personas en el terreno que son expertas en seguridad cibernética y seguridad física allí ayudando con la respuesta inmediata es realmente importante. Porque el gobierno federal es importante, pero tenemos que trabajar realmente con las comunidades para responder rápidamente y gestionar el impacto lo más rápido que podamos.
0:19:36.4 Max Havey: Excelente. Sí, no, me encanta. Kiersten, puedo ver a nuestros productores diciéndome con la mano que estamos llegando a nuestro fin, pero ¿hay algo más que te gustaría añadir antes de que terminemos aquí?
0:19:44.0 Kiersten Todt: No, agradezco la colaboración. Agradezco la consideración. Creo que cuanto más tipos de discusiones en las que difundimos ideas, ayuda a inspirar nuevas acciones. Así que gracias por la oportunidad de hablar con usted.
0:19:54.0 Max Havey: Absolutamente. Muchas gracias por acompañarnos hoy. Esta fue una muy buena conversación y estoy muy emocionado de escuchar lo que otras personas piensan sobre todas las cosas geniales que tienes que decir aquí. Has estado escuchando el podcast Security Visionaries y yo he sido tu anfitrión, Mak Havey. Si te ha gustado este episodio, compártelo con un amigo y suscríbete a Security Visionaries en tu podcast favorito, Plataforma. Allí puedes escuchar nuestro catálogo de episodios y estar atento a los nuevos, que se lanzan cada mes, presentados por mí o por mi copresentadora, la maravillosa Emily Wearmouth. Y con eso, nos vemos en el próximo episodio.
[música]
Por qué Netskope 
){kind=icon}
