Productor [00:00:00] Bienvenido a Security Visionaries, un podcast impulsado por Netskope enfocado en brindarle conversaciones con altos ejecutivos del mundo de la ciberseguridad, la tecnología, la confianza y las redes. Este episodio presenta una conversación entre Shamla Naidoo, jefa de estrategia e innovación en la nube en Netskope y Homaira Akbari, presidenta y directora ejecutiva de AKnowledge Partners, moderada por Steve Weber, profesor de la Escuela de Información de UC Berkeley y socio de Breakwater Strategy. Como coautores del reciente libro The Cyber Savvy Boardroom: EssentialsExplicated, Shamla y Homaira analizan su impulso para escribir este libro, cómo aborda las tendencias cambiantes en ciberseguridad y el tipo de comentarios que han recibido de sus pares. Aquí está nuestra conversación con Shamla, Homaira y Steve.
Steve Weber [00:00:45] Bienvenido al podcast Security Visionaries. Mi nombre es Steve Weber. Soy profesor en la Escuela de Información de UC Berkeley y socio de Breakwater Strategy, que es una firma de asesoría con sede en Washington, DC. Es un honor para mí presentar este podcast. He pasado diez años en el mundo de la ciberseguridad y sus alrededores desde el lado técnico, el lado comercial y el lado político. Y una de las dinámicas más interesantes, desafiantes e importantes ha sido la conversación sobre ciberseguridad tal como ocurre en la sala de juntas, ver a los directores lidiar con la supervisión y la gobernanza es este conjunto de riesgos complejos y de rápido movimiento y en esa mezcla ahora vienen Homaira Akbari y Shamla. Naidoo con un libro nuevo y muy convincente, The Cyber Savvy Boardroom. Diré que es notable en varias dimensiones diferentes, pero para mí principalmente por su legibilidad, su usabilidad práctica inmediata y, francamente, el alcance de su cobertura. Así que empecemos desde el principio. Homaira, Sharma. Cuéntanos quién eres, cómo llegaste a escribir este libro y por qué ahora.
Homaira Akbari [00:01:58] Soy Homaira Akbari, presidenta y directora ejecutiva de AKnowledge Partners. Comencé mi carrera como científico en física experimental de partículas y trabajé en el Centro Europeo de Investigación Nuclear CERN. Pasé la mitad de mi carrera empresarial liderando negocios de tecnología en empresas como Thales en Francia y Microsoft, Liberty Media, y fui director ejecutivo de Skybitz, una empresa de IoT. Actualmente soy consejo directivo del Banco Santander y Landstar System. En mi puesto actual en AKnowledge Partners. Trabajo con grandes y grandes corporaciones en capital privado en los ámbitos de seguridad, ciberseguridad, IoT, transición energética e inteligencia artificial.
Steve Weber [00:02:43] ¿Shamla?
Shamla Naidoo [00:02:44] Soy Shamla Naidoo. Soy tecnólogo desde hace mucho tiempo. Pasé cuatro décadas en tecnología y aproximadamente la mitad de ese tiempo lo he pasado como líder de ciberseguridad en grandes organizaciones. Formo parte de juntas directivas de tres empresas públicas y enseño derecho de tecnologías emergentes y derecho de privacidad global en la Universidad de Illinois. Entonces aporto tres perspectivas diferentes a la misma conversación: ser un profesional, estar en el lado receptor de esas actualizaciones de la junta y luego aprender y comprender los compromisos y obligaciones regulatorios de la junta.
Steve Weber [00:03:16] Hable sobre ¿por qué ahora? Hable sobre el momento y la importancia de la urgencia del libro en 2023 y avance hacia 2024, si así lo desea.
Homaira Akbari [00:03:27] Siendo realistas, este libro debería haberse escrito hace uno o varios años. Pero la urgencia ahora es que, como has visto, Steve y como todo el mundo ha visto todos los días, tenemos noticias de este tipo de vulneración cibernética y estas vulneraciones cibernéticas se están volviendo cada vez más grandes y más grandes y se están extendiendo. Solía ser que solo se trataría de servicios financieros o atención médica, pero ahora se extiende a todas las industrias, a todos los clientes, a todos los tamaños de entidades, ya sean sin fines de lucro o oficinas familiares o grandes empresas públicas o privadas y las pequeñas por igual. . Y eso se debe específicamente al ransomware, que es básicamente el tipo de ataque a los datos u otros activos de una entidad que se ve comprometido y luego es secuestrado, si se prefiere, cifrado y secuestrado. Y para que los piratas informáticos lo liberen, solicitan dinero. Y eso se ha convertido ahora en un asunto realmente criminal. Y cada sector, cada empresa está sujeta a eso. Y en segundo lugar, la razón por la que hay urgencia es que muchos reguladores y específicamente en los EE. UU., la FCC acaba de adoptar reglas de divulgación, principalmente para las empresas públicas. Pero como usted sabe, normalmente las empresas privadas también siguen eso, que consiste en informar cualquier incumplimiento material dentro de los cuatro días hábiles mediante la presentación y el 8-K. Entonces, de repente, la ciberseguridad se ha convertido en algo similar a otros riesgos que tienen las organizaciones. Además, la SEC ahora exige que las empresas también desarrollen o elaboren su estrategia, gobernanza y organización sobre cómo apoyan a la organización contra los riesgos cibernéticos e incorporen toda esa información a su 10-K anualmente. Entonces. La sala de juntas, más que nunca, está ahora involucrada en el ámbito cibernético, en la supervisión del riesgo de seguridad cibernética y en garantizar que se cumplan los requisitos de la SEC y, en general, otros requisitos reglamentarios.
Steve Weber [00:05:58] Shamla, ¿algo para responder a eso desde tu perspectiva? Esta es la primera vez que te sientas y te tomas el tiempo necesario para escribir un libro. ¿Porqué ahora? ¿Qué? ¿Dónde estaba la urgencia para ti?
Shamla Naidoo [00:06:10] Lo que yo agregaría es que en este momento las empresas están creciendo a la velocidad del rayo, ¿verdad? Y yo diría que de todas las empresas, la mayoría ya son empresas digitales de algún tipo. Pero todos ellos están aumentando la huella digital. Vivimos en una economía de datos, por lo que estamos creando y produciendo más datos que nunca. Nuestra tecnología funciona cada vez más rápido. Y, francamente, todas esas son cosas buenas porque brindan enormes oportunidades para el crecimiento empresarial. Sin embargo, al mismo tiempo debemos prestar el correspondiente esfuerzo y el correspondiente nivel de atención a los riesgos de ciberseguridad, porque una mayor huella digital aumenta los puntos de exposición. Aumentan la oportunidad de llegar a un acuerdo. Aumentan las posibilidades de robo y otros tipos de actividades fraudulentas. Así que creo que ahora es el momento para que los directores de la junta directiva, ya que supervisan que la estrategia no solo se centre en las cosas buenas, sino también presten el nivel correspondiente de atención a las cosas que podrían salir mal, que es lo que las juntas directivas tienen la tarea de hacer. . Pero lo que intentamos hacer con este libro, y por qué ahora, es llamar la atención, crear una conciencia en esa comunidad de que debemos mirar aquí, que no pueden pasar por alto esta vez.
Steve Weber [00:07:34] Interesante, es casi como si cada vez que viéramos que se usa la palabra transformación digital, deberíamos asegurarnos de que la palabra ciberseguridad esté en la misma oración o en la siguiente. Déjame volver contigo Homaira. Incluso para los directores, los menos expertos o los más expertos desde una perspectiva técnica, hay muchas publicaciones y cursos dedicados a educar a los miembros de la junta directiva sobre ciberseguridad. Obviamente, estás trayendo este libro a ese entorno. ¿Cómo estructuró este libro teniendo en cuenta todas esas alternativas? ¿Qué fue diferente desde su punto de vista en términos de agregar valor real a una visión educativa abarrotada, pero aún difícil de servir?
Homaira Akbari [00:08:22] Shamla y yo realmente estudiamos, si se quiere, lo que había en el mercado, y el ímpetu para escribir nuestro libro se debió a que, de hecho, vimos una brecha. Entonces, lo que vimos con lo que existe ahora principalmente son escritos, libros, folletos, que hablan sobre términos básicos, si se quiere, básicos de ciberseguridad y cuáles son estos conceptos básicos. Y luego, a veces, salta a cientos de preguntas que los miembros de la junta pueden hacer. Como CISO, hemos notado y observado en tiempo real que algunos de mis colegas directores hacían estas preguntas en una sala de juntas, y el CISO respondemos a eso. Y el miembro de la junta decía: Oh, está bien, gracias. Pero no hay una discusión ni un compromiso realmente significativo con la OSC y con la gerencia en su conjunto para comprender realmente qué hay detrás de estas respuestas y si sabes lo que haces; por ejemplo, cuando haces una pregunta contable o financiera, con frecuencia hay un debate. y generalmente cuando se ve en ciberseguridad no hay debate porque en realidad el miembro de la junta simplemente no tiene ese conocimiento básico y fundamental de ciberseguridad. Eso es lo que decidimos hacer para crear en un volumen bastante corto, 80 páginas, ese conocimiento fundamental que todo miembro de la junta necesita. Y luego nuestro plan es que sigan construyendo sobre ese conocimiento, en esa plataforma. Y, como sabemos, es un aprendizaje continuo, específicamente para la ciberseguridad. Pero lo que fue muy singular, lo que hicimos fue crear una serie de modelos mentales que realmente pueden ser digeridos en un formato gráfico y pueden ser digeridos con bastante rapidez por miembros inteligentes de la junta, de los cuales todos los directores son personas muy exitosas. Y esa fue la forma en que lo definimos, es una serie de mapas. Tenemos cuatro mapas en todo el libro; el primer mapa define grupos de activos comerciales y básicamente creamos diez categorías. Algunos de ellos son, por ejemplo, los datos de un grupo de activos comerciales, los activos financieros. Las personas son los otros. Pero tenemos unos diez, de hecho, diez grupos de activos empresariales, y los definimos. Una vez que los definimos, pasamos a mostrar cuál es nuestro sombrero blanco. Nuestro activo es un activo empresarial. ¿Qué tipo de beneficio obtienen al acceder a él y cuáles son sus motivaciones, por qué lo harían, cómo lo harían? Y eso nos llevó a lo que llamamos vectores de ataque. Por lo tanto, asignamos a cada grupo de activos comerciales los vectores de ataque que existen hoy en día para atacar estos grupos de activos comerciales, ya sea para llegar a ellos directamente o para usarlos como un conducto para llegar a las joyas de la corona de la organización mediante las cuales, por ejemplo, los datos se definen como joyas de la corona, no sólo sino sólo una de ellas. Luego pasamos al mapa tres, y el mapa tres trataba, nuevamente, de los mismos diez grupos de activos comerciales que mostramos. ¿Cómo los proteges? Así que mostramos la forma típica en que hoy la estrategia de defensa de una buena empresa, de una buena organización que tiene una postura de seguridad muy buena o preferible, en realidad ha defendido estos grupos de activos en particular. Y luego llegamos al mapa cuatro, en el que volvemos a proporcionar métricas para cada grupo de activos empresariales para mostrar la eficacia de la protección. Y luego también incluimos, porque este es el sistema de defensa, no es solo protección, sino que en ciberseguridad también se trata de detección, respuesta y recuperación. También incluimos métricas sobre la medición de la eficacia de la postura de seguridad mediante pruebas, así como mediante métricas de detección y respuesta. Así que creo que esto es único, nunca se ha hecho y es muy completo, pero también es muy fácil de digerir y aprender.
Steve Weber [00:12:40] Sí, diré que desde la perspectiva del lector, creo que otros lectores encontrarán lo mismo. Estas construcciones de mapas mentales realmente ayudan a definir algunas prioridades y la jerarquía de preguntas a formular. Entonces, para mí, ciertamente eso fue bastante nuevo, muy importante y útil. Sharma Déjame volver contigo y preguntarte específicamente sobre la nube. Para tantas organizaciones de tantos tamaños diferentes, la transformación digital se ha convertido ahora en una conversación sobre el paso a la nube en todo tipo de configuraciones diferentes. Entonces hablemos de la nube. Y cuando piensas en esa transformación y migración a la nube, ¿qué tipo de posibilidades, qué tipo de preguntas plantea esto a la junta directiva específicamente con respecto a la seguridad?
Shamla Naidoo [00:13:29] Sabes, creo que cuando agregamos el concepto de nube al libro, ese fue un tema importante porque en la sala de juntas, la mayoría de los directores de la junta entienden el concepto de velocidad. Entienden que necesitamos desarrollar capacidades muy rápidamente. Y cuando les dices que puedes poner algo en la nube o consumir algún servicio de la nube, la conexión inmediata es que esto sucederá mucho más rápido porque no tengo que tener a nuestro equipo gastando todo el tiempo. tiempo y esfuerzo para desarrollar la capacidad básica. Alguien más ya lo hizo. Simplemente lo compraremos, lo tomaremos prestado, lo arrendaremos, etc. y lo usaremos para desarrollar nuestras capacidades patentadas y estará listo para el mercado muy rápidamente. Entonces, si desea ver los beneficios de la nube, la velocidad es una moneda de cambio en las conversaciones de la sala de juntas. Sin embargo, la pregunta para nosotros era: ¿qué deberían saber ellos sobre cómo podría salir mal? Entonces, por ejemplo, ¿es obvio que la infraestructura que respalda el entorno de la nube está fuera de su control físico? ¿Cuáles son las cosas que deberían hacer que de otro modo no habrían hecho si estuvieran en el centro de datos? Y esa fue realmente la razón por la que nos centramos en este tema: necesitamos comprender los riesgos de poner cosas en la nube. Y no siempre se trata de lo que puedes tocar y sentir. A veces se trata de a quién debe supervisar, a quién debe supervisar, qué tipo de expectativas debe tener de sus socios y terceros, etc. Pero nuevamente, todos esos grandes beneficios conllevan riesgos y tienen que descubrir cómo van a supervisar esos riesgos de la manera más eficiente para lograr los resultados que desean.
Steve Weber [00:15:20] Genial. Shamla, voy a abordar tu punto sobre el riesgo porque es muy importante. Muchos directores con los que hablo se describen a sí mismos esencialmente como gestores de riesgos en un entorno de supervisión. Y quiero volver a usted, Homaira, y preguntarle sobre su punto de vista y la forma en que el libro aborda esta cuestión del apetito por el riesgo cibernético. No puede reducir su riesgo a cero. Estás gastando en servicios, productos y procesos dentro de la organización para mejorar la ciberseguridad. Y la pregunta natural que surge es ¿cómo sé que estoy obteniendo retorno de la inversión y obteniendo valor en términos de modular el riesgo hasta donde quiero que esté? Así que hablemos de cómo el libro ayuda a los tomadores de decisiones o a los directores, en este caso, a pensar específicamente en el riesgo de manera constructiva en ese contexto.
Homaira Akbari [00:16:12] Damos una serie de ejemplos y una serie de pautas. Y luego, a partir de ahí, también, como mencioné anteriormente, hablamos de un conjunto de métricas que también serían útiles para medir si esas inversiones tienen un retorno. Pero permítanme ir primero al tipo de ejemplos de los que hablamos, así que, en primer lugar, una junta directiva tiene que estar segura de que la organización está haciendo las inversiones financieras y no financieras necesarias, y quiero enfatizar las inversiones no financieras. prevenir aquellos ataques que son prevenibles y defenderse contra aquellos ataques que no son prevenibles. Entonces, una medida es, por supuesto, considerar cuándo las finanzas tienen los mejores de su clase y uno de los mejores defensores de la ciberseguridad de su clase que tienen el mejor ecosistema de defensa son las instituciones financieras o los bancos de primer nivel. Entonces, un banco típico de primer nivel gasta entre 500 y mil millones de dólares al año, Steve, cada año en ciberseguridad, y eso generalmente corresponde al 5 al 10% de su presupuesto de TI. Ya sabes, obviamente empresas más pequeñas y ese es el nivel uno. Son bancos y realmente son los mejores de su clase. Pero las empresas más pequeñas que probablemente no tendrán la capacidad de gastar esa cantidad de dinero usando ese 5 a 10% de su presupuesto de TI es una buena medida, excepto si son bastante pequeñas y ese presupuesto para TI es bastante pequeño. probablemente tengas que gastar más del 15 al 20% de ese presupuesto. El punto clave es lo que dijiste antes. Cuando piensas en defensa, cuando dices que necesito defenderme contra los riesgos de seguridad cibernética, hay cuatro aspectos. Hay protección de sus activos, hay detección de amenazas y luego respuesta a ese ataque y luego recuperación de ese ataque porque invariablemente habrá alguna infracción cibernética. Por lo tanto, debe asegurarse de tener esa postura de seguridad definida y de que la seguridad le gustaría crearla. Y por lo tanto, cuenta con las mejores herramientas de su clase y varias herramientas. Pero me extrañarían si no termino esta explicación enfatizando esa inversión no financiera. ¿Y qué es eso? En realidad, lo primero y más importante para una organización es tener la cultura cibernética adecuada. ¿Qué quieres decir? ¿A qué nos referimos con eso? En realidad, se trata de una concientización en todos los ámbitos, comenzando por el director ejecutivo y el equipo ejecutivo, la concientización y su compromiso con la ciberseguridad hasta llegar a cada empleado de la empresa. Y lo que sabemos hoy es que todavía dos tercios y tal vez más cerca del 80% de todas las infracciones se deben a algún error, intencional o no, cometido por personas dentro de las organizaciones de nuestros subcontratistas. Por lo tanto, esa conciencia, esa construcción de una cultura de ciberseguridad por parte del CEO diciendo: "Creo en ello, estoy comprometido y dedicado a ello", que luego fluirá a través de la organización y también se asegurará de que todos los ejecutivos sean responsables, no solo los CISO y Shamla puede contarle más ya que ha sido CISO responsable de la seguridad cibernética.
Steve Weber [00:19:51] Shamla Déjame volver contigo y hacerte la pregunta del día, que seguro está en la mente de todos en este momento. Ustedes comenzaron a escribir este libro cuando los grandes modelos de lenguaje todavía eran un juguete de investigación con el que jugaba la gente en laboratorios y universidades. Supongo que fue hace unos ocho o nueve meses. ChatGPT irrumpió en escena y de repente es uno de los desarrollos más interesantes, intrigantes e importantes y la palabra IA está en todas partes. Hablemos sobre cómo el auge de tecnologías como la IA generativa ChatGPT cambia o acelera la necesidad de un libro como este y los tipos de cambios de los que acaba de hablar Homaira, incluidos los cambios culturales.
Shamla Naidoo [00:20:39] Lo interesante de esto, Steve, es que hace una década tuvimos la misma reacción a la tecnología de la nube. Bien. Y en el pasado reciente, era una nube. Ahora se trata de inteligencia artificial y, en particular, de grandes modelos lingüísticos. Ya sabes, en uno o dos años, será la computadora cuántica. Y la cuestión es que la innovación no se detiene. Entonces habrá innovación constante. Nos enfrentaremos constantemente a nuevas tecnologías, nuevos enfoques, nuevas arquitecturas y nuevas herramientas. Esa es simplemente la naturaleza de la tecnología. Entonces, creo que la idea aquí es que debemos estar preparados para cualquier cosa. Y los directores de juntas en particular tienen que entender el ritmo del cambio y que necesitan crear el conocimiento fundamental con bastante rapidez, porque esa es la brecha más grande. Si no tienes una base, toda esta gran información que hay ahí va a aterrizar, pero no aterriza sobre una base sólida, lo que significa que realmente no puedes construir a partir de ella. Creo que este libro les dará la base a partir de la cual podrán construir para estar preparados para esas nuevas tecnologías, nuevas construcciones que les llegarán. Y entonces la idea es que este es el comienzo del aprendizaje. No es "el" aprendizaje. Es la base sobre la que se construirán otros conocimientos. Entonces yo diría que estén preparados para la innovación del futuro. Este libro le brindará los conceptos básicos, los enfoques y los modelos sobre los cuales pensar sobre el futuro de la innovación. Pero, ya sabes, los modelos de lenguaje grandes son un tema importante en este momento. Es un tema porque vivimos en una economía de datos. Hay datos por todas partes. La mayoría de los datos han sido invisibles hasta que esta tecnología estuvo disponible para nosotros. De esta manera podemos captar los conocimientos empresariales que están integrados en todos estos datos. Por eso creo que ahora tenemos la oportunidad de centrarnos en los datos, la protección de datos, el riesgo de los datos, el riesgo de error, el riesgo de omisiones y todas esas actividades que están integradas en el gran modelo de lenguaje que estamos va a utilizar para las empresas. Pero repito, es la base.
Homaira Akbari [00:22:53] Si pudiera pedirle a Steve que hiciera eso. Lo que es muy interesante es que en el libro hablamos de tecnología emergente, como mencionó Shamla, y hablamos específicamente de aire y chat, pero también hablamos de IoT, pero por ejemplo, cuando se trata de IoT, hablamos de la hecho de que el 80% de los riesgos cibernéticos son muy similares a cualquier otra cosa que hayamos tenido. Pero también hay especificidades. En el caso de ChatGPT o AI, uno de los grandes riesgos, como todos sabemos, es alimentar al modelo con datos incorrectos y, como resultado, obtener resultados incorrectos porque en realidad se crean datos falsos. Lo que nos lleva a algo llamado deepfakes, donde los datos se vuelven tan falsos, tan increíbles en algunos aspectos, pero algunas personas creen en ellos, lo que crea lo que se llama deepfakes. Entonces, creo que eso es exactamente lo que dijo Shamla, es que hablamos sobre cómo es la tecnología emergente, cómo se debe pensar al respecto, pero luego damos cierta especificidad para estos casos. Entonces creo que ayudamos al miembro de la junta directiva a pensar en el tema del día, en cómo deberían abordarlo.
Steve Weber [00:24:10] Estoy bastante seguro de que habrá uno nuevo en 2024 y se probará a medida que avancemos. Homaira, hablemos un poco de la forma en que las juntas directivas se evalúan y deben evaluarse. Es obvio que hay una gran cantidad de juntas directivas y empresas públicas, etc., etc. Y la gente se pregunta ¿cómo vamos? ¿Cómo sabemos que lo estamos haciendo? Estamos bien. Cómo se ve bien es la pregunta que creo que todos escuchamos mucho. Entonces, si una junta quiere evaluar su empresa, pensar en la madurez o la excelencia en ciberseguridad, ¿cómo debería hacerlo? ¿Y cómo habla el libro sobre métricas y comparaciones y cómo responde esa pregunta: ¿Cómo se ve el bien en relación con lo que otros están haciendo?
Homaira Akbari [00:24:55] Stevie Tenemos un capítulo completo, y este se llama capítulo siete, donde hablamos sobre métricas para medir porque, ya sabes, es una pregunta que los miembros de la junta directiva y los CISO han hecho millones de veces. y otras personas en el ecosistema. En el capítulo siete, el enfoque que adoptamos, básicamente definimos dos conjuntos de métricas. Una son las métricas a nivel operativo y la otra son las métricas a nivel de junta directiva. Las métricas de nivel operativo corresponden a ese mapa para esa área de la que habla, que básicamente muestra para cada grupo de activos comerciales cómo medir la eficacia de su protección y luego las metodologías de detección y respuesta que utiliza. También habla del hecho de que es necesario medir o probar la postura de seguridad de la organización, lo que realmente le da una medida, no la única, sino una medida de esa madurez. Luego llegamos a las métricas a nivel de la junta directiva y, hasta donde sabemos, nadie ha creado realmente este concepto que Shamla y yo hemos creado de que estas métricas a nivel de la junta directiva en realidad tienen cinco componentes, dos de los cuales son operativos. Entonces, uno de los insumos sería cuál es su programa de ciberseguridad, eficacia y cumplimiento normativo, y cuál es su perfil de riesgo de ciberseguridad, que proviene de las métricas operativas que mencioné. Pero también añade tres valoraciones más. Una es ¿cuál es su cultura de ciberseguridad? En segundo lugar, ¿cuáles son sus niveles de inversión y cobertura de seguro? Y, por último, ¿cuál es el grado de preparación de su organización, si lo desea, para gestionar el impacto de las infracciones cibernéticas? Y creemos que no creemos que ninguna organización esté usando esto de la forma en que lo hemos articulado, pero creemos que una vez que lo hagan, podrán determinar la madurez de su organización. Y para nosotros, esta es la clave.
Steve Weber [00:27:04] Maravilloso. Déjame volver a ti, Shamla. Entre usted y Homaira, vive y respira el universo de la ciberseguridad todos los días. Has estado en tantos lados diferentes de ese rompecabezas, y encontré muy importante, al final del libro, tener una idea de cuáles crees que son las reflexiones, pensamientos y pensamientos más importantes. conclusiones que la gente realmente necesita llevarse a casa al final del día. Porque la priorización es una parte muy importante de esta conversación. Así que hable un poco sobre los pensamientos finales, las reflexiones al final del libro, las cosas que más le importan y que los lectores se llevan.
Shamla Naidoo [00:27:48] Entonces, ya sabes, creo que empezaría diciendo que todos sabemos cómo medir los beneficios de la tecnología, ¿verdad? Y esa es la parte fácil. Lo que nos cuesta es medir, calcular y afrontar realmente los problemas cuando van mal y la junta directiva es la encargada de eso. Entonces, para ayudarlos, creo que debemos pensar en que la tecnología tiene muchas ventajas. ¿Cómo puede salir mal? Es importante destacar que creo que, a menos que sea una empresa de ciberseguridad y venda productos o servicios de ciberseguridad, la generación de ingresos no proviene de su práctica de ciberseguridad. Los ingresos se generan a partir de sus prácticas comerciales; sin embargo, las prácticas de seguridad, la tecnología, las herramientas, los controles, etc., permiten esos negocios. Entonces, cuando calculamos las ventajas de nuestro negocio y los ingresos que generamos a partir de nuestro negocio, debemos compensar eso con el costo de la seguridad porque realmente lo es, no es solo el habilitador del negocio, sino que es una inversión en esos ingresos. que generas. Y entonces, una vez que retiras la inversión, dices, está bien, esta es la cantidad de dinero que obtuve como ganancia neta. Entonces, sí, es un costo hacer negocios, pero es el costo de los ingresos. Entonces esa es una consideración importante. Creo que la otra cosa que debemos recordar es que el liderazgo en este tema no es intercambiable con la tecnología y las herramientas para el tema. Por eso necesitamos líderes buenos y fuertes que puedan ayudar a la junta directiva con la selección de riesgos. ¿Cómo seleccionamos los mayores riesgos que enfrenta la empresa y luego los eliminamos? Y luego, ¿cómo damos el siguiente paso que está en el punto y seguimos reduciéndolo bajo nuestro propio riesgo? Porque si sólo nos centramos en las herramientas y la tecnología, ¿cómo sabemos si nos estamos centrando en las cosas correctas con el nivel correcto de prioridad? Y tenemos tantos problemas que podemos enfrentar, que no es posible enfrentarlos todos al mismo tiempo con el mismo nivel de rigor, con el mismo nivel de inversión. Entonces, creo que la CSO y los líderes de seguridad deben ayudar a la junta a seleccionar esos riesgos cuidadosamente. Y luego también diría que es muy importante que haya un diálogo bueno, rico, abierto y transparente. Entonces la junta debería dialogar con el CISO. No sólo sobre el estado, no sólo sobre una actualización de estado. Realmente debería ser una discusión de riesgos sobre qué no estamos haciendo, en qué no estamos enfocados, en qué no hemos dedicado suficiente tiempo. Porque todos sabemos que simplemente no hay tiempo suficiente para hacerlo todo. Por eso es necesario que haya cierta transparencia en esa discusión. Y el CISO no debería ser el único líder que se ocupa de este tema. En cada decisión empresarial, en cada área empresarial, cuando ganan dinero, saben cómo informarlo; también se les debe encomendar la tarea de conocer y comprender cómo les afecta lo cibernético, cómo les permite, cómo podría limitarlos y cómo podría perjudicarlos. ellos o dañarlos. Por eso, los líderes empresariales tienen que empezar a asumir tanta responsabilidad por los resultados como lo hacen las OSC, porque la ciberseguridad no es el negocio. Es sólo una parte de todo lo demás que haces. Así que creo que el CI cibernético y la cultura cibernética son consideraciones realmente importantes. Y luego, como dije, por último, el CSO no es el único ejecutivo que debería estar atento a lo que falla o lo que tiene éxito.
Steve Weber [00:31:35] Interesante. Homaira, cualquier idea adicional sobre la conclusión más importante y poderosa es la calidad de la conversación estratégica a nivel de la junta directiva sobre el perfil de riesgo de ciberseguridad y su relación con el negocio. ¿Cuál es la conclusión más importante que debería sentarse con la gente y vivir con ella cuando terminen el libro?
Homaira Akbari [00:31:53] Steve, hay decenas de conclusiones y las hemos mencionado. Pero sí, tengo una conclusión y eso se basa nuevamente en que muchas veces esta pregunta me la han hecho específicamente yo y también creo que desde Shamla. ¿Cómo es que podemos ser eficientes y seguros? ¿Qué podemos hacer para estar 100% seguros? Quiero gastar lo suficiente para estar 100% seguro. Un alto directivo de una empresa Fortune 50 me preguntó, incluso una vez, ¿por qué el gobierno no nos garantiza un 100% de seguridad? Ellos pueden, dijeron. Y la realidad es que no, no se puede estar 100% seguro. ¿Por qué? Las tres razones para ello. La primera razón es que básicamente todas las empresas, los gobiernos y cualquier entidad del mundo, incluidos los consumidores, dependen de tecnologías y sistemas de TI obsoletos que no fueron diseñados teniendo en cuenta la seguridad. Y crean vulnerabilidades. Y el problema es que muchas de esas vulnerabilidades no son obvias hoy en día. Y la segunda razón es que todos los días estamos adoptando nuevas tecnologías, nuevas innovaciones, algunas de las cuales incluso tienen diseño de seguridad. Pero tan pronto como se integran con estas viejas tecnologías, también se vuelven vulnerables o crean vulnerabilidades incluso en las viejas tecnologías. Entonces, esa superficie de ataque cada vez mayor y el impacto en la superficie que ya tenemos crea toneladas de vulnerabilidades, algunas de ellas las conocemos. Y algunas de ellas no son conocidas como las llamadas vulnerabilidades de día cero. Y, por último, este es un sector en el que hay adversarios. Tienes ejércitos de personas a las que se les paga muy bien o algunos de ellos son extremadamente ricos y organizaciones, organizaciones criminales, que en realidad están buscando vulnerabilidades y explotándolas. Y saben, ¿por qué nos preguntaron, por qué le dan esto a alguien antes que a nosotros? Debido a los dos primeros que mencioné, simplemente no somos conscientes y estas personas en realidad están trabajando continuamente y son personas inteligentes para buscar estas vulnerabilidades. Como resultado, nunca estará 100% seguro, por lo que la detección, tener buena inteligencia sobre amenazas, trabajar, coordinar y cooperar con el gobierno en otras empresas y otras entidades es muy importante para tener esa inteligencia sobre amenazas y poder para detectar, responder y recuperar desde cualquier dispositivo.
Steve Weber [00:34:34] Es realmente importante. La lección que recuerdo volviendo a lo que hablábamos antes, ¿cómo es una buena apariencia? Nadie debería preguntarse cuál es el aspecto perfecto porque no existe la perfección y tal vez incluso cuál es el buen aspecto no sea la pregunta correcta. De lo que acaba de decir dejo que tal vez la pregunta correcta sea: ¿cómo sabemos que estamos mejorando y mejorando más rápido que nuestros adversarios?
Shamla Naidoo [00:34:54] Sabes, Steve, agregaría a eso que es un gran punto, porque no todos los riesgos son iguales en todas las empresas. Bien. Y entonces es lo que es apropiado y lo que está dentro de su apetito. Y una cosa que les diría a los directores de la junta directiva es que digan lo que quieran. Sólo ten claro lo que crees que es material, porque en ausencia de eso. Los CISO se esforzarán mucho en brindarle lo que creen que usted quiere y lo que creen que necesita. Así que tengamos claro qué es importante para esta empresa en este momento, para esta junta. ¿Qué es importante? ¿Que quieres saber? Y te diré que, siendo yo mismo un profesional, los CISO te darán lo que necesitas. Pero si están adivinando, espere que se equivoquen.
Steve Weber [00:35:43] Fantástico. Bueno, mira, he tenido la oportunidad de leer el libro, pero muchos de nuestros oyentes probablemente no. Entonces, ¿podemos terminar explicando dónde pueden conseguir este libro? ¿Dónde puede el público encontrar el libro? Cuándo estará disponible?
Homaira Akbari [00:35:58] Estará disponible a partir del 5 de septiembre y estará disponible en la URL de Netskope.
Steve Weber [00:36:05] Shamla, ¿algún último pensamiento para compartir con nuestra audiencia de hoy?
Shamla Naidoo [00:36:08] Yo diría que lea lo que leen sus tableros. Así que lea el libro para saber qué tipo de preguntas debe anticipar cuando se enfrente a ellos en esa sala de juntas.
Steve Weber [00:36:16] Muchas gracias a ambos por hacer este podcast hoy. Pero gracias aún más por escribir este libro. Creo que será un recurso tremendo para muchos directores. Espero que sea ampliamente leído, distribuido y disfrutado por quienes lo leyeron y lo utilizaron, lo más importante.
Productor [00:36:32] Gracias por escuchar a Security Visionaries. Tómese un momento para calificar y reseñar el programa y compartirlo con alguien que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos veremos en el próximo.
Por qué Netskope 
){kind=icon}
