Productor [00:00:00] Bienvenido a Security Visionaries, un podcast impulsado por Netskope centrado en ofrecerle conversaciones con altos ejecutivos del mundo de la ciberseguridad, la tecnología, la confianza y las redes. Este episodio presenta una conversación entre Shamla Naidoo, directora de estrategia e innovación en la nube de Netskope y Homaira Akbari, presidenta y directora ejecutiva de AKnowledge Partners, moderada por Steve Weber, profesor de UC Berkeley en la Escuela de Información y socio de Breakwater Strategy. Como coautores del reciente libro The Cyber Savvy Boardroom: Essentials Explained, Shamla y Homaira discuten su ímpetu para escribir este libro, cómo aborda las tendencias cambiantes en ciberseguridad y el tipo de comentarios que han recibido sobre él de sus pares. Aquí está nuestra conversación con Shamla, Homaira y Steve.
Steve Weber [00:00:45] Bienvenido al podcast Security Visionaries. Mi nombre es Steve Weber. Soy profesor en la Escuela de Información de UC Berkeley y socio de Breakwater Strategy, que es una firma de asesoría con sede en Washington, DC. Es un honor para mí presentar este podcast. He pasado diez años en el mundo de la ciberseguridad desde el lado técnico, el lado comercial, el lado político. Y una de las dinámicas más interesantes, desafiantes e importantes ha sido la conversación sobre ciberseguridad tal como ocurre en la sala de juntas, ver a los directores lidiar con la supervisión y la gobernanza es este conjunto de riesgos realmente rápido y complejo y en esa mezcla ahora vienen Homaira Akbari y Shamla Naidoo con un libro nuevo y muy convincente, La sala de juntas de Cyber Savvy. Diré que es notable en varias dimensiones diferentes, pero para mí principalmente por su legibilidad, su usabilidad práctica inmediata y, francamente, el alcance de su cobertura. Así que vamos a comenzar desde el principio. Homaira, Sharma. Cuéntanos quién eres, cómo llegaste a escribir este libro y por qué Ahora.
Homaira Akbari [00:01:58] Soy Homaira Akbari, presidenta y directora ejecutiva de AKnowledge Partners. Inicié mi carrera como científico en física de partículas experimentales y trabajé en el Centro Europeo de Investigación Nuclear del CERN. Pasé la mitad de mi carrera empresarial liderando negocios de tecnología con empresas como Thales en Francia y Microsoft, Liberty Media, y fui el CEO de Skybitz, una empresa de IoT. Actualmente soy miembro del consejo de administración de Banco Santander y Landstar System. En mi puesto actual en AKnowledge Partners. Trabajo con grandes y grandes corporaciones en capital privado en dominios de seguridad, ciberseguridad, IoT, transición energética e inteligencia artificial.
Steve Weber [00:02:43] ¿Shamla?
Shamla Naidoo [00:02:44] Soy Shamla Naidoo. Soy un tecnólogo desde hace mucho tiempo. Pasé cuatro décadas en tecnología y aproximadamente la mitad de ese tiempo lo he pasado como líder de ciberseguridad en una gran organización. Estoy en tres juntas directivas de empresas públicas y enseño derecho de tecnología emergente y derecho de privacidad global en la Universidad de Illinois. Así que aporto tres perspectivas diferentes a la misma conversación, que es ser un profesional, estar en el extremo receptor de esas actualizaciones de la junta y luego aprender y comprender los compromisos y obligaciones regulatorias de la junta.
Steve Weber [00:03:16] Háblanos de por qué Ahora? Hable sobre el momento y la importancia de la urgencia del libro en 2023 para pasar a 2024, si lo desea.
Homaira Akbari [00:03:27] Siendo realistas, este libro debería haber sido escrito hace un año o hace varios años. Pero la urgencia ahora es que, como has visto, Steve y como todos han visto todos los días, tenemos noticias de este tipo de violación cibernética y estas violaciones cibernéticas se están volviendo cada vez más grandes y más grandes y se están extendiendo. Sería que sería solo servicios financieros o atención médica, pero ahora se extendería a todos los sectores, todos los clientes, todos los tamaños de entidades, ya sean sin fines de lucro o family offices o grandes empresas públicas o privadas y las pequeñas por igual. Y eso se debe específicamente al ransomware, que es básicamente el tipo de ataque a que los datos u otros activos de una entidad se vean comprometidos y luego sean secuestrados, si se quiere, Cifrar y secuestrar. Y para que los piratas informáticos lo liberen, solicitan dinero. Y eso se ha convertido realmente en un asunto criminal ahora. Y todos los sectores, todas las empresas están sujetos a eso. Y en segundo lugar, la razón por la que hay urgencia es que muchos reguladores y, específicamente en los EE. UU., LA FCC acaba de adoptar reglas de divulgación, es principalmente para empresas públicas. Pero como saben, por lo general las empresas privadas también siguen eso, que es informar cualquier incumplimiento material dentro de los cuatro días hábiles a través de la presentación y 8-K. Entonces, de repente, ha puesto la ciberseguridad similar a los otros riesgos que tiene Organización. Además, S.E.C. Ahora requiere que las empresas también desarrollen o elaboren su estrategia, gobernanza y una Organización de cómo apoyan a la Organización contra los riesgos cibernéticos y traigan toda esa información a su 10-K anualmente. Así que. Boardroom, más que nunca, está ahora involucrada en la cibernética, en la supervisión del riesgo de seguridad cibernética y en garantizar que se cumplan los requisitos de la SEC y, en general, otros requisitos reglamentarios.
Steve Weber [00:05:58] Shamla, ¿algo que responda a eso desde tu perspectiva? Esta es la primera vez que te sientas y te tomas el tiempo que se necesita para escribir un libro. ¿Por qué Ahora? ¿Qué? ¿Dónde estaba la urgencia para ti?
Shamla Naidoo [00:06:10] Lo que agregaría es que los negocios de Ahora están creciendo a la velocidad del rayo, ¿verdad? Y todas las empresas, yo diría que la mayoría ya son empresas digitales de algún tipo. Pero todos están aumentando la huella digital. Vivimos en una economía de Datos, por lo que estamos creando y produciendo más Datos que nunca. Nuestra tecnología funciona cada vez más rápido. Y, francamente, todas esas son cosas buenas porque brindan una gran oportunidad para el crecimiento empresarial. Sin embargo, al mismo tiempo, debemos prestar el esfuerzo correspondiente y el nivel correspondiente de atención a los riesgos de ciberseguridad porque las huellas digitales más grandes aumentan los puntos de exposición. Aumentan la oportunidad de compromiso. Aumentan la oportunidad de robo y otros tipos de actividades fraudulentas. Así que creo que ahora es el momento para que los directores de la junta directiva, ya que supervisan la estrategia, no es solo centrarse en las cosas buenas, sino también prestar el nivel correspondiente de atención a las cosas que podrían salir mal, que es lo que las juntas directivas tienen la tarea de hacer. Pero lo que intentamos hacer con este libro, y por qué Ahora, es crear atención, crear una conciencia en esa comunidad de que necesitamos mirar aquí, que no pueden pasar por alto esta vez.
Steve Weber [00:07:34] Interesante, por lo que es casi como si cada vez que vemos que la palabra transformación digital es Usar, debamos asegurarnos de que la palabra ciberseguridad esté en la misma oración o en la siguiente. Déjame volver a ti, Homaira. Incluso para los directores menos inteligentes o más expertos desde una perspectiva técnica, hay muchas publicaciones, hay cursos dedicados a educar a los miembros de la junta sobre ciberseguridad. Obviamente, estás trayendo este libro a ese entorno. ¿Cómo estructuraste este libro con todas esas alternativas en mente? ¿Qué fue diferente en su perspectiva en términos de agregar valor real a una visión educativa abarrotada, pero aún difícil de servir?
Homaira Akbari [00:08:22] Shamla y yo estudiamos, por así decirlo, lo que había en el mercado, y el ímpetu para escribir nuestro libro fue porque vimos una brecha, de hecho. Entonces, lo que vimos con lo que existe Ahora principalmente son escritos, libros, folletos, que hablan sobre términos básicos, si se quiere, básicos de ciberseguridad y cuáles son estos conceptos básicos. Y luego salta generalmente a cientos de preguntas que los miembros de la junta pueden hacer. Como CISO, hemos notado y observado en tiempo real que algunos de mis colegas directores harían estas preguntas en una sala de juntas, el CISO responde a eso. Y ellos, el miembro de la junta, decían: Oh, está bien, gracias. Pero no hay una discusión y un compromiso realmente significativos con el CSO y con la gerencia en su conjunto para comprender realmente qué hay detrás de estas respuestas y si sabe lo que hace, por ejemplo, cuando hace una pregunta contable o financiera, con frecuencia hay un debate y, por lo general, cuando ve en ciberseguridad no hay debate porque realmente el miembro de la junta simplemente no tiene ese conocimiento básico y fundamental de ciberseguridad. Así que eso es lo que decidimos hacer para crear en un volumen bastante corto, 80 páginas, ese conocimiento fundamental que todo miembro de la junta necesita. Y luego nuestro plan es que continúen construyendo sobre ese conocimiento, sobre esa Plataforma. Y, ya sabes, es un aprendizaje continuo, como sabemos, específicamente para la ciberseguridad. Pero lo que fue muy singular, lo que hicimos fue crear una serie de modelos mentales que realmente pueden ser digeridos en un formato gráfico y pueden ser digeridos con bastante rapidez por miembros inteligentes de la junta, de los cuales todos los directores son personas altamente exitosas. Y esa fue la forma en que lo definimos como una serie de mapas. Tenemos cuatro mapas en todo el libro con el primer mapa que define los grupos de activos comerciales, y básicamente creamos diez categorías. Algunos de ellos son, por ejemplo, Datos es un grupo de activos comerciales, activos financieros. Las personas son los otros. Pero tenemos alrededor de diez, de hecho, diez grupos de activos comerciales, y los definimos. Una vez que los definimos, pasamos a mostrar qué es nuestro sombrero blanco. Nuestro activo es el activo comercial. Qué tipo de ganancia obtienen al acceder a ella y cuáles son sus motivaciones, por qué lo harían, cómo lo harían. Y eso nos llevó a lo que llamamos vectores de ataque. Así que mapeamos en cada grupo de activos empresariales los vectores de ataque que existen hoy en día para atacar a estos grupos de activos empresariales, ya sea para llegar a ellos directamente o para usarlos como un conducto para llegar a las joyas de la corona de la Organización por lo que, por ejemplo, Datos se define como joyas de la corona, no solo sino solo una de ellas. Luego pasamos al mapa tres, y el mapa tres se refería, nuevamente, a los mismos diez grupos de activos comerciales que mostramos. ¿Cómo los proteges? Así que mostramos la forma típica en que hoy en día la estrategia de defensa de una buena empresa, de una buena Organización que tiene una postura de seguridad muy buena o preferible, ha defendido realmente a estos grupos de activos en particular. Y luego llegamos al mapa cuatro, mediante el cual proporcionamos métricas nuevamente para cada grupo de activos comerciales para mostrar la eficacia de la protección. Y luego también incluimos, porque este es el sistema de defensa, no es solo protección, sino que en ciberseguridad también es detección, respuesta y recuperación. También incluimos métricas sobre la medición de la eficacia de la postura de seguridad a través de pruebas, así como a través de las métricas de detección y respuesta. Así que creo que esto es único que nunca se ha hecho y es muy completo, pero también es muy fácil de digerir y aprender.
Steve Weber [00:12:40] Sí, diré que desde la perspectiva de los lectores, creo que otros lectores encontrarán lo mismo. Estas construcciones de mapas mentales realmente ayudan a definir las prioridades y la jerarquía de preguntas que hay que hacer. Así que para mí, ciertamente eso fue bastante nuevo y bastante importante y útil. Sharma: Permítame volver a usted y preguntarle específicamente sobre la nube. Para muchas organizaciones de diferentes tamaños, la transformación digital se ha convertido en una conversación sobre la migración a la nube en todo tipo de configuraciones diferentes. Así que hablemos de la nube. Y cuando piensas en esa transformación y migración a la nube, ¿qué tipo de posibilidades, qué tipo de preguntas plantea eso para la junta específicamente con respecto a la seguridad?
Shamla Naidoo [00:13:29] Sabes, creo que cuando agregamos el concepto de nube al libro, ese fue un tema importante porque en la sala de juntas, la mayoría de los directores de juntas entienden el concepto de velocidad. Entienden que necesitamos desarrollar capacidades muy rápidamente. Y cuando les dices que puedes poner algo en la nube o consumir algún servicio de la nube, la conexión inmediata es que esto va a suceder mucho más rápido porque no tengo que hacer que nuestro equipo dedique el tiempo y el esfuerzo a desarrollar la capacidad básica. Alguien más ya lo hizo. Simplemente lo compraremos, lo tomaremos prestado, lo arrendaremos, etc. y lo usaremos para construir nuestras capacidades patentadas sobre él y estará listo para el mercado muy rápidamente. Entonces, si desea ver el beneficio de la nube y esa velocidad es una moneda en las conversaciones de la sala de juntas. Sin embargo, la pregunta para nosotros era ¿qué deberían saber cómo podría salir mal? Entonces, por ejemplo, ¿es obvio que la infraestructura que soporta el entorno de la nube está fuera de su control físico? ¿Cuáles son las cosas que deberían hacer que de otro modo no habrían hecho si estuviera en el centro de datos? Y esa fue realmente la razón por la que nos enfocamos en este tema, es que necesitamos comprender los riesgos de poner cosas en la nube. Y no siempre se trata de lo que puedes tocar y sentir. A veces se trata de a quién debe supervisar, a quién debe supervisar, qué tipo de expectativas debe tener de sus socios y terceros, etc. Pero, de nuevo, con todos esos grandes beneficios viene el riesgo y tienen que averiguar cómo van a supervisar esos riesgos de la manera más eficiente para obtener los resultados que desean.
Steve Weber [00:15:20] Genial. Shamla, voy a saltar de tu punto sobre el riesgo porque es muy importante. Muchos directores con los que hablo hablan de sí mismos esencialmente como gestores de riesgos en un entorno de supervisión. Y quiero volver a ti, Homaira, y preguntarte sobre tu punto de vista y la forma en que el libro aborda esta cuestión del apetito por el riesgo cibernético. No puede reducir su riesgo a cero. Está gastando en servicios, productos, procesos dentro de la Organización para mejorar la ciberseguridad. Y la pregunta natural que hay que hacerse es cómo sé que estoy obteniendo un retorno de la inversión y obteniendo valor en términos de modular el riesgo hasta donde quiero que esté. Así que hable sobre cómo el libro ayuda a los tomadores de decisiones o directores en este Caso a pensar específicamente sobre el riesgo de manera constructiva en ese contexto.
Homaira Akbari [00:16:12] Damos una serie de ejemplos y una serie de pautas. Y luego, a partir de ahí, también, como mencioné anteriormente, hablamos de un conjunto de métricas que también serían útiles para medir eso, si esas inversiones tienen un rendimiento. Pero permítanme ir primero al tipo de ejemplos de los que hablamos es, en primer lugar, una junta directiva tiene que sentirse cómoda de que la Organización está haciendo las inversiones financieras y no financieras necesarias, y quiero enfatizar las no financieras, para prevenir aquellos ataques que son prevenibles y defenderse contra aquellos ataques que no son prevenibles. Entonces, una medida es, por supuesto, tener en cuenta cuando se trata de que las finanzas tengan lo mejor de su clase y uno de los mejores defensores de la ciberseguridad de su clase que tienen el mejor ecosistema de defensa son las instituciones financieras o los bancos de primer nivel. Entonces, un banco típico de primer nivel, gastamos entre 500 y $ 1 mil millones al año, Steve, cada año en ciberseguridad, y eso generalmente corresponde al 5 al 10% de su presupuesto de TI. Ya sabes, obviamente empresas más pequeñas y eso es de primer nivel. Son bancos y son realmente los mejores de su clase. Pero las empresas más pequeñas que probablemente obviamente no tendrán la capacidad de gastar esa cantidad de dinero, usar ese 5 a 10% de su presupuesto de TI es una buena medida, excepto si es bastante pequeño y ese presupuesto para TI es bastante pequeño, probablemente tenga que gastar más del 15 al 20% de ese presupuesto. El punto clave es lo que dijiste antes. Cuando piensas en defensa, cuando dices que necesito defenderme contra el riesgo de seguridad cibernética, hay cuatro aspectos. Hay protección de sus activos, hay detección de amenazas y luego respuesta a ese ataque y luego recuperación de ese ataque porque invariablemente tendrá alguna violación cibernética. Por lo tanto, debe asegurarse de tener definida esa postura de seguridad y de que le gusta crearla. Y, por lo tanto, tiene las mejores herramientas de su clase y varias herramientas en su lugar. Pero me extrañaría si no termino esta explicación enfatizando esa inversión no financiera. ¿Y qué es eso? Es realmente lo primero y más importante para una Organización tener la cultura cibernética adecuada. ¿Qué quieres decir? ¿Qué queremos decir con eso? Es realmente una conciencia en todos los ámbitos, comenzando con el CEO y el equipo ejecutivo, la conciencia, su compromiso con la ciberseguridad hasta cada empleado de la empresa. Y lo que sabemos hoy en día es que todavía dos tercios y tal vez cerca del 80% de todos los incumplimientos se deben a algún error, intencional o no intencional, realizado por personas dentro de la Organización de nuestros subcontratistas. Por lo tanto, esa conciencia, esa construcción de una cultura de ciberseguridad por parte del CEO diciendo: Creo en ella, estoy comprometida y dedicada a ella, que luego fluirá a través de la Organización y también asegurándose de que todos los ejecutivos sean responsables, no son solo los CISO y Shamla pueden contarles más, ya que ha sido una CISO responsable de la seguridad cibernética.
Steve Weber [00:19:51] Shamla Déjame volver a ti y hacerte la pregunta del día, que seguro que está en la mente de todos. Ustedes comenzaron a escribir este libro cuando los grandes modelos de lenguaje todavía eran un juguete de investigación con el que la gente en laboratorios y universidades estaba jugando. Supongo que fue hace unos ocho o nueve meses Ahora. ChatGPT irrumpió en escena y de repente es uno de los desarrollos más interesantes, intrigantes e importantes y la palabra IA es En todas partes. Así que hable sobre cómo el auge de la tecnología como la IA generativa ChatGPT cambia o acelera la necesidad de un libro como este y los tipos de cambios de los que acaba de hablar Homaira, incluidos los cambios culturales.
Shamla Naidoo [00:20:39] Sabes que lo interesante de eso, Steve, es que hace una década tuvimos la misma reacción a la tecnología en la nube. Derecha. Y así, en el pasado reciente, era la nube. Ahora es la inteligencia artificial y, en particular, los grandes modelos de lenguaje. Ya sabes, en uno o dos años, será la computadora cuántica. Y el punto es que la innovación no se detiene. Así que va a haber una innovación constante. Vamos a estar frente a nuevas tecnologías, nuevos enfoques, nuevas arquitecturas, nuevas herramientas constantemente. Esa es la naturaleza de la tecnología. Entonces, la idea aquí, creo, es que debemos estar preparados para cualquier cosa. Y los directores de la junta en particular tienen que comprender el ritmo del cambio y que necesitan crear el conocimiento fundamental con bastante rapidez, porque esa es la mayor brecha. Si no tienes una base, toda esta gran información que hay va a aterrizar, pero no aterriza sobre una base sólida, lo que significa que realmente no puedes construir a partir de ella. Este libro, creo, les dará la base desde la cual pueden construir para estar preparados para esas nuevas tecnologías, nuevas construcciones que les llegarán. Y entonces la idea es que este es el comienzo del aprendizaje. No es "el" aprendizaje. Es la base sobre la cual se construirán otros conocimientos. Así que yo diría, ya sabes, prepárate para la innovación del futuro. Este libro le dará los conceptos básicos, los enfoques y los modelos sobre los cuales pensar sobre el futuro de la innovación. Pero, ya sabes, los grandes modelos de lenguaje son un gran tema ahora. Es un tema porque vivimos en una economía de Datos. Hay Datos En todas partes. La mayoría de los Datos han sido invisibles hasta que esta tecnología se ha puesto a nuestra disposición. Para que podamos obtener los conocimientos comerciales que están integrados en todos estos datos. Y creo que ahora es la oportunidad para que nos centremos en Datos, la protección de Datos, el riesgo de Datos, el riesgo de error, el riesgo de omisiones y todas esas actividades que están integradas en el gran modelo de lenguaje que vamos a usar para las empresas. Pero, de nuevo, es la base.
Homaira Akbari [00:22:53] Si pudiera pedirle eso a Steve. Lo que es muy interesante es que en el libro, hablamos de tecnología emergente, como mencionó Shamla, y hablamos específicamente de aire y chat, pero también hablamos de IoT, pero por ejemplo, cuando se trata de IoT, hablamos del hecho de que el 80% de los riesgos cibernéticos son muy similares a cualquier otra cosa que hayamos tenido. Pero luego hay especificidades. En el caso de ChatGPT o IA, uno de los grandes riesgos, como todos sabemos, es alimentar al modelo con los datos incorrectos y, como resultado, obtener resultados incorrectos porque en realidad crea datos falsos. Lo que nos lleva a algo llamado deep fake, donde los Datos se vuelven tan falsos, tan increíbles de alguna manera, pero algunas personas creen en ello, eso crea lo que se llama deepfakes. Así que creo que eso es exactamente lo que dijo Shamla, es que, ya sabes, hablamos sobre cómo la tecnología emergente, cómo debes pensar en ella, pero luego damos cierta especificidad para estos Caso. Así que creo que ayudamos al miembro de la junta a pensar en el tema del día, cómo debe abordarlo.
Steve Weber [00:24:10] Estoy bastante seguro de que habrá uno nuevo en 2024 y eso se pondrá a prueba a medida que avancemos. Homaira, hablemos un poco sobre la forma en que las juntas directivas se evalúan y deben evaluarse a sí mismas. Es obvio que hay una gran cantidad de juntas directivas y empresas públicas, etc. Y la gente se pregunta, ¿cómo vamos? ¿Cómo sabemos que lo estamos haciendo? Lo estamos haciendo bien. Lo que sí parece bueno es la pregunta que creo que todos escuchamos mucho. Entonces, si una junta quiere evaluar su empresa, pensar en la madurez o la excelencia en ciberseguridad, ¿cómo debería hacerlo? ¿Y cómo habla el libro sobre métricas y comparaciones y responde a esa pregunta: ¿Cómo se ve el bien en relación con lo que otros están haciendo?
Homaira Akbari [00:24:55] Stevie Tenemos un capítulo completo, y esto llamado capítulo siete, donde hablamos de métricas para medir porque, ya sabes, es una pregunta que se han hecho millones de veces los miembros de la junta directiva y los CISO y otras personas en el ecosistema. En el capítulo siete, el enfoque que adoptamos, básicamente definimos dos conjuntos de métricas. Una son las métricas de nivel operativo y la otra son las métricas de nivel de la junta. Las métricas de nivel operativo corresponden a ese mapa para esa área de la que habla, que básicamente muestra para cada grupo de activos empresariales cómo medir la eficacia de su protección y luego sus metodologías de detección y respuesta que utiliza. También habla del hecho de que necesita medir o probar la postura de seguridad de la Organización, lo que realmente le da una medida, no la única, sino una medida de esa madurez. Luego llegamos a las métricas a nivel de la junta y, hasta donde sabemos, nadie realmente ha creado este concepto que Shamla y yo hemos creado de que estas métricas a nivel de la junta en realidad tienen cinco componentes, dos de los cuales son operativos. Entonces, como entrada, sería cuál es su programa de ciberseguridad, eficacia y cumplimiento normativo, y cuál es su perfil de riesgo de ciberseguridad, que proviene de las métricas operativas que mencioné. Pero también agrega tres evaluaciones más. Una es ¿cuál es su cultura de ciberseguridad? En segundo lugar, ¿cuáles son sus niveles de inversión y cobertura de seguro? Y, por último, ¿cuál es la preparación de su organización, si lo desea, para gestionar el impacto de la violación cibernética? Y creemos que no creemos que ninguna Organización sea Usar esto de la manera en que lo hemos articulado, pero creemos que una vez que lo hagan, podrán determinar la madurez de su Organización. Y para nosotros, esta es la clave.
Steve Weber [00:27:04] Maravilloso. Déjame volver a ti, Shamla. Entre tú y Homaira, vives y respiras el universo de la ciberseguridad todos los días. Has estado en tantos lados diferentes de ese rompecabezas, y me pareció muy importante al final del libro, tener una idea de cuáles crees que son las reflexiones, pensamientos y conclusiones más importantes que la gente realmente necesita llevar a casa al final del día. Porque la priorización es una parte muy importante de esta conversación. Así que háblanos un poco sobre los pensamientos finales, las reflexiones al final del libro, las cosas que más te importan y que los lectores se llevan de él.
Shamla Naidoo [00:27:48] Entonces, ya sabes, creo que comenzaría con, todos sabemos cómo medir los beneficios de la tecnología, ¿verdad? Y esa es la parte fácil. Con lo que luchamos es con medir, calcular y realmente confrontar los problemas cuando salen mal y la junta está encargada de eso. Entonces, para ayudarlos, creo que debemos pensar en que hay muchas ventajas en la tecnología. ¿Cómo puede salir mal? Es importante destacar que, a menos que sea una empresa de ciberseguridad y venda productos o servicios de ciberseguridad, la generación de ingresos no proviene de su práctica de ciberseguridad. Los ingresos se generan a partir de sus prácticas comerciales, sin embargo, las prácticas de seguridad, la tecnología, las herramientas, los controles, etc., permiten esos negocios. Entonces, cuando calculamos el lado positivo de nuestro negocio y los ingresos que generamos de nuestro negocio, debemos compensar eso con el costo de la seguridad porque realmente lo es, es que no es solo el habilitador del negocio, sino que es una inversión en esos ingresos que genera. Y una vez que sacas la inversión, dices, está bien, esta es la cantidad de dinero que gané mi ganancia neta. Así que sí, es un costo hacer negocios, pero es el costo de los ingresos. Así que esa es una consideración importante. Creo que la otra cosa que hay que recordar es que el liderazgo para este tema no es intercambiable con la tecnología y las herramientas para el tema. Por lo tanto, necesitamos líderes buenos y fuertes que puedan ayudar a la junta con la selección de riesgos. ¿Cómo elegimos los mayores riesgos que enfrenta la empresa y luego los derribamos? Y luego, ¿cómo retomamos el siguiente paso que está en el punto y seguimos reduciendo nuestro riesgo? Porque si solo nos enfocamos en las herramientas y la tecnología, ¿cómo sabemos si nos estamos enfocando en las cosas correctas con el nivel correcto de prioridad? Y tenemos, ya sabes, esto, tenemos tantos problemas que podemos enfrentar, no es posible enfrentarlos todos al mismo tiempo con el mismo nivel de rigor, con el mismo nivel de inversión. Por lo tanto, seleccionar esos riesgos cuidadosamente es lo que creo que el CSO y los líderes de seguridad tienen que ayudar a la junta a hacer. Y luego también diría que es muy importante que tengas un diálogo bueno, rico, abierto y transparente. Por lo tanto, la junta debe dialogar con el CISO. No solo sobre el estado, no solo una actualización de estado. Realmente debería ser una discusión de riesgo sobre qué no estamos haciendo, en qué no estamos enfocados, en qué no hemos dedicado suficiente tiempo. Porque todos sabemos que no hay tiempo suficiente para hacerlo todo. Por lo tanto, debe haber cierta transparencia en esa discusión. Y el CISO no debería ser el único líder que esté en el punto para este tema. Cada decisión comercial, cada área comercial, cuando ganan dinero, saben cómo informar eso, también deben tener la tarea de conocer y comprender cómo los afecta la cibernética, cómo los capacita y cómo podría limitarlos y cómo podría dañarlos o dañarlos. Por lo tanto, los líderes empresariales tienen que comenzar a asumir tanta responsabilidad por los resultados como lo hace el CSO, porque la ciberseguridad no es el negocio. Es solo una parte de todo lo demás que haces. Así que creo que el coeficiente intelectual cibernético, la cultura cibernética son consideraciones realmente importantes. Y luego, como dije, por último, la CSO no es el único ejecutivo que debería estar a punto de lo que falla o lo que tiene éxito.
Steve Weber [00:31:35] Interesante. Homaira, cualquier pensamiento adicional sobre la conclusión más importante y poderosa es la calidad de la conversación estratégica a nivel de la junta directiva sobre el perfil de riesgo de ciberseguridad, su relación con el negocio. ¿Cuál es la conclusión más importante que debería sentarse con la gente y vivir con ella mientras terminan el libro?
Homaira Akbari [00:31:53] Steve, hay decenas de conclusiones y las tenemos llamadas. Pero sí, tengo una conclusión y se basa en muchas veces que me han hecho esta pregunta específicamente y también creo que de Shamla. ¿Cómo es que podemos ser eficientes, seguros? ¿Qué podemos hacer para estar 100% seguros? Quiero gastar lo suficiente para estar 100% seguro. Me han preguntado que incluso una vez un senior de una empresa Fortune 50, ¿cómo es que el gobierno no nos hace 100% seguros? Pueden, dijeron. Y la realidad es que no, no puedes estar 100% seguro. ¿Por qué? Las tres razones para ello. La primera razón es que básicamente todas las empresas y el gobierno y cualquier entidad del mundo, incluidos los consumidores, confían en tecnologías obsoletas y sistemas de TI que no fueron diseñados teniendo en cuenta la seguridad. Y crean vulnerabilidades. Y el problema es que muchas de esas vulnerabilidades no son obvias hoy, hoy. Y la segunda razón es que todos los días estamos adoptando nuevas tecnologías, nuevas innovaciones, algunas de las cuales incluso tienen seguridad diseñada en ellas. Pero tan pronto como se integran con estas tecnologías antiguas, también se vuelven vulnerables o crean vulnerabilidades incluso en las tecnologías antiguas. Entonces, ya sabes, esa superficie de ataque creciente e impactar en esa superficie que ya tenemos crea toneladas de vulnerabilidades, algunas de ellas son conocidas por nosotros. Y algunas de ellas no son conocidas como las llamadas vulnerabilidades de día cero. Y, por último, este es un sector en el que tienes adversarios. Hay ejércitos de personas a las que se les paga muy bien o donde algunos de ellos son extremadamente ricos y Organización, organización criminal, que en realidad están buscando vulnerabilidades y explotándolas. Y ellos, ya sabes, por qué nos preguntaron, ¿por qué le dan esto a un antes que nosotros? Debido a los dos primeros que mencioné, porque simplemente no somos conscientes y estas personas en realidad están trabajando continuamente y son personas inteligentes para buscar estas vulnerabilidades. Como resultado, nunca vas a estar 100% seguro, por lo que la detección, tener una buena inteligencia de amenazas, tener que trabajar y coordinar y cooperar con el gobierno en otras empresas y otras entidades es muy importante para tener esa inteligencia de amenazas y poder detectar, responder y recuperarte de cualquiera de los dispositivos.
Steve Weber [00:34:34] Es realmente importante. La lección que recuerdo volviendo a lo que estábamos hablando antes, ¿cómo se ve bien? Nadie debería preguntarse cómo se ve perfecto porque no hay perfecto y tal vez incluso cómo se ve bien no es la pregunta correcta. Me quedo con lo que acabas de decir que tal vez la pregunta correcta es, ¿cómo sabemos que estamos mejorando y mejorando más rápido que nuestros adversarios?
Shamla Naidoo [00:34:54] Sabes, Steve, agregaría a eso, ese es un gran punto, porque no todos los riesgos son iguales en todas las empresas. Derecha. Y entonces es lo que es apropiado y lo que está dentro de tu apetito. Y una cosa que les diría a los directores de la junta es que digan lo que quieran. Solo sé claro sobre lo que crees que es material, porque en ausencia de eso. Los CISO intentarán muy duro darte lo que creen que quieres y lo que creen que necesitas. Así que tenga claro lo que es material para esta empresa en este momento, para esta junta. ¿Qué es importante? ¿Qué quieres saber? Y te diré que al ser un profesional, los CISO te darán lo que necesitas. Pero si están adivinando, espere que se equivoquen.
Steve Weber [00:35:43] Fantástico. Bueno, mira, he tenido la oportunidad de leer el libro, pero muchos de nuestros oyentes probablemente no lo hayan hecho. Entonces, ¿podemos terminar explicando dónde pueden conseguir este libro? ¿Dónde puede encontrar el público el libro? ¿Cuándo estará disponible?
Homaira Akbari [00:35:58] Estará disponible a partir del 5 de septiembre y estará disponible en la URL de Netskope.
Steve Weber [00:36:05] Shamla, ¿algún último pensamiento para compartir con nuestra audiencia hoy?
Shamla Naidoo [00:36:08] Yo diría Lea lo que leen sus tableros. Así que Lea el libro para que sepa qué tipo de preguntas debe anticipar cuando se ponga frente a ellos en esa sala de juntas.
Steve Weber [00:36:16] Muchas gracias a ambos por hacer este podcast hoy. Pero gracias aún más por escribir este libro. Creo que será un recurso tremendo para muchos directores. Espero que sea ampliamente Lea y que sea distribuido y disfrutado por aquellos que lo leen y usan lo más importante.
Productor [00:36:32] Gracias por escuchar a Security Visionaries. Tómese un momento para calificar y revisar el programa y compartirlo con alguien que pueda disfrutarlo. Estén atentos a los episodios que se lanzan cada dos semanas y los veremos en el próximo.
){kind=icon}
