[00:00:00] James Christiansen: Quiero decir, creo que tienes que ser un innovador para ser un líder. Tienes que seguir desafiando el status quo. Tienes que seguir desafiando los pensamientos de ayer. Eso es lo que realmente hicimos cuando nos sentamos como equipo a escuchar a nuestros colegas y tomar esa información junto con su propio costo para desarrollar realmente estos principios, desafiando la forma en que hemos estado haciendo las cosas y pensando realmente en cómo esta digitalización nos está cambiando a nosotros y a nuestra Organización.
[00:00:34] Productor: Hola y bienvenidos a los visionarios de la seguridad organizados por Jason Clark, director de seguridad y director de estrategia de Netskope. Acabas de escuchar a James Christianson, vicepresidente y director de seguridad de la información de Netskope en este programa. Escuchará a profesionales de clase mundial y líderes de opinión como James sobre cómo se mantienen al tanto del juego en redes y seguridad en la nube. Están a punto de escuchar la segunda mitad de una discusión de dos partes sobre los principios de la transformación de la seguridad. En esta mitad, Jason y Erick se unen a sus colegas, James Christianson, vicepresidente y director de seguridad de la información de Netskope. James Robinson, subdirector de seguridad de la información de Netskope y Lamont Orange, director de seguridad de la información de Netskope. La siguiente discusión y el podcast de visionarios de seguridad son parte del libro de jugadas de transformación de la seguridad, un conjunto de recursos de Nuevo de Netskope y algunos de los líderes más progresistas del Sector que examinan los temas más importantes de la seguridad en la actualidad, antes de sumergirnos, aquí hay unas breves palabras de nuestros patrocinadores.
[00:01:38] Patrocinador: El podcast Security Visionaries está impulsado por el equipo de Netskope. Netskope es el líder de SASE. Ofreciendo todo lo que necesita para proporcionar una experiencia de usuario rápida centrada en Datos y en la nube a la velocidad de los negocios actuales. Obtenga más información en Netskope.com
[00:01:57] Productor: sin más preámbulos, disfrute del segundo episodio de visionarios de seguridad con su anfitrión, Jason Clark.
[00:02:05] Jason Clark: En el último episodio, Erick y yo hablamos sobre la génesis del proyecto de transformación de la seguridad y explicamos que hay varios principios para el futuro en los que debemos trabajar, ¿verdad? 10 principios en los que vamos a profundizar específicamente hoy. Y entonces me acompañan primero Erick, Rudiak, Erick, ¿cómo estás?
[00:02:24] Erickk Rudiak: Hola Jason. Me alegro de estar de vuelta. Muchas gracias por invitarme.
[00:02:29] Jason Clark: Feliz de tenerte. y Lamont Orange.
[00:02:31] Lamont Orange: Hola Jason, gracias por invitarme al programa. Espero con ansias la conversación.
[00:02:36] Jason Clark: Y James Robinson.
James Robinson: Hola, feliz de estar aquí. Gracias.
Jason Clark: Y James Christiansen.
James Christiansen: ¡Vamos al rock and roll!
Jason Clark: Así que chicos, bienvenidos. Bienvenido a la conversación. ¿Cómo les va? ¿Estás listo?
James Robinson: Estoy listo. Hagámoslo.
Jason Clark: Impresionante. Lamont, sé que tú, eh, esta mañana tuviste que, eh, ya estabas en el escenario en un panel de conversación. Tenías que correr a esta conversación. Así que gracias por eso, pero probablemente sea fácil y agradable hacerlo de forma consecutiva.
[00:03:06] Lamont Orange: Definitivamente. Así que es un placer.
[00:03:09] Jason Clark: Así que todos, ya sabes, durante los últimos dos años habíamos trabajado. Realmente con el Sector, ¿verdad? Pasar tiempo en, ya sabes, cientos de, cenas de mesa redonda y talleres y, ya sabes, encuestas y conversaciones individuales, ¿verdad? Tratando de cobrar. ¿Cómo es el futuro de la seguridad? Y en este nuevo mundo, una especie de transformación digital está sucediendo y punto. Derecha. Para todas las organizaciones. Y la seguridad está en este mundo al revés en el que estamos intentando, ya sabes, que los equipos de seguridad se están estirando más allá de lo creíble. Derecha. Y tratando de mantenerse al día. Entonces, ¿cómo van a poder desempeñarse y ganar apalancamiento? En este modelo Nuevo, ¿verdad? Porque obviamente están estresados y, mmm, están mirando las arquitecturas tecnológicas heredadas y, al final, estas formas pasadas en las que hemos hecho cosas durante los últimos 25 años, que todos hemos estado trabajando en este sector o más, pasamos tiempo juntos en 10 principios para el futuro. Derecha. Y luego, obviamente, el resto del libro de jugadas de transformación de la seguridad como parte de lo que hace, si necesito llegar a los 20, 25 y más. Entonces, ya sabes, todos ustedes han ayudado enormemente en esto, ¿verdad? Y, entonces, esperen que cada uno de ustedes dé, ya saben, su contexto a cada principio, mientras hablamos con ellos y las experiencias que han tenido en estas conversaciones, cuando estas, ya saben, yo diría que, Dios mío, probablemente más de mil CISO y conversaciones de CIO que nosotros. Sobre esto. Derecha. Pero también en sus experiencias como CISO en cualquier, ya sabes, vidas pasadas como, como operando otra Organización, mientras los CISO escriben sobre el pasado, moviéndose hacia el futuro. Entonces, con eso, ya sabes, voy a comenzar con el principal, ¿verdad? El primer principio es desafiar a todos sus principios existentes, ¿verdad? ¿Y qué, qué principios crees que deben ser desafiados del pasado?
[00:05:04] James Christiansen: Sí, ya sabes, realmente lo estoy. Siempre desafío todo. Pienso todos los días. Quiero decir, creo que tienes que ser un innovador para ser un líder. Tienes que seguir desafiando el status quo. Tienes que seguir desafiando los pensamientos de ayer. Y creo que eso es lo que realmente hicimos cuando nos sentamos. Y como equipo, Inicio, escuchando a nuestros colegas y tomando esa opinión junto con nuestros propios pensamientos para desarrollar realmente estos principios, realmente se trataba de desafiar el status quo. Se trata de desafiar la forma en que hemos estado haciendo las cosas y realmente pensar en cómo la digitalización empresarial nos está cambiando a nosotros y a nuestra Organización, y ciertamente el movimiento rápido para trabajar desde cualquier lugar y lo que eso está haciendo a las cosas que tenemos que hacer como buscamos.
[00:05:51] Jason Clark: ¿Qué pasa con el principio de que, si no está roto, no lo arregles?
[00:05:54] James Christiansen: Sí. No sé. Siempre he sido muy bueno rompiendo cosas, así que no soy el tipo adecuado para preguntar.
[00:06:00] Lamont Orange: Y cuando miras la transformación digital, honestamente, probablemente estés lijado. Ya está roto. De cómo quieres hacer avanzar a la Organización para que, tienes que decir que ya está rota, y necesita ser arreglada porque todavía estamos teniendo una cantidad creciente de ataques de atacantes. Todavía están teniendo éxito y están teniendo éxito a una alta velocidad. Así que debemos volver a que ya está roto. Ahora es cómo plantamos una semilla y avanzamos.
[00:06:32] Jason Clark: James, eres un experto en seguridad y aplicaciones de productos, ya sabes. Y en mi opinión, cierto, lo ha estado haciendo durante mucho tiempo para una organización muy grande. Bueno, ¿cómo se cambian los directores? Desde el punto de vista de la seguridad de la aplicación o de la seguridad del producto o de la canalización de software.
[00:06:50] James Robinson: Sí, uno, el que me vino a la mente y que, eh, creo que también se convirtió en un principio diferente fue esa confianza, pero verifique que fue uno en el que confiamos durante mucho, mucho, mucho tiempo en todo el dominio AppSec de seguridad del producto. Y creo que Ahora eso realmente se desafía mucho. Ese es uno que en realidad fue un principio muy cómodo. Um, y uno en el que he confiado durante muchos, muchos años que Ahora simplemente se rompe por completo, se desafía por completo y sé que hay muchas conversaciones sobre los principios de confianza cero y que tiene los suyos propios. Pero en realidad son las arquitecturas de confianza cero
[00:07:24] Jason Clark: Ese es un buen punto. Confianza, pero la verificación ha cambiado a confianza cero. ¿Derecha? Ese es un muy buen punto. Así que el principio dos. Deje de comprar soluciones de caja negra y compre abiertas e integradas. Así que me gustaría decir que, en general, los proveedores han comprado muchas empresas de tecnología, cierto, han comprado muchas empresas y las han integrado, o afirman integrarlas. Pero generalmente la integración es una lista de precios y el vendedor le vende. Entonces, en general, ¿cuál es su opinión sobre cómo el sector necesita cambiar en la forma en que adquirimos tecnologías?
[00:07:59] James Robinson: Voy a saltar sobre esto primero, porque este, este fue en realidad uno de los que vi y del que he estado hablando mucho internamente con Lamont. Um, y es esa idea. Me encanta la idea de abrir, ya sabes, abrir NDR, abrir XDR, abrir la nube. Sí, esos, ese tipo de cosas, tenemos que ser capaces, ya sabes, de hacer que eso sea casi el requisito número uno. En muchos sentidos, ya sabes, sabemos que la suma de muchas cosas es mejor que la suma de Uno, si compras la caja negra, eso es lo que obtienes es esa suma de uno, o tal vez una suma de unos pocos, mmm, y tienes que, ya sabes, construir esa inteligencia siendo abierto. Ahí es donde realmente entra en juego. Soy un gran creyente de que saldrás, eh, de algunos de ellos, ya sabes, sé que solo hemos hablado de dos, pero ahora este es probablemente un rango más alto para mí que el principio uno del que hablamos, de lo que hablamos con desafío, todo, ¿verdad? Este es, ya sabes, este es, es fundamental. Creo que para que podamos tener éxito con el futuro,
[00:08:54] James Christiansen: Sabes, soy Jason, he comprado muchos productos de primera clase a lo largo de mi carrera. Sabes, nosotros, fuimos muy perseguidos con, eh, empresas muy agresivas como estas, eh, para las que estaba trabajando, ya sabes, pero el mundo de hoy, ya sabes, tengo que mirar a la mejor de su clase Plataforma. Simplemente no puedo permitirme la mano de obra que se necesita para administrar todas estas soluciones diferentes. Y la complejidad que ha traído a la Organización, ya sabes, solo conduce a errores humanos, conduce a parches, no se aplican versiones, no se actualizan. Así que realmente tuve que alejarme y mi proceso de pensamiento alejarme de lo mejor de la raza e Inicio buscando lo mejor de la raza Plataforma. Ahora, lo que puede darme la mejor integración más estrecha, como dijiste, en tu conversación inicial, no puede ser alguien con muchos números sesgados, tiene que ser una plataforma verdaderamente integrada para resolver el problema real.
[00:09:50] Jason Clark: Entonces, Erick, ¿alguna idea tuya sobre abierto e integrado? Por qué cada solución que compramos a partir de este momento, debería ser más parte del ecosistema en lugar de ser las cajas negras que adquirimos en el pasado.
[00:10:03] Erick Rudiak: Sí. Gran pregunta, Jason. Entonces, cuando pienso en abierto e integrado y por qué es tan importante, nuestros sistemas están tan interconectados. Si no hay una API para crear visibilidad, como la complejidad y la interconexión de nuestros sistemas, exige que la señal de un sistema defensivo, esté disponible para otros para que puedan orquestar una respuesta más cercana a donde está el atacante, y también para que resulte una experiencia de usuario coherente. Um, y se vuelve muy, ya sabes, ambos, eh, difícil para los defensores manejar eso. Y francamente crea un drenaje y exige un nivel de complejidad para tejer esos sistemas que abren un integrado, eh, es solo un patrón superior para ellos.
[00:10:51] Jason Clark: Brillante respuesta. Me encanta. Por lo tanto, el principio tres se centra en tecnologías fundamentales que se integran con todo su ecosistema de seguridad. Así que comenzaré con Lamont, ya sabes, has tenido la oportunidad de construir un programa de seguridad Greenfield. ¿Qué hace eso, ya sabes, cuándo, cuando miras a esa derecha? ¿Cuál fue la primera pila que construiste? ¿Cuáles fueron los cinco tipos principales de tecnologías fundamentales que formaron parte de esta infraestructura Greenfield?
[00:11:16] Lamont Orange: Creo que esa es una pregunta muy importante porque cuando hablas de la transformación que la seguridad debe atravesar, tienes que mirarla. No solo por las herramientas que hay en mi pila, sino por las capacidades que queremos y hacer que estén más alineadas con el resultado. Así que diría que la primera capacidad que quería. Es en torno a la visibilidad. Tenía que ver lo que estaba sucediendo y para poder afectar el nivel de riesgo de la Organización y poder poner controles en torno a eso y las herramientas que lo ayudan a comprender lo que está sucediendo serían, serían una herramienta que analiza su uso incluso de aplicaciones heredadas, así como SaaS, IaaS, Y PaaS tecnologías, también hay que tener en cuenta sus identidades. Muchas empresas están luchando con la identidad, ya que tienen varios desplazados internos. Tienen varios gerentes de esas identidades, ya sean sistemas de producción o, eh, sistemas corporativos. Y lo que quieres hacer es tener algún tipo de gobernanza a su alrededor. Así que la identidad fue una de las otras áreas en las que me centré. Y luego miras la protección de Datos. Bueno, todos estamos en esto para proteger nuestros Datos. Esa es la joya de la corona para el mal actor. Tenemos que entender qué datos valiosos tenemos y qué datos nos gusta proteger. Y luego miras a dónde va eso. Por lo tanto, desea comprender la protección de Datos desde el usuario hasta la aplicación y el punto final. Así que hay que volver a un comentario que hizo James Robinson sobre ser abierto con XDR, NDR y lo que sea que pongamos delante. Esa capacidad de DR, debe tener esa comprensión sobre la configuración de ese dispositivo e incluso la organización que puede ser Usar ese Datos. Y luego hay otra capacidad que creo que es muy importante para ayudar a la Organización a escalar. Uh, cuando están buscando un Greenfield, necesita algo que administre la automatización y orquestación de su configuración. Y creo que esas son soluciones que se pueden mantener en un área, pero deben tener las siguientes tres capacidades para ser efectivas.
[00:13:29] Jason Clark: Erick, sobre este, eh, principio en torno a las tecnologías fundamentales. Ya sabes, aterrizaron en la otra Organización. Y ahora, como CTO, ¿qué pensaría sobre esto desde el punto de vista del ecosistema en torno a la seguridad?
[00:13:43] Erick Rudiak: Hay un par de cosas. Así que la identidad es una. Um, y ya sabes, pienso en eso en términos de los diversos niveles de afirmaciones que las personas en los sistemas pueden hacer sobre quién es el humano al otro lado de la línea o quién es el sistema con el que otro sistema está trabajando. Así que eso abarca todo, desde múltiples factores hasta servicios de directorio, como que eso es absolutamente vital para hacerlo bien. Estoy de acuerdo con Lamont, eh, en que tener protección de Datos, tener visibilidad de una especie de Datos en reposo y Datos en movimiento. Es otro, y luego, eh, hoy en día no es particularmente emocionante, pero el, tipo de los conceptos básicos de Encriptación y gestión de configuración y, ya sabes, al pensar en la gestión de configuración, incorporando ambos, eh, tipo de compilaciones doradas de deriva de configuración, ya sabes, endurecimiento del sistema, así como, uh, gestión de vulnerabilidades, que considero un ejemplo de esa clase. Es como juntar todo eso. Esos son algunos de los primeros lugares que he buscado, el tipo de seguridad de que el bloqueo básico y el abordaje que el factor de indignación de, eh, equivocarse se maneja y minimiza para cualquier organización de la que forme parte.
[00:15:04] Jason Clark: Está bien. Por lo tanto, el principio cuatro solo compra tecnologías Nuevo impulsadas por la nube. ¿Derecha? Entonces, esencialmente, todo lo que compre debe ser de la nube habilitada para la nube o nacida en la nube. Ya sabes, hay un documento de Gartner. Es decir. El futuro de la seguridad está en la nube, mientras hacíamos esta gira, había una frase que decía que, ya sabes, la nube es el reinicio perfecto para los programas de seguridad, ¿verdad? Porque llegas a un inicio fresco y haces las cosas, ¿verdad? ¿Qué hacen ustedes, cuando, en general para todos ustedes, qué curioso es lo que piensan todos sobre esto, este principio y por qué lo escribimos?
[00:15:34] James Robinson: Creo que el principio es bueno. Creo que para que aprovechemos y cumplamos, ya sabes, una de las cosas que decimos internamente es conocer a tu cliente, dónde se encuentra, ya sabes, si el cliente está, está en la nube o se está moviendo a la nube, ¿verdad?, lo que es aún mejor estar donde va a estar, Tienes que adoptar este principio. Tiene que ser un componente fundamental para cualquier cosa que estés mirando. ¿Sabes? Y, y si es, ya sabes, asistido por la nube, puedes verlo. Por ejemplo, EDR asistido por la nube. Está bien, hazlo bien. Tiene que tener algo en el punto final. No puede ser todo en la nube, pero ya sabes, para cualquier cosa que esté en la pila de red para cualquier cosa que esté en la pila de servidores de la pila de aplicaciones, mmm, ya sabes, en cualquier lugar intermedio, ya sabes, definitivamente tiene que, tiene que llevar a cabo este principio.
[00:16:17] James Christiansen: Sabes, eh, Jason, esta es la tercera gran transformación por la que he pasado en mi carrera y, mmm, tecnología y seguridad versus movimiento de mainframes a servidor cliente. Luego del servidor cliente al sistema habilitado para la nube. Y ahora, con las empresas Digitas, la digitalización, ya sabes, vemos estas transformaciones y creo que, ya sabes, cuanto más te resistes a ellas y no las reconoces, más te quedas atrás. Entonces, cuando usted inicia pensando en la nube y la habilitación de la nube, hablé con muchos CISO cada año, quiero decir, trescientos o cuatrocientos. Y cuando hablamos de cuáles son sus planes, dónde ven cómo SASE salió o son Ahora seguro de servicio de borde, y usted comienza a mirar definiciones. Cuando inicio trabajando con una organización e inicio mirando dónde están, ya están en algún lugar del camino. Pueden estar más lejos en la escalera tal vez muy, eh, hacia abajo, pero ya están en ese camino, lo que simplemente, solo dice que somos los más comunes que la gente de seguridad reconoce que este es el patrón al que ir. Esta es la dirección. Las únicas inversiones de Nuevo que veo son realmente solo energías renovables. Porque no pueden trasladarse lo suficientemente rápido a las tecnologías habilitadas para la nube de Nuevo. Pero creo que, ya sabes, desde una perspectiva de procesos humanos y tecnología, los tres se trata de capacitar a nuestra gente sobre cómo trabajar en estas tecnologías en la nube. Se trata de construir los procesos que respaldan esas cosas y, finalmente, implementar la tecnología, para permitir que esas personas y esos procesos proporcionen el nivel de controles que necesitamos hoy en día. Pero ciertamente el negocio va hacia allí. Hemos visto la aceleración de ese movimiento en el negocio y en nosotros como profesionales de la seguridad.
[00:17:59] Jason Clark: Quiero decir, al final, ¿no es así, como si las empresas fueran allí y, por lo tanto, su seguridad debe estar donde están los Datos y donde están las empresas? Y también siempre que tenga una fuerza de trabajo móvil, debe aprovechar la nube para poder proteger esa fuerza laboral porque no puede hacerlo simplemente desde su centro de datos, ¿verdad? Como en su forma más simple, simplemente cambia un punto de apalancamiento en su escala.
[00:18:18] James Robinson: Me encanta lo que dijo James, porque cuando hablaste de, ya sabes, pasar de un mainframe a un servidor cliente, ya sabes, vimos ese cambio importante. Si alguien es parte de eso, definitivamente lo vi y fui parte de él también. Y al ver que eso sucede, no podría imaginar si no hicieras ese cambio, o si hicieras ese cambio y aún intentaras mantener, recordar lo difícil que fue mantener en el servidor cliente, esos controles que tenías y entregarlos a través del mainframe. Era casi imposible de hacer. De hecho, era imposible, por lo que todos cambiaron y se vio cambiar el mercado.
[00:18:49] Jason Clark: Entonces, el siguiente es el principio cinco y. Potencialmente tiene más peso que muchos de los otros. Se trata de proteger los datos empresariales con controles de seguridad que siguen las normas de seguridad de los clientes. Derecha. Entonces, lo que esencialmente para mí es, ya sabes, esta es la gran estrategia de seguridad, es para muchas empresas u organizaciones por qué existe la seguridad. Derecha. Es solo proteger la información. Entonces, ya sabes, tal vez hablemos un poco sobre, llamamos a esto un principio por una razón, ¿verdad? Porque creo que sentimos que las personas históricamente no eran lo suficientemente maduras en la protección de Datos. Entonces, Erick, ¿qué piensas sobre por qué establecimos esto como un principio y sobre cómo las personas deben transformarse de una forma en que ven la seguridad de Datos o la protección de Datos?
[00:19:34] Erick Rudiak: Sí, creo que hay dos elementos en esto, Jason, como una forma de verlo es que el sector de la seguridad ha tenido un historial de negociaciones contra sí mismo. Sobre controles como este de decir, oh, bueno, este Usar de Datos para estar en nuestro, ya sabes, en nuestro centro de Datos, mmm, ya sabes, protegido por controles perimetrales, pero queremos moverlo a la nube y, ya sabes, la nube simplemente no tiene exactamente lo mismo, pero vaya, la nube es tan convincente, Así que aceptamos menos. Um, y entonces, eh, una forma de ver este principio y no se excluyen mutuamente. Nunca aceptes menos como no comprometerte en, ya sabes, eh, en este tipo de idea muy básica de que no importa a dónde vayan tus datos, tus controles importan, mmm, porque ciertamente, el, ya sabes, el atacante no ve el mundo de esa manera. Y eso es parte del costo de hacer negocios. Eso es parte de la economía de, ya sabes, del manejo de datos confidenciales. Y entonces, la obligación con la persona cuyos datos estás, eh, estás traficando no cambia. Si ha permitido que los Datos se muevan de un entorno a otro. Creo que otra forma de ver esto es que es inmensamente aspiracional. Así que creo que cualquiera de nosotros que haya hecho modelos de amenazas, veremos ese principio rector y diremos, oh, Jason, eh, Seguramente, uh, seguramente no puedes proteger los Datos cuando le hago esto, cuando uso esteganografía o cuando uso canales encubiertos o cuando, ya sabes, cuando aprovecho, ya sabes, elige tu fila y columna favoritas del marco de ataque MITRE. Um, y creo que aspiracionalmente, es un desafío para nosotros decir que no a decir. Vamos a establecer controles que reafirmen nuestras obligaciones como custodios, que dondequiera que vayan los Datos, lo sabremos todo. Vamos a afirmar nuestros controles, que ya sabes, que el atacante no puede ganar usando estos patrones de Común.
[00:21:42] Jason Clark: Sí. Es mmm, es, eh, ya sabes, justo. Si podemos conseguir los controles para seguir al usuario y a los Datos eso es Nirvana, sobre todo cuando no tenemos que invertir mucho para hacerlo, sino amor. Principio seis, priorizar su negocio y arriesgar la recompensa al hacer bien la estrategia de seguridad. O decisiones. Derecha. Y construyendo tus tácticas, etcétera. Derecha. Así que esencialmente como el negocio cambiaba constantemente, ¿verdad? Por lo tanto, siempre es una compensación constante y debemos estar en sintonía con el negocio para poder tomar esa decisión. Derecha. Pero habilitarlos. Y me encanta, ya sabes, el dicho. No se trata de eliminar la fricción, ¿verdad? Es la cantidad correcta de fricción para el negocio. Tan curioso, qué, qué, eh, cada uno de ustedes, James, tal vez comencemos con ustedes, eh, Christiansen sobre, ya saben, sus pensamientos sobre ese principio.
[00:22:29] James Christiansen: Sí. Esto, este para mí es importante porque los CISO tienen más éxito. No se centran en detener la protección de Datos. Están enfocados en habilitar el negocio y entienden el papel de permitir que el negocio encuentre el equilibrio adecuado entre riesgo y recompensa. Derecha. Y no puedes estar demasiado sesgado en ninguno de los lados o no lo estás, no estás haciendo la empresa y el valor para los accionistas. Tienes que estar a la altura de tu papel, pero se trata de habilitar el negocio. Y cuando pienso en esto, en términos de cambio y de lo rápido que cambian las cosas. Realmente pienso en, ya sabes, las siete fuerzas que están en una estrategia de seguridad y estas fuerzas son realmente algo que deberías tener en cuenta porque están cambiando constantemente. Y a medida que cambian, debes estar en sintonía con ese cambio y pensar en cómo ha afectado eso a mi estrés. ¿Realmente ha marcado una diferencia en lo que planeaba hacer frente a lo que debería hacer ahora? Y las siete fuerzas, publicamos un libro blanco al respecto recientemente que los alentaría a ir Lea, pero parece que la cultura de la empresa, una fusión y adquisición podría cambiar. La cultura puede cambiar de muchas maneras. Entonces, ¿cómo cambia eso la forma en que ve la economía y las fuerzas económicas, las fuerzas gubernamentales, los conflictos, las cosas que no están directamente relacionadas, pero que tienen estos impactos en su estrategia general de seguridad? Y a medida que cambian, debe ser ágil como organización. Debe poder cambiar rápidamente y cambiar de manera efectiva para mantenerse al día con el negocio, porque recuerde que donde comenzamos esto se trata de habilitar. El negocio y eso es lo que siempre debes tener en cuenta.
[00:24:16] Jason Clark: Entonces, cualquier otra persona, conoce a James, Erick y Lamont para agregar a eso la priorización del riesgo y la recompensa del negocio.
[00:24:23] Erick Rudiak: Entonces, cuando pienso en lo que sucedió en el último año y medio, ya sabes, todos nos despertamos el 13 de marzo del año pasado y todas nuestras curvas de expectativa de pérdida anualizadas eran basura. Como ellos, eh, eran fundamentalmente defectuosos porque había habido esta inyección de necesidades de recompensa de riesgo completamente Nuevo y totalmente Nuevo riesgo en términos de ALE. Entonces, cuando pienso en dónde estaba nuestro sector hace 10 años, mmm, ya sabes, muchos de nosotros los profesionales decíamos, ya sabes, no gastes mil dólares, ya sabes, para proteger 10. Y creo que lo que ha sucedido desde entonces es que nuestros homólogos en la C-suite, las juntas que nos gobiernan se han vuelto mucho más sofisticadas. Por lo tanto, esperan que nosotros, como profesionales de la seguridad, comprendamos la tolerancia al riesgo de las empresas. Y para llegar con una narrativa que diga, mire como su CISO, aquí está lo cerca que nuestras curvas de expectativa de pérdida coinciden con nuestra tolerancia al riesgo. Y esto es lo que necesitamos, ya sabes, lo que tenemos que hacer en algunos lugares en los que podemos necesitar invertir, en otros podemos tener tanto control que podemos permitirnos asumir un poco más de riesgo, mmm, y ya sabes, en ajustarnos y ser positivos para el negocio y apoyar capacidades adicionales para mejorar la productividad. Y así, todos, a través de un Sentinel evet forzado, tuvimos que aprender esa habilidad muy rápidamente durante el último año y medio, ya sabes, el lado positivo para nosotros como profesionales de la seguridad es, mmm, esa habilidad realmente será útil para nosotros. A medida que volvemos a estar frente a nuestras juntas, a medida que volvemos a la C-suite y discutimos con nuestros compañeros en la mesa. No por qué decimos sí o no a controles particulares, sino cómo todo nuestro entorno de control coincide con nuestra tolerancia al riesgo. Y eso es, ya sabes, eh, solo una maduración del diálogo en el que participamos y es, ya sabes, es realmente emocionante. Nos da un asiento en la mesa.
[00:26:29] Jason Clark: Sí, creo que lo es, lo miramos. Tenemos que pensarlo de nuevo. Es solo que, siempre decimos esto, pero como líderes empresariales y, y cómo es esto, lo que esta actividad, el negocio está tratando de hacer, para las empresas enfocadas en, ya sabes, adquirir, retener clientes rentables, ¿verdad? Que es cualquier forma en que esté en el negocio de ganar dinero. Y cómo van a acelerar las actividades, el negocio, ese derecho. ¿Y hasta qué punto, qué, cuánto necesito protegerlos? ¿O puedo dejarlos ir y luego aplicar protecciones y, simplemente, comprender realmente las cosas que pueden mover la aguja para el negocio? Y quiero decir, yo, personalmente me ocupo de eso todos los días. Y mirando cosas de marketing y mirando cosas de seguridad. Lamont y yo estamos en las conversaciones diarias, ¿verdad? O sobre, sobre lo que es, eh, querer abrir algo que queremos hacer versus el equilibrio de la seguridad de ello. Derecha. Y el equipo de marketing quiere, ya sabes, siempre quiere, quiere seguir adelante, pero queremos asegurarnos de que el socio al que nos estamos registrando para acceder a nuestra información de Salesforce esté seguro. Derecha. Y se trata de los resultados. Y luego, ¿cuánto tiempo tenemos que hacerlo? Para aplicar los controles de seguridad. Así que creo que no es algo con lo que todos los equipos de seguridad estén construidos hoy en día, también piensan en las cosas. Tiene que haber una excepción. Quién va a aprobar el riesgo versus racionalizarlo. Como acabas de decir, Erick. Entonces, el principio siete es construir modelos de amenazas y usarlos en cada decisión de arquitectura que tome. Erick, ya sabes, cuando escuchaste por primera vez a James Robinson hablar sobre modelos de amenazas. En un momento, creo que viniste a mí y me dijiste, Jason Knight, quiero contratar a James Robinson lejos de ti.
[00:28:08] Erick Rudiak: Eso suena como yo. Como si hubiera dicho descaradamente ninguno para ustedes, todos para mí. Eso es totalmente de marca,
[00:28:16] Jason Clark: Pero nos encantaría conocer tu opinión sobre el principio siete.
[00:28:21] Erick Rudiak: No, quiero decir, creo, eh, chico, seguro que es difícil defenderse de algo que nunca has visto o pensado. Y así, a todo el mundo le gusta usar analogías militares para esto, pero como pienso, tengo un niño al que le encanta ir a las canchas de tenis del vecindario conmigo y, ya sabes, golpear la pelota, mmm, en chico, eh, la primera vez que le lancé un revés cortado a ese niño, fue predeciblemente divertido. Como si solo hubieran visto el tiro de giro superior y simplemente se balancearon y fallaron tan pronto como la pelota aterrizó y se alejó. Y creo que eso es, ya sabes, eso, esa práctica para nuestros defensores y nuestros defensores son todos. ¿Derecha? Es nuestra gente de infraestructura. Es nuestra nube, eh, ingeniería. Son nuestros, eh, ingenieros de software y todos los demás. Entonces, amigos de la experiencia del usuario, es nuestro, ya sabes, es nuestra gente de base de datos y middleware. Tienen que haber visto tanto el giro superior como el giro trasero para poder hacerlo de manera efectiva. Y esa es, ya sabes, es por eso que el equipo rojo y la simulación de ataques son una parte tan vital de cualquier organización de protección de la información de clase mundial, porque esa práctica es muy importante.
[00:29:34] Jason Clark: El director ocho amplía la automatización de las operaciones de seguridad. ¿Derecha? Entonces, en última instancia, solo un hiperenfoque en la automatización de sus operaciones. Entonces, Lamont, ¿puedes hablar un poco sobre por qué esta canción principal?
[00:29:46] Lamont Orange: Creo que es un principio muy importante dado que creo que hablé antes sobre el aumento de la velocidad de los ataques que vemos. Y creo que también se mencionó sobre algunas de las complejidades que tenemos en nuestra Organización. Entonces, cuando piensas en todo eso, y piensas en nuestros, nuestros equipos, nuestra habilidad, cuán capacitados son nuestros equipos. Y solo los recursos de herramientas que tenemos, tenemos que mantenernos al día a la velocidad de nuestro atacante. Y de alguna manera. Tenemos que ir y empujarnos más lejos y más rápido que la velocidad de nuestro atacante es una mejor manera de decirlo. Y creo que la forma de hacerlo es a través de la automatización. Hemos pasado mucho tiempo, creo, en el sector de la seguridad, trabajando con la automatización, las herramientas y los recursos de seguridad, anteriormente conocidos como SOAR. Hemos pasado algún tiempo con, con, eh, herramientas de orquestación y confundiéndolas como herramientas SOAR. Y creo que nosotros, realmente solo tenemos que dar un paso atrás y decir que la automatización es algo en lo que debemos centrarnos cuando buscamos escala y flexibilidad. Y eso permitirá reducir la velocidad a la señal, a la relación de ruido. Y luego podemos reaccionar a estas alertas que llegan. Algunas de estas cosas vienen en forma de tener algunos de los componentes fundamentales compilados, como los runbooks. Y comprender cómo debe ejecutar un proceso estándar en todo su SOC. Eso es algo que puede automatizar desde el punto de vista de la madurez, pero puede orquestar una respuesta desde el principio, entendiendo cómo clasificar. El triaje es algo que se puede orquestar y luego puede automatizar la respuesta y el control. Cuando habla también de automatizar y orquestar Usar dentro de su SOC, también está actualizando sus procedimientos de respuesta y gestión de incidentes. Las prácticas de gestión de incidentes que hemos usado en el pasado no necesariamente se adaptan muy bien al ataque, el tipo de amenazas que tenemos, el tipo de interacción que tenemos, tienen que tener lo que yo trabajo, nuestro apoyoliers and vendors. We've extended our attack surface, which I know we'll talk about in a different principle, but the extension of that attack surface is really something that we have to look at when we're thinking about how automation helps us again, achieve that scale and flexibility. I think there's another piece of this that we can't always run through our teams and say, well, it's contained into security. As long as security says, it's good, then we're fine. We also have to communicate what we're doing to our team members so that once they understand why we do some of the things we do, they will also be a willing person. And that's part of that transparency that I, that I believe that's part of automating and building out that, that SOC. And that's why it becomes the heartbeat of your security and response programs.
[00:32:54] Jason Clark: Sí. Es curioso cuando nos fijamos en estos principios, ¿verdad? Están todos muy interconectados entre sí, ¿verdad? Y dependen unos de otros para ser realmente buenos. Antes, antes de pasar al principio nueve, alguien quiere agregar algo sobre las operaciones de seguridad que Lamont.
[00:33:11] James Robinson: Tengo uno que, eh, es más solo una pregunta para él o para todos. Entonces, una de las cosas en las que he estado pensando cada vez más, y observo a algunos de mis constructores, desarrolladores, ingenieros, ingenieros de software, hermanos, y he trabajado con cada juego y la idea de runbooks y libros de jugadas y demás, ya sabes, fuera de la arquitectura y el diseño, ya sabes, o una de esas cosas, eso es algo así como en el pasado, en algunos casos, y me pregunto si, ¿dónde Si se encuentra en lo que respecta a la automatización, ¿todavía requiere y hace que su equipo construya, cree los libros de ejecución, los libros de jugadas y esas, esas cosas diferentes, y eso es lo que gobierna y establece, la automatización para escalar, o está tomando una ¿enfoque diferente?
[00:33:52] Lamont Orange: Ese es un debate interesante. Honestamente, creo que muy, muy pocos programas han pasado a la automatización y la automatización confiable. Creo que volviendo a lo que dije sobre la orquestación, la orquestación será la ejecución de las tareas que deben realizarse. Creo que los runbooks y estoy usando ese término de manera muy vaga. Puede ser un proceso estándar que esté utilizando para responder a cierto tipo de incidente. O un cierto tipo de pregunta del equipo de seguridad, un cierto requisito que se plantea dentro del desarrollo o con cualquiera de sus equipos a los que les emitiría requisitos si están manejando ciertos tipos de datos, o si tienen cierto tipo. de interacciones del sistema, creo que puedes orquestar esas respuestas. Tenemos que madurar en la parte de automatización porque no estoy seguro de que todos los programas confíen todavía en la acción automatizada. Ese ha sido el desafío.
[00:34:53] Erick Rudiak: En realidad, les daré una perspectiva desde la ingeniería de software sobre este caso. Cuando pienso en las características de rendimiento de un programa de software, correcto. Hay una especie de, ya sabes, en comp, comp sci, todos podemos haber aprendido sobre, O, notación, cierto. O notación O de N. Y recientemente tuve una gran conversación con nuestra CISO y ella me preguntó. Para analizar algunas de nuestras velocidades y feeds, ¿cuántos repositorios de GitHub tenemos? ¿Cuántas confirmaciones hacemos por día? ¿Sabes cuántas veces ejecutamos nuestras tuberías por día? Y fue una gran conversación sobre si podíamos escalar nuestra seguridad en O de N o en O de log N. Y aquí es donde la automatización es absolutamente vital, ya sabes, en realidad habla del desafío del talento y algunos de los desafíos de diversidad en la seguridad de la información y la automatización es el mejor camino a seguir. Para escalar nuestros controles de una O de N a una O de log N o incluso algo más pequeño. Por eso, la capacidad de eliminar el elemento humano o canalizar los elementos humanos hacia la resolución de problemas más complejos y más interesantes es tan vital. Por ejemplo, no sé cómo, ya sabes, cómo una empresa puede mantenerse al día con la escala de la demanda. Tanto en el lado del atacante con nuevas técnicas y tipos de malware, ransomware, técnicas de ataque, etcétera, en evolución, como también, simplemente la capacidad de una organización hoy en día para escalar su suministro de superficie de ataque con servicios en la nube fácilmente aprovisionados, etcétera, como si la automatización fuera la única manera. Y en el libro, hablamos sobre esta idea de aquellos tiempos en los que algunos de nosotros conocíamos a nuestros servidores por su nombre. Bien. Fueron tratados como mascotas. Eran amados. Se esperaba que tuvieran una vida útil muy larga, frente a la idea de que los servidores actuales sean como ladrillos Lego, producidos en masa y con una vida útil intencionada o no extremadamente corta. Y simplemente no hay una manera realmente buena en la que haya podido lograr la escala de la organización de seguridad para satisfacer las necesidades contemporáneas. Que no incluyan automatizaciones, un principio fundamental
[00:37:10] Jason Clark: Me encanta la analogía, Erick. Y esa es una gran sección del libro que todo el mundo debería, definitivamente, debería leer. Entonces, el principio nueve y comenzaré con, eh, James Christiania y luego pasaré a Erick sobre esto porque he tenido el mejor tipo de conversaciones de riesgo con ustedes dos. Pero su principio nueve es exigir visibilidad continua y evaluación de riesgos y cada control de seguridad, esencialmente, queremos tiempo real. Evaluación de riesgos y controles versus este tipo de evaluaciones únicas, correcto, evaluaciones de riesgos una vez al año. Entonces James comienza contigo.
[00:37:43] James Christiansen: Sí. Gracias. Um, ya sabes, este siempre es un tema candente para mí y ya sabes, voy a tomar esto, uh, solo un par de direcciones, pero seré breve aquí. Ya sabes, la idea de visibilidad continua. Sí. El primer principio y riesgo es que no se pueden gestionar riesgos que no se conocen, por lo que es absolutamente necesario obtener ese riesgo o esa visibilidad. Y lo que hemos visto es un cambio: pasamos de un servidor cliente a una nube, y luego a este nuevo mundo, hemos perdido esa visibilidad. Perdimos esas capacidades que teníamos, ya sabes, en nuestros días anteriores. Y necesitamos recuperarlos. La visibilidad es absolutamente esencial, ya sabes, y la otra parte es continua. Y a menudo escuchamos la palabra confianza cero, pero es un término del que no soy muy partidario principalmente porque, ya sabes, con los equipos ejecutivos, trae a colación la connotación equivocada de Oh, tú eres el tipo de seguridad. No confías en nadie. Y había, ya sabes, gente de seguridad, que piensan en, ya sabes, fichas. Yo me encargué de ello. Bueno, prefiero pensar en ello como una confianza adaptativa continua. O un programa de seguridad que se adapta continuamente y que automáticamente analiza los riesgos y es capaz de medir las diferentes telemetrías de riesgo y ajustar la reacción a esos riesgos. Ya sabes, ¿por qué necesitamos el mismo nivel de controles? Si alguien va a ir a ESPN y verifica esto, su seguridad o sus puntajes de fútbol, como sería, si fuera a mirar. Ya sabes, los materiales para el prelanzamiento del tablero, ya sabes, obviamente, niveles de riesgo muy, muy diferentes. Mucha telemetría viene en ese dispositivo, la aplicación, la ubicación del individuo, ese tráfico, todo eso se puede medir ahora. Y esa es la clave para los oyentes. Existe la capacidad. Poder hacer esto ahora y tomar estas decisiones adaptativas en tiempo real sobre el nivel de riesgo, esa ruta de controles y poder adaptar esos controles. Así que creo que este es un momento realmente emocionante para poder analizar estos riesgos y poder adaptarnos a medida que avanzamos. Sí. Hay otra conversación completamente diferente sobre el riesgo de terceros y luego los riesgos de cuartos que, bueno, tendremos que dejar para otro día, pero hay otro gran tema con eso. Devuélvemelo a ti, Jason.
[00:39:59] Erick Rudiak: Estoy tratando de encontrar una manera de argumentar en contra de la visibilidad constante. Y no puedo encontrar uno, um, ya sabes, uh, ¿preferiría tener más información o menos, preferiría detectar ataques y progresar antes o más lentamente? Um, ¿hubiera preferido un tiempo de permanencia prolongado o un tiempo de permanencia corto? Sí. Uh, preferiría estar ganando. Y entonces, ya sabes, pienso en esta idea de visibilidad continua, eh, puede, me lleva de vuelta a Peter Sandman y las comunicaciones de crisis. Um, y Peter, la definición no ortodoxa de riesgo de Sandman es la suma de peligro e indignación. Y de ahí el factor de indignación de querer, no saber. De nosotros en esta era moderna con la capacidad de monitorear algo constantemente y sin elegir, sin saber que un control falló, sin saber que una configuración cambió, sin saber que, ya sabes, un mal actor había ingresado a nuestros sistemas. Como si el factor de indignación fuera simplemente, um, insostenible.
[00:41:09] Jason Clark: Entonces, último, último principio, sabemos cuáles son. Estos son, nuevamente, los 10 que consideramos más importantes y que ayudan a las personas a prepararse para el futuro. Probablemente podríamos, ya sabes, tener varios con los que comenzamos y que teníamos 20 para empezar y lo redujimos a 10, pero el décimo es reducir la superficie de ataque usando confianza cero. principios.
[00:41:31] Erick Rudiak: ] Acabo de escuchar que no nos gusta la confianza cero. Vamos a tener que cambiarlo.
[00:41:36] Jason Clark: Creo que la industria está confundida acerca de la confianza cero. ¿No lo son? Um, ya sabes, ¿qué es la confianza cero?
[00:41:43] Erick Rudiak: Para mí, la cosa, ya sabes, la cosa con confianza cero es que la confianza decae con el tiempo. Y entonces, cuando pienso en, el ejemplo más clásico de eso para mí es el tiempo de espera de la pantalla inactiva, como el control clásico, es parte de PCI. Solía ser parte del NIST como parte de, ya sabes, casi todos los marcos de seguridad durante décadas, donde se hacía una aproximación que decía, oh, bueno, si alguien conociera la contraseña de Jason. Lo ingresó en la terminal de Jason y, finalmente, en la PC o computadora portátil de Jason y, finalmente, en el teléfono de Jason. Luego se supone que durante algún período de tiempo, probablemente siga siendo Jasonn. Um, y, uh, como si desafiara la lógica, uh, especialmente cuando pensamos en, ya sabes, los factores humanos y el diseño y la forma en que la gente realmente trabaja, ya sabes, 14,9 minutos después de que se ingresó esa contraseña, que Deberíamos tener la misma confianza en la entrada de ese terminal, de esa PC, de ese teléfono, como la tuvimos en el momento en que Jason ingresó su contraseña. Y me gusta cuando pienso en la confianza cero y por qué. Para mí es porque reconoce esta falsedad que la industria de la seguridad toleró durante años, porque la tecnología era demasiado difícil porque era demasiado cara y llegamos a este compromiso. Dijimos, sí. Confiamos en ese término. Por hasta 15 minutos y asignaríamos el mismo nivel de confianza a la entrada, los paquetes que, ya sabes, ese dispositivo generó en el minuto 14 del noveno minuto como lo hicimos en el primero. Um, entonces es hora de seguir adelante.
[00:43:23] Jason Clark: Sabes, el debate en confianza cero es que, ya sabes, obviamente hay proveedores, que dirán, oh, esto es todo. Bien, o se trata del punto final o creo que no es algo binario, no está activado o desactivado. Bien. Que hay gente que argumenta que la confianza está activada o desactivada. Y lo veo como si pudieras entrar a mi casa por la puerta principal y yo te dejo entrar, pero eso no significa que puedas ir a todas las habitaciones. No significa que puedas entrar en mi caja fuerte.
[00:43:44] Erick Rudiak: Ooh, vamos a tener que hablar sobre la última vez que vine a tu casa, Jason.
[00:43:49] Jason Clark: Y, ya sabes, solo en función de tu comportamiento, ¿verdad? Como dijiste, ¿cuánto tiempo llevas allí y esa instancia, verdad? Cuanto más tiempo estés aquí, tal vez confíe más en ti porque he observado tu comportamiento. Bien. Así que podría argumentar la otra cara de la moneda, tal vez todo desde el punto de vista de la autenticación, pero cuanto más estás aquí, más veo tu comportamiento, más salgo contigo. Cuanto más te dejo ir a otras habitaciones. Supongo que lo que intento decir es que para mí hay confianza en un dispositivo. ¿Confío en tu dispositivo y cuánto? Y en ese momento, algo así como esa evaluación de riesgos en tiempo real. ¿Confío en la red? Vienes de la red Irán. ¿Confío en ti como persona en este momento, según tu comportamiento, confío en la aplicación que vas a utilizar, verdad? Porque no eres sólo tú, es la aplicación, tu acto con el que estás interactuando y ¿está potencialmente comprometido? Los datos que estás intentando cargar o descargar, ¿cuál es el impacto de eso? Bien. Y para mí, existe una especie de decisión de control condicional basada en riesgos en tiempo real para enfrentarnos. Como Nirvana de confianza cero en mi mente, o te voy a dar cero. Verdadero. Te daré cero acceso o confiaré completamente en ti. Llamemos a ese cero nivel cinco y luego digamos que hay 1, 2, 3, 4, 5, correcto. Para mí, el tres en el medio es que te doy acceso a los datos, pero es ver y editar solo en línea, no. Bien. Uno podría ser varios saltos adicionales en los que escriba un párrafo de por qué necesita estos datos y que es una emergencia o lo que sea. Entonces, en cierto modo veo esto como una confianza cero, ya que este lugar al que debemos llegar es conducir a la confianza cero para reducir la superficie de ataque, pero en última instancia, hacer que las personas por comportamiento ganen más confianza según sea necesario. Para no poner fricción a los ocupados. Pero Lamont. Sé que tengo curiosidad, ya que aquí hablamos mucho sobre confianza cero, pero la primera parte de este principio fue reducir la superficie de ataque usando confianza cero. Bien. Entonces, ya sabes, como estás defendiendo tu organización, ¿verdad? Cada día, ¿cómo impulsas este principio? ¿Estamos reduciendo los ataques?
[00:45:46] Lamont Orange: Creo que el primer lugar en el que deberíamos mirar desde el principio es la visibilidad y el análisis, la visibilidad. Lo siento, análisis, porque si no puede verlo, es difícil aplicarlo, controlarlo o protegerlo, y eso será visibilidad para su usuario, visibilidad para su infraestructura, para sus datos. Y luego puede comenzar a unir esos casos de uso en cuanto a qué es lo más importante para la organización en ese momento. Me gustan los niveles y cómo los describiste. Pero también tenemos que entender cuál es el activo más importante y podemos llegar a un acuerdo y decir que son datos, pero qué datos, cuáles establecen un dato y uno analiza esos controles a través de esa visibilidad y capacidad analítica para aplicar esos controles a ese día.
[00:46:32] Jason Clark: Creo que también hemos cubierto absolutamente esos 10 principios. Así que gracias por escuchar a los Visionarios de la Seguridad y esté atento a los nuevos episodios que se publican cada semana con profesionales de la seguridad de toda la industria. Así que gracias a Erick Lamont y James por su tiempo. Y ha sido divertido
[00:46:50] Patrocinador: El podcast de los visionarios de la seguridad está impulsado por el equipo de Netskope que busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital. La nube de seguridad de Netskope le ayuda a conectar a los usuarios de forma segura y rápida directamente a Internet desde cualquier dispositivo a cualquier aplicación. Obtenga más información en Netskope.
[00:47:11] Productor: Gracias por escuchar a Security Visionaries, tómese un momento para calificar y revisar el programa y compartirlo con alguien. Estén atentos a los nuevos episodios que se lanzan cada dos semanas. Y nos vemos en el próximo episodio.
){kind=icon}
