Emily Wearmouth [00:00:01] Hola y bienvenidos a otra edición del Podcast de Visionarios de la Seguridad, el lugar donde interrogamos a expertos sobre una amplia gama de datos cibernéticos y otros temas relacionados. Soy su anfitriona, Emily Wearmouth, y hoy tengo dos invitados expertos que me acompañan, John Kindervag y Neil Thacker. Así que saquemos algunas presentaciones del camino. Voy a Inicio contigo, John, porque tienes uno de los títulos informales más impresionantes que creo que hemos tenido en el programa, El Padrino de la Confianza Cero. Recogiste el título en Forrester, donde, para beneficio de los oyentes, John le dio el nombre al principio de lo que ahora conocemos como confianza cero como enfoque de seguridad de Datos. Creo que para un analista, el título de El Padrino es probablemente el pináculo de una carrera. Entonces, en los últimos años, ha estado trabajando como evangelista para varios proveedores de seguridad, y ahora es el evangelista principal de Illumio. Así que bienvenido al programa, John.
John Kindervag [00:00:47] Hola, gracias por invitarme.
Emily Wearmouth [00:00:49] Neil Thacker es una voz que los oyentes habituales pueden reconocer porque se unió a nosotros en nuestro episodio piloto en septiembre. Es un CSO en ejercicio y muy ocupado, pero aún se toma el tiempo para ser uno de mis expertos en gobernanza, cumplimiento, inteligencia artificial, todo tipo de cosas en realidad. Neil está aquí para darnos la visión desde las trincheras, como CISO en ejercicio, con suerte podrá darnos algunas dosis de realidad sobre lo que realmente sucede cuando los principios y las ideologías entran en el negocio. Entonces, ¿puedes adivinar de qué vamos a hablar hoy? Sí, es el tema en boca de todos: Zero Trust. Y vamos a sumergirnos de inmediato. Y creo que sería negligente haber puesto El Padrino en el podcast. John, ¿podemos comenzar contigo? Quiero pedirle que nos dé una breve explicación de la confianza cero, pero en particular, estoy ansioso por escuchar qué impulsó la concepción inicial del enfoque de confianza cero cuando estaba en Forrester.
John Kindervag [00:01:36] Entonces, antes de llegar a Forrester, era practicante. Fui ingeniero de seguridad e ingeniero de redes, arquitecto de seguridad, pen tester y firewalls, desde el principio, tuve este modelo de confianza donde las interfaces tenían un nivel de confianza de 0 a 100. Y así, cero, la interfaz menos confiable fue a la Internet pública, y 100, la interfaz más confiable fue a la red interna. Y luego todas las demás interfaces tenían un número diferente. Pero eso no podía ser ni cero ni 100 y no podía ser lo mismo entre sí. Y esos niveles de confianza determinan Política. Entonces, por ejemplo, no tenía que tener una regla de salida si pasaba de un nivel de confianza alto a un nivel de confianza bajo. Y siempre intentaba ponerlos porque me preocupaba la exfiltración de Datos y me metía en problemas, porque esa no es la forma en que el fabricante dice que debes hacerlo. Yo digo, bueno, la lógica dicta que, si alguien entra, va a salir. Y tener una puerta que, ya sabes, solo necesita ir en una dirección es una tontería. Y entonces, la confianza cero es mi reacción a ese modelo de confianza roto. Esa confianza es una emoción humana. Y necesita salir del mundo digital. No tiene relación con los paquetes. Las personas no son paquetes. No puedes aplicar el concepto de confianza. Así que deshazte de la palabra confianza. Eso es lo más fácil de hacer. Reemplácelo con validación donde valide señales para que tengamos confianza en permitir el acceso a un recurso.
Emily Wearmouth [00:03:14] Y sé que todos estamos hablando de confianza cero Ahora, pero ha pasado un poco de tiempo desde que se te ocurrió la idea inicial. Entonces, ¿cómo fue la reacción cuando se te ocurrió por primera vez?
John Kindervag [00:03:22] Bueno, fue menos que entusiasta. De hecho, la gente me decía que estaba completamente loco. Esto nunca iría a ninguna parte. Otras cosas que no diría en un podcast público. Entonces, ya sabes, 11 años después, 2010, escribí el primer Informe. 11 años después, el presidente emitió una orden ejecutiva al respecto que obligaba a todas las agencias del gobierno federal de EE. UU. a adoptarla. Y es Ahora convertirse en este movimiento global. Así que eso es algo que nunca pensé que sucedería. Y mucha gente me dijo explícitamente que eso nunca sucedería, y que yo era literalmente una de las personas más locas del planeta.
Emily Wearmouth [00:04:00] ¿Por qué crees que se ha puesto de moda?
John Kindervag [00:04:03] Porque tiene sentido lógico, y también porque muchos de los primeros usuarios que tenían grandes dificultades para asegurar su red, lo intentaron y se lo dijeron a otras personas y se lo dijeron a otras personas y le dijeron a otras personas que funciona. Y así, se demostró en las trincheras. Quiero decir, hice dos años de investigación primaria antes de publicar el primer Informe. Construí entornos prototipo. Trabajé con agencias gubernamentales. Así que nunca tuve ninguna duda de que iba a funcionar, de que era la estrategia correcta. Porque la confianza cero es una estrategia, ante todo, que resuena en los niveles más altos de cualquier Organización como el presidente en los Estados Unidos. Y luego se puede implementar tácticamente la tecnología Usar disponible comercialmente. Así que siempre supe que necesitaba asegurarme de que la estrategia estuviera desacoplada de las tácticas. Las estrategias no cambian. Las tácticas mejoran cada vez más con el tiempo. Derecha. Sí. Así que Neil y yo nos remontamos hace mucho tiempo a un hotel en Londres. ¿Verdad, Neil?
Neil Thacker [00:05:13] Sí. Creo que nos conocimos por primera vez en 2012. Así que da miedo que sea hace 12 años, Ahora. Y escuché sobre el término. Escuché sobre su definición de confianza cero. Y tuvimos una discusión. Creo que fue durante el almuerzo durante la conferencia. Y, sí, estábamos hablando de cómo se puede aplicar lo que puede ser la confianza cero. Y en esos días, sí, era firewall, era IPS. Recuerdo hablar sobre IPS y observar el contexto en torno a IPS y estas herramientas o estas, estas nuevas características que se estaban implementando, como el conocimiento de la red en tiempo real, donde se trataba de tomar diferentes variables de confianza. Exactamente. A tu punto, correcto, en términos de cómo defines la Política y cómo deberías ajustar la Política en función de los niveles de confianza. Pero fue interesante porque en ese momento en ese hotel se alojaba Tom Cruise. Y probablemente esté poniendo una gran analogía, en términos de que había gente alrededor del hotel, en el hotel, alojándose en el hotel o teniendo conferencias en el hotel. Y luego, en el último piso, Tom Cruise tenía alrededor de 6 o 7 habitaciones que se golpeaban entre sí. Así que tenía su gimnasio y, obviamente, su lugar donde se alojaba, mientras filmaba Misión Imposible. Y creo que esa es una gran analogía, cierto, en términos de confianza cero y el hecho es que la gente estaba en ese hotel, pero se aplicaba confianza cero a esas personas, ¿verdad? No se les permitió subir a esos pisos. Había una seguridad muy estricta para restringir completamente el acceso a esas áreas. Así que sí, esa fue la primera vez que nos conocimos. Y te he estado siguiendo desde entonces. Desde hace 12 años, como Organización, asumimos y adoptamos la confianza cero.
Emily Wearmouth [00:06:39] Neil, ¿puedo preguntar y ser honesto, cuál fue tu reacción inicial al concepto de confianza cero? ¿Cantó inmediatamente como algo asombroso y viable y que contiene todas las respuestas? ¿O hubo algún escepticismo con respecto a Inicio? ¿Cómo fue inicialmente?
Neil Thacker [00:06:54] Era fanático de los principios. Era absolutamente un fanático de los principios. Habiendo experimentado esto durante muchos años. No se trata solo de confiar en una dirección IP, por ejemplo, para asegurar el acceso a los servicios. Hay muchas condiciones diferentes que deben cumplirse. Siempre he sido un gran fanático del tipo de las cinco W. Cuando comienzas a construir algo, tienes que entender mejor el quién, qué, dónde, cuándo, dónde, cómo y aplicar esos principios. Este es el método Kipling que ha sido Usar durante muchos, muchos años fuera de la seguridad también, por supuesto. Así que siempre he sido un gran admirador de utilizar esas cosas, pero también de cómo entendemos mejor la Política que estamos implementando. Siempre estaba desafiando a mi equipo en ese momento, un equipo de operaciones de seguridad en términos de que cada vez que ponían una Política o condición entendían lo que realmente estaba haciendo bien, qué beneficio le estaba dando a la Organización. Y cuando hablábamos de cosas como una amenaza interna o una amenaza externa, tenemos que considerarlo. Y en estos casos, tiene que haber una forma de confianza cero. Era un gran admirador de los principios, pero, por supuesto, también miraba cómo podíamos implementar elementos de personas, procesos y tecnología.
Emily Wearmouth [00:08:00] Y John, ahora que lo has visto en la naturaleza durante mucho tiempo y es como si tu bebé se hubiera ido a la escuela, ¿qué se siente al ver, esencialmente, estamos viendo que los proveedores interpretan la confianza cero de muchas maneras diferentes para que el término se adapte a sus propósitos? No necesariamente han construido su ideología que han tomado su marca y la han pegado, muchas cosas que ya están haciendo tal vez, o han manipulado los significados para que se adapten a ellos. ¿Cómo se siente eso?
John Kindervag [00:08:29] Bueno, ya sabes, a veces puede ser un poco frustrante, pero veo a esas personas como multiplicadores de fuerza para el concepto, porque hay muchas otras cosas por ahí a las que la gente terminará, acudiendo, y es posible que se enteren de algo, y tal vez eso suene bien y tal vez no. Eventualmente se darán cuenta, oh, esa es solo una pieza del rompecabezas, ¿verdad? Pero hay muchas otras cosas que pueden ver. Hay orientación del NIST, hay orientación de CISA. Fui designado para servir en un subcomité presidencial llamado NSTAC, el Subcomité del Consejo Asesor de Telecomunicaciones de Seguridad Nacional del Presidente sobre Confianza Cero y Acceso a la Identidad de Fideicomisos. ¿Qué, no suena eso como un comité del gobierno? Pero publicamos un Informe al presidente Biden en febrero de 2022. Y ese fue un Informe colaborativo que incluyó, ya sabes, personas del sector público y privado. Y eso es único porque todo lo demás es una especie de perspectiva. Y eso fue colaborativo. Yo diría que Informe es algo que todo el mundo debería leer porque tiene autoridad sobre lo que es la confianza cero. Derecha. Y también es la base del grupo de trabajo Cloud Security Alliance Zero Trust del que formo parte. Y entonces, si usamos eso como base, entonces todos pueden comenzar a construirlo. Pasamos demasiados años hablando de lo que es y no lo suficiente para hacerlo. Así que espero que la siguiente fase de la confianza cero sea simplemente hacerlo bien. Toma ese lema de Nike y hazlo.
Emily Wearmouth [00:10:12] Entonces, una de las cosas por las que he escuchado criticar a los proveedores del término confianza cero, he escuchado decir que la confianza cero es solo la última forma de hablar y vender lo que es esencialmente la gestión de identidad y acceso. Les voy a preguntar a los dos. Voy a Inicio contigo, John. ¿Es eso justo? ¿Crees que está siendo Usar de esa manera y, de ser así, por qué es problemático?
John Kindervag [00:10:32] Bueno, es ser Usar de esa manera, pero está mal. Derecha. La identidad es una señal importante que podemos consumir. Por lo tanto, la identidad se consume en Política en confianza cero. Pero no equivale a un derecho de confianza cero. Entonces, por supuesto, los proveedores de identidad saltaron inteligentemente sobre eso. Pero ahora estamos viendo tantos compromisos de los sistemas de identidad. No solo algunos de los grandes proveedores de identidad se ven comprometidos, sino que tenemos fatiga de MFA en la que sigues golpeando sí, sí, sí, porque entras en un bucle de MFA y ya no te importa. Vemos muchas formas de evitar la identidad. La identidad siempre es fungible, ¿verdad? Siempre, siempre, siempre fungible en sistemas digitales. También es fungible en los sistemas humanos. Pero ciertamente en los sistemas digitales es altamente fungible, lo que significa que es fácil de sortear o manipular. Y, ya sabes, si lo miras, siempre refuto el concepto de que la identidad es confianza cero con dos palabras. Snowden y Manning, los llamo, son las dos personas más famosas en ciberseguridad. Los llamo, como la Beyoncé y Rihanna de la cibernética. Derecha. Porque son personas de una sola palabra. Y eran usuarios de confianza en sistemas de confianza. Tenían el nivel de parche correcto. Tenían los controles de punto final correctos. Tenían un MFA realmente poderoso, mucho más poderoso que nosotros en el sector privado. Pero son realmente difíciles de usar y realmente engorrosos y crean mucha fricción. Pero nadie miró sus paquetes después de la autenticación y preguntó, ¿qué están haciendo en la red y en lo que coloquialmente se llama la red del lado alto del gobierno federal? Una vez que se autentica en esa red, obtiene acceso a todo lo que hay en esa red. Así que estaba hablando con un abogado involucrado en el Caso Manning, y me dijo que cuando eso cruzó mi escritorio por primera vez, le pregunté, ¿cómo podría un PFC en una base de operaciones avanzada en Irak tener acceso a cables clasificados del Departamento de Estado en Washington, DC? Y él dijo, finalmente entendí la confianza cero después de leer toda la evidencia que se me presentó. Entonces, sí, la identidad se consume en Política. No es que no sea importante, pero tampoco es de máxima importancia. Se trata de construir un sistema, no de implementar una tecnología.
Emily Wearmouth [00:13:02] Entonces, Neil, ¿cuáles podrían ser algunos de los otros factores? Y solo para, retroceder un poco en lo que John estaba diciendo allí, siempre he pensado en la confianza cero o a menudo es Usar, ya que la abreviatura es verificar y luego confiar en lugar de confiar en ellos verificar. Pero parece que estamos hablando de verificar y luego verificar otra cosa. Y luego, un poco más tarde, verifique nuevamente.
John Kindervag [00:13:19] Si vas a usar esa confianza pero verificar algo, es verificar y nunca confiar si necesitas otra cosa allí. Derecha. Sí. Pero confíe pero verifique. Si miras la historia de eso, Ronald Reagan nunca lo dijo. Era Usar, un proverbio ruso y lo dijo en ruso. Ya sabes, mi Rusia, nunca he podido decir esa frase, pero fue algo así como de la noche a la mañana, no probada. Yo y como señalan mis amigos rusos, ya sabes, el punto de eso es que solo rima, ¿verdad?, en ruso. Y, y luego dijo, y por supuesto, eso significa confiar pero verificar. Y fue una broma y todos se rieron. Así que fue una broma literal que hizo Ronald Reagan, y nos lo tomamos en serio. Así que hablaba con la gente. ¿Qué? Segura estrategia de ciberseguridad y confiará pero verificará. Bueno, ¿por qué dices eso? Porque Ronald Reagan lo dijo. Sí. Ese gran experto en ciberseguridad Ronald Reagan dice que sí. Eso fue un tiempo antes de que se creara el primer malware, creo, ya sabes, así que fue una locura que la gente se fuera por la tangente porque alguien más lo dijo. Es la locura de las multitudes.
Emily Wearmouth [00:14:26] Sí, absolutamente. Entonces, ¿qué es Neal, cuáles son algunas de las señales que está viendo como CISO que lo ayudan a tomar esas decisiones sobre el acceso?
Neil Thacker [00:14:33] Quiero decir, estoy de acuerdo, la identidad es una parte de eso es un control crítico. Pero luego debe asegurarse de tener, por ejemplo, cobertura de Dispositivo porque Dispositivo es otro elemento de eso. Es alrededor de qué red o y si estamos hablando de Servicios en la nube, bueno, si estás usando una red, potencialmente entonces estás usando internet. Se trata de la computación. Se trata de aspectos de la actividad. Es la aplicación a la que está accediendo. Hay elementos alrededor, por supuesto, la actividad en sí y luego el almacenamiento y los datos. Así que hay tantos elementos o componentes diferentes de eso. Quiero decir, estos están de alguna manera definidos en múltiples marcos que tienen que ser. Cada uno de estos tiene que ser un consumo y/o un nivel o una confianza de confianza. Derecha. En términos de construir esto. Y creo que ahí es donde la Organización tiene que empezar a mirar esto. Y daré un ejemplo. Hice una charla y estuve hablando de los diferentes niveles de madurez, de la adopción de la confianza cero. Y fue alguien en la audiencia que levantó la mano y dijo, bueno, tengo cero confianza porque tengo una VPN y tengo control de acceso, tengo ACL. Y mi respuesta fue, bueno, sí, está bien, tienes quizás uno, 1 o 2 fundamentos aquí, pero tienes que considerar esos muchos otros componentes, ¿verdad? Y eso debería desempeñar un papel en esto. Estoy completamente de acuerdo con John. Y esto es absolutamente crítico para que vayamos más allá de la identidad como ese control para determinar la confianza en nuestra Organización.
John Kindervag [00:15:51] Bueno, no hay determinación, confianza o no confianza. Tengo que sacarte de la palabra t. Una palabra de cuatro letras en confianza cero, hombre. Es una palabra de cuatro letras. Sin embargo, aquí está la cosa. Eso falta, ¿verdad? Mencionaste el método Kipling. Quién qué, cuándo, dónde, por qué y cómo. Y, de hecho, mencionaste que omitiste por qué cuando decías eso, yo estaba como, ¿no hicimos por qué? ¿Por qué es la primera pregunta? ¿Por qué estamos haciendo esto? Bueno, ¿por qué hacemos ciberseguridad? ¿Qué es un ciber y por qué debemos protegerlo? En primer lugar, hemos nombrado erróneamente el negocio en el que estamos. Pero en segundo lugar, la única razón para hacer seguridad es proteger algo. ¿Derecha? Y así, la confianza cero tiene que ver con el concepto fundamental no es la tecnología, es la superficie de protección. ¿Qué estoy protegiendo? Eso es lo que iniciamos en el modelo de cinco pasos. Y eso está documentado en el Informe NSTAC. Así que creé un viaje simple de cinco pasos que todos pueden seguir. Defina la superficie de protección. ¿Qué estás protegiendo? Las cosas que está protegiendo se conocen como elementos de tablero, significa Datos, aplicaciones, activos o servicios. Coloca un tipo de elemento DAAS en una sola superficie de protección y luego construye su superficie de protección, o su entorno de confianza cero en una superficie de protección a la vez. Entonces, de esta manera, la confianza cero se convierte en tres cosas incrementales. Lo estás haciendo uno a la vez, iterativo uno tras otro. Y luego no disruptivo. Lo máximo que puede arruinar es una superficie de protección a la vez. El mayor problema que veo es que la gente intenta hacerlo todo a la vez. Y eso es imposible. Es un desafío demasiado grande. Después de eso, asigna los flujos de transacciones. ¿Cómo funciona el sistema en conjunto como sistema? La NSA acaba de publicar una nueva guía sobre la segmentación y la importancia de la segmentación dentro de la confianza cero la semana pasada. Y mencionaron que los mapeos de flujo de Datos son uno de los elementos clave junto con la microsegmentación, la macrosegmentación y las redes definidas por software. Por lo tanto, debe comprender cómo funciona el sistema. Y luego, en el tercer paso, puede averiguar cuál es la tecnología adecuada. Nos han enseñado a comenzar con la tecnología porque así es como venden los vendedores, ¿verdad? Venden tecnología y los necesitamos. Derecha. Porque proporcionan las cosas a las que empujamos a Política, pero en sí mismas no brindan seguridad. Tienes que entender por qué lo estás haciendo. Y luego el cuarto paso es crear la Política. Y el quinto paso es monitorear su mantenimiento. Asegúrate de no dejarlo y de que constantemente lo mires y dejes que se acumule y mejore cada vez más con el tiempo.
Neil Thacker [00:18:29] Y es un ciclo, ¿verdad? Es que repites eso. Y creo que ahí es donde definitivamente la tecnología puede ayudar en términos de identificar Nuevo, superficies de ataque que luego tienes que proteger, ¿verdad? Protege las necesidades de superficie para expandirse constantemente o, a medida que descubrimos nuevamente, más activos.
John Kindervag [00:18:45] Bueno, espero que no cueste mi superficie de protección no se expande constantemente. Espero que se mantenga relativamente, quiero decir, se hará más grande en términos de la cantidad de datos que se almacenan en una base de datos en particular, digamos, pero no quiero agregar más elementos a la superficie de protección. ¿Derecha? Quiero que esté tratando de desconectar, desacoplar o segmentar la superficie del resto de la superficie de ataque. Así que ni siquiera tengo que preocuparme por eso, ¿verdad? Quiero decir, si miras la guía de la NSA que salió, comenzaron a hablar de que mencionaron una violación de minoristas, y luego dan una nota al pie de página a la violación de Target. Y, ya sabes, a todo el mundo le gusta decir que la violación de Target, que ocurrió en 2013, creo que es el comienzo de la seguridad cibernética en el mundo moderno. Divido el mundo en BT y AT. Estamos en el año 11 AT después del objetivo, ¿verdad? Porque Target fue la primera vez que el CEO fue despedido por algo que hizo, que fue permitir una violación de Datos. Y si hay una violación de datos que ocurre en su organización, tenía una política que lo permitía. No eres solo una víctima al azar. Eres un coconspirador involuntario de tener mala política. Así que mencionan eso y hablan sobre el asunto de HVAC y HVAC que no era el problema. El problema fue que Target colocó el sistema de control HVAC en la misma red que el entorno Datos del titular de la tarjeta, lo cual es una clara violación de la PCI, DSS. Quiero decir, soy un QSA en recuperación. Formé parte de la primera generación de QSA que fueron y obtuvieron esa certificación para PCI. Entonces, ¿nunca, nunca, nunca habría puesto a sabiendas un sistema como ese en el entorno de Datos del titular de la tarjeta? Eso sería una clara violación.
Emily Wearmouth [00:20:32] Hablas de antes y después de Target. Creo que es una forma muy agradable de dividir el mundo. En este mundo después de Target. Estamos viendo cero confianza, y es a través de cosas como la orden ejecutiva de Biden. Estamos viendo cero confianza, no solo ser, un término o una ideología que está siendo adoptada por la comunidad tecnológica. Es una conversación que está ocurriendo hasta el nivel de la junta directiva dentro de la Organización. Y me pregunto, ¿cuánto creen que es útil? Porque, ya sabes, las empresas están pensando en las cosas correctas y cuánto de eso está creando más desafíos a través de malentendidos, o tal vez una expectativa de que existe una tecnología que puede resolver esto de inmediato.
Neil Thacker [00:21:08] Soy miembro de un grupo, el Cyber Collective, y tenemos alrededor de 300 miembros. Y les hice algunas preguntas. Así que en realidad le planteó a John. Y, de hecho, una de esas preguntas que surgieron fue sobre la arquitectura de confianza neta cero. Y ahora estamos viendo más, más énfasis en esto en términos de confianza cero y buscando cómo construir una arquitectura para aplicar la confianza cero. Y una de las preguntas que surgieron fue sobre, ¿cómo vemos esto y la transición? ¿Cómo estamos viendo y agregando valor a nuestros negocios al adoptar ZTNA y especialmente al observar cómo nos estamos moviendo más allá de las redes? Así que los principios son los principios que se vuelven más o menos efectivos a medida que nos alejamos de las redes. Pero cuando digo redes, digo redes tradicionales, no sabemos que las redes todavía existen en Servicios en la nube, etc., pero así es como escucho esta discusión, tal vez incluso a nivel de la junta, cómo las organizaciones tal vez estén pasando por una transformación, ya sea a través de la transformación de la red o de la seguridad. Y creo que sería bueno, tal vez entender eso un poco más en términos de eso. ¿Estamos en esta etapa de evolución en términos de esto?
John Kindervag [00:22:12] Bueno, la ciberseguridad es absolutamente un tema a nivel de la junta, y he hablado con muchos miembros de la junta. He hablado con generales, almirantes, he hablado con personas de alto nivel en gobiernos de todo el mundo. Y lo obtienen más fácilmente que los tecnólogos porque los tecnólogos están atrapados en su burbuja tecnológica. Entienden la estrategia. Hay un par de cosas que suceden. Una es que las juntas directivas necesitan saber sobre estas cosas, porque he visto muchas veces cuando otros ejecutivos intentan esconderse de las juntas directivas y los directores ejecutivos del problema de ciberseguridad porque los hará quedar mal. Y luego hay una violación de Datos y todos son despedidos. Francamente, Neil, yo no sería un CIISO hoy, porque eres el tipo que es arrojado debajo del autobús, y luego lo respaldan hacia adelante y hacia atrás con el tiempo. Y luego tal vez termines en prisión. No sabemos quién va a terminar en prisión. Pero ciertamente ha habido algunas condenas por fraude y otras cosas que le han sucedido a la comunidad de CISO. Es un lugar peligroso para estar porque existes con el propósito de ser despedido por algo sobre lo que puedes o no haber tenido control porque no tenías presupuesto. No informaste al CEO, como todos los CISO deberían informar al CEO. Así que el CEO obtiene información sin adornos. Pero, también, la otra cosa es como NIST, NIST no es una organización de estándares de ciberseguridad, ¿verdad? Así que en el Reino Unido nunca deberías hacer NIST. No tiene ningún valor para ti porque no eres parte del sistema de agencias civiles federales de EE. UU. El NIST solo está ahí para brindar orientación a las agencias civiles del gobierno federal de EE. UU. Y, francamente, hay muchas cosas que no me importan. ¿Derecha? Derecha. Porque están diseñando para agencias típicamente pequeñas que los escuchan. A las grandes agencias no les importa. Al Departamento de Defensa no le importa. Y entonces, ya sabes, es por eso que centraría a los oyentes en lo que estamos haciendo en Cloud Security Alliance, porque lo estamos desacoplando. Y no estamos diciendo que haya estándares. No debería haber estándares en ciberseguridad. No necesitamos estándares porque los estándares proporcionan interoperabilidad. Y la interoperabilidad proviene de APIs Ahora. Entonces, los estándares, todo lo que hacen es inhibir, innovar. Y entonces diría que los estándares son Ahora algo realmente malo. Este es el problema con los organismos de estándares es que hay tanto compromiso que no son realmente valiosos para los usuarios finales.
Neil Thacker [00:24:43] Sí. Supongo que mi punto es que se trata de sacar lo mejor de quizás algunas de esas cosas, como aprender ejemplos en torno a esto. Creo que con algo que estoy viendo está por ahí y son aspectos muy, muy interesantes cuando miramos cosas como la arquitectura de confianza cero en torno al punto de aplicación de la Política. Derecha. Creo que para muchas organizaciones hoy en día, están tratando de estandarizar los puntos de aplicación de la Política, utilizando los principios y asegurándose de que puedan ver el valor de eso. Derecha. Pero, sí, estoy de acuerdo, tienes que tomar lo mejor de lo que hay. Pero también en la mayoría de las veces, es lo que estás aprendiendo tú mismo. Es lo que está haciendo su Organización lo que es único. Eso realmente marca la diferencia, ¿verdad? Esa es la recomendación para mí, esa es la recomendación.
John Kindervag [00:25:23] Bueno, voy a usar una palabra británica para ti, ya que ambos son británicos. Cada entorno de confianza cero debe estar hecho a medida para proteger las superficies. Así que lamento que no puedas, no podemos volver a los años 90 y tener arquitecturas de referencia donde todo lo que tenemos que hacer es cambiar las direcciones IP a nuestras direcciones IP y los paquetes simplemente fluirán. Esa es la forma en que usamos para hacer las cosas en los viejos tiempos. Y ese es un concepto muy del siglo XX y eso es lo que la gente quiere. Solo muéstrame qué hacer. Y nunca funcionó porque construimos estas redes para el negocio. Y el negocio dijo, caramba, me diste un montón de agujeros redondos, pero obtuve clavijas cuadradas. Y dijimos, afortunadamente, el proveedor nos dio una navaja de bolsillo gratis para que pueda tallar las esquinas y hacer que se ajuste a lo que hemos construido, porque somos lo más importante. Y el negocio, ya sabes, tenía por eso una opinión muy baja de él. Y la seguridad cibernética es un inhibidor de los negocios y dijo, oye, tengo una tarjeta de crédito, voy a ir a la nube. Voy a hacer TI en la sombra, todas esas cosas, lo que deberían haber hecho porque estábamos siendo tontos, ya sabes, estábamos tratando de forzarlos a entrar en nuestro mundo en lugar de alinearlos con su mundo. Y vi que cuando estaba haciendo parte de la investigación primaria sobre Zero Trust, hice un proyecto de investigación en el que hice que los líderes de TI y los líderes empresariales clasificaran algunas de las cosas más importantes, y obtuve una lista completa de cosas de diferentes personas. Y las tres principales prioridades para los líderes empresariales eran aumentar los ingresos, aumentar la rentabilidad y detener la exfiltración de datos. Detener la exfiltración de Datos fue lo único tecnológico que entró en la lista. Esas fueron las tres prioridades fundamentales de los líderes de TI. Los suyos eran como la tasa de captura de antivirus en el pasado, ¿cuántos porcentajes de phishing de phishing en mis pruebas de phishing detuve todo ese tipo de cosas? Y no les importaba aumentar los ingresos y aumentar la rentabilidad y detener la exfiltración de datos, que son las grandes cosas estratégicas de un negocio, ¿verdad? Si no está aumentando los ingresos y la rentabilidad y deteniendo las infracciones de Datos, entonces no está haciendo su trabajo. Y así nos metemos demasiado en las minucias y no entendemos la misión.
Emily Wearmouth [00:27:42] Veo que mi productor comienza a saludarme sobre el tiempo. Y tengo una pregunta que definitivamente quiero asegurarme de que te hagamos, John, si pudieras retroceder en el tiempo, ¿seguirías llamándolo confianza cero?
John Kindervag [00:27:52] Absolutamente, lo haría. Absolutamente la confianza como emoción humana. Y cuando la gente dice que estás diciendo que las personas no son confiables, yo digo, no, no lo soy. Estoy diciendo que las personas no son paquetes. John no está en la red ahora. Neil, Emily y yo no estamos en las redes. Nuestra identidad afirmada se afirma para generar paquetes desde algún Dispositivo, y no estamos en la red. Así que deja de antropomorfizar lo que estamos haciendo. Esto no es Tron, Lawnmower Man o Wreck-It Ralph. Este es el mundo real. Así que absolutamente lo haría. Y todos los que se oponen, quiero decir, digo, ni siquiera saben lo que significa la confianza. Defínelo por mí. Y no pueden porque es una emoción humana que durante siglos fue Usar solo en filosofía, religión, interacción humana, nunca en los negocios. Y sé cómo llegó a la tecnología. Fue un accidente. Alguien está codificando algo en su garaje en medio de la noche, y simplemente lo llamaron nivel de confianza. Pero no, deshazte de él. Es para las únicas personas para las que tiene valor son los actores maliciosos que lo van a explotar, porque no lo necesita para mover un paquete del punto A al punto B. ¿Fue esa una respuesta suficiente para usted allí?
Emily Wearmouth [00:28:59] Lo fue absolutamente. Me apasiona, lo que estoy aprendiendo es cómo respondes a todas las preguntas. John. Gracias. Gracias a los dos por.
John Kindervag [00:29:07] ¿Puedo hacerle una pregunta a Neil antes de irnos?
Emily Wearmouth [00:29:09] Absolutamente. Por favor, hazlo.
John Kindervag [00:29:11] ¿Pudiste ver a Tom navegar en el hotel? Nunca lo vi.
Neil Thacker [00:29:14] No. Nosotros nunca. No, nunca llegamos a verlo al final. No, los había. Creo que hubo algunos intentos de la gente en la conferencia, pero nadie tuvo la oportunidad.
John Kindervag [00:29:23] Sé que intenté deambular y me encontré con personas grandes y corpulentas que me dijeron, ve por ese camino.
Emily Wearmouth [00:29:30] Acceso denegado.
John Kindervag [00:29:31] Cero confianza, bebé.
Neil Thacker [00:29:34] Ahí tienes.
Emily Wearmouth [00:29:35] Gracias a ambos por acompañarme hoy. Quiero decir, este es un tema muy interesante. Va a haber existido por un tiempo Ahora, John, y creo que va a estar presente con esto por un poco más de tiempo. Has estado escuchando el podcast Security Visionaries. He sido tu anfitriona, Emily Weymouth, y si disfrutaste este episodio y quién no disfrutaría de este episodio, compártelo y asegúrate de suscribirte al podcast Security Visionaries.
John Kindervag [00:29:56] Dale lo mismo. ¿Derecha?
Emily Wearmouth [00:29:58] Dale lo mismo. Sí, absolutamente. Me gusta y suscríbete. Y eche un vistazo al catálogo anterior porque tenemos algunos temas realmente interesantes que también puede disfrutar. Así que gracias a ambos, John, Neil y te veremos la próxima vez.
){kind=icon}
