Rehman Khan: Creo que será el diseño, el diseño de seguridad. Como dije, realmente centrarnos en el diseño de seguridad y asegurarnos de que la forma en que abordamos la seguridad no sea solo con un montón de herramientas, sino que realmente deberíamos dar un paso atrás y diseñar la seguridad en la organización general, el proceso.
Productor: Hola y bienvenido a Security Visionaries, presentado por Jason Clark, CSO de Netskope. Acaba de escuchar al invitado de hoy, Rehman Khan, director de estrategia, investigación y diseño de seguridad de Charles Schwab. Con más de 20 años en su haber de seguridad, Rehman ha trabajado con todo tipo de personas. Con este tipo de experiencia, hay una razón por la que una de sus principales recomendaciones es duplicar el esfuerzo de las personas. La elección de los líderes de seguridad de los miembros adecuados del equipo tiene un profundo efecto dominó. La importancia de estas decisiones marca o deshace las carreras en seguridad. Así que elige sabiamente. Antes de sumergirnos en la entrevista, aquí hay unas breves palabras de nuestro patrocinador.
Anuncio: El podcast Security Visionaries está desarrollado por el equipo de Netskope. Netskope es el líder atrevido que ofrece todo lo que necesita para brindar una experiencia de usuario rápida, centrada en datos e inteligente en la nube al ritmo de los negocios actuales. Obtenga más información en Netskope
Productor: Sin más preámbulos, disfrute del episodio ocho de Security Visionaries con Rehman Khan, director de estrategia, investigación y diseño de seguridad de Charles Schwab, y su anfitrión, Jason Clark.
Jason Clark: Bienvenido a Visionarios de la seguridad. Soy su anfitrión, Jason Clark, CSO de Netskope. Y hoy me acompaña un nuevo invitado, Rehman Khan. Rehman, cuéntanos un poco sobre ti.
Rehman Khan: Hola, Jason. Sí, me alegro de estar aquí. Básicamente, dirijo la organización de diseño, investigación y estrategia de seguridad de Charles Schwab. Y vivo en St. Louis, Missouri, y he vivido allí durante casi ocho años. Y, antes de eso, estuve en Minneapolis, trabajando en ciberseguridad durante aproximadamente 12 a 15 años, y haciendo otras cosas a lo largo del camino. Así que eso soy yo.
Jason Clark: Sí, desde que te conozco, has sido arquitecto, jefe de arquitectura para muchas empresas realmente grandes, empresas globales. Ha tenido un gran impacto en las organizaciones en las que ha estado. Pero una cosa que acabo de notar es que tu cabello es mucho más corto que la última vez que te vi. ¿Fue eso una especie de resultado de la pandemia y luego salió donde, ni siquiera sé cuántas pulgadas cortaste ahora?
Rehman Khan: Bueno, sí. Oye, creo que todos estamos jugando con nuestras pequeñas necesidades y deseos, supongo. Sí, probablemente diría que bajé quince centímetros hace apenas un par de semanas. Pensé en limpiar para el nuevo año. Eso va y tal vez comenzar de nuevo, pero esta pandemia absolutamente nos ha brindado esta oportunidad de tal vez dejarnos crecer el cabello.
Jason Clark: ¿Cómo fue que tu familia o tu trabajo, quién reaccionó mejor o peor ante ti, cortó todo?
Rehman Khan: Creo que me aceptaron tal como lo presenté. Supongo que siempre pasa algo conmigo. Quiero decir, tendré barba de chivo y, de repente, un par de años después, tendré barba. Y entonces creo que la gente está acostumbrada a la forma en que cambian las cosas en mi apariencia. Pero, les diré, creo que la gente en general fue muy elogiosa, pero en un par de ocasiones, creo que en realidad fue uno de los presidentes de Wash U, me miraron y dijeron: "Vaya, ¿estuviste en el show de Survivor?" Quiero decir, fue literalmente, su reacción fue como: "¿Dónde estabas?" Entonces, sí, creo que hay una especie de mezcla, pero la mayoría de la gente fue amable y lo entendieron.
Ponente 5: Inmersión profunda. Bucear. Bucear. Bucear. Bucear.
Jason Clark: Entonces hablas seis idiomas. Cuéntanos un poco cuáles son y cómo han sido valiosos para ti.
Rehman Khan: Sí. Entonces, realmente, si mis antecedentes, mientras crecía, nací en Kuwait. Crecí allí y luego fui a Abu Dhabi. Y mi padre trabajaba para Lufthansa, así que puedes empezar a ver el patrón por el que podemos viajar por el mundo. Y luego me mudé a Minneapolis desde Abu Dhabi, lo cual fue un gran cambio. Pero, volviendo a tu pregunta, supongo que diría que Abu Dhabi fue una ciudad donde pude aprender e interactuar con gente internacional. Y he aprendido alemán. El árabe ya estaba allí, el urdu, y siguió adelante. Y creo que eso resuena conmigo y siguió construyendo mi paleta.
Jason Clark: Pienso en eso. Así que también crecí globalmente, siendo un mocoso militar. Y pienso en el hecho de que, ¿cómo puedo darles la misma exposición a mis hijos? Quiero que crezcan como ciudadanos globales y no que se queden sentados en una ciudad toda su vida. Y lo que he decidido es que, a partir de dos años, cada verano, pasaremos ese verano en un país diferente. Y así es como voy a convertirlos, en la medida de lo posible, en ciudadanos globales.
Rehman Khan: Sí. No, creo que es una gran idea. Siento que tenemos, quiero decir, la esperanza de que con la pandemia, en los próximos dos años, podamos tener ese tipo de oportunidad de movilizarnos libremente. Porque en parte no es solo que uno pueda sentarse en casa y aprender todos estos idiomas, y hacemos lo mismo con la ciberseguridad, y así sucesivamente. Pero algo de esto tiene que ver con la interacción. Y realmente, cuando interactúas con la gente, tanto en la vida personal, aprendes. Y creo que viajando se aprende. Infundes confianza en tus hijos. Y creo que es un gran plan. Yo mismo quiero hacer eso, pero creo que se trata de ir a un entorno en el que tienes que lidiar con la situación y luego comienzas...
Jason Clark: Es la cultura.
Rehman Khan: Sí.
Jason Clark: Es como si hubiera dos tipos de personas, las que van a algún lugar y dicen: "Está bien. Aquí están los 10 sitios. Quiero ir a verlos", lo cual básicamente puedes ver buscándolo en Google, o las personas que dicen: "Quiero abrazar la cultura". Quiero probar la comida. Quiero conocer a la gente. Quiero ir a los bares locales." Es una esencia muy, muy diferente de lo que estás tratando de lograr. Normalmente hago esta pregunta un poco más tarde, pero en este momento tengo curiosidad, desde el punto de vista de seguridad, ¿cuál es su dominio de seguridad favorito? Usted ejecuta la arquitectura y lo ha hecho una y otra vez, lo que significa que puede supervisar, como un CSO, cada dominio de seguridad. ¿Cuál es tu dominio favorito?
Rehman Khan: Vaya, esa es una pregunta difícil. ¿Puedo darte dos?
Jason Clark: Sí. Dame tu primero y luego tu segundo.
Rehman Khan: Está bien. Lo diré. Mire, la gestión de identidades y accesos es donde crecí y lo que aprendí, y sigo viendo cómo evoluciona. Creo que ese es el primero. Ese es el objetivo, y justo detrás está la seguridad de los datos. Esos dos siempre han estado ahí. Sí. Quiero decir, creo que van de la mano. Podrías verlo desde la perspectiva de la seguridad de la aplicación. Pero sí, creo que esos son una especie de dominios.
Jason Clark: Esos son grandes dominios. Y si tuviera que preguntarte, ¿cuál es el que más odias?
Rehman Khan: Y esto puede aplicarse a todo lo anterior, pero se trata de operaciones de seguridad, por así decirlo. Es un aspecto muy importante, pero también lo siento, creo que las operaciones de seguridad y tal vez pueda decirles por qué.
Jason Clark: Es un tipo diferente de estrés. Cuéntanos por qué odias las operaciones.
Rehman Khan: Bueno, soy diseñador. Siempre he sido diseñador. Estoy detrás de la estética. Estoy detrás del diseño real. Y creo que la razón por la que tenemos operaciones en su estado actual, tal como están, es que no nos estamos centrando en el diseño. No estamos diseñando soluciones y aplicaciones de seguridad y demás teniendo en cuenta la seguridad. Y bueno, hay un riesgo y un efecto residual de eso. Y eso es lo que son las operaciones de seguridad hoy. Quiero decir, creo que eso es lo que me hace alejarme de esto, porque ¿por qué tenemos que estar tan estresados por eso? ¿Por qué no puede ser como otros dominios operativos que están automatizados? Están trabajando, funcionando, fabricando. Quiero decir, tomas cualquiera de los otros dominios comerciales, entonces-
Jason Clark: No quieres ser el resultado de los malos diseños de otras personas. No quieres ser la cola. Quieres arreglar las cosas y diseñarlas bien.
Rehman Khan: Sí.
Jason Clark: Tiene mucho sentido. Lo entiendo. Y por eso te sientes frustrado en las operaciones cuando básicamente ves malos diseños.
Rehman Khan: Sí. Sí. Y luego los ves una y otra vez. Quiero decir, lo estamos viendo con Log4j. Es un paisaje interesante, por así decirlo.
Jason Clark: Creo que eso perjudicó el diciembre de mucha gente. Dañó a un montón de vacaciones de gente. Todas las personas con las que hablé durante al menos 45 días me dijeron: "Oh, ¿qué está pasando?". "Sí. Registro4j. Eso es lo que está pasando. Simplemente estamos luchando por eso". Entonces enseñas en un par de universidades, lo que siempre aplaudo, para ayudar a la próxima generación. Y uno de ellos es Wash U, donde obtuve mi MBA, y me encanta, me encanta ver eso en tu experiencia y en lo que estás trabajando. Entonces, ¿por qué lo haces? ¿Cuál es su opinión sobre la próxima generación y la importancia de enseñarles ciberseguridad? ¿Y qué les enseñas?
Rehman Khan: Sí. Realmente lo veo como un proceso de aprendizaje. Enseñando, estoy aprendiendo. Creo que eso es en lo que realmente me concentro, porque tienes esta interacción con los estudiantes y recibes preguntas. Y a veces tengo las respuestas y otras no. Es una pregunta tan diferente que no me esperaba. Entonces, parte de esto es algo que tal vez lo llamemos una especie de profecía autocumplida. Estoy tratando de adelantarme a las cosas.
Rehman Khan: ¿Qué enseño? Entonces, en Wash U, cuando me contactaron por primera vez sobre el programa, Wash U no tenía un curso de gestión de identidad y acceso. Entonces Joe y yo nos conocimos y lo discutimos. Y dije: "Bueno, mire, he dedicado bastante tiempo a la gestión de identidades y accesos, y creo que es un área a la que realmente no dedicamos más tiempo, en lo que se refiere a los certificados y programas de ciberseguridad". Entonces, hagamos algo con eso, pero no lo convirtamos sólo en algo teórico. De hecho, implementemos laboratorios y trabajemos en algo así". Entonces creé todo el plan de estudios para ese curso. Y, como tenía algunas clases, comencé a observar que hay mucho trabajo por hacer en la gestión de identidades y accesos. Aunque es tan relativo a otras áreas, yo diría que ha estado ahí. Ha existido por-
Jason Clark: Es viejo, pero el menos maduro. Por cierto, diría lo mismo sobre la seguridad de los datos. Ambas son industrias antiguas, o áreas antiguas, con la menor madurez y la mayor fragmentación.
Rehman Khan: Sí. Entonces, eso es lo que me sigue sorprendiendo y ha sido genial. Entonces, la otra cosa que se ha estado transformando, por así decirlo, fue un curso de seguridad de redes empresariales, y de hecho lo enseñé conjuntamente con un par de instructores más, y más en el modo de observación. Y comencé a observar que no estábamos cubriendo redes de confianza cero o conceptos de confianza cero. Y todavía estábamos hablando del tipo de firewall tradicional y de un tipo de conceptos, casi creo, obsoletos. Entonces, lo que hice fue tomar ese rumbo y transformarlo. Y ahora nos centramos en las redes de confianza cero. Quiero decir, lo he enseñado durante los últimos dos años. Me ha ido muy bien con el curso y sí.
Jason Clark: Entonces, ¿existe un curso de confianza cero o simplemente una creación de redes de confianza cero?
Rehman Khan: Entonces, esa es una buena pregunta. La forma en que hicimos esto es que, debido a que fue en el curso de seguridad de redes empresariales, mantuvimos los aspectos de seguridad de la red en el curso, pero también introdujimos los conceptos de identidad de la persona y de identidad del dispositivo, y comenzamos a armar la imagen que, mira , hay una red subyacente en la que se basa esta información, pero también es necesario saber quién es esta persona y a qué dispositivo viene. Entonces yo diría que es de confianza cero, pero se centra principalmente en los aspectos de networking. El plano de control y el plano de datos del que hablo en el curso y trabajo con los estudiantes está realmente enfocado, ¿de dónde se origina este tráfico? ¿Cómo sabemos que es buen tráfico?
Jason Clark: ¿Cuál es una de las preguntas más difíciles que te ha hecho un estudiante?
Rehman Khan: Creo que lo más difícil es realmente: ¿cómo tomamos nuestros entornos actuales y los trasladamos a este pensamiento e implementación de confianza cero? ¿Cómo hacemos eso realmente? Y esa es una cuestión difícil, porque siento que todavía no hemos llegado a ese punto en el que la confianza es cero. Hay mucho más trabajo por hacer. Por ejemplo, existe la noción de que necesitamos conocer todos los dispositivos, todas las configuraciones en nuestros entornos, para poder certificar que este dispositivo es legítimo y que este dispositivo tiene acceso permitido. Bueno, ¿cuántas organizaciones realmente tienen esa información, de una manera en la que podamos confiar, y que la calidad de los datos no sea un desafío? Por lo tanto, es difícil explicar eso siempre, porque simplemente varía de una organización a otra. Creo que eso es lo que me parece difícil.
Jason Clark: El trabajo de seguridad es muy duro. Mucha gente ha escrito que es uno de los trabajos más difíciles en el nivel C, si no el más difícil aparte del de CEO, debido a la gran complejidad que lo rodea. Pero si miras eso, ¿cómo te mantienes al día personalmente? Como jefe de toda la nueva tecnología y toda la arquitectura de una empresa muy grande, ¿cómo se mantiene al día con todo?
Rehman Khan: Creo que es una gran pregunta. Y es una lucha. Creo que para mí... Me concentro, como dije, en un par de dominios en particular. Y luego, la idea es que, a través de la interacción con nuestros pares, te mantengas al día. Obviamente leo mucho, así que siempre leo todo tipo de artículos diferentes.
Jason Clark: ¿Tienes un favorito?
Rehman Khan: Yo diría que no realmente. Simplemente creo que hay... El tradicional [Bruce Dyer 00:17:04] y ese tipo de-
Jason Clark: Sí, sí. Lectura oscura, CSO en línea y-
Rehman Khan: Sí.
Jason Clark: No hay nada nuevo y sorprendente... No hay una versión del Wall Street Journal y del New York Times sobre temas de ciberseguridad.
Rehman Khan: Sí, no. Realmente se trata de recoger información de diferentes fuentes. Y uno de los segmentos que hago para mis alumnos es que realmente hablo sobre las noticias del día, desde una perspectiva de ciberseguridad. Y seré muy honesto. Quiero decir, ese es probablemente el lugar al que voy, casi a diario, y recopilo esa información, y luego realmente hablan sobre las razones, por qué las cosas suceden como están y qué se puede hacer para gestionar el riesgo. Aparte de eso, leo principalmente libros sobre inteligencia artificial. Leeré ciertos informes como los de Gartner y demás. Pero sí, eso es algo así como [inaudible 00:18:18].
Jason Clark: Está bien. Entonces, acabas de decir inteligencia artificial. Hablemos de eso. Has estado leyendo sobre ello y, obviamente, es claramente de tu interés. Cuéntenos más sobre el impacto que esto tendrá para usted desde la perspectiva de la ciberseguridad.
Rehman Khan: Creo que, como usted mencionó, la complejidad de nuestro entorno, y continúa volviéndose más compleja, creo que tenemos que encontrar una manera de escalar la ciberseguridad. Y, en nuestro modelo actual, nuestros modelos actuales simplemente no van a escalar con la cantidad de información que se genera. Y creo que el agotamiento que podemos estar creando en las organizaciones de seguridad son los profesionales de seguridad centrados en los problemas correctos. ¿Están trabajando en el razonamiento o en la reacción? Entonces, creo que donde la inteligencia artificial puede entrar en juego es que, si comenzamos a analizar nuestro estrecho dominio de seguridad, la ciberseguridad, podemos analizar ciertas tareas específicas y realmente comenzar a automatizar e impulsar decisiones sobre esas tareas específicas. . Así, por ejemplo, hay formas de clasificar los acontecimientos que están teniendo lugar. ¿Necesitamos tener un analista observando esos eventos todo el día? ¿Por qué no podemos usar el aprendizaje automático para catalogar los eventos, usar algún nivel de intención y relacionarlo con el resultado, y observar el resultado y ver si esta era la intención que teníamos usando el aprendizaje automático?
Rehman Khan: Entonces, creo que el aprendizaje automático puede ayudarnos desde ese ángulo, donde podemos comenzar a trasladar parte de la carga de trabajo a algoritmos de inteligencia artificial enfocados y limitados que pueden filtrar y evaluar ciertos puntos de decisión.
Jason Clark: ¿Has visto muchos... ¿Quién es el mejor en eso, como arquitecto? ¿A quién has visto hacer un buen trabajo al respecto, en cuanto a proveedores?
Rehman Khan: ¿En cuanto a proveedores? Yo diría que no lo sé. No sé. No me he topado con ningún proveedor que pueda... Creo que hay ciertos aspectos de ello. Hay ciertos algoritmos que están detrás de escena. Pero, abiertamente, al menos no veo un proveedor que tenga completamente [inaudible 00:20:57]
Jason Clark: Está bien. Aunque sea un poco, ¿ha habido alguien a quien le hayas dicho: "Está bien, están en el camino correcto". Lo que están haciendo es interesante". Startup o grande, no importa.
Rehman Khan: Sí. Yo diría que tienes empresas como CrowdStrike y, obviamente, algunas de esas de Palo Alto. Hay un poco de eso sucediendo allí. Creo que se están realizando muchas investigaciones. Pero no necesariamente veo una versión productiva de... Está Deepwatch. Hay empresas que lo están intentando, pero todavía no veo necesariamente un ganador.
Jason Clark: Está bien. Entonces no estás inspirado. En este punto, no estás inspirado. En cuanto a la tecnología, ¿qué es lo que te emociona?
Rehman Khan: Complejidad, problemas difíciles, supongo. Quiero decir, me encanta resolver problemas.
Jason Clark: Muy bien. Entonces, miramos la nube. Cuando analizamos la seguridad en la nube, ¿cómo diría que está cambiando el panorama de la seguridad? Quiero decir, la adopción de la nube en su organización como ejemplo, ¿cómo está cambiando eso la forma en que se ejecuta y funciona la seguridad, para todo, para CSO?
Rehman Khan: Sí. Creo que la nube pública, de hecho, creo que es casi una gracia salvadora para nosotros, porque... Hay dos aspectos de esto, dos perspectivas que tengo. Una es que la nube pública nos brinda la escala que siempre hemos querido. Puedo aprovechar esa escala para reforzar mis servicios de seguridad. Y, por cierto, estos servicios de seguridad no necesitan ser un producto que compro a un proveedor o comprador. Puede ser nuestro propio producto de seguridad. Pero ahora no tengo que defender esta infraestructura y estas capacidades. De hecho, puedo aprovechar la nube pública para mejorar mis capacidades de seguridad. Y creo que ahí es donde algunos de los aspectos de la ciencia de datos serán más escalables para las organizaciones que se centran en la inteligencia artificial y en la construcción de su propio universo, por así decirlo, desde una perspectiva de detección y prevención.
Rehman Khan: Creo que el segundo aspecto de la nube pública que creo que es difícil, para responder directamente a su pregunta, es que, una vez más, creo que no tenemos profesionales de seguridad o suficientes profesionales de seguridad, por así decirlo, con la experiencia de nube pública. Entonces, el desafío es que necesitamos personas para desarrollar soluciones o incluso evaluar las soluciones y aplicaciones en la nube que se están migrando. Por lo tanto, necesitamos poder contar con personas capacitadas. Necesitamos ser capaces de comprender la mentalidad, que es en gran medida una capa lógica de la arquitectura. Ya no tratamos con dispositivos físicos o firewalls, electrodomésticos. Estamos tratando con software. Estamos tratando con código. Y, ¿cómo se toma una organización, una organización de seguridad, que se ha centrado principalmente en cualquier tipo de enfoque de evaluación de riesgos, más bien en un tipo de enfoque reactivo de evaluación de riesgos y, al mismo tiempo, realmente aprovechando la seguridad estándar? productos e implementarlos. Por lo tanto, es necesario poder girar eso.
Rehman Khan: Lo que eso requiere, según mi experiencia, es un equipo de personas que tengan buenos conocimientos de codificación. Tienen un buen conocimiento de la programación de sistemas distribuidos. Y reúne a ese equipo en la organización de seguridad. Y creo que eso realmente ayuda mucho. Hay otros mecanismos de entrega, como [inaudible 00:25:17] que podrían crear automatización. Puede crear cosas como políticas como código. Todos esos aspectos son una especie de subproductos. Pero creo que es necesario, en mi opinión, es la gente. Creo que hay que empezar con el equipo adecuado.
Jason Clark: Me encanta cómo dijiste que la nube es una especie de salvación para la seguridad y estoy 100% de acuerdo. De hecho, digo, es el reinicio perfecto. Es como el reinicio. Es una nueva oportunidad de obtener un apalancamiento que nunca antes habíamos tenido. La nube es extremadamente beneficiosa para nosotros si la usamos correctamente.
Rehman Khan: Obviamente estás en Netskope, quiero decir, estás viendo eso, ¿verdad? Estás viendo el uso de la nube, cómo tu organización puede escalar. Siento que para las empresas es una oportunidad, y creo que es una oportunidad única, poder tomar sus aplicaciones actuales e implementarlas realmente de una manera, diseñarlas y rediseñarlas de una manera que puedan aprovechar. la escalabilidad de la nube pública, pero también ser segura. Creo que es una oportunidad única, porque creo que si no lo hacemos correctamente, terminaremos en la misma situación. Ahora, simplemente vamos a tener más código y es posible que no tengamos una estructura a su alrededor. Entonces creo que hay que pensarlo de esa manera.
Jason Clark: Entonces, al recordar tu carrera, ¿cuál considerarías una de las mejores decisiones que hayas tomado y por qué?
Rehman Khan: Bueno, hubo un par de veces, pero lo primero que diré es que, en realidad, cuando estaba en la universidad, comencé mi viaje en el espacio de la ingeniería eléctrica. Y, mientras tomaba cursos de ingeniería eléctrica, comencé a ver, vaya, se está utilizando software, software de dibujo y esto y aquello. Y miro esto y digo: "Está bien, bueno, ¿por qué no me centro en la informática? ¿A dónde quiero llegar con esto?". Y diría que fue la mejor decisión que tomé. Me cambié de ingeniería eléctrica. De hecho, estaba a medio camino y me cambié a la informática, porque siempre me fascinaron las computadoras.
Rehman Khan: Y lo interesante es que tengo que compartir esta historia con ustedes. De hecho, comencé mi carrera en programación integrada. Entonces, básicamente trabajé en Minneapolis. Trabajé para una empresa de dispositivos médicos. Estábamos en el negocio de las bombas de infusión, que básicamente administraban insulina o analgésicos. Y comencé mi carrera allí escribiendo una interfaz para bombas de infusión. Básicamente, pondría la bomba del paciente en modo de control, donde el médico conectaría esa bomba y la reprogramaría según sus síntomas. Entonces tú [inaudible 00:28:16]
Jason Clark: ¿Cuántas líneas de código tiene una de esas?
Rehman Khan: Vaya, ni siquiera lo recuerdo. Quiero decir, son cientos de líneas de código, y en aquel entonces, todo era comunicación en serie y luego realmente se llevaba a través del proceso de conectividad. Pero de todos modos, comencé en ese mundo de los sistemas integrados. En realidad, tuve que escribir un protocolo, porque necesitabas asegurarte de que esta conectividad fuera segura y confiable, porque no quieres que el paciente sienta dolor y, aun así, la conectividad cae y no puedes reprogramar su bomba. Así que comencé con eso, y nuevamente, mientras hacía eso y miraba el software, comencé a observar el poder del software y pensé: "Guau, esto es genial". Quiero decir, aquí es donde..." Así que creo que ese fue ese punto de inflexión, donde estaba haciendo mi carrera, cambié a ciencias de la computación y luego seguí adelante. Y luego, yo diría que pasamos de ahí, el segundo punto, lo siento, es el cambio de eso a las aplicaciones empresariales. Ese fue algo así como el segundo.
Jason Clark: ¿Dónde pasó eso?
Rehman Khan: Eso sucedió cuando dejé los sistemas integrados. De hecho, fui a Carlson Companies. Y comencé allí como desarrollador de aplicaciones y pasé un tiempo desarrollando aplicaciones, luego comencé a ver oportunidades. Se centró principalmente en aplicaciones J2EE y comenzó a ver oportunidades desde una perspectiva de seguridad. Vaya, quiero decir, necesitamos escribir código de manera más segura. Necesitamos pensar en el acceso de los usuarios. Necesitamos pensar en cómo funciona la gestión de certificados. Quiero decir, todos esos aspectos comenzaron a convertirse en realidad. Así que sí, esos fueron mis...
Jason Clark: Avance rápido, cinco o diez años en el futuro.
Ponente 6: Futuro. Tu futuro.
Ponente 7: Futuro. Futuro. Futuro.
Jason Clark: ¿En qué crees que la gente desearía haber estado invirtiendo ahora? Desde la arquitectura, la estrategia, las tecnologías y la perspectiva, ¿en qué deberían invertir? ¿Cuáles serán algunos de los cambios más significativos que usted cree? Utilice su organización o cualquier organización, eso se verá.
Rehman Khan: Creo que son un par de cosas. Siento que la gente. Creo que elegir realmente a los miembros adecuados del equipo y tomar esas decisiones ahora dará sus frutos. Creo que todos estamos luchando en esa área, que no tenemos suficiente talento. Y necesitamos poder invertir en talento. Así que creo que, en parte, creo que, mirando hacia atrás, realmente, en mi opinión, deberíamos haber invertido aún más en nuestra gente, en el dominio de la ciberseguridad, por así decirlo. Creo que todavía hay muchas más oportunidades allí, que creo que la gente mirará hacia atrás y dirá: "Deberíamos haber estado buscando personas con más experiencia en ciencias de la computación, o tal vez haberles llevado a esa formación".
Rehman Khan: Creo que lo segundo que diría es que creo que será el diseño, el diseño de seguridad. Como dije, realmente centrarnos en el diseño de seguridad y asegurarnos de que la forma en que abordamos la seguridad no sea solo con un montón de herramientas, sino que realmente deberíamos dar un paso atrás y diseñar la seguridad en la organización general, el proceso. Creo que esas son un par de cosas que siento que, cuando las organizaciones miren hacia atrás, creo que habrían perdido esas oportunidades. Y creo que es por eso que hay una gran captación de talentos en este momento. Todas las organizaciones tecnológicas tienden a incorporar más personas al espacio de la ciberseguridad porque ven el valor.
Jason Clark: El segmento final aquí es un poco personal.
Orador 8: Rápido, rápido, rápido.
Orador 9: Ir. Tengo que actuar rápido.
Altavoz 10: Quiero ir rápido.
Jason Clark: Conoce todos los dominios de seguridad. Ha sido jefe de arquitectura de muchas de las cientos de empresas más importantes de Fortune. ¿Cuándo quieres ser una OSC? ¿Alguna vez quisiste ser CISO? ¿O miras el trabajo y dices: "Sí, no".
Rehman Khan: Creo que hablamos, ¿verdad? Creo que estamos diciendo que es un rol estratégico, pero no sé si ya se ha llegado. Creo que sigue siendo una función que se considera de naturaleza operativa y que dice: "Oye, protejamos nuestros activos y hagámoslo rápido". Y sí, habrá un momento en el que podré perseguir eso. Pero para mí, hay mucho trabajo por hacer, Jason. Aún queda mucho trabajo por hacer desde una perspectiva de diseño y, en realidad, de diseñar las soluciones de seguridad adecuadas, que siento que ahí es donde debería contribuir. Y creo que ahí es donde quiero poder influir en la organización.
Jason Clark: Me encanta. Aceptarás ese trabajo algún día, estoy seguro. En los próximos 10 años, hablaremos. Creo que estarás en esto. Entonces, si no estuvieras haciendo seguridad, ¿qué estarías haciendo si la seguridad no existiera?
Rehman Khan: Sería jefe de cocina en algún lugar.
Jason Clark: Me encanta. ¿Qué tipo de comida?
Rehman Khan: Bueno, es principalmente comida india-paquistaní. Ése es mi origen. Pero me encanta fusionarme. Me encanta la fusión. Entonces.
Jason Clark: Entonces, ¿qué fusionarías con eso? Entonces, si tomaras comida indio-paquistaní, ¿con qué la fusionarías?
Rehman Khan: Bueno, te daré un ejemplo. A los estadounidenses les encanta el bistec. Así que por la forma en que preparo mi bistec, y por supuesto, voy a presumir de esto, a mis hijas les encanta el bistec que hice. Creen que es el mejor del mundo. Pero yo uso especias paquistaníes. Tengo ciertos problemas que no entiendo. Es todo mi propia mezcla de especias. Y quiero poder crear ese bistec americano, pero con un estilo paquistaní.
Jason Clark: Sí. Sí. Me encanta. Eso es increíble. Tendremos que salir algún día.
Rehman Khan: Sí.
Jason Clark: Sí, en esta confusión. Entonces, ¿qué es una habilidad, o puedes hacer ambas cosas, una habilidad o un pasatiempo que no está en tu currículum? Entonces, ¿quieres centrarte en el pasatiempo que tienes y que la mayoría de la gente no conoce o en una habilidad? ¿Qué es algo que la gente pueda estar cocinando?
Rehman Khan: Bueno, quiero decir, cocinar es una de ellas. Pero la cocina también es un hobby para mí. En muchos sentidos, realmente me ayuda a relajarme. En realidad, es algo agradable. Yo diría que solía remezclar música y era como música house. Me encanta eso. Y me encanta la música en general, pero sí, creo que remezclar música en alguna parte, realmente...
Jason Clark: Me encanta. Y eso también lo fusionas.
Rehman Khan: Sí.
Jason Clark: Estoy seguro de que haces algo de fusión musical. Totalmente. Recuerdo días en los que pasaba cinco o seis horas descargando música e intentando [CatGrab 00:36:29] cada pequeño MP3 que podía de cualquier canción. Entonces sí, esa es una buena respuesta. Entonces, la última pregunta, ¿cuál sería su principal consejo para alguien que quisiera aspirar a ocupar su puesto? ¿Qué les dirías que hicieran?
Rehman Khan: Yo diría que si eres un líder de personas, creo que quieres empoderar a las personas que te rodean y realmente tener el mejor equipo a tu cargo, el mejor equipo que puedas reunir, el equipo con el que puedas generar confianza. Creo que esa es la medida del éxito. Y si podemos construir eso con las personas que nos rodean, creo que los problemas se vuelven muy fáciles de resolver. Ni siquiera puedo estresarme.
Jason Clark: Sí. Y todo tipo de gente. Creo que se podría decir fácilmente que, al final, la gente es absolutamente lo más importante que puedes hacer. Y especialmente en tu rol de líder en arquitectura, tu trabajo es inspirar a las personas. Es para motivarlos. Porque tienes un equipo pequeño, pero tienes que conseguir, ni siquiera sé cuántos empleados de tecnología existen en tu organización, pero estoy seguro de que son 5.000, 10.000 personas, tienes que motivarlos a todos para que hagan algo por usted, por seguridad. Y para realmente lograr eso, no es a través de políticas. Es inspirándolos. Es motivándolos a querer y a preocuparse. Y lo que estás diciendo es que tu equipo, tus subordinados directos, tienen que hacer lo mismo. Tienen que inspirar al resto de la organización a preocuparse.
Rehman Khan: Sí, no, quiero decir, como líder, aporta mucha confianza en la organización. Y también quieres que puedan cometer errores, donde les dejas intentar algo. Y creo que hay que respaldarlos. Y creo que eso es muy importante. Si alguien quiere liderar un equipo de arquitectos e ingenieros, debe depender de sus habilidades. Tienes que escucharlos.
Jason Clark: Eso es todo para lo que tenemos tiempo hoy. Pero, si alguien se encuentra con Rehman y quiere comunicarse con él, puede encontrarlo en LinkedIn. Es un gran tipo, le encanta hablar sobre cualquier tema de arquitectura de seguridad, especialmente, los cambios que se avecinan, cualquier cosa. Si alguna vez te lo encuentras, pregúntale cuáles son las especias que le pone a su filete. Definitivamente voy a hacerlo.
Rehman Khan: Sí, esa es una receta secreta. Mis hijas simplemente lo protegen como si no lo creyeras. Y ellos dicen: "Esta es la receta secreta de papá". Y yo dije: "Bueno, esa es una pequeña receta". Sólo lo estoy haciendo todo pero-"
Jason Clark: Quieren crear un restaurante. Quieren crear un restaurante.
Rehman Khan: Sí.
Jason Clark: Pero no, esto ha sido fantástico. Muchas gracias por tu tiempo y por compartir tu vida personal, tus amores y mucho sobre ciberseguridad. Así que todo lo que queremos hacer es ayudar a que esta industria mejore y, como dijiste, se trata de... Lo dijiste como 50 veces, creo que en esta conversación todo se trata de la gente, y esa es la clave, y eso es lo que estamos tratando de hacer aquí, es ayudar a la gente. Muchas gracias.
Rehman Khan: Sí. Gracias. Muchas gracias Jason por la oportunidad.
Jason Clark: Impresionante.
Anuncio: El podcast Security Visionaries está desarrollado por el equipo de Netskope. ¿Busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital? Netskope Security Cloud le ayuda a conectar a los usuarios de forma segura y rápida directamente a Internet, desde cualquier dispositivo a cualquier aplicación. Obtenga más información en Netskope.
Productor: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa, y compártelo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos vemos en la próxima.
Por qué Netskope 
){kind=icon}
