Marene Allison: En lo cibernético, todo cambia cada seis meses, hay una nueva lente y un conjunto completamente nuevo de nuevas tecnologías que estarán disponibles. Y como CISO tengo que tomar la nueva amenaza, mi entorno de TI que no cambia tan rápidamente como lo hace el entorno de seguridad, y luego envolverlo nuevamente y ver qué funciona. Creo que tenemos un trabajo fantástico porque tenemos todas estas nuevas tecnologías. Podemos ver todas las diferentes formas en que un adversario vendrá tras nosotros. Y luego mira cómo vamos a asegurarlo.
Orador 2: Hola y bienvenido a Security Visionaries, presentado por Jason Clark, CISO de Netskope. Acaba de escuchar a la invitada de hoy, Marene Allison, directora de seguridad de la información de Johnson & Johnson. A los 17 años, Marene prestó juramento en la Academia Militar de Estados Unidos en West Point para defender su país contra todos los enemigos, nacionales y extranjeros. Hoy, Marene cumple otro juramento para proteger su empresa de los invasores que intentan robar sus datos. En el cambiante mundo de la ciberseguridad, las amenazas pueden surgir en todo momento. Como líderes de seguridad, es nuestro deber traducir esas amenazas en información procesable para los ejecutivos. Y con un equipo talentoso, siempre estará preparado para proteger su empresa de ataques. Antes de sumergirnos en la entrevista de Marene, aquí hay unas breves palabras de nuestro patrocinador.
Orador 3: El podcast Security Visionaries está impulsado por el equipo de Netskope. Netskope es el líder de SASE y ofrece todo lo que necesita para brindar una experiencia de usuario inteligente en la nube y centrada en los datos rápida al ritmo de los negocios actuales. Obtenga más información en NETSKOPE.com.
Orador 2: Sin más preámbulos, disfrute del episodio 10 de Security Visionaries con Marene Allison, CISO de Johnson & Johnson y su anfitrión, Jason Clark.
Jason Clark: Bienvenido a Visionarios de la seguridad. Soy su anfitrión, Jason Clark. Y hoy me acompaña una colega increíble, Marene Allison. Marene, ¿cómo estás?
Marene Allison: Estoy muy bien Jason, gracias por invitarme. Este es un gran programa.
Jason Clark: Gracias. Estoy emocionado de mostrar algunas de las cosas que creo que a la comunidad le interesarán mucho sobre usted. Tienes una experiencia realmente asombrosa. En realidad, estoy celoso de tus antecedentes, para ser honesto. Ojalá hubiera ido a West Point. Ojalá me uniera al FBI. Y has seguido ese camino único tuyo. Fui al ejército, pero eso es una gran diferencia con respecto a ir a West Point, donde han estado muchos de los miembros de mi familia. Entonces, tal vez podamos comenzar hablando de que usted fue la primera generación de mujeres en graduarse de West Point y de lo que eso todavía significa para usted hoy.
Marene Allison: Sí, en realidad nunca quise ir a West Point. Quería ir a la Academia de la Fuerza Aérea. Y probablemente la primera persona, incluso antes de que conociéramos la palabra patrocinador, que me patrocinó y me ayudó a orientar mi vida fue Margaret Heckler, congresista de Massachusett. Ella me dio su nominación principal para West Point. Y fui sin ser visto, nunca vi el lugar, entré y salí cuatro años después, nombrado segundo teniente. Y sí, fue algo que definió la vida. Soy de Massachusetts, así que la idea de que las mujeres no pueden hacer nada que un hombre puede hacer, y algunas de esas ideas preconcebidas, supongo, son la visión del mundo de los años 70. No sabía qué era eso. Y entré en este ambiente y me fue bien, obviamente me gradué y fui comisionado en la policía militar, pero ahí fue donde fui a estudiar ingeniería eléctrica. Por supuesto, en los viejos tiempos no teníamos ciencias de la computación ni títulos en ciberseguridad. Entonces tomé ingeniería eléctrica y eso se convirtió en mi especialidad en West Point y ciertamente marcó la diferencia, ¿verdad? Ha sido enorme. Hoy soy presidenta de West Point Women y represento a más de 6,000 mujeres y graduadas de West Point y todo lo que se ha logrado.
Jason Clark: Vaya, eso es increíble. Entonces, si nos cuenta un poco sobre esa transición a lo cibernético y luego ese camino.
Marene Allison: Bueno, como dije. Me dieron de alta como subteniente de la policía militar y luego me fui. Lo que diría es que mi segundo patrocinador en mi vida fue el general Sam Wetzel, que formaba parte de la junta directiva de A&P Foods. Y él y otra miembro de la junta estaban buscando una jefa de seguridad para una mujer graduada en aplicación de la ley de A&P West Point, y esa era yo. Yo era el agente del FBI en Newark. Y luego pasó a la seguridad corporativa, la seguridad física. Y luego, después de dejar A&P, después de unos 10 años, pasé a través de telecomunicaciones. Y yo era la persona de seguridad física y seguridad global durante seis semanas allí. Me dijeron: "Hola Marene, nuestro jefe de seguridad informática se va. Y... Ah, por cierto, estamos haciendo la Copa del Mundo, la primera vez que utilizamos voz sobre IP en la producción. Y necesitamos a alguien que dirija nuestro centro de operaciones de seguridad". Oye, soy tu mujer. Estoy ahí. Voy a hacer eso. Y así fue mi transición de no poder deletrear IT a correr como calcetín para la Copa del Mundo en 2002.
Jason Clark: Entonces, ahora estás en el CISO de J&J o Johnson & Johnson, donde has estado desde 2010. Entonces, cuando pensamos en cómo eran las cosas en 2010, en comparación con el estado de la seguridad en general, la industria actual. ¿Cómo hablarías de esas diferencias en los últimos 11 años?
Marene Allison: Entonces, cuando miras 2010, éramos un servidor cliente. La gente recién comenzaba a usar los dedos gordos del pie. Bezos sólo podía permitirse un dinging, no un yate de 540 millones de dólares, y Amazon no estaba ganando dinero. Entonces éramos un servidor cliente y nuestras redes eran el perímetro, no Internet como lo es hoy, no como lo somos en el mundo digital. Estuve en Medco, una empresa llamada Medco, que ya no existe. El beneficio de farmacia. Teníamos el sitio web de un cliente que tenía datos de 65 millones de estadounidenses en ese sitio web. Y en 2005, se introdujeron HIPAA, Sarbanes-Oxley y PCI al mismo tiempo para garantizar que los datos estuvieran protegidos. Y nos dio cierto nivel. Yo uso el término, incluso lo uso hoy es estar por delante del oso, ¿verdad? Y estás un poco por delante del oso, pero querías a alguien detrás de ti, pero no querías estar muy por delante porque estabas gastando demasiado dinero en el espacio. Y entonces marcó una gran diferencia, pero también cambió la forma en que hacíamos la seguridad de TI debido a algunos de esos marcos, fue genial. Y [inaudible 00:07:03] allí y luego salió NISS e ISO 27001. Pero todos eran solo marcos para ayudar a los CISO a mejorar en su oficio.
Jason Clark: Hablaremos un poco más sobre eso, porque creo que ha habido muchos cambios en los últimos 11 años. Pero creo que incluso ahora la cantidad de cambios es bastante significativa cuando nos sentamos y pensamos hacia dónde van las cosas, incluso si tomamos en cuenta los últimos dos años, lo cual es un desafío para todos. Pero cuando pienso en tus zapatos, estás saliendo con una de las primeras vacunas y luego también lidiando con un escupitajo. ¿Diría usted que las adquisiciones de hace 10 años solían ser mucho más difíciles desde el punto de vista tecnológico porque querría iniciar una nueva línea de arrendamiento o enviaría uno de los nuevos equipos y necesitamos llevarlo a Sudáfrica y Brasil y Rusia, ese es un proyecto de seis meses en sí mismo, solo tener el hardware allí, en comparación con ahora, en un mundo en la nube, las cosas se pueden implementar mucho más rápido. Puedes entregar el software, ¿verdad? Para poder hacer que eso suceda. ¿Cree que desde el punto de vista de la seguridad se ha vuelto mucho más fácil realizar adquisiciones en los últimos 10 años?
Marene Allison: En general, ahora es mucho más fácil durante las adquisiciones y desinversiones. Si recuerdas, ¿cuánto tiempo nos llevó hace 10 años configurar un servidor? Y luego configurarlo todo y pasarlo a todos. Fueron meses, días. Ciertamente no fueron horas, ¿verdad? Los proveedores de la nube en realidad nos ayudaron a cambiar, incluso si lo hacen internamente, ayudaron porque si íbamos a ser viables, un valor comercial en TI, teníamos que cambiar la forma en que hacemos las cosas y teníamos que automatizarnos, ¿verdad? ? Oye, si puedo conseguir un servidor de un proveedor de nube en unos minutos y me lleva tres meses hacerlo internamente, ¿adivinen adónde irás? Entonces, lo que sucedió es simplemente el cambio a la nube. Y ciertamente, poder girar y tomar todo y poder moverlo a un entorno de nube ciertamente lo hace mucho más fácil incluso que ponerlo en el servidor del cliente si lo hace internamente, sin importar qué tan rápido sea.
Jason Clark: Piensa en tu increíble experiencia en la historia. ¿Cuál fue una de tus mayores experiencias de aprendizaje en ciberespecífico?
Marene Allison: Creo que probablemente un momento realmente decisivo para mí fue en junio de 2016 con notPetya. Creo que para nosotros, como CISO, puedo defenderme de eso. Modos más grandes, firewalls más grandes. Puedo hacer esto y estoy bien. Obtendré más detección y la protección será buena. Será bueno. Cuando ocurrió NotPetya, nos dimos cuenta de que se necesita ciberresiliencia. Si no tienes resiliencia cibernética, no sobrevivirás en el nuevo entorno de amenazas. Y sé que tengo muy buenos amigos que en ese momento simplemente dijeron: "Marene, me voy, me voy". Me voy del ciber. Voy a volver a un capital de riesgo. Voy a hacer otra cosa", porque el CISO tiene que entender hacia dónde debe ir una empresa en el pensamiento de una empresa en torno a lo cibernético. Y la resiliencia no está del todo en el corazón del ámbito del CISO. Realmente es la empresa, ¿verdad? Y volvimos a verlo con el aumento del ransomware. Muy pocos CISO que conozco estaban haciendo copias de seguridad y restauraciones, pero todo giraba en torno a cómo configurar su copia de seguridad y restauración, y si tiene una alta disponibilidad. Y cómo el ransomware llega y se propaga contra un entorno y el adversario, observando las cosas que hicimos para lograr eficiencia, toda esa automatización y doble redundancia, y las copias de seguridad automatizadas también pueden ser su talón de Aquiles en un evento de ransomware. Y ahí es donde creo que para mí el evento notPetya fue ese momento en el que dije: "Está bien, ¿ahora qué hacemos? ¿Y entonces cómo avanzamos?". Era menos seguridad de TI y más gestión de riesgos de seguridad de la información y resiliencia cibernética.
Jason Clark: Acabas de tocar una serie de puntos realmente importantes que quiero destacar, que son... Empezaremos, el primero es el trabajo de CISO, es un trabajo muy complicado y difícil debido a una cosa: solo el nivel de estrés va a suceder. Vas a tener un evento que te hará perderte las vacaciones familiares o las Navidades familiares, o la boda de tu mejor amigo, ¿verdad? Eso le pasa a todo el mundo. Entonces, tiene el equilibrio de estos momentos estresantes y cómo los maneja, combinado con tratar de no crear fricción en el negocio, pero necesita cierto nivel de fricción para que haya algunos controles implementados, tal vez hable con sus puntos de vista sobre lo que hace que el trabajo de CISO sea tan estresante. La mayoría de los CISO que conozco, después de haber realizado el trabajo de CISO tres veces, dicen: "Está bien, creo que tal vez tengo una vez más o necesito ir a una empresa más pequeña, o necesito pasar a otra cosa". Pero no puedo volver a esforzarme tanto", ¿verdad? ¿Qué crees que significa eso?
Marene Allison: Excepto yo, Jason. Excepto yo, ¿verdad?
Jason Clark: Creo que vivir en Florida, ¿verdad? Quizás te ayude a relajarte un poco más.
Marene Allison: Y yo diría que hay un par de tipos de CISO. Hay CISO que están trabajando en una verdadera misión de seguridad de TI: se trata de proteger la TI. Y luego están los CISO que realmente son ejecutivos de negocios. La seguridad informática es sólo una pequeña parte de lo que hacen. Y luego tienen el riesgo cibernético. Están analizando cosas como el control de TI para Sarbanes-Oxley. Y ese es un rol muy diferente porque estás traduciendo todo el tiempo. Lo que sé sobre lo que está pasando versus tratar de traducirlo a los altos ejecutivos, es un arte. Es absolutamente un arte fino que tenemos que hacer. Y tener equipos de personas muy talentosas que tengan servicio gubernamental, perspicacia técnica o perspicacia para los negocios, y reunir todo eso es muy, muy importante en comparación con tener solo una organización, que está compuesta principalmente por ingenieros de seguridad. Y el juego cambió, ¿no? Es... Ahora todos iremos a la junta directiva y hablaremos sobre el riesgo cibernético y las métricas operativas y las personas con las que estabas hablando realmente entienden de dónde viene un CISO. Y creo que ese juego ha cambiado y poder articularlo de una manera que tenga sentido. Levanté la mano cuando tenía 17 años en West Point para defender nuestro país contra todos los enemigos, internos y externos. Y te lo puedo decir incluso años después, y no te diré cuántos años después. Todavía podría levantar la mano y decir: "Defiendo mi empresa contra todos los intrusos que intentan robar o alterar nuestros datos".
Jason Clark: Eso es lo sorprendente de nuestra misión. Realmente apenas estamos comenzando. El problema se está volviendo más difícil y vamos a seguir creciendo como seguridad, de lo cual quiero hablar un poco. Creo que tu respuesta fue perfecta en... Creo que el estrés es que técnicamente se les está exigiendo de una manera, pero también se les está exigiendo de otra manera desde el punto de vista del riesgo empresarial y la resiliencia. Y no todo el mundo puede gestionar ambas cosas al mismo tiempo. Y ahí es donde la gente potencialmente cae, ¿verdad? O la organización que rodea el negocio lo apoya, tal vez tengan un jefe que no lo apoye, ¿verdad? Vea, puede tener un CIO que no lo apoye sentado y pasando una vez al mes con la junta directiva, y se ha reunido con la junta. Ves que eso sucede todo el tiempo, o alguien te dice... y lo he visto muchas veces: "Oye, necesito que apruebes este riesgo". Y bueno, sí, no puedo hacer eso, es un riesgo enorme. Bueno, ¿por qué no lo firmas? Y ellos dicen: "Bueno, no, ese es tu trabajo". Y luego dices: "Si no lo firmas, entonces tal vez deberías salir por la puerta y encontraremos a alguien más que lo firme", ¿verdad? Terminas con ese tipo de estrés también.
Marene Allison: De hecho, eso me ocurrió, no en J&J sino en una empresa anterior donde el individuo no tenía doble redundancia para su centro de llamadas. Y lo mencioné como una continuidad del negocio de riesgo. Y la presidenta de esa unidad de negocios necesitaba aprobar y ella no quería hacerlo. Entonces dije: "Está bien, voy a escribir aquí el memorándum que usted se negó a firmar, ¿está bien?". Sí. Esta bien. Y luego, un año y medio después, las inundaciones destruyeron el único enlace de datos al centro de llamadas, y a ambos nos llevaron a la oficina del director ejecutivo y le hicimos la pregunta. Y dije: "Bueno, aquí es donde no fue necesaria la aprobación, aunque se informó que era necesaria". Y tengo que salir de la oficina.
Jason Clark: Me encanta. Sí.
Marene Allison: Sí. Es esa responsabilidad y eso es misterioso, ¿no es así, Jason? Sabes quién está haciendo qué. Pero creo que en el lado de TI, el mundo de TI para mí sería aburrido, ¿verdad? En lo cibernético, todo cambia cada seis meses, hay una nueva lente y un conjunto completamente nuevo de nuevas tecnologías que estarán disponibles. Y como CISO tengo que tomar la nueva amenaza, mi entorno de TI que no cambia tan rápidamente como lo hace el entorno de seguridad, y luego envolverlo nuevamente y ver qué funciona. Creo que tenemos un trabajo fantástico porque tenemos todas estas nuevas tecnologías. Podemos ver todas las diferentes formas en que un adversario vendrá tras nosotros. Y luego mira cómo vamos a asegurarlo.
Jason Clark: Creo que es el único lugar en la tecnología donde tienes un adversario que está constantemente presionando e innovando, ¿verdad? No hay otro espacio en la tecnología donde tú... tenga un adversario directo, ¿verdad? Eso viene constantemente detrás de ti. Y entonces se combina eso con el hecho de que el negocio se está moviendo y, al mismo tiempo, es necesario moverse a la velocidad del negocio. Entonces tienes estas dos fuerzas masivas que te empujan en direcciones realmente opuestas, ¿verdad?
Marene Allison: Correcto. Y luego también tenemos el entorno regulatorio, cualquiera que trabaje con una ley de ciberseguridad de China y la localización de datos de China, lo mismo con la localización de Rusia. Continuamente tenemos que envolver el entorno de una manera diferente, para que la empresa pueda continuar operando en los entornos en los que se encuentra sin tanta fricción como probablemente nos gustaría, si todos fuéramos solo seguridad de TI.
Jason Clark: Entonces, ¿qué porcentaje de su tiempo es, A hacer... llamémoslo el año geek, parte de la seguridad de TI, versus los reguladores, versus el negocio desde un aspecto de G&A, finanzas y recursos humanos legales?
Marene Allison: Probablemente diría que entre el 10 y el 15% son cosas geek. Y para ser honesto, mi equipo probablemente desearía que estuviera más lejos, incluso del 10 al 15 %, porque busco y encuentro cosas, hablo sobre ello y veo cómo podría funcionar. Y luego...
Jason Clark: Bueno, también es divertido.
Marene Allison: Sí. Es divertido. Es muy divertido, ¿verdad? Y siempre me gusta pensar: "Bueno, ¿qué vamos a hacer ahora?" ¿Bien? Así que les encantan esos desafíos, estoy seguro. Si los entrevistas dirán algo diferente, estoy seguro. La parte comercial probablemente sea del 20 o 25%. Entonces, ¿qué somos? 35, 40%. Y luego lidiar con cuáles son los controles de TI, sin importar qué regulación sea, ya sea una regulación de privacidad, una HIPAA que Sarbanes-Oxley pasó por alto es la mayor parte del resto del tiempo, porque literalmente tengo que trabajar con otras áreas. del negocio a partir de una evaluación o una auditoría o de un tercero regulador. ¿Cómo se ve el bien?
Jason Clark: Ese 50% no suena tan divertido.
Marene Allison: Es interesante. Sólo estaba... Algunos de nuestros auditores ingresaron al ciberespacio. ¿Y qué marco estás utilizando para hacer la evaluación? Y porque es una oportunidad para hacer de entrenador. Me encantan los auditores de TI, ¿verdad? Los amo porque lo que veo es a alguien que algún día trabajará en mi departamento o en Cyber algún día. Y entonces mire a esos auditores de TI y luego desafíe, cuestione y pregunte, ¿por qué estamos mirando esto? Eso me brinda la oportunidad de entrenar y me encanta entrenar.
Jason Clark: ¿Cuál es tu dominio cibernético favorito?
Marene Allison: ¿Cuál es mi... análisis forense? Informática forense. Sí, mi pobre calcetín, la gente que maneja mi calcetín y el director senior de ese lado, saben que puedo saltar en medio latido. Haré un millón de preguntas, ¿por qué hacemos esto? ¿Deberíamos estar haciendo eso? Y luego lo vincularé nuevamente con la tecnología, recordaré algún evento aleatorio que ocurrió hace tres años. Y eso les encanta. Eso les encanta mucho.
Jason Clark: Estoy seguro de que sí. Pero... Entonces, volvamos a... Comenzamos a profundizar en la innovación y quería tocar ese tema en los últimos minutos aquí. Entonces, se están produciendo muchos cambios. ¿Dónde están las áreas que crees que necesitan mayor innovación técnica, verdad? Si analizamos la ciberseguridad, podría tratarse simplemente de seguridad en la nube. Podría ser la seguridad de los datos. Podría ser SIMS. Podría ser el perímetro de convergencia a SASE y SSE, pero la seguridad API, solo todo lo anterior. Curioso, solo su visión de dónde se necesita innovación. Si estuvieras hablando con cien CTO y emprendedores increíbles y dijeras: "Ve a construir esto". Estas son las cosas que necesitamos." ¿Qué dirías?
Marene Allison: La forma S de las aplicaciones, el hecho de que tengamos que administrar cada línea de código en una aplicación, no será sostenible. Necesitamos CTO y tecnología que puedan contener esas aplicaciones y sacarlas del estado vulnerable en el que se encuentran hoy. No era nuevo... en plan: Bueno, la parte de seguridad de las aplicaciones es grande, pero hasta Log4j, porque Log4j está en las aplicaciones, en los servidores y está en todas partes. Y oye, me encanta cuando puedes parchear. Pero gran parte del código no se puede parchear debido a lo que hace y a su ubicación. Por lo tanto, tendrá que tener algún tipo de contenedor. La otra parte de esto son los datos, ¿verdad? Están las cosas físicas. E incluso hoy llamo a la aplicación en sí, un espacio físico contenido o el servidor, o la nube o la red. Todas esas son cosas físicas que debemos contar con nuestra experiencia para asegurarlas. Pero los datos, los datos van a todas partes. Va a impregnar todas partes. 5G, los datos que provienen de los sensores, un anillo en tu dedo hablará con tu reloj y enviará cosas a tu médico. Por favor, no se lo envíes a alguien que esté intentando venderme un programa de pérdida de peso, ¿verdad? Todas estas cosas van a llegar a ser muy, muy importantes. ¿Y estamos preparados? ¿Sabemos adónde van los datos? Seguimos intentando gestionar los datos según dónde se encuentran o las tuberías por las que pasan. ¿Cómo gestionamos los datos en sí?
Jason Clark: En todas partes. ¿Y cómo los controles de seguridad siguen esencialmente los datos? Lo que yo llamaría Nirvana de la Seguridad, eso es lo que necesitamos. Y lo curioso es que el 90 por ciento de las conversaciones sobre seguridad no hablan de datos. Hablan de amenazas y vulnerabilidades, probabilidad, auditoría, cumplimiento y todo eso. Y la realidad es que, al final, la gran estrategia de seguridad es proteger los datos. Pero seguro que ahí hay resiliencia, ¿verdad? Hay tiempo, pero la mayoría son datos. No encuentras... La mayoría de las conversaciones son en realidad la mayor parte de la tecnología que las rodea, aparte de...
Marene Allison: Correcto. Exactamente. Es un contenedor. Es el contenedor por el que se mueve. Es el contenedor en el que se encuentra. Pero no hablamos de eso. ¿Y entonces qué tenemos que hacer con eso? Y luego eso entra en... Uno de mis temas favoritos sobre el acceso y la confianza cero, y quién ha tocado los datos. Y todas esas cosas porque son muy, muy importantes. ¿Y adónde nos llevará la tecnología y cómo la protegeremos para el futuro?
Jason Clark: La mayoría de las personas con las que hablo ven Zero Trust y definitivamente la mayoría de los proveedores. Lo ven como binario, la confianza es binaria. Entonces tienes acceso o no tienes acceso. Yo dije: "No, no solo puedes entrar a mi casa o no puedes entrar a mi casa. Tú... Puede que te deje entrar a mi casa, pero tan pronto como vea un mal comportamiento, no te dejaré salir de mi caja fuerte". Y sólo tenemos que pensar en cosas en las que existe una nivelación de acceso. Y eso se evalúa constantemente en función de muchos factores de riesgo. Y creo que ahí es donde tenemos que llegar, donde hay un poco de confianza en nosotros, ¿verdad? Hay casos en los que puedes darle a las personas un poco del beneficio de la duda por un segundo, si... digamos que escriben una oración. Escriba una frase por la que necesita estos datos. Y el 99% de la gente dirá: "No, no importa. Me estoy echando atrás." El 1% escribirá el motivo. Está registrado ahora. Y fue un disco, ¿verdad? En lugar de decir: "Simplemente no. Y ve a presentar una solicitud para el equipo de seguridad", ¿verdad? Y creo que es un nivel de participación muy diferente en el que se puede automatizar e incorporar Zero Trust.
Marene Allison: ¿Pero sabes qué? También deberíamos preguntarnos: "¿Dónde vamos a colocar los datos?". ¿Bien? ¿Y te imaginas un mundo? Aquí es donde me gusta pensar: "Oh, ¿a qué lo vas a descargar? SharePoint, una base de datos y sabías lo que era." Y los datos sabían que si no iban allí, te decían: "Oye, el desarrollador los puso en el lugar equivocado, ¿verdad? Ven a buscarme. Mamá, ven a buscarme", ¿verdad? ¿Te imaginas ese mundo? Vamos a llegar. Tendremos datos similares en algún momento, pero tomará un tiempo. Pero eso ayudará a la industria de la seguridad. Mira el cifrado, ¿verdad? El cifrado era... es Confianza Cero. No confío en ti a menos que te dé las llaves. Pero si te doy las llaves, tienes acceso a todo, ¿no? Y-
Jason Clark: Sí. Entonces, eso está activado o desactivado, ¿verdad? Ese es el problema.
Marene Allison: Sí. Ese no es un gran modelo porque ahora ponen las llaves en lugares raros, ¿verdad?
Jason Clark: Mm-hmm (afirmativo). Exactamente. Completa dentro o fuera del binario.
Marene Allison: Encendido, apagado. ¿Bien?
Jason Clark: Eso es todo.
Marene Allison: Y tienes razón. Y puede que sea simplemente una dependencia del tiempo. Es como análisis del comportamiento del usuario o acceso contextual, ¿verdad? Y vimos mucho de esto cuando, Oh, tu autenticación de dos factores. Si estás en la red de J&J, tienes acceso, inicias sesión única en J&J y estás en VPN, puedes tener acceso a esto. Pero si estás fuera de la red y entras, entonces necesitas hacer otros dos factores, ¿verdad? Y eso es sólo contextual, ¿verdad? O si estás en un lugar determinado o no estás en una dirección IP que sea... ¿Te imaginas dónde todos los salones de Starbucks se considerarán seguros o no?
Jason Clark: Y creo que este mundo de sacar todo de nuestro centro de datos, ya sea en la nube, en SaaS o en nuestros dispositivos, nos lo permite. Nos empuja a tener este tipo de... lo que me gusta decir es el restablecimiento perfecto de la seguridad. Nos permite ir y decir: "Está bien, todo habla con todo". Todo es una API ahora. Y automaticemos estas cosas de una manera mucho mejor". Así que estamos reconstruyendo la seguridad en los últimos años y tenemos mucho más trabajo por hacer, pero siento que empezamos a hacerlo.
Marene Allison: Sí. E incluso imagínese, porque el riesgo de terceros y han hablado de riesgos de la cadena de suministro. Han hablado de estos riesgos. ¿Te imaginas si tus datos tuvieran la capacidad de llamarte si no se estuvieran manejando correctamente?
Jason Clark: Sí.
Marene Allison: ¿Te imaginas esas conversaciones... Probablemente dentro de 10 o 15 años, pero te imaginas de CISO a CISO, "Oye, discúlpame". Mis datos me llamaron y me dijeron que estás abusando de ellos."
Jason Clark: Sí. No está donde debería estar.
Marene Allison: [diafonía 00:29:16] acceso no autorizado y quiero hablar contigo sobre eso. O fue a Internet, se suponía que no debía ir allí.
Jason Clark: ¿Por qué la configuración de mis datos que te proporcioné como tercero está en China, verdad? Sí. Está llamando a casa. Sí.
Marene Allison: Exactamente. ¿Te imaginas eso? Sí, y luego algunos de los problemas que enfrentan los CISO hoy en día: pérdida de datos, exposición de datos, protección de datos, riesgo de terceros. Tendrán una dimensión diferente a la que tienen hoy. Y eso es lo emocionante de nuestro trabajo, ¿verdad?
Jason Clark: Entonces son como datos inteligentes.
Marene Allison: Datos inteligentes.
Jason Clark: Eso sabe si se está utilizando de forma adecuada y segura. Entonces, una última pregunta para ti, más a nivel personal: ¿qué pasatiempo te encanta hacer fuera del cibernético o dos?
Marene Allison: Sí. Tengo tres caballos en una granja en el norte de Florida y mi esposo y yo cultivamos arándanos orgánicos con fines comerciales.
Jason Clark: Vaya. ¿En esa misma finca?
Marene Allison: En esa misma granja. Tiene más de 200 acres, por lo que hay mucho espacio. Y tenemos alrededor de 50 acres de arándanos orgánicos.
Jason Clark: ¿Cuánto tiempo pasas en la granja en comparación con tu...?
Marene Allison: Uno podría considerar la granja como la casa principal, porque una vez que uno tiene una granja, hay muy pocas cosas que hacer. Trabajo desde casa desde ambos lugares y me dirijo a Jersey para ir a la oficina aproximadamente una vez al mes.
Jason Clark: Eso es increíble. Bueno, gracias. Esta ha sido una sesión increíble y sé que los oyentes habrán disfrutado mucho esta conversación, donde cubrimos muchos temas y ha sido divertida. Muchas gracias Marene, y siempre es un placer hablar contigo. Y...
Marene Allison: Es un placer estar aquí, Jason. Y cada vez que podemos tener una conversación es un gran día para mí. Gracias.
Orador 3: El podcast Security Visionaries está impulsado por el equipo de Netskope. ¿Busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital? Netskope Security Cloud le ayuda a conectar a los usuarios de forma segura y rápida directamente a Internet desde cualquier dispositivo a cualquier aplicación. Obtenga más información en NETSKOPE.com.
Orador 2: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa y compartirlo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos vemos en la próxima.
Por qué Netskope 
){kind=icon}
