Emily Wearmouth [00:00:01] Ciao e benvenuti a un'altra edizione del podcast Security Visionaries. Stimolazione audio per chiunque lavori nei settori cyber, dei dati o affini. Oggi sono un sostituto perché mi è stato chiesto di condurre questa conversazione per il mio co-presentatore Max, che è stato colpito da un virus. E per chiarezza, non intendo malware e Max non è un'IA. È un vero ragazzo. E anche per guarire presto. Devo dire che sono davvero felice di essermi infilato in questo progetto perché oggi tiriamo fuori le nostre sfere di cristallo nella tradizione annuale di fare previsioni per l'anno a venire. E ho due ospiti sul sedile caldo, entrambi pronti a parlare pubblicamente e fare alcune previsioni per noi. Per prima cosa, abbiamo Shamla Naidoo. Lo fanno. Shamla ha ricoperto il ruolo di CISO per aziende come Starwood Resorts e IBM, ed è anche professoressa aggiuntiva di diritto presso l'Università dell'Illinois. Fa parte di diversi consigli pubblici ed è anche responsabile della strategia e innovazione cloud presso Netskope. Benvenuto. Shamla.
Shamla Naidoo [00:00:54] Grazie, Emily. Sono felice di essere qui.
Emily Wearmouth [00:00:56] La mia seconda ospite è Sherron Burgess, anch'essa CSO in una grande organizzazione e anche membro del consiglio di amministrazione. E Sharon potrebbe essere familiare agli ascoltatori per il lavoro che svolge nel promuovere la diversità nel nostro settore. E infatti, una delle sue posizioni in consiglio è presso Cyversity, un'organizzazione no-profit dedicata ad aumentare la presenza di minoranze sottorappresentate nel campo della cybersecurity. Un lavoro davvero importante. Benvenuta, Sherron.
Sherron Brugess [00:01:19] Grazie, Emily. Felice di essere qui.
Emily Wearmouth [00:01:21] Quindi, senza ulteriori indugi, andiamo subito al punto. Lucida quella sfera di cristallo. Shamla ci ha fatto una previsione per farci partire. Cosa dovremmo aspettarci di vedere nel 2024?
Shamla Naidoo [00:01:30] Sai, Emily, da molti anni i CISO hanno fatto rapporto ai consigli. Ma penso che vedremo un cambiamento in quel rapporto. Quindi, fino ad ora, i CISO sono venuti principalmente in sala riunioni, non sempre, ma soprattutto come esperti della materia. La relazione era in gran parte di proprietà di altri dirigenti come il CIO, il chief risk officer o persino il revisore generale. E quindi la relazione era di proprietà di quei leader mentre l'argomento proveniva dal CISO. Negli ultimi mesi, quello che vediamo è che, sai, la SEC è solo un catalizzatore. Ma in generale, penso che i consigli stiano iniziando a capire che il loro ruolo è molto diverso da quello di CFO. Il CISO è un leader operativo sul campo. E quindi penso che vedrete che i consigli si appoggieranno maggiormente al CISO. Vorranno quel rapporto perché il CISO è la persona che ha le informazioni, gli aggiornamenti, le conoscenze e anche un buon stato di salute e benessere dell'organizzazione in relazione alla cybersecurity. Quindi, sai, pensandoci, un cambiamento correlato che vedremo nel settore è che i consigli di amministrazione sono coperti da assicurazioni di amministratori e dirigenti per il lavoro che svolgono nell'ambito di quel ruolo. E quello che vediamo ora è che i CISO stanno iniziando a chiedere coperture, coperture assicurative e altre protezioni come l'indennità per aver svolto il loro lavoro, perché pensiamo che i CISO vengano investigati per i risultati nelle loro organizzazioni. Quello che vedrete è che i consigli capiranno quella richiesta dal CSO perché la hanno. E dove CISO non è automaticamente un ufficiale, vorranno avere una qualche forma di approvazione nella loro politica per includerli nelle indagini quando svolgono il loro lavoro. Quindi penso che queste due cose si uniranno molto bene, tanto che il consiglio vorrà quella relazione. Capiscono anche la richiesta del CISO di copertura assicurativa e indennità per il loro lavoro, è quello che vedo imminente riguardo a queste relazioni.
Emily Wearmouth [00:03:44] Sembra Sherron, sono curiosa di sapere cosa ne pensi. Sembra che ci sia quasi un punto di tensione in cui i CISO forse vogliono un rapporto più profondo direttamente con il consiglio, ma forse vengono trattenuti in miniera perché non hanno le stesse protezioni che gli altri membri del consiglio hanno in queste assicurazioni. È qualcosa che hai incontrato o conversazioni che hai avuto con i tuoi colleghi che influenzano?
Sherron Brugess [00:04:05] Sì, penso davvero di sì. Voglio dire, penso che quello che abbiamo visto nell'ultimo anno, anno e mezzo, è che ora i CISO sono stati messi a rischio associati a hack e violazioni. E quindi, sai, in molti casi non è necessariamente la negligenza del CISO, ma la decisione del consiglio nel suo complesso in termini dei rischi che l'azienda si assume. E quindi i CISO devono avere, sai, tra la comunità dei pari dei CISO, parlando di come facciamo il nostro lavoro, come consigliare e consultare le nostre aziende, i nostri consigli, ecc., ma allo stesso tempo lasciare spazio a ciò che l'azienda vuole fare e mantenere la nostra integrità come professionisti. Quindi penso che per farlo, e invece di cercare solo di ridurre la guida che forniamo per poter lavorare pienamente come professionisti, ci debba essere un po' più di protezione. Dovrebbe essere in posizione. Quindi sì, lo sto vedendo. E sai, ovviamente la situazione con Joe Sullivan e vedere cosa succede in tutti i casi, solo i CISO sono in maggiore consapevolezza qui.
Emily Wearmouth [00:05:13] Ci sono grandi traguardi che dovremmo tenere d'occhio in quella serie verso cui stiamo facendo progressi, in qualche modo rispetto a quanto prevedi tu? Ci saranno grandi movimenti da parte di alcune compagnie assicurative? Ci saranno cambiamenti nelle normative su come i governi richiedono ai consigli di organizzarsi e proteggere i propri membri? O è solo qualcosa che vedremo filtrare lentamente in modi meno tangibili?
Shamla Naidoo [00:05:33] Sai, penso che grandi traguardi che vedremo saranno, primo, che i CISO inizino a fare domande su se sono un dirigente e se sono coperto dall'assicurazione degli amministratori e dagli altri tipi di protezione. Beh, se non sei un ufficiale, lo scoprirai. E se sei un agente, scoprirai anche di avere la copertura per svolgere il tuo lavoro. Non appena esci dai limiti del tuo lavoro, è probabile che tu abbia problemi perché la copertura non ti protegge per azioni che non sono legali o fuori dal tuo ambito di competenza. Quindi quello che scoprirai è che i CISO si chiederanno: sono un ufficiale? Mi faranno anche domande come: qual è l'ambito della mia autorità decisionale? E se non è nella mia autorità decisionale e qualcun altro deve decidere perché non ho copertura per le decisioni che prendo e che sono al di fuori dei miei compiti. Quindi penso che vedrete molta più chiarezza sui CISO, sui loro ruoli, sui loro diritti decisionali. E poi otterrai un po' più di chiarezza su cosa è coperto, cosa è dentro, cosa è fuori, quali compagnie assicurative escludono l'indagine sul CSO, e si occupano solo della violazione della cybersecurity, delle analisi forensi e della risposta. Quindi penso che vedrete cambiamenti nei dirigenti aziendali nel modo in cui affrontano la questione. Vedrai un cambiamento nel settore, specialmente nel settore assicurativo, che crea chiarezza su cosa è di moda e cosa es. E penso che i CISO saranno semplicemente i beneficiari di questi cambiamenti. E quindi i traguardi saranno i CISO, sai, si sentono adeguatamente supportati? E sentono che la loro salute mentale viene curata perché hanno questa chiarezza, hanno la protezione e hanno l'opportunità e lo spazio per fare il loro lavoro e fare davvero bene. Rispetto a oggi, quello che vedi è che c'è molta ansia. C'è una buona dose di stress nell'organizzazione perché gran parte di questo è sconosciuto.
Sherron Brugess [00:07:45] E forse posso aggiungere altro? Perché, sai, è come la salute mentale. È divertente. Quando parliamo di salute mentale per un CISO, è come se non esistesse, giusto, quando ti poni quella domanda. Sì, ricevo sempre queste domande divertenti dai venditori, tipo: cosa ti tiene sveglio la notte? È come se tutto mi tenesse sveglio perché succede così tanto. Sai, penso che quello che sta succedendo qui anche nello spazio intorno ad alcune tappe importanti. Sì, penso che l'assicurazione dell'agente e l'essere nominati come agente ed essere coperti da quella. Ma penso che altre sfumature possano includere l'assicurarsi di avere diritto a una propria rappresentanza legale. Quindi, in molti casi in cui hai un'assicurazione legata agli agenti, beh, purché tu stia seguendo il filo con la tua azienda, questo ti coprirà. Quindi penso che queste sfumature aggiuntive saranno importanti. Penso anche che inizierai a vedere più contratti e più contratti con, sai, contratti di lavoro, queste cose sono esplicitamente descritte nei contratti? È una cosa essere nominati nell'assicurazione, ma penso che l'altra parte sia, come professionisti, chiedere copie di quell'assicurazione e averle esplicitamente scritte nel contratto di lavoro è davvero importante. Mi piace anche come hai menzionato quell'autorità decisionale. Penso che sia davvero importante. Sai, se questo è fuori dalla mia autorità decisionale, allora, sai, non sono coperto qui, quindi non prenderò quella decisione. Penso anche la possibilità di intensificare, sai, se nel caso in cui ci sia qualche tipo di legislazione o regolamento della SEC che dicono, beh, hai il diritto o sei obbligato a riferire sugli eventi, anche se non è richiesto dal tuo consiglio o dalla tua azienda che dice che non è qualcosa che dovresti fare. Queste abilità per escalare senza danni o senza penalità saranno davvero interessanti.
Emily Wearmouth [00:09:40] Quindi non sapevo quando avremmo parlato di previsioni che sarebbe stato così subito utile per il nostro ascoltatore. Credo che questa storia sia stata affrontata su alcuni punti davvero interessanti. Una grande cosa. Shana, e ora a te, Sherron. Qual è la tua previsione per il 2024?
Sherron Brugess [00:09:54] Sì, quindi la mia previsione è che ci sarà una corsa per talenti più qualificati e questa crescita della forza lavoro nel cyber. Nel corso dell'ultimo anno, la Casa Bianca ha introdotto una strategia per lo sviluppo della forza lavoro. C'è questa richiesta di partenariati pubblico-privati per far crescere i talenti nel settore cibernetico. E ora, che è davvero interessante, questa idea che ogni individuo e direi l'America, ogni individuo deve avere qualche conoscenza di base sulla cybersecurity o sulla sicurezza. Penso che sarà molto interessante perché ora informa università e scuole, anche dalle scuole K fino al 12º, che gli studenti devono essere consapevoli del cyber per poter contribuire alla società in generale.
Emily Wearmouth [00:10:44] Quando dici dalla K alla 12, abbiamo solo alcuni ascoltatori internazionali. Che fascia d'età è?
Sherron Brugess [00:10:48] Dal momento in cui inizi la scuola primaria, fino agli anni più giovani, e poi all'università e simili. Quindi inizieremo a vedere molto più di questo inserimento di competenze legate alla sicurezza come parte della tua istruzione, istruzione formalizzata nella scuola primaria e simili. Ma anche dal lato aziendale, ciò che sarà interessante è che, storicamente, quando c'è questo, si parla di tutti questi posti di lavoro disponibili. Parli che dobbiamo avere più talenti per coprire questi posti. Storicamente, abbiamo scambiato risorse. Quindi si vedono individui che saltano da azienda in azienda, e le aziende non hanno mai investito nello sviluppo delle proprie pipeline di talenti, spesso cercando di offshore o near shore le loro risorse per non dover sviluppare quel talento. Penso che vedremo che ci saranno maggiori investimenti nel portare persone di altri settori nella cybersecurity. Quindi anche quei lavoratori che cercano di svilupparsi di più grazie a quei canali universitari e universitari o ai più giovani e iniziano a portare talenti da contesti non tradizionali. Quindi vedrai non solo background diversi, ma vedrai anche, credo, una crescita nei college junior o in queste formazioni biennali o tecniche che inizieranno a entrare nel settore.
Shamla Naidoo [00:12:28] Penso che Sharon abbia creato una previsione sia stato creare un appello all'azione e fornire il contesto e alcuni dei cambiamenti del settore che avverranno per supportare questa previsione. E quindi penso che sia molto acuto. Grazie, Sharon, per averlo fatto, perché dobbiamo davvero parlare di questa conversazione sui talenti. E francamente, da molto tempo diciamo che, sai, la cybersecurity è uno sport di squadra. Usiamo, sai, usiamo analogie come, sai, non tutto ruota attorno al team di leadership della cybersecurity. Tutta l'organizzazione deve essere coinvolta, ecc. Ma penso che la tua previsione sia che la chiamata all'azione su come operativizzare è come affronteremo se tu, un ragazzo che inizia la scuola, sei all'università, sei un professionista precocce, sei un professionista tardivo, un dirigente. A tutti i livelli, è necessario un livello base di comprensione di questo argomento. Ci penso, come sai. Sì, è una previsione ed è una previsione molto acuta, ma è un invito all'azione per mobilitarci tutti per rendere questa cosa reale, perché è assolutamente necessario. E non basta più dire, beh, perderemo 4 milioni di posti di lavoro entro il 2030. Questi parametri non sono utili perché abbiamo detto che negli ultimi cinque anni, o anche quasi un decennio, non abbiamo fatto grandi progressi. Quindi ora dobbiamo cambiare tattica per avvicinarci anche solo al limite.
Emily Wearmouth [00:14:03] Al momento ho fatto i compiti. Ho qui una piccola borsa regalo festiva, piena di previsioni da parte di alcuni dei prossimi gruppi di esperti della materia. Prima di ammalarsi, Max, il mio co-presentatore, camminava per i corridoi e frequentava i canali Slack, costringendo le persone a prevedere il futuro. Quindi lasciatemi fare un piccolo fruscio metaforico. Eccone una buona. Ne ho scelto uno da Neil Thacker, il nostro CISO della regione EMEA, e lui prevede, credo, in modo abbastanza sicuro. Per cominciare, le proposte regolamentazioni sull'IA saranno oggetto di esame nel 2024, e spero davvero che abbia ragione. Ma curiosamente, si chiede se qualche paese tenterà di prendere il vantaggio in modo competitivo ritardando deliberatamente le proprie regolamentazioni per prendere un vantaggio in questa corsa agli armamenti dell'IA. E penso che sia una questione sfacciata perché metà, come dicevo, è meno una previsione e più una riflessione. E sono curioso di vedere come ti colpisce e con precisione, e potresti rispondere a una domanda generale, ma se puoi essere più preciso, dove pensi di vedere le rapide mosse di regolamentazione e quali mercati pensi stiano dando indicazioni che potrebbero essere un po' più lenti? Questa la chiedo prima a te, Sherron.
Sherron Brugess [00:15:09] Sì, cioè, sono d'accordo. Penso che sarà interessante, davvero, perché penso che le persone stiano ancora cercando di capire quali sono le promesse, sai, penso che in questo momento sia una parola d'ordine. Sai, la gente dice, oh, dovresti prenderne otto e risolve tutti i tuoi problemi e andrà tutto bene. A destra. E quindi penso, innanzitutto, che manca semplicemente cosa sia l'IA e una definizione di cosa sia. E sai cosa propongono le persone. Sai, penso sia un punto davvero interessante sul fatto che, sai, ritarderanno la regolamentazione per vedere se davvero si realizza? Sai, è anche interessante scoprire che se imponessero una regolamentazione per rallentare tutti e permettere loro di tenere il passo. Quindi tutti stanno sviluppando, iterando, allo stesso tempo. Quello che vedo è che, sai, stanno spuntando molti gruppi di lavoro per dare idee e riflessioni su ciò che sta succedendo. Penso che la Casa Bianca o l'Ufficio per la Scienza e la Tecnologia e Policy qui negli Stati Uniti abbiano introdotto questa Carta dei Diritti sull'IA, e si vedono molti operatori esistenti, CISO, sviluppare queste politiche di uso accettabile e, sai, cercare di mettere delle barriere intorno a questo. Ma penso che alla prima uscita, la gente cercherà di fare il più possibile entro i limiti. E in realtà ho questa opportunità nel ruolo di CISO globale e, sai, quali sono alcune delle aree che mi aspetterei o quali paesi mi aspetterei che emergessero dal punto di vista regolatorio? Sai, ovviamente, dal contesto del GDPR, sarei molto interessato a vedere cosa farà la Germania. Di solito sono i primi in termini di diritti alla privacy e simili. E penso che questa idea di IA e, sai, alcuni concetti riguardanti pratiche discriminatorie o, sai, l'idea della privacy e dei diritti all'essere dimenticati in questo ambito, sarà molto interessante vedere cosa faranno alcuni di quei paesi già regolamentati in questo ambito. Ma penso che il mio primo tentativo direbbe che tutti cercheranno di andare il più velocemente possibile e determineranno tutti i rispettivi casi d'uso prima di aggiungere alcune di quelle regolamentazioni per rallentare tutti, non voglio dire rallentare tutti. Ma penso che, una volta abusata su scala più ampia, la gente cercherà di iterare il più velocemente possibile.
Emily Wearmouth [00:17:38] E tu, Shamila? Cosa ne pensi di questa previsione?
Shamla Naidoo [00:17:40] Quindi sono d'accordo con te e sono d'accordo con tutto quello che ha detto. E penso che, sai, la previsione di Neil sia molto solida. Ecco perché questi paesi industrializzati che sono anche sostenitori della privacy e, sai, protezionisti in molti modi, penso che vedrete che vogliono essere i primi a partire dalla regolamentazione e guardare noi, la nostra disciplina, la nostra struttura, ecc. Penso che il rovescio della medaglia sia dove mi ritrovo, cioè, sai, ma ora hai semplicemente soffocato l'innovazione. Hai anche creato un'opportunità per sfondare nella tua stessa società mentre altri potrebbero andare avanti molto velocemente. E quindi dobbiamo stare attenti a non fermare le grandi opportunità che l'IA potrebbe offrirci. Sai, mi piace il concetto di non fare del male, quindi se riuscissimo a creare una coscienza sociale del non fare del male, per quanto commercialmente valida possa essere la tua soluzione. Penso che questo sia probabilmente il punto di partenza. E poi, sai, iniziare a diventare troppo sfumato con il fatto che puoi fare questo, ma non puoi farlo, creerebbe questa competizione di, beh, mentre il mondo industrializzato inizia a vacillare su questa struttura di regolamentazione, altri inizieranno a sfruttare la tecnologia per ottenere risultati migliori, sia commerciali che sociali. E potremmo restare indietro. E quindi temo che, mentre ci pensiamo, dobbiamo contestualizzare la regolamentazione. La regolamentazione serve a regolare i risultati negativi. E francamente, non conosciamo ancora i risultati negativi. Abbiamo visto alcuni esiti scomodi e scomodi, ma non abbiamo visto esiti catastrofici. Quindi quello che mi preoccupa è che quando freni prima di sapere di avere un pedale dell'acceleratore, non sai davvero quanto forte premere quel freno. E dobbiamo riflettere più attentamente sul soffocare sempre l'innovazione, non solo nei nostri paesi e comunità, ma stiamo soffocando l'innovazione per la società?
Sherron Brugess [00:19:44] Voglio dire una cosa, cioè, sai, è qualcosa sull'IA che trovo davvero interessante. E qui recentemente è stata aggiunta una definizione New nel dizionario, ovvero questa idea di allucinazione. E l'idea che l'IA stia traendo conclusioni false, essenzialmente. Era la risposta che era inventata. A destra. Penso che l'IA abbia sì, ci sono alcune parti belle. Ed è fantastico quando pensi all'innovazione, alla velocità e a tutte queste cose che richiederebbero, sai, molte persone e molta potenza di calcolo per essere completate. La cosa che mi preoccupa sempre dal punto di vista dell'IA sono le implicazioni sociali e cosa possa significare. E quindi, sai, ho un'adolescente e quando arriverà a diventare un'adulta produttiva nella società, a quel punto le macchine prenderanno molte decisioni. E quindi l'idea che io sia preoccupato che la società perda la responsabilità di controllare le macchine e di capire davvero cosa è reale e cosa no. Quindi penso che questa sia una sorta di etica a cui dobbiamo riflettere mentre entriamo in questo New mondo e nella promessa di cosa sia l'IA. Dobbiamo pensare a come non farci consumare da essa? Come possiamo sfruttarlo per l'innovazione e simili, ma come possiamo anche assicurarci di mantenere l'equilibrio tra ciò che è reale e ciò che non lo è, ciò che è vero e ciò che non lo è? E questa idea di esplorazione da quel lato, sai, personalmente, a livello sociale, penso che sarà un fattore importante qui. Quindi, non so come i paesi o le regolamentazioni possano misurare questo, ma penso che sarà davvero importante mentre guardiamo a cosa possono fare per noi l'IA, le macchine e tutte queste cose dal punto di vista dell'innovazione.
Shamla Naidoo [00:21:39] E sai, Emily, voglio aggiungere qualcosa a questa conversazione perché, e non è necessariamente una previsione, ma penso che sia di nuovo un appello all'azione. Ho visto molte, moltissime regolamentazioni sull'IA che si concentrano sui risultati. Quello che vorrei vedere i regolatori fare è concentrarsi sull'input, perché l'unico punto in cui c'è ancora un certo controllo normativo o altro è il punto di origine, ovvero quali dati ho usato per addestrare i miei modelli di fondazione? Quali dati userò per fare un po' di autoapprendimento per la mia organizzazione? E, sai, non voglio che le persone, e in particolare i regolatori, cerchino di dirmi come dovrei usare i miei dati. Ma i modelli di fondazione, voglio assicurarmi che siano stati mantenuti. Queste sono state insegnate. Questi sono stati creati con dati che hanno integrità e dati autentici. I dati che hanno un punto di origine con qualcuno ne sono responsabili, così sappiamo da dove provengono e che sono reali. E quindi trovo che i regolatori si affrettano a regolare i risultati, beh, non fatelo. Non farlo. Ma pochi parlano davvero di regolamentare dal punto di origine. Dove in un mondo di IA hai il maggior controllo. Appena entra in un modello, è fuori dal tuo controllo. E tutti noi che lo usiamo finiremo per violare la regolamentazione perché non abbiamo addestrato il modello originale e quindi il pregiudizio è già presente. Le allucinazioni sono già lì. E quindi vorrei vedere i regolatori ripensare a dove regolamentano, non a cosa regolamentano.
Emily Wearmouth [00:23:21] Non potete farne a meno. Prendi una previsione, la trasformi in un appello all'azione.
Sherron Brugess [00:23:26] è un ottimo punto.
Emily Wearmouth [00:23:28] Bene, allora. Va bene. Sto tornando alla mia borsa regalo, e sento che dovrei sentire un rumore di carta che fruscia mentre faccio questo. Il prossimo è di James Christiansen, che sostiene che vedremo le organizzazioni interrogare le promesse su cosa significhi zero in zero trust, che cercheranno modi per implementare lo zero trust adattivo continuo in modi molto più dettagliati. Quindi, con questo, da dove cominciamo? Beh, cosa intende per fiducia adattiva continua? Puoi aiutarci lì, Shamla? Aiutaci a capire la previsione.
Shamla Naidoo [00:23:56] Sì. Sai, iniziamo dicendo che la società non può funzionare senza alcuna fiducia. Dobbiamo fidarci di qualcuno in qualcosa prima o poi per poter funzionare. Quindi questa idea di zero trust, zero trust non è un obiettivo. È il punto di partenza per riflettere su come interagiamo con la tecnologia. Non vogliamo fidarci di nulla per default. Non vogliamo fidarci di esso per sempre, in nessun momento, ovunque. Quindi questa idea di zero trust è il punto di partenza. E, sai, di solito ci fidavamo di un utente che voleva connettersi a una rete. E quindi era un dispositivo che si collegava alla rete. E noi dicevamo: beh, ci fidiamo del tuo portatile, quindi ti permetteremo di connetterti alla rete. E una volta che sei un utente affidabile con le credenziali giuste e un dispositivo affidabile, eri connesso alla rete e potevi fare qualsiasi cosa volessi finché quella sessione fosse durata, o per il giorno, la settimana o il mese, qualunque cosa permettessi. Penso che James stia parlando di questa idea che se parti da lì e ti fidi semplicemente del dispositivo e della persona affinché facciano quello che vogliono. Beh, potresti avere qualche risultato negativo in seguito perché non viviamo in quel mondo dove tutto è così ben definito. E quindi questa idea di fiducia adattiva è, sai, voglio fidarmi di te nel momento, nella circostanze. E poi, più avanti, voglio ricominciare la mia fiducia e ricominciare tutto quel processo. Insieme al flusso di lavoro. Adatterò la fiducia che ti do. Quindi penso che l'idea sia non lasciare che accada tutto insieme e poi continuare per sempre, ma piuttosto avere un po' di punteggiatura lungo il percorso.
Emily Wearmouth [00:25:40] Delizioso. Ok. Ora lo capisco. Quindi mi sta facendo un cenno allettante, l'idea che potremmo smettere di ossessionarci con questa etichetta zero trust un po' più nel 2024, o almeno permettere qualche sfumatura intorno a questo. Sherron, cosa pensi di questa previsione?
Sherron Brugess [00:25:54] Penso anche che sarà una questione di ciò che è sotto il tuo controllo. Ci sono così tante cose che non sono sotto il tuo controllo. A destra. Quindi, quando pensi anche a queste idee di, sai, stai fidandoti attraverso sistemi federati, nel senso che ti fidi o anche usando alcuni dei tuoi aspetti sociali nella vita aziendale. Qui vedrete più di quella miscela. Sai, quanto puoi usare o cosa puoi usare per dire, sì, quella è la persona, sì, dovrebbe avere quell'accesso e sì, può avere accesso a queste risorse. Quindi penso che sarà un modo diverso, usando diversi tipi di modalità per sostenere quella fiducia, quel tipo di discussione sulla fiducia. Penso che sia quello che inizieremo a vedere. Quindi dovrebbe essere davvero interessante capire cosa succede in questo ambito. Ma sì, voglio dire, ci siamo fatti impazzire con questa idea di zero trust. E ancora, un'altra conversazione con il consiglio. Sì. Vuoi fare, noi faremo zero trust, come se vogliamo davvero farlo. Quindi penso che ci saranno altre conversazioni e modi diversi di affrontare la fiducia in futuro.
Emily Wearmouth [00:26:59] Ok. Quindi zero trust rimarrà, ma sarà meno binario e costruiremo una maggiore comprensione degli elementi che portano alla decisione di trust. È un modo corretto di vederla?
Shamla Naidoo [00:27:11] Sì, penso di sì, perché, sai, non se ne va. Ma ciò dimostra che per un CISO in particolare, sai, non inizi sempre da un punto in cui ti fidi di tutti. Devi, sai, il punto di partenza è che non ti fidi di nessuno, da nessuna parte, di nessun dispositivo, perché il mondo è così integrato. Per aumentare la fiducia, dovrai avere più passaggi, più decisioni, molteplici controlli e molteplici soluzioni. E man mano che aggiungi a tutto questo, aumenterai la fiducia. E sappiamo che la fiducia accelera gli affari. E quindi il nostro obiettivo è avere quanta più fiducia possibile nel sistema. Ma possiamo arrivarci solo se abbiamo tutti questi diversi livelli, livelli e luoghi di controllo che possiamo validare, controllare e bilanciare, ecc. Ma l'obiettivo è aumentare la fiducia partendo dalla zero fiducia.
Emily Wearmouth [00:28:08] Giusto. Mi piace altrettanto così. Un modo più positivo di pensarla, giusto. Credo di vedere che il nostro produttore mi sta facendo cenno che stiamo andando verso il tempo. Quindi penso che potrei partire questo pomeriggio da un posto, se scommetti. Tutto sembra un'intelligenza davvero utile per l'anno a venire. E quando andrà in onda questo episodio, penso anche che guarderò il post su LinkedIn perché ho il presentimento che le masse opinionanti dei social media avranno opinioni su cosa sono d'accordo, cosa non sono d'accordo, e che forse ci rimprovereranno per aver dimenticato la cosa più importante di cui avremmo dovuto parlare, Sono sicuro. Quindi grazie mille a entrambi per aver trovato il tempo oggi.
Sherron Brugess [00:28:38] Grazie.
Shamla Naidoo [00:28:39] Grazie. Emily, è stato fantastico.
Emily Wearmouth [00:28:41] Hai ascoltato il podcast Security Visionaries, e io sono stata la tua conduttrice sostitutiva, Emily Weymouth. Se ti è piaciuto questo episodio, condividilo e iscriviti alla tua piattaforma di podcast preferita. Troverai già molti altri episodi interessanti in giro, e ne pubblichiamo uno New ogni due settimane, alcuni condotti da me e altri da Max. Ci vediamo la prossima volta.
){kind=icon}
