Produttore [00:00:00] Benvenuti a Security Visionaries, un podcast offerto da Netskope che si propone di offrirvi conversazioni con dirigenti senior del mondo della sicurezza informatica, della tecnologia, della fiducia e del networking. In questa puntata è presente una conversazione tra Shamla Naidoo, responsabile della strategia cloud e dell'innovazione di Netskope, e Homaira Akbari, presidente e CEO di AKnowledge Partners, moderata da Steve Weber, professore alla School of Information dell'UC Berkeley e partner di Breakwater Strategy. In qualità di coautori del recente libro The Cyber Savvy Boardroom: Essentials Explained, Shamla e Homaira parlano del motivo per cui hanno scritto questo libro, di come affronta le tendenze in evoluzione nella sicurezza informatica e del tipo di feedback che hanno ricevuto dai loro colleghi. Ecco la nostra conversazione con Shamla, Homaira e Steve.
Steve Weber [00:00:45] Benvenuti al podcast Security Visionaries. Mi chiamo Steve Weber. Sono professore alla School of Information dell'Università della California a Berkeley e socio di Breakwater Strategy, una società di consulenza con sede a Washington, DC. È un onore per me condurre questo podcast. Ho trascorso dieci anni nel mondo della sicurezza informatica, dal punto di vista tecnico, commerciale e politico. Una delle dinamiche più interessanti, impegnative e importanti è stata la discussione sulla sicurezza informatica che si svolge nelle sale riunioni, osservando i direttori alle prese con la supervisione e la governance, in un insieme di rischi in rapida evoluzione e complessi. In questo mix ora entrano in gioco Homaira Akbari e Shamla Naidoo con un New e avvincente libro, The Cyber Savvy Boardroom. Direi che è notevole sotto diversi aspetti, ma per me lo è soprattutto per la sua leggibilità, la sua immediata fruibilità pratica e, francamente, per la portata della sua trattazione. Quindi cominciamo dall'inizio. Homaira, Sharma. Raccontaci chi sei, come sei arrivata a scrivere questo libro e perché proprio ora?
Homaira Akbari [00:01:58] Sono Homaira Akbari, presidente e CEO di AKnowledge Partners. Ho iniziato la mia carriera come scienziato nel campo della fisica sperimentale delle particelle e ho lavorato presso il Centro europeo per la ricerca nucleare del CERN. Ho trascorso metà della mia carriera imprenditoriale dirigendo aziende tecnologiche come Thales in Francia e Microsoft, Liberty Media, e sono stato CEO di Skybitz, un'azienda IoT. Attualmente faccio parte del consiglio di amministrazione di Banco Santander e Landstar System. Nel mio attuale ruolo presso AKnowledge Partners. Collaboro con grandi aziende nel settore del private equity nei settori della sicurezza, della sicurezza informatica, dell'IoT, della transizione energetica e dell'intelligenza artificiale.
Steve Weber [00:02:43] Shamla?
Shamla Naidoo [00:02:44] Sono Shamla Naidoo. Sono un tecnologo da molto tempo. Ho trascorso quarant'anni nel settore tecnologico e circa la metà di questo tempo l'ho trascorso come responsabile della sicurezza informatica in grandi organizzazioni. Sono membro dei consigli di amministrazione di tre società quotate in borsa e insegno diritto delle tecnologie emergenti e diritto della privacy globale presso l'Università dell'Illinois. Quindi porto tre prospettive diverse nella stessa conversazione: essere un professionista, essere il destinatario degli aggiornamenti del consiglio e poi apprendere e comprendere gli impegni e gli obblighi normativi del consiglio.
Steve Weber [00:03:16] Parliamo del perché adesso? Parlaci della tempistica e dell'importanza dell'urgenza del libro nel 2023, spostandoci verso il 2024, se vuoi.
Homaira Akbari [00:03:27] Realisticamente, questo libro avrebbe dovuto essere scritto un anno fa o diversi anni fa. Ma l'urgenza ora è che, come hai visto, Steve, e come tutti hanno visto ogni giorno, abbiamo notizie di questo tipo di violazione informatica e queste violazioni informatiche stanno diventando sempre più grandi e si stanno estendendo. In passato si trattava solo di servizi finanziari o assistenza sanitaria, ma ora si estende a tutti i settori, a tutti i clienti, a tutte le dimensioni di entità, che siano aziende senza scopo di lucro, family office, grandi aziende pubbliche o private e anche a quelle più piccole. E questo è dovuto in particolar modo al ransomware, che è fondamentalmente un tipo di attacco ai dati o ad altre risorse di un'entità che vengono compromessi e poi dirottati, se vogliamo, crittografati e dirottati. E affinché venga rilasciato, gli hacker chiedono soldi. E quindi adesso è diventata una vera e propria questione criminale. E ogni settore, ogni azienda è soggetta a questo. In secondo luogo, il motivo per cui c'è urgenza è che molti enti regolatori e, in particolare negli Stati Uniti, la FCC ha appena adottato delle regole di divulgazione, che riguardano principalmente le società quotate in borsa. Ma come sapete, di solito anche le aziende private seguono questa regola, ovvero segnalare qualsiasi violazione sostanziale entro quattro giorni lavorativi tramite la presentazione e il modulo 8-K. Quindi, all'improvviso, la sicurezza informatica è diventata simile agli altri rischi a cui vanno incontro le organizzazioni. Inoltre, la SEC ora richiede alle aziende di sviluppare o elaborare anche la propria strategia, governance e un'organizzazione di supporto all'organizzazione contro i rischi informatici e di inserire tutte queste informazioni nel loro 10-K su base annuale. COSÌ. I consigli di amministrazione, più che mai, sono ora coinvolti nella sicurezza informatica, nella supervisione dei rischi per la sicurezza informatica e nel garantire che i requisiti della SEC e, in generale, gli altri requisiti normativi siano rispettati.
Steve Weber [00:05:58] Shamla, c'è qualcosa che puoi dire dal tuo punto di vista? Questa è la prima volta che ti siedi e ti prendi il tempo necessario per scrivere un libro. Perché adesso? Che cosa? Dov'era per te l'urgenza?
Shamla Naidoo [00:06:10] Quello che aggiungerei è che in questo momento le aziende stanno crescendo alla velocità della luce, giusto? E direi che la maggior parte delle aziende sono già in qualche modo aziende digitali. Ma tutti stanno aumentando l'impronta digitale. Viviamo in un'economia basata sui dati, per cui creiamo e produciamo più dati di quanto abbiamo mai fatto. La nostra tecnologia funziona sempre più velocemente. E, francamente, sono tutte cose positive perché offrono enormi opportunità di crescita aziendale. Allo stesso tempo, però, dobbiamo prestare un impegno e un livello di attenzione adeguati ai rischi per la sicurezza informatica, perché impronte digitali più grandi aumentano i punti di esposizione. Aumentano le possibilità di compromesso. Aumentano le possibilità di furti e altre tipologie di attività fraudolente. Quindi penso che adesso sia il momento per i consiglieri di amministrazione, che supervisionano la strategia, di concentrarsi non solo sugli aspetti positivi, ma anche di prestare la dovuta attenzione a quelli che potrebbero andare male, che è il compito dei consigli di amministrazione. Ma ciò che cerchiamo di fare con questo libro, e perché proprio ora, è creare attenzione, creare consapevolezza in quella comunità che dobbiamo guardare qui, che non possono ignorare questo momento.
Steve Weber [00:07:34] Interessante, è quasi come se ogni volta che vediamo usare la parola trasformazione digitale, dovremmo assicurarci che la parola sicurezza informatica sia nella stessa frase o in quella successiva. Torniamo a te, Homaira. Anche per i direttori, sia quelli meno esperti che quelli più esperti dal punto di vista tecnico, esistono numerose pubblicazioni e corsi dedicati alla formazione dei membri del consiglio di amministrazione in materia di sicurezza informatica. Ovviamente, stai portando questo libro in quell'ambiente. Come hai strutturato questo libro tenendo conto di tutte queste alternative? Cosa c'era di diverso, dal tuo punto di vista, in termini di aggiunta di valore reale a una visione educativa affollata, ma ancora difficile da realizzare?
Homaira Akbari [00:08:22] Shamla e io abbiamo studiato, se vogliamo, cosa c'era sul mercato e l'impulso per scrivere il nostro libro è nato dal fatto che abbiamo visto una lacuna. Quindi, ciò che abbiamo visto oggi sono principalmente scritti, libri, opuscoli che parlano di termini basilari, se vogliamo, di base della sicurezza informatica e di concetti basilari. E poi si passa solitamente a centinaia di domande che i membri del consiglio possono porre. In qualità di CISO, abbiamo notato e osservato in tempo reale che alcuni dei miei colleghi dirigenti ponevano queste domande in una sala riunioni; noi CISO rispondiamo a queste domande. E il membro del consiglio di amministrazione diceva: "Oh, okay, grazie". Ma non c'è una discussione e un coinvolgimento davvero significativi con il CSO e con la dirigenza nel suo complesso per capire davvero cosa c'è dietro queste risposte e se sai cosa fai, ad esempio, quando fai una domanda di contabilità o finanza, spesso c'è un dibattito e di solito quando si parla di sicurezza informatica non c'è dibattito perché in realtà il membro del consiglio semplicemente non ha quella conoscenza di base e fondamentale della sicurezza informatica. Ecco cosa abbiamo deciso di fare: racchiudere in un volume piuttosto breve, di 80 pagine, le conoscenze fondamentali di cui ogni membro del consiglio di amministrazione ha bisogno. E poi il nostro piano è che continuino a sviluppare quella conoscenza, su quella piattaforma. E, come sappiamo, si tratta di un apprendimento continuo, in particolare per quanto riguarda la sicurezza informatica. Ma ciò che è stato davvero unico è stato creare una serie di modelli mentali che possono essere realmente assimilati in un formato grafico e possono essere assimilati abbastanza rapidamente da membri intelligenti del consiglio di amministrazione, tra cui tutti i direttori sono persone di grande esperienza. E questo è il modo in cui lo definiamo: una serie di mappe. Nel libro sono presenti quattro mappe: la prima mappa definisce i gruppi di asset aziendali e in pratica abbiamo creato dieci categorie. Alcuni di questi sono, ad esempio, i dati che costituiscono un gruppo di asset aziendali, ovvero gli asset finanziari. Gli altri sono le persone. Ma abbiamo circa dieci, anzi dieci gruppi di attività aziendali, e li definiamo. Una volta definiti, siamo passati a mostrare qual è il nostro cappello bianco. La nostra risorsa è una risorsa aziendale. Che tipo di guadagno ottengono accedendovi e quali sono le loro motivazioni, perché lo farebbero e come lo farebbero. E questo ci ha portato a quelli che chiamiamo vettori di attacco. Abbiamo quindi mappato in ogni gruppo di asset aziendali i vettori di attacco esistenti oggi per attaccare questi gruppi di asset aziendali, sia per raggiungerli direttamente, sia per utilizzarli come canale per raggiungere i gioielli della corona dell'organizzazione, dove, ad esempio, i dati sono definiti come gioielli della corona, non solo, ma solo uno di essi. Passiamo poi alla mappa tre, che riguarda ancora una volta gli stessi dieci gruppi di asset aziendali che abbiamo mostrato. Come li proteggi? Abbiamo quindi mostrato il modo tipico in cui oggi la strategia di difesa di una buona azienda, di una buona organizzazione che ha una postura di sicurezza molto buona o preferibile, ha effettivamente difeso questi particolari gruppi di asset. Passiamo poi alla mappa quattro, in cui forniamo nuovamente delle metriche per ciascun gruppo di asset aziendali per dimostrare l'efficacia della protezione. E poi includiamo anche, perché questo è il sistema di difesa, non è solo protezione, ma nella sicurezza informatica è anche rilevamento, risposta e ripristino. Abbiamo inoltre incluso parametri per misurare l'efficacia della postura di sicurezza attraverso test e parametri per il rilevamento e la risposta. Quindi penso che questo sia un lavoro unico, mai fatto prima, molto completo e anche molto facile da digerire e da imparare.
Steve Weber [00:12:40] Sì, direi che dal punto di vista del lettore, penso che altri lettori troveranno la stessa cosa. Questi costrutti di mappe mentali aiutano davvero molto a definire le priorità e la gerarchia delle domande da porre. Quindi per me è stato sicuramente molto New , molto importante e utile. Sharma Vorrei tornare da te e chiederti specificamente del cloud. Per molte organizzazioni di dimensioni così diverse, la trasformazione digitale è ormai diventata un argomento di discussione sul passaggio al cloud in ogni sorta di configurazione diversa. Quindi parliamo del cloud. E quando pensi a questa trasformazione e migrazione del cloud, quali tipi di possibilità, quali tipi di domande solleva per il consiglio di amministrazione in particolare per quanto riguarda la sicurezza?
Shamla Naidoo [00:13:29] Sai, penso che quando abbiamo aggiunto il concetto di cloud al libro, quello è stato un argomento importante perché nella sala del consiglio di amministrazione, la maggior parte dei membri del consiglio comprende il concetto di velocità. Capiscono che dobbiamo sviluppare le capacità molto rapidamente. E quando dici loro che puoi mettere qualcosa nel cloud o utilizzare un servizio dal cloud, la connessione immediata è che questo accadrà molto più velocemente perché non devo far sì che il nostro team spenda tempo e sforzi per sviluppare le capacità di base. Qualcun altro lo ha già fatto. Lo compreremo, lo prenderemo in prestito, lo prenderemo in leasing, ecc. e lo utilizzeremo per sviluppare le nostre capacità proprietarie e sarà pronto per il mercato molto rapidamente. Quindi, se volete vedere i vantaggi del cloud, la velocità è una valuta nelle conversazioni in sala riunioni. La domanda per noi era: cosa dovrebbero sapere? Potrebbero andare storte? Quindi, ad esempio, è ovvio che l'infrastruttura che supporta l'ambiente cloud è al di fuori del loro controllo fisico? Quali sono le cose che dovrebbero fare e che altrimenti non avrebbero fatto se si fossero trovati nel data center? E questo è stato il vero motivo per cui ci siamo concentrati su questo argomento: dobbiamo comprendere i rischi che si corrono nel mettere le cose nel cloud. E non sempre si tratta di ciò che puoi toccare e sentire. A volte si tratta di chi devi supervisionare, chi devi supervisionare, che tipo di aspettative dovresti avere dai tuoi partner e da terze parti, ecc. Ma ancora una volta, tutti questi grandi vantaggi comportano dei rischi e devono capire come gestire tali rischi nel modo più efficiente per raggiungere i risultati desiderati.
Steve Weber [00:15:20] Ottimo. Shamla, vorrei riprendere il tuo punto sul rischio perché è molto importante. Molti dei direttori con cui parlo si definiscono essenzialmente dei gestori del rischio in un contesto di supervisione. E vorrei tornare da te, Homaira, e chiederti qual è il tuo punto di vista e come il libro affronta la questione della propensione al rischio informatico. Non puoi ridurre il rischio a zero. Stai investendo in servizi, prodotti e processi all'interno dell'organizzazione per migliorare la sicurezza informatica. E la domanda naturale che ci si pone è: come faccio a sapere se sto ottenendo un ritorno sull'investimento e se sto ottenendo valore in termini di modulazione del rischio nel modo in cui lo desidero. Quindi, parla di come il libro aiuta i decisori o i direttori, in questo caso specifico, a pensare al rischio in modo costruttivo in quel contesto.
Homaira Akbari [00:16:12] Forniamo alcuni esempi e alcune linee guida. E poi, da lì in poi, come ho detto prima, parliamo anche di una serie di parametri che sarebbero utili per misurare se quegli investimenti hanno un ritorno. Ma lasciatemi prima parlare del tipo di esempi di cui stiamo parlando: innanzitutto, un consiglio di amministrazione deve essere certo che l'organizzazione stia effettuando gli investimenti finanziari e non finanziari necessari, e vorrei sottolineare quelli non finanziari, per prevenire quegli attacchi che sono prevenibili e difendersi da quelli che non lo sono. Quindi, un parametro da considerare quando si parla di finanza è, ovviamente, se i migliori della categoria e alcuni dei migliori difensori della sicurezza informatica che hanno il miglior ecosistema di difesa sono istituti finanziari di primo livello o banche. Quindi, Steve, una tipica banca di primo livello spende tra i 500 e 1 miliardo di dollari all'anno in sicurezza informatica, e questo di solito corrisponde al 5-10% del loro budget IT. Sai, ovviamente le aziende più piccole sono di primo livello. Sono banche e sono davvero le migliori della categoria. Ma per le aziende più piccole, ovviamente, non avremo la possibilità di spendere così tanti soldi, quindi utilizzare quel 5-10% del budget IT è una buona misura, a meno che non si tratti di un'azienda piuttosto piccola e il budget per l'IT sia piuttosto ridotto, in tal caso probabilmente bisognerà spendere più del 15-20% di quel budget. Il punto chiave è quello che hai detto prima. Quando pensi alla difesa, quando dici che devi difenderti dai rischi per la sicurezza informatica, ci sono quattro aspetti da considerare. C'è la protezione dei tuoi beni, c'è il rilevamento delle minacce e poi la risposta a quell'attacco e poi il ripristino da quell'attacco perché inevitabilmente ci sarà una violazione informatica. Quindi è necessario assicurarsi di aver definito tale postura di sicurezza e di volerla creare. E quindi hai a disposizione i migliori strumenti della categoria e vari strumenti. Ma mi sentirei perso se non concludessi questa spiegazione sottolineando l'importanza dell'investimento non finanziario. E cos'è? La prima cosa fondamentale per un'organizzazione è avere la giusta cultura informatica. Cosa intendi? Cosa intendiamo con questo? Si tratta di una consapevolezza trasversale, a partire dall'amministratore delegato e dal team dirigenziale, dalla consapevolezza e dal loro impegno nella sicurezza informatica fino ad arrivare a ogni singolo dipendente dell'azienda. E sapete cosa sappiamo oggi: due terzi, e forse più vicino all'80%, di tutte le violazioni sono dovute a qualche errore, intenzionale o meno, commesso da persone all'interno delle organizzazioni dei nostri subappaltatori. Quindi, quella consapevolezza, quella cultura della sicurezza informatica creata dall'amministratore delegato che dice: "Ci credo, mi impegno e mi dedico ad essa", che poi si riverserà nell'organizzazione e si assicurerà anche che tutti i dirigenti siano responsabili, non solo i CISO e Shamla può dirvi di più, dato che è stata un CISO responsabile della sicurezza informatica.
Steve Weber [00:19:51] Shamla Vorrei tornare da te e porti la domanda del giorno, che sicuramente è nella mente di tutti in questo momento. Avete iniziato a scrivere questo libro quando i grandi modelli linguistici erano ancora un giocattolo di ricerca con cui si divertivano i ricercatori nei laboratori e nelle università. Credo che siano passati circa otto o nove mesi. ChatGPT ha fatto irruzione sulla scena ed è diventato improvvisamente uno degli sviluppi più interessanti, intriganti e importanti, e la parola IA è ovunque. Quindi parla di come l'ascesa di tecnologie come l'intelligenza artificiale generativa ChatGPT cambia o accelera la necessità di un libro come questo e dei tipi di cambiamenti di cui Homaira ha appena parlato, compresi i cambiamenti culturali.
Shamla Naidoo [00:20:39] Sai cosa c'è di interessante, Steve, è che un decennio fa abbiamo avuto la stessa reazione alla tecnologia cloud. Giusto. E così nel passato recente era il cloud. Ora tocca all'intelligenza artificiale e in particolare ai grandi modelli linguistici. Sai, tra un anno o due arriverà il computer quantistico. E il punto è che l'innovazione non si ferma. Quindi ci sarà un'innovazione costante. Ci troveremo costantemente di fronte a New tecnologie, New approcci, New architetture, New strumenti. Questa è semplicemente la natura della tecnologia. Quindi, credo che l'idea sia che dobbiamo essere preparati a tutto. In particolare, i membri del consiglio di amministrazione devono comprendere il ritmo del cambiamento e devono creare le conoscenze di base molto rapidamente, perché questa è la lacuna più grande. Se non hai delle basi, tutte queste fantastiche informazioni in circolazione arriveranno, ma non poggeranno su solide fondamenta, il che significa che non potrai davvero costruire da lì. Penso che questo libro fornirà loro le basi su cui costruire per essere preparati alle New tecnologie e New costruzioni che li attendono. Quindi l'idea è che questo sia l'inizio dell'apprendimento. Non è "l'apprendimento". È la base su cui verranno costruite altre conoscenze. Quindi direi di prepararsi all'innovazione del futuro. Questo libro vi fornirà i concetti di base, gli approcci e i modelli su cui riflettere per il futuro dell'innovazione. Ma, sapete, i modelli linguistici di grandi dimensioni sono un argomento molto attuale. È un argomento di discussione perché viviamo in un'economia basata sui dati. Ci sono dati ovunque. La maggior parte dei dati è rimasta invisibile finché questa tecnologia non ci è stata resa disponibile. In questo modo possiamo acquisire le informazioni aziendali contenute in tutti questi dati. E quindi penso che ora sia giunto il momento di concentrarci sui dati, sulla protezione dei dati, sul rischio dei dati, sul rischio di errore, sul rischio di omissioni e su tutte quelle attività che sono integrate nel modello linguistico più ampio che utilizzeremo per le aziende. Ma ancora una volta, è la base.
Homaira Akbari [00:22:53] Se potessi chiedere a Steve di farlo. Ciò che è molto interessante è che nel libro parliamo di tecnologie emergenti, come ha detto Shamla, e parliamo in particolare di aria e chat, ma parliamo anche di IoT. Ad esempio, quando si parla di IoT, parliamo del fatto che l'80% dei rischi informatici sono molto simili a qualsiasi altra cosa che abbiamo avuto. Ma ci sono anche delle specificità. Nel caso di ChatGPT o dell'intelligenza artificiale, uno dei rischi più grandi, come tutti sappiamo, è quello di fornire al modello dati sbagliati e, di conseguenza, ottenere risultati errati perché in realtà si creano dati falsi. Il che ci porta a qualcosa chiamato deep fake, in cui i dati diventano così falsi, così incredibili per certi versi, ma alcune persone ci credono, che si creano i cosiddetti deepfake. Quindi penso che sia esattamente ciò che ha detto Shamla: parliamo di come si dovrebbe pensare alle tecnologie emergenti, ma poi forniamo alcuni dettagli specifici per questi casi. Quindi penso che aiutiamo i membri del consiglio a riflettere sull'argomento del momento e su come affrontarlo.
Steve Weber [00:24:10] Sono abbastanza sicuro che ce ne sarà uno New nel 2024 e che verrà testato man mano che andiamo avanti. Homaira, parliamo un po' del modo in cui i consigli di amministrazione valutano e dovrebbero valutare se stessi. È ovvio che ci sono un gran numero di consigli di amministrazione, società quotate in borsa e così via. E la gente si chiede: come stiamo andando? Come facciamo a sapere cosa stiamo facendo? Stiamo andando bene. Che aspetto ha il bene è la domanda che credo tutti sentiamo spesso. Quindi, se un consiglio di amministrazione vuole valutare la propria azienda, valutandone la maturità o l'eccellenza nella sicurezza informatica, come dovrebbe procedere? E in che modo il libro parla di metriche e confronti e risponde alla domanda: che aspetto ha il bene in relazione a ciò che fanno gli altri?
Homaira Akbari [00:24:55] Stevie Abbiamo un intero capitolo, chiamato capitolo sette, in cui parliamo di metriche per la misurazione perché, sai, è una domanda che è stata posta milioni di volte dai membri del consiglio di amministrazione, dai CISO e da altre persone nell'ecosistema. Nel capitolo sette, l'approccio che abbiamo adottato, ha sostanzialmente definito due serie di parametri. Uno riguarda le metriche a livello operativo, l'altro quelle a livello di consiglio di amministrazione. Le metriche a livello operativo corrispondono alla mappa per l'area di cui tratta, che sostanzialmente mostra per ogni gruppo di asset aziendali come misurare l'efficacia della protezione e quindi le metodologie di rilevamento e risposta utilizzate. Si parla anche del fatto che è necessario misurare o testare la postura di sicurezza dell'organizzazione, il che fornisce in realtà una misura, non l'unica, ma una misura di tale maturità. Passiamo poi alle metriche a livello di consiglio di amministrazione e, per quanto ne sappiamo, nessuno ha mai realmente creato il concetto che Shamla e io abbiamo elaborato, ovvero che queste metriche a livello di consiglio di amministrazione hanno in realtà cinque componenti, due delle quali sono operative. Quindi, un primo input potrebbe essere qual è il tuo programma di sicurezza informatica, la sua efficacia e conformità normativa, e qual è il tuo profilo di rischio per la sicurezza informatica, che deriva dalle metriche operative che ho menzionato. Ma aggiunge anche altre tre valutazioni. La prima è: qual è la tua cultura in materia di sicurezza informatica? La seconda domanda è: quali sono i tuoi livelli di investimento e la tua copertura assicurativa? E infine, qual è la preparazione della vostra organizzazione, se volete, a gestire l'impatto delle violazioni informatiche? E questo non lo crediamo, non crediamo che nessuna organizzazione lo stia utilizzando nel modo in cui lo abbiamo articolato, ma crediamo che una volta che lo faranno, saranno in grado di determinare la maturità della loro organizzazione. E per noi, questa è la chiave.
Steve Weber [00:27:04] Meraviglioso. Torniamo a te, Shamla. Tra te e Homaira, vivete e respirate l'universo della sicurezza informatica ogni giorno. Hai affrontato così tanti lati diversi di questo puzzle, e ho trovato molto importante, alla fine del libro, avere un'idea di quali pensi siano le riflessioni, i pensieri e le conclusioni più importanti che le persone hanno davvero bisogno di portare a casa alla fine della giornata. Perché stabilire le priorità è un aspetto fondamentale di questa conversazione. Quindi parlaci un po' dei pensieri conclusivi, delle riflessioni alla fine del libro, delle cose che per te sono più importanti e che i lettori ne traggono.
Shamla Naidoo [00:27:48] Quindi, sai, penso che inizierei dicendo che sappiamo tutti come misurare i vantaggi della tecnologia, giusto? E questa è la parte facile. Ciò con cui abbiamo difficoltà è misurare, calcolare e affrontare concretamente i problemi quando vanno male, e il consiglio è incaricato di questo. Quindi, per aiutarli, penso che dovremmo riflettere sui grandi vantaggi che questa tecnologia offre. Come può andare storto? È importante sottolineare che, a meno che non siate un'azienda di sicurezza informatica e non vendiate prodotti o servizi di sicurezza informatica, la generazione di fatturato non deriva dalla vostra attività di sicurezza informatica. I ricavi vengono generati dalle tue pratiche commerciali, ma sono le pratiche di sicurezza, la tecnologia, gli strumenti, i controlli, ecc., che consentono tali attività. Quindi, quando calcoliamo il vantaggio della nostra attività e il fatturato che generiamo, dobbiamo compensarlo con il costo della sicurezza, perché in realtà non è solo un fattore abilitante per l'attività, ma è un investimento nel fatturato che generiamo. E quindi, una volta effettuato l'investimento, dici: "Ok, ecco quanti soldi ho guadagnato con il mio profitto netto". Quindi sì, è un costo per fare impresa, ma è il costo dei ricavi. Questa è una considerazione importante. Penso che l'altra cosa da ricordare è che la leadership su questo argomento non è intercambiabile con la tecnologia e gli strumenti per affrontarlo. Abbiamo quindi bisogno di leader validi e forti che possano aiutare il consiglio di amministrazione nella selezione dei rischi. Come possiamo individuare i rischi più grandi che l'azienda si trova ad affrontare e poi eliminarli definitivamente? E poi come facciamo a fare il passo successivo che è a punto e continuiamo a procedere a rilento a nostro rischio e pericolo? Perché se ci concentriamo solo sugli strumenti e sulla tecnologia, come facciamo a sapere se ci stiamo concentrando sulle cose giuste con il giusto livello di priorità? E abbiamo, sapete, questo, abbiamo così tanti problemi da affrontare, che non è possibile affrontarli tutti contemporaneamente con lo stesso livello di rigore, con lo stesso livello di investimento. Quindi, ritengo che il CSO e i responsabili della sicurezza debbano aiutare il consiglio a selezionare attentamente tali rischi. E poi direi anche che è davvero importante avere un dialogo buono, ricco, aperto e trasparente. Pertanto il consiglio di amministrazione dovrebbe dialogare con il CISO. Non si tratta solo dello stato, non si tratta solo di un aggiornamento di stato. Dovrebbe essere davvero una discussione sui rischi, su cosa non stiamo facendo, su cosa non ci stiamo concentrando, su cosa non abbiamo dedicato abbastanza tempo. Perché sappiamo tutti che non c'è abbastanza tempo per fare tutto. E quindi è necessario che ci sia una certa trasparenza in questa discussione. E il CISO non dovrebbe essere l'unico leader a essere preciso su questo argomento. Ogni volta che prendono una decisione aziendale, in ogni area aziendale, quando guadagnano soldi, sanno come comunicarlo; dovrebbero anche essere incaricati di sapere e comprendere in che modo la sicurezza informatica ha un impatto su di loro, come li abilita, come potrebbe limitarli e come potrebbe danneggiarli o danneggiarli. E quindi i leader aziendali devono iniziare ad assumersi la stessa responsabilità dei risultati che ha il CSO, perché la sicurezza informatica non è il business. È semplicemente una parte di tutto ciò che fai. Quindi penso che il QI informatico e la cultura informatica siano tutti fattori molto importanti da considerare. E poi, come ho detto, infine, il CSO non è l'unico dirigente che dovrebbe essere al corrente di ciò che fallisce e di ciò che ha successo.
Steve Weber [00:31:35] Interessante. Homaira, hai qualche altro pensiero da fare riguardo al messaggio più importante e più potente che emerge dalla discussione sulla qualità del dialogo strategico a livello di consiglio di amministrazione in merito al profilo di rischio della sicurezza informatica e alla sua relazione con l'azienda? Qual è la lezione più importante che dovrebbe accompagnare le persone e che dovrebbe rimanere impressa nella loro mente mentre finiscono di leggere il libro?
Homaira Akbari [00:31:53] Steve, ci sono decine di spunti di riflessione e li abbiamo evidenziati. Ma sì, ho una cosa da dire e questa si basa, ancora una volta, sul fatto che questa domanda mi è stata posta molte volte in modo specifico e credo anche da Shamla. Come possiamo essere efficienti e sicuri? Cosa possiamo fare per essere sicuri al 100%? Voglio spendere abbastanza per essere sicuro al 100%. Anche un dirigente di una delle 50 aziende Fortune mi ha chiesto una volta: come mai il governo non ci garantisce la sicurezza al 100%? Possono, dissero. E la realtà è che non puoi essere sicuro al 100%. Perché? Le tre ragioni per cui ciò accade. Il primo motivo è che praticamente tutte le aziende, i governi e qualsiasi entità al mondo, compresi i consumatori, si affidano a tecnologie obsolete e sistemi informatici che non sono stati progettati tenendo conto della sicurezza. E creano vulnerabilità. E il problema è che molte di queste vulnerabilità non sono evidenti oggi. E il secondo motivo è che ogni giorno adottiamo New tecnologie, New innovazioni, alcune delle quali sono addirittura progettate per garantire la sicurezza. Ma non appena si integrano con queste vecchie tecnologie, diventano vulnerabili anche loro o creano vulnerabilità anche nelle vecchie tecnologie. Quindi, sapete, l'aumento della superficie di attacco e l'impatto su quella superficie che già abbiamo creano un sacco di vulnerabilità, alcune delle quali ci sono note. E alcune di esse non sono note, come le cosiddette vulnerabilità zero-day. E infine, questo è un settore in cui hai degli avversari. Ci sono eserciti di persone pagate molto bene o alcune di loro sono estremamente ricche, e organizzazioni, organizzazioni criminali, che in realtà cercano vulnerabilità e le sfruttano. E loro, sapete, perché ci è stato chiesto, perché hanno dato questo a qualcuno prima di noi? Per i primi due che ho menzionato, perché semplicemente non ne siamo consapevoli e queste persone in realtà lavorano continuamente e sono persone intelligenti nel cercare queste vulnerabilità. Di conseguenza, non sarai mai sicuro al 100%, ed è per questo che il rilevamento, la disponibilità di una buona intelligence sulle minacce, la collaborazione, il coordinamento e la cooperazione con il governo su altre aziende e altre entità sono molto importanti per avere tale intelligence sulle minacce ed essere in grado di rilevare, rispondere e ripristinare da qualsiasi dispositivo.
Steve Weber [00:34:34] È davvero importante. La lezione che ricordo risale a ciò di cui stavamo parlando prima: cosa significa avere un bell'aspetto? Nessuno dovrebbe chiedersi quale sia l'aspetto perfetto, perché la perfezione non esiste e forse anche la domanda su quale sia il bell'aspetto non è corretta. Da quello che hai appena detto deduco che forse la domanda giusta è: come facciamo a sapere che stiamo migliorando, e più velocemente dei nostri avversari?
Shamla Naidoo [00:34:54] Sai, Steve, aggiungerei che è un punto davvero importante, perché non tutti i rischi sono uguali in tutte le aziende. Giusto. Quindi è ciò che è appropriato e ciò che è di tuo gradimento. E una cosa che direi ai membri del consiglio di amministrazione è: dite semplicemente quello che volete. Sii chiaro su ciò che ritieni sia rilevante, perché in assenza di ciò... I CISO faranno del loro meglio per darti ciò che pensano tu voglia e ciò di cui pensi tu abbia bisogno. Quindi siate chiari su cosa è rilevante per questa azienda in questo momento, per questo consiglio. Cosa è importante? Cosa vuoi sapere? E vi dirò che, essendo io stesso un professionista, i CISO vi daranno ciò di cui avete bisogno. Ma se stanno tirando a indovinare, aspettatevi che sbaglino.
Steve Weber [00:35:43] Fantastico. Beh, guarda, io ho avuto il vantaggio di avere l'opportunità di leggere il libro, ma molti dei nostri ascoltatori probabilmente no. Possiamo concludere spiegando dove è possibile reperire questo libro? Dove può trovare il libro il pubblico? Quando sarà disponibile?
Homaira Akbari [00:35:58] Sarà disponibile a partire dal 5 settembre e sarà reperibile all'URL di Netskope.
Steve Weber [00:36:05] Shamla, hai qualche ultimo pensiero da condividere con il nostro pubblico oggi?
Shamla Naidoo [00:36:08] Direi di leggere quello che leggono i vostri forum. Quindi leggi il libro così saprai che tipo di domande dovresti aspettarti quando ti presenti a loro in quella sala riunioni.
Steve Weber [00:36:16] Grazie mille a entrambi per aver partecipato a questo podcast oggi. Ma grazie ancora di più per aver scritto questo libro. Penso che sarà una risorsa enorme per molti registi. Spero che venga ampiamente letto, distribuito e apprezzato da chi lo legge e, soprattutto, lo utilizza.
Produttore [00:36:32] Grazie per aver ascoltato Security Visionaries. Prenditi un momento per valutare e recensire lo show e condividerlo con qualcuno a cui potrebbe piacerlo. Restate sintonizzati per gli episodi che usciranno ogni due settimane e ci vediamo al prossimo.
){kind=icon}
