Marene Allison: Nel cyber tutto cambia ogni sei mesi, c'è una lente New e un intero New set di tecnologie New che saranno disponibili. E come CISO ho dovuto prendere la minaccia New , il mio ambiente IT che non cambia rapidamente come l'ambiente di sicurezza, e poi riavvolgerlo e vedere cosa funziona. Penso che abbiamo un lavoro fantastico perché abbiamo tutte queste tecnologie New . Possiamo osservare tutti i modi in cui un avversario verrà contro di noi. E poi guardiamo come lo metteremo in sicurezza.
Relatore 2: Ciao e benvenuti a Security Visionaries, ospitato da Jason Clark, CISO di Netskope. Avete appena sentito l'ospite di oggi, Marene Allison, Chief Information Security Officer presso Johnson & Johnson. A 17 anni Marene prestò giuramento presso l'Accademia Militare degli Stati Uniti a West Point di difendere il suo paese da tutti i nemici, stranieri e interni. Oggi, Marene mantiene un altro giuramento per proteggere la sua azienda dagli invasori che cercano di rubare i loro dati. Nel mondo in evoluzione della cybersecurity, le minacce possono arrivare a ogni angolo. Come leader della sicurezza, è nostro dovere tradurre queste minacce in informazioni agibili per i dirigenti. E con un team di talento, sarai sempre pronto a proteggere la tua azienda da attacchi. Prima di entrare nell'intervista di Marene, ecco una breve parola dal nostro sponsor.
Speaker 3: Il podcast Security Visionaries è gestito dal team di Netskope. Netskope è il leader SASE, offrendo tutto ciò di cui hai bisogno per offrire un'esperienza utente rapida, incentrata sui dati e cloud intelligente alla velocità del business di oggi. Scopri di più su N-E-T-S-K-O-P-E.com.
Speaker 2: Senza ulteriori indugi, vi invitiamo a godervi l'episodio 10 di Security Visionaries con Marene Allison, CISO di Johnson & Johnson, e il vostro conduttore, Jason Clark.
Jason Clark: Benvenuti a Security Visionaries. Sono il vostro conduttore, Jason Clark. E oggi sono con me una collega straordinaria, Marene Allison. Marene, come va?
Marene Allison: Sto benissimo Jason, grazie per avermi invitata. Questo è un ottimo programma.
Jason Clark: Grazie. Sono entusiasta di portare fuori alcune delle cose che penso la comunità interesserà molto di te. Hai un background davvero straordinario. In realtà sono geloso del tuo passato, ad essere onesto. Vorrei essere andato a West Point. Vorrei essermi unito all'FBI. E tu hai seguito quella tua strada unica. Sono entrato nell'esercito, ma è una grande differenza rispetto ad andare a West Point, dove molti membri della mia famiglia sono stati. Quindi forse possiamo iniziare parlando di te come la prima classe di donne a laurearsi a West Point, e di cosa significa ancora oggi per te.
Marene Allison: Sì, in realtà non ho mai voluto andare a West Point. Volevo andare all'Accademia dell'Aeronautica. E probabilmente la prima persona, ancora prima che conoscessimo la parola sponsor, che mi ha sponsorizzata e aiutata a dare una direzione nella mia vita è stata Margaret Heckler, deputata del Massachusetts. Mi ha dato la sua nomina principale per West Point. E sono andato senza vederlo, senza mai vedere il posto, sono entrato e uscito quattro anni dopo, nominato sottotenente. E sì, è stato un momento che definisce la vita. Vengo dal Massachusetts, quindi l'idea che le donne non possano fare nulla di ciò che può fare un uomo, e alcune di queste preconcette sono state immagino la visione del mondo degli anni '70. Non sapevo cosa fosse. Sono entrato in questo ambiente e ho fatto bene, ovviamente mi sono laureato e sono stato arruolato nella polizia militare, ma è lì che ho studiato ingegneria elettrica. Ovviamente, ai tempi antichi non avevamo informatica né lauree in cybersecurity. Quindi ho seguito ingegneria elettrica e quella è diventata la mia specializzazione a West Point e ha sicuramente fatto tutta la differenza, giusto? È stato enorme. Oggi sono presidente di West Point Women e rappresento oltre 6.000 donne e diplomate di West Point e tutto ciò che è stato realizzato.
Jason Clark: Wow, è incredibile. Quindi, se ci parli un po' di quella transizione verso il cyber e poi di quel percorso.
Marene Allison: Beh, come ho detto. Sono stato nominato sottotenente nella polizia militare, e poi me ne sono andato. Quello che direi è che il mio secondo sponsor nella vita è stato il generale Sam Wetzel, che faceva parte del consiglio di amministrazione di una A&P Foods. E lui e un'altra membro del consiglio stavano cercando un capo della sicurezza per una laureata di West Point in A&P in forze dell'ordine, e quella ero io. Ero quello che facevo l'FBI a Newark. Poi sono passati alla sicurezza aziendale, alla sicurezza fisica. E poi, dopo aver lasciato A&P dopo circa 10 anni, sono passato a un settore via telecomunicazioni. E io ero la persona della sicurezza fisica, globale in sei settimane lì. Mi hanno detto: "Ehi Marene, il nostro responsabile della sicurezza IT se ne va. E... Ah, a proposito, stiamo facendo la Coppa del Mondo, la prima volta che usiamo la voce su IP in produzione. E abbiamo bisogno di qualcuno che gestisca il nostro centro operativo di sicurezza." Ehi, sono la tua donna. Ci sono. Lo farò. E così quella è stata la mia transizione dal non saper scrivere IT a correre il calzino per la Coppa del Mondo del 2002.
Jason Clark: Quindi, ora sei proprio al CISO di J&J o Johnson & Johnson, che sei lì dal 2010. Quindi, quando pensiamo a come apparivano le cose nel 2010, rispetto allo stato generale della sicurezza, l'industria di oggi. Come parleresti di queste differenze negli ultimi 11 anni?
Marene Allison: Quindi, guardando al 2010, eravamo un client server. La gente stava appena iniziando a mettere le dita dei piedi. Bezos poteva permettersi solo una dinging, non uno yacht da 540 milioni di dollari, e Amazon non guadagnava nulla. Quindi eravamo un server client e le nostre reti erano il perimetro, non internet come oggi, non come siamo nel mondo digitale. Ero in Medco, un'azienda chiamata Medco, non esiste più. Il beneficio della farmacia. Avevamo un sito web cliente che conteneva dati di 65 milioni di americani su quel sito. E nel 2005, implementando HIPAA, Sarbanes–Oxley e PCI tutti insieme per assicurarsi che i dati fossero protetti. E ci ha dato un certo livello. Uso il termine, lo uso anche oggi, significa stare davanti all'orso, giusto? E sei leggermente avanti all'orso, ma volevi qualcuno dietro di te, ma non volevi essere troppo avanti perché stavi spendendo troppo soldi nello spazio. E quindi ha fatto una grande differenza, ma ha anche cambiato il modo in cui facevamo la sicurezza IT grazie ad alcuni di quei framework, è stato fantastico. E [inaudibile 00:07:03] lì dentro, poi è uscito NISS, e ISO 27001. Ma erano tutti solo framework per aiutare i CISO a migliorare nel mestiere.
Jason Clark: Parleremo un po' di più di questo, perché penso che ci siano stati molti cambiamenti negli ultimi 11 anni. Ma penso che anche adesso la quantità di cambiamento sia piuttosto significativa quando ci sediamo a pensare a dove stanno andando le cose, ma anche solo considerando gli ultimi due anni, che sono una sfida per tutti. Ma quando penso alle tue scarpe, stai uscendo con uno dei primi vaccini e poi affrontando anche una sputata. Diresti che le acquisizioni di 10 anni fa erano molto più difficili dal punto di vista tecnologico perché volevi aprire una linea di leasing New o mandare una di New attrezzature dropship e dovevamo portarla in Sudafrica, in Brasile e in Russia, questo è un progetto di sei mesi da solo, basta portare l'hardware lì, mentre ora in un mondo cloud puoi Fai salire le cose molto più velocemente. Puoi consegnare il software, giusto? Poter realizzare tutto ciò. Pensi che negli ultimi 10 anni sia diventato molto più facile dal punto di vista della sicurezza fare acquisizioni?
Marene Allison: In generale, durante acquisizioni e dismissioni ora è molto più semplice. Se ricordi, quanto ci è voluto dieci anni fa per configurare un server? E poi configurare tutto e passare attraverso tutti. Sono passati mesi, giorni. Di certo non erano state ore, vero? I fornitori cloud ci hanno effettivamente aiutato a cambiare, anche se lo fai internamente, hanno aiutato perché se volevamo essere sostenibili, un valore di business nell'IT, dovevamo cambiare il nostro modo di fare le cose e diventare automatizzati, giusto? E quindi, se riesco a ottenere un server da un fornitore cloud in pochi minuti e ci metto tre mesi per farlo internamente, indovina dove andrai? E quindi ciò che è successo è solo il cambiamento al cloud. E sicuramente poter pivotare e prendere tutto e spostarlo in un ambiente cloud rende tutto molto più facile anche che metterlo su client server se stai facendo un lavoro interno, non importa quanto veloce sia.
Jason Clark: Quindi pensa al tuo straordinario background storico. Qual è stata una delle tue esperienze di apprendimento più grandi nel settore cyber?
Marene Allison: Penso che probabilmente un momento davvero decisivo per me sia stato a giugno 2016 con notPetya. Penso che per noi CISO, oh, posso difendermi da questo. Modalità più grandi, firewall più grandi. Posso farcela e sto bene. Prenderò più rilevamento e la protezione sarà utile. Andrà bene. Quando non è successo Petya, è stata la consapevolezza che serve resilienza cibernetica. Se non hai resilienza informatica, non sopravviverai in un ambiente New minaccia. E so di avere dei buoni amici che all'epoca mi hanno semplicemente detto: "Marene, sto facendo il timbro, me ne vado. Lascio il cyber. Tornerò nel venture capital. Farò qualcos'altro," perché il CISO doveva capire dove un'azienda doveva andare nel pensare di un'azienda sul cyber. E nella resilienza non è del tutto al cuore del campo del CISO. È davvero l'azienda, giusto? E l'abbiamo visto di nuovo con l'ascesa del ransomware. Pochissimi CISO che conosco facevano backup e ripristini, ma tutto ruotava attorno a come configurare il backup e il ripristino, e se la disponibilità è alta. E come il ransomware arriva e si propaga contro un ambiente e l'avversario, guardando a quelle cose che abbiamo fatto per l'efficienza, tutta quell'automazione, la doppia ridondanza e i backup automatici, può anche essere il tallone d'Achille in un evento ransomware. E quindi per me è stato lì che l'evento notPetya è stato quel momento tipo, "Ok, e adesso cosa facciamo? E poi come andiamo avanti?" Si trattava meno di sicurezza IT e più di gestione del rischio di sicurezza informatica e resilienza informatica.
Jason Clark: Hai appena colpito diversi punti davvero importanti, che voglio sottolineare, cioè... Iniziamo, il primo è il lavoro da CISO, è un lavoro molto complicato e difficile a causa di un solo livello di stress, che sta per accadere. Avrai un evento che ti farà perdere le vacanze in famiglia, il Natale o il matrimonio del tuo migliore amico, giusto? Succede a tutti. Quindi hai l'equilibrio tra questi momenti stressanti e come li gestisci, combinato con il tentativo di non creare attriti nell'azienda, ma con la necessità di un certo livello di attrito per avere un po' di controllo; magari parla di cosa rende il lavoro CISO così stressante. La maggior parte dei CISO che conosco, dopo aver fatto il lavoro da CISO tre volte, dice: "Ok, penso che magari ho ancora un'altra volta o devo andare in un'azienda più piccola, o devo passare a qualcos'altro. Ma non posso proprio andare così forte di nuovo," giusto? Cosa pensi significhi?
Marene Allison: Tranne me, Jason. Tranne me, giusto?
Jason Clark: Penso che viva in Florida, giusto? Forse ti aiuta a rilassarti un po' di più.
Marene Allison: E direi che ci sono un paio di tipi di CISO. Ci sono i CISO che stanno svolgendo una vera missione di sicurezza IT, che riguarda la protezione dell'IT. E poi ci sono i CISO che sono davvero dirigenti aziendali. La sicurezza IT è solo una piccola parte di ciò che fanno. E poi hanno il rischio informatico. Stanno valutando cose come il controllo IT per Sarbanes–Oxley. E questo è un ruolo molto diverso perché si traduce sempre. Quello che so su quello che sta succedendo, rispetto a cercare di tradurlo ai dirigenti senior, è un'arte raffinata. È assolutamente una bella arte che dobbiamo fare. E avere team di persone molto talentuose che hanno competenze nel servizio governativo, competenze tecniche o imprenditoriali, e unire tutto questo è molto, molto importante rispetto ad avere solo un'organizzazione, che è principalmente composta da ingegneri di sicurezza. E il gioco è cambiato, giusto? È... Ora andremo tutti al consiglio di amministrazione e parleremo di rischio cibernetico e metriche operative, e le persone con cui parlavi capiscono davvero da dove proviene un CISO. E penso che quel gioco sia cambiato e sia riuscito ad articolarlo in modo che abbia senso. Ho alzato la mano a 17 anni a West Point per difendere il nostro paese da tutti i nemici, stranieri e interni. E posso dirtelo anche anni dopo, e non ti dirò quanti anni dopo. Potrei ancora alzare la mano e dire: "Difendo la mia azienda da tutti gli intrusi che cercano di rubare o deturpare i nostri dati."
Jason Clark: Questo è ciò che rende straordinario la nostra missione. Siamo davvero solo all'inizio. Il problema sta diventando più difficile e continueremo a crescere come sicurezza, di cui voglio parlare un po'. Penso che la tua risposta sia stata perfetta su... Penso che lo stress sia che sono messi sotto pressione in un certo senso tecnicamente, ma anche in un altro modo dal punto di vista del rischio aziendale e della resilienza. E non tutti riescono a gestire entrambe le cose contemporaneamente. Ed è qui che le persone potrebbero fallire, giusto? Oppure l'organizzazione intorno all'azienda è di supporto, magari hanno un capo che non è favorevole a questo, giusto? Vedi, puoi avere un CIO che non ti supporta che si siede e trascorre una volta al mese con il consiglio, e che ha già incontrato il consiglio. Vedi succedere continuamente, o qualcuno ti dice... e l'ho visto troppe volte, "Ehi, ho bisogno che tu approvi questo rischio." E beh, sì, non posso farlo, è un rischio enorme. Beh, perché non la firmi? E loro rispondono: "Beh, no, è il tuo lavoro." E poi ti danno il "Se non lo firmi, forse dovresti uscire e troveremo qualcun altro che lo firmi", giusto? Finisci anche per avere questo tipo di stress.
Marene Allison: In realtà mi è capitato di succedere, non in J&J ma in un'azienda precedente dove la persona non aveva il doppio licenziamento per il call center. E l'ho menzionata come una continuità del rischio. E il presidente di quell'unità aziendale doveva firmare e lei non voleva farlo. Così ho detto: "Ok, scrivo qui il promemoria che ti sei rifiutato di firmare, va bene?" Sì. Va bene. E poi, un anno e mezzo dopo, le inondazioni hanno disattivato l'unico collegamento dati con il call center, e siamo stati portati entrambi nell'ufficio del CEO e ci hanno fatto la domanda. E io ho detto: "Ecco dove la firma non era necessaria, anche se era stata dichiarata necessaria." E ho dovuto lasciare l'ufficio.
Jason Clark: Lo adoro. Sì.
Marene Allison: Sì. È che la responsabilità e l'IT sono misteriose, vero, Jason? Sai chi sta facendo cosa. Ma penso che dal lato IT, per me sarebbe noioso, giusto? Nel cyber tutto cambia ogni sei mesi, c'è una prospettiva New e c'è un intero set New di tecnologie New che saranno disponibili. E come CISO ho dovuto prendere la minaccia New , il mio ambiente IT che non cambia rapidamente come l'ambiente di sicurezza, e poi riavvolgerlo e vedere cosa funziona. Penso che abbiamo un lavoro fantastico perché abbiamo tutte queste tecnologie New . Possiamo osservare tutti i modi in cui un avversario verrà contro di noi. E poi guardiamo come lo metteremo in sicurezza.
Jason Clark: Penso che sia l'unico posto nella tecnologia dove c'è un avversario che spinge e innova costantemente, giusto? Non c'è altro spazio nella tecnologia dove tu... che ha un avversario diretto, giusto? Che ti sta costantemente cercando. E quindi si combina con il fatto che l'azienda si sta muovendo, e devi muoverti allo stesso ritmo del business. Quindi hai queste due forze massicce che ti spingono in direzioni opposte, giusto?
Marene Allison: Giusto. E poi abbiamo anche l'ambiente normativo, chiunque lavori con una legge sulla cybersecurity cinese e la localizzazione dei dati in Cina, stessa cosa per la localizzazione in Russia. Dobbiamo continuamente avvolgere l'ambiente in modo diverso, così che l'azienda possa continuare a operare negli ambienti in cui si trova senza troppi attriti che probabilmente vorremmo, se fossimo solo sicurezza IT.
Jason Clark: Quindi quale percentuale del tuo tempo è, A fare... chiamiamolo la parte nerd della sicurezza IT, contro i regolatori, contro il business dal punto di vista G&A, finanza, legale HR?
Marene Allison: Direi probabilmente che il 10-15% è il tema geek. E ad essere onesto, il mio team probabilmente vorrebbe che fosse più lontano anche dal 10 al 15%, perché cerco cose, ne parlo e vedo come potrebbe funzionare. E poi...
Jason Clark: Beh, è anche divertente.
Marene Allison: Sì. È divertente. È davvero divertente, vero? E mi piace sempre pensare: "E adesso cosa facciamo?" A destra? Quindi sono sicuro che amano queste sfide. Se li intervisti, ne sono sicuro, ti diranno qualcosa di diverso. La parte business è probabilmente del 20, 25%. E allora cosa siamo? 35, 40%. E poi affrontare quali siano i controlli IT, qualunque regolamentazione sia, che si tratti di regolamenti sulla privacy, un Sarbanes–Oxley non rispettato HIPAA è il massimo del tempo, perché devo letteralmente lavorare con altre aree dell'azienda, da una valutazione, un audit o un regolatore terzo. Come si presenta una buona cosa?
Jason Clark: Quel 50% non sembra così divertente.
Marene Allison: È interessante. Stavo solo... Alcuni dei nostri revisori sono entrati nel cyberspazio. E quale framework stai usando per fare la valutazione? E perché è un'opportunità per fare da allenatore. Adoro gli auditor IT, vero? Li amo perché vedo qualcuno che un giorno lavorerà nel mio reparto, o un giorno nel cyber. E quindi guarda quegli auditor IT e poi metti in discussione, domande e chiedi: perché stiamo guardando a questo? Questo mi dà l'opportunità di allenare e adoro fare coaching.
Jason Clark: Qual è il tuo dominio preferito nel cyber?
Marene Allison: Qual è il mio... Scientifica. Informatica forense. Sì, il mio povero calzino, le persone che mi gestiscono e il direttore senior da quel lato, sanno che posso saltare in un attimo. Farò un milione di domande, perché stiamo facendo questo? Dovremmo farlo? E poi lo collegherò alla tecnologia, a qualche evento casuale avvenuto tre anni fa che ricorderò. E poi adorano questo. A loro piace molto.
Jason Clark: Sono sicuro di sì. Ma... Quindi, torniamo a... Abbiamo iniziato ad approfondire l'innovazione e volevo parlarne negli ultimi minuti qui. Quindi, ci sono molti cambiamenti in corso. Quali sono le aree che pensi necessitino di più innovazione tecnicamente, giusto? Guardando alla cybersecurity, potrebbe essere solo sicurezza nel cloud. Potrebbe essere la sicurezza dei dati. Potrebbe essere SIMS. Potrebbe essere il confine tra convergenza su SASE e SSE, ma la sicurezza delle API, tutto questo è tutto questo. Curioso, solo la tua opinione su dove serve l'innovazione. Se parlassi con cento CTO e imprenditori straordinari e ti dicessi: "Vai a costruire questo. Queste sono le cose di cui abbiamo bisogno." Cosa diresti?
Marene Allison: La forma S delle applicazioni, cioè dover gestire ogni riga di codice in un'applicazione, non sarà sostenibile. Abbiamo bisogno di CTO e di tecnologie che possano containerizzare queste applicazioni e portarle fuori dallo stato vulnerabile in cui si trovano oggi. Non ero così New... Ok, la questione della sicurezza delle applicazioni è importante, ma fino a Log4j, perché Log4j è nelle applicazioni e nei server ed è ovunque. E ehi, adoro quando puoi fare patch. Ma molto del codice non può essere aggiornato a causa di quello che fa e di dove si trova. Quindi dovrà essere in qualche tipo di containerizzato. L'altra parte sono i dati, giusto? Ci sono le cose fisiche. E ancora oggi chiamo l'applicazione stessa, uno spazio fisico contenuto o il server, o il cloud o la rete. Sono tutte cose fisiche che hanno la nostra esperienza per garantirle. Ma i dati, i dati stanno andando ovunque. Permeerà ovunque. Il 5G, i dati che escono dai sensori, un anello al dito parleranno con l'orologio, invieranno cose al medico. Per favore, non mandarlo a qualcuno che cerca di vendermi un programma per dimagrire, giusto? Tutte queste cose diventeranno molto, molto importanti. E siamo pronti? Sappiamo dove vanno i dati? Continuiamo a cercare di gestire i dati in base a dove si trovano o ai canali su cui si muovono. Come gestiamo i dati stessi?
Jason Clark: Ovunque. E come seguono essenzialmente i controlli di sicurezza i dati? Che chiamerei Security Nirvana, è quello di cui abbiamo bisogno. E la cosa divertente è che il 90 percento delle conversazioni sulla sicurezza non parla di dati. Parlano di minacce e vulnerabilità, probabilità, audit, conformità e tutte quelle cose. E la realtà è che, alla fine, la sicurezza della grande strategia è proteggere i dati. Ma c'è sicuramente resilienza, giusto? C'è tempo di attivazione, ma la maggior parte sono dati. Non trovi... La maggior parte delle conversazioni riguarda soprattutto la tecnologia intorno a questo, a parte che...
Marene Allison: Giusto. Esatto. È un contenitore. È il contenitore attraverso cui si muove. È il contenitore in cui si mette. Ma non ne parliamo. E poi cosa dobbiamo farne? E poi questo entra a... Uno dei miei argomenti preferiti riguarda Zero Trust e accesso, e chi ha toccato i dati. E tutte queste cose sono molto, molto importanti. E dove ci porterà la tecnologia e come la proteggeremo per il futuro?
Jason Clark: La maggior parte delle persone con cui parlo vede Zero Trust e sicuramente al massimo i fornitori. Lo vedono come binario, la fiducia è binaria. Quindi o hai accesso o non hai accesso. Io dico: "No, non puoi solo entrare in casa mia o non puoi entrare in casa mia. Tu... Potrei farti entrare in casa mia, ma appena vedo fuori un cattivo comportamento, altrimenti non ti lascerò uscire dalla mia cassaforte." E dobbiamo solo pensare a cose che ci sono un livellamento dell'accesso. E questo viene costantemente valutato in base a molti fattori di rischio. E penso che sia lì che dobbiamo arrivare, dove c'è un po' di fiducia di più, giusto? Ci sono casi in cui puoi dare alle persone un po' di beneficio del dubbio per un secondo, se loro... Diciamo che scrivi una frase. Digita la frase per cui hai bisogno di questi dati. E il 99% delle persone dirà: "No, lascia perdere. Mi ritiro." L'1% scriverà la motivazione. Ora è registrato. E si trattava di un solo disco, giusto? Invece di dire: "Semplicemente no. E vai a fare una richiesta per la squadra di sicurezza," giusto? Quindi è un livello di coinvolgimento molto diverso, credo, dove puoi automatizzare e integrare Zero Trust.
Marene Allison: Ma sai una cosa? Dovremmo anche chiederci: "Dove metteremo i dati?" A destra? E riesci a immaginare un mondo. Qui mi piace pensare che, "Oh, il tuo posto è che lo scaricherai su cosa? SharePoint, un database e tu sapevi cos'era." E i dati sapevano che se non andavano lì, ti dicevano: "Ehi, lo sviluppatore l'ha messo nel posto sbagliato, giusto? Vieni a cercarmi. Mamma, vieni a prendermi," giusto? Riesci a immaginare quel mondo? Ce la faremo. Avremo dati che sembrano simili a un certo punto, ma ci vorrà del tempo. Ma questo aiuterà l'industria della sicurezza. Guarda la crittografia, giusto? La crittografia era... è Zero Trust. Non mi fido di te se non ti do le chiavi. Ma se ti do le chiavi, hai accesso a tutto, giusto? E-
Jason Clark: Sì. Quindi, è acceso o spento, giusto? Questo è il problema.
Marene Allison: Sì. Non è un modello eccezionale perché ora mettono le chiavi in posti strani, giusto?
Jason Clark: Mm-hmm (affermativo). Esatto. Binario completo acceso o spento.
Marene Allison: Acceso, spento. A destra?
Jason Clark: Ecco fatto.
Marene Allison: E hai ragione. E potrebbe essere solo durante il tempo di dipendenza. È come l'analisi del comportamento dell'utente o l'accesso contestuale, giusto? E abbiamo visto molto di questo quando, oh, la tua autenticazione a due fattori. Se sei sulla rete J&J, hai accesso e hai accesso singolo a J&J e sei su VPN, puoi avere accesso a questo. Ma se sei fuori rete e arrivi, allora devi fare un altro due fattori, giusto? E questo è solo contestuale, giusto? Oppure, se sei in un certo posto o non hai un indirizzo IP che è... Riesci a immaginare dove tutti i saloni Starbucks saranno considerati sicuri o meno?
Jason Clark: E penso che questo mondo di spostare tutto fuori dal nostro data center, sia nel cloud, sia in SaaS o sui nostri dispositivi, ci permetta di farlo. Ci spinge a dover avere questo tipo di... quello che mi piace dire è il reset perfetto della sicurezza. Ci permette di andare e dire: "Ok, tutto parla con tutto. Ora tutto è un'API. E automatizziamo queste cose in modo molto migliore." Negli ultimi anni stiamo ricostruendo la sicurezza e abbiamo molto lavoro da fare, ma sento che abbiamo iniziato a farlo.
Marene Allison: Sì. E immagina anche, perché il rischio di terze parti e hanno parlato dei rischi nella catena di approvvigionamento. Hanno parlato di questi rischi. Riesci a immaginare se i tuoi dati avessero la capacità di chiamarti se non vengono gestiti correttamente?
Jason Clark: Sì.
Marene Allison: Riesci a immaginare quali conversazioni abbiano abbiate quelle conversazioni... Probabilmente tra 10, 15 anni, ma riesci a immaginare CISO a CISO, "Ehi, scusami. I miei dati mi hanno chiamato e hanno detto che li stai abusando di essi."
Jason Clark: Sì. Non è dove dovrebbe essere.
Marene Allison: [crosstalk 00:29:16] accesso non autorizzato e voglio parlarle con te. Oppure è finito su internet, non doveva andare lì.
Jason Clark: Perché la mia impostazione dati in Cina, che ti ho dato come terza parte, è giusto? Sì. Sta chiamando casa. Sì.
Marene Allison: Esattamente. Riesci a immaginarlo? Sì, e poi alcuni dei problemi con cui i CISO devono affrontare oggi, perdita di dati, esposizione ai dati, protezione dei dati, rischi di terze parti. Avranno una dimensione diversa rispetto a oggi. Ed è questo che rende eccitante il nostro lavoro, giusto?
Jason Clark: Quindi è come dati intelligenti.
Marene Allison: Dati intelligenti.
Jason Clark: Che sa se viene usato correttamente e in sicurezza. Un'ultima domanda per te, più a livello personale: qual è un hobby che ami fare al di fuori del cyber o due?
Marene Allison: Sì. Ho tre cavalli in una fattoria nel Nord della Florida, e io e mio marito alleviamo mirtilli biologici commercialmente.
Jason Clark: Wow. Nella stessa fattoria?
Marene Allison: Nella stessa fattoria. Sono più di 200 acri, quindi c'è molto spazio. E abbiamo circa 50 acri di mirtilli biologici.
Jason Clark: Quanto tempo passi in fattoria rispetto al tuo...
Marene Allison: Si potrebbe considerare la fattoria la casa principale, perché una volta che si ha una fattoria, c'è pochissimo altro da fare. Lavoro da casa da entrambi i posti e vado in Jersey per andare in ufficio circa una volta al mese.
Jason Clark: È fantastico. Beh, grazie. È stata una sessione straordinaria e so che gli ascoltatori avranno apprezzato molto questa conversazione, in cui abbiamo trattato molti argomenti ed è stato divertente. Quindi grazie mille Marene, è sempre stato un piacere parlare con te. E...
Marene Allison: È un piacere essere qui, Jason. E ogni volta che possiamo avere una conversazione è una giornata fantastica per me. Grazie.
Speaker 3: Il podcast Security Visionaries è gestito dal team di Netskope. Cerchi la giusta piattaforma di sicurezza cloud per rendere possibile il tuo percorso di trasformazione digitale? Il Netskope Security Cloud ti aiuta a connettere gli utenti direttamente a internet in modo sicuro e rapido da qualsiasi dispositivo a qualsiasi applicazione. Scopri di più su N-E-T-S-K-O-P-E.com.
Relatore 2: Grazie per aver ascoltato Security Visionaries. Prenditi un momento per valutare e recensire lo show e condividerlo con qualcuno che conosci e che potrebbe apprezzare. Restate sintonizzati per gli episodi che usciranno ogni due settimane, e ci vediamo nel prossimo.
){kind=icon}
