Rehman Khan: Penso che sarà il design, la progettazione della sicurezza. Come ho detto, concentrandoci davvero sulla progettazione della sicurezza e assicurandoci che il nostro approccio alla sicurezza non si limiti a un mucchio di strumenti, ma che dovremmo davvero fare un passo indietro e progettare la sicurezza nell'organizzazione complessiva, nel processo.
Produttore: Ciao e benvenuti a Security Visionaries, presentato da Jason Clark, CSO di Netskope. Avete appena ascoltato l'ospite di oggi, Rehman Khan, Direttore della strategia di sicurezza, ricerca e progettazione presso Charles Schwab. Con oltre 20 anni di esperienza nel settore della sicurezza, Rehman ha lavorato con persone di ogni tipo. Con questo tipo di esperienza, c'è un motivo per cui uno dei suoi consigli principali è quello di raddoppiare gli sforzi sulle persone. La scelta dei responsabili della sicurezza dei membri giusti del team ha un profondo effetto a catena. L'importanza di queste decisioni determina il successo o il fallimento di una carriera nel settore della sicurezza. Quindi scegliete con saggezza. Prima di entrare nell'intervista, ecco una breve parola dal nostro sponsor.
Pubblicità: Il podcast Security Visionaries è realizzato dal team di Netskope. Netskope è il leader sfacciato che offre tutto ciò di cui hai bisogno per fornire un'esperienza utente veloce, incentrata sui dati e basata sul cloud, al passo con il ritmo del business odierno. Scopri di più su Netskope.com
Produttore: Senza ulteriori indugi, godetevi l'ottavo episodio di Security Visionaries con Rehman Khan, Direttore della strategia di sicurezza, ricerca e progettazione presso Charles Schwab, e il vostro presentatore, Jason Clark.
Jason Clark: Benvenuti a Security Visionaries. Sono il vostro ospite, Jason Clark, CSO di Netskope. E oggi sono in compagnia di un New ospite, Rehman Khan. Rehman, raccontaci un po' di te.
Rehman Khan: Ciao, Jason. Sì, sono felice di essere qui. Fondamentalmente dirigo la Charles Schwab Security Strategy, Research & Design Organization. E vivo a St. Louis, nel Missouri, dove vivo da quasi otto anni. E prima ancora, ho lavorato a Minneapolis nel campo della sicurezza informatica per circa 12-15 anni, facendo anche altre cose nel frattempo. Quindi, questo sono io.
Jason Clark: Sì, da quando ti conosco sei stato architetto e responsabile dell'architettura per molte grandi aziende, aziende globali. Hai avuto un grande impatto nelle organizzazioni in cui hai lavorato. Ma una cosa che ho appena notato è che i tuoi capelli sono molto più corti rispetto all'ultima volta che ti ho visto. È stato in un certo senso il risultato della pandemia e poi è venuto fuori che, non so nemmeno quanti centimetri hai tagliato in questo momento.
Rehman Khan: Beh, sì. Ehi, credo che tutti noi stiamo un po' armeggiando con i nostri piccoli bisogni e desideri, credo. Sì, direi che ho perso quindici centimetri solo un paio di settimane fa. Ho pensato di fare un po' di pulizia per il New anno. Questo va bene e forse si può ricominciare da capo, ma questa pandemia ci ha dato sicuramente l'opportunità di farci crescere i capelli.
Jason Clark: Come ha reagito la tua famiglia o al lavoro, chi ha reagito meglio o peggio quando ti ha visto tagliare fuori tutto?
Rehman Khan: Penso che mi abbiano preso così come mi sono presentato. Immagino che ci sia sempre qualcosa che mi succede. Voglio dire, avrò il pizzetto e poi, all'improvviso, un paio d'anni dopo, avrò la barba. E quindi penso che le persone siano in un certo senso abituate al modo in cui cambiano le cose riguardo al mio, credo, aspetto. Ma, ti dirò, penso che le persone in generale fossero molto complimentose, ma ci sono state un paio di volte in cui, credo fosse in realtà uno dei presidenti della Wash U, mi ha guardato e mi ha detto: "Wow, eri allo spettacolo dei Survivor?" Voglio dire, la loro reazione è stata letteralmente: "Dov'eri?" E quindi, sì, penso che ci sia un po' di tutto, ma per lo più le persone sono state gentili e hanno capito.
Relatore 5: Approfondimento. Tuffo. Tuffo. Tuffo. Immergiti.
Jason Clark: Quindi parli sei lingue. Raccontaci brevemente di cosa si tratta e in che modo ti sono stati utili.
Rehman Khan: Sì. Quindi, in realtà, per quanto riguarda il mio background, sono cresciuto in Kuwait. Sono cresciuto lì, poi sono andato ad Abu Dhabi. E mio padre lavorava per la Lufthansa, quindi puoi iniziare a vedere il nostro modello di viaggio per il mondo. E poi mi sono trasferito da Abu Dhabi a Minneapolis, il che è stato un cambiamento enorme. Ma tornando alla tua domanda, direi che Abu Dhabi è stata una città in cui ho avuto modo di imparare e interagire con un pubblico internazionale. E ho imparato il tedesco. L'arabo era già lì, l'urdu, e continuava ad andare avanti. E penso che questo mi risuoni e che abbia continuato a arricchire la mia tavolozza.
Jason Clark: Ci penso. Quindi anch'io sono cresciuto in un ambiente globale, essendo figlio di un militare. E penso al fatto che come posso offrire la stessa esperienza ai miei figli? Voglio che crescano come cittadini del mondo e non che restino seduti nella stessa città per tutta la vita. E quello che ho deciso è che, a partire da due anni, ogni estate la trascorreremo in un paese diverso. Ed è così che intendo renderli, per quanto possibile, cittadini del mondo.
Rehman Khan: Sì. No, penso che sia un'ottima idea. Credo che, voglio dire, speriamo che con la pandemia, nei prossimi due anni, potremo avere la stessa possibilità di mobilitarci liberamente. Perché non si tratta solo di questo: potresti stare a casa e imparare tutte queste lingue, e noi facciamo lo stesso con la sicurezza informatica, e così via. Ma parte di questo riguarda l'interazione. E davvero, quando interagisci con le persone, sia nella vita privata che in quella privata, impari. E penso che viaggiando si impari. Infondi fiducia nei tuoi figli. E penso che sia un ottimo piano. Io stesso vorrei farlo, ma penso che si tratti di andare in un ambiente in cui devi affrontare la situazione e poi inizi-
Jason Clark: È la cultura.
Rehman Khan: Sì.
Jason Clark: Ci sono due tipi di persone: quelle che vanno da qualche parte e dicono: "Va bene. Ecco i 10 siti. Voglio andare a vederli", cosa che puoi fare cercando su Google, oppure puoi trovare le persone che dicono: "Voglio abbracciare la cultura. Voglio provare il cibo. Voglio incontrare la gente. Voglio andare nei bar locali." Si tratta di un'essenza molto, molto diversa da ciò che stai cercando di realizzare. Di solito pongo questa domanda un po' più tardi, ma ora che mi sono avvicinato alla sicurezza sono curioso: qual è il tuo ambito di sicurezza preferito? Gestisci l'architettura e lo hai fatto più e più volte, il che significa che in un certo senso hai il compito di supervisionare, come un CSO, ogni ambito della sicurezza. Qual è il tuo dominio preferito?
Rehman Khan: Cavolo, questa è dura. Posso dartene due?
Jason Clark: Sì. Dammi il primo, e poi il secondo.
Rehman Khan: Va bene. Lo dirò. Guarda, la gestione delle identità e degli accessi è ciò in cui sono cresciuto e in cui ho imparato, e continuo a vederla evolvere. Penso che sia il mio primo. Questo è in un certo senso il punto di riferimento, e subito dopo c'è la sicurezza dei dati. Quei due sono sempre stati lì. Sì. Voglio dire, penso che vadano di pari passo. Si potrebbe considerare la cosa dal punto di vista della sicurezza delle applicazioni. Ma sì, penso che questi siano in un certo senso i domini.
Jason Clark: Sono domini fantastici. E se dovessi chiedertelo, qual è la cosa che odi di più?
Rehman Khan: E questo potrebbe applicarsi a tutto quanto detto sopra, ma si tratta in un certo senso delle operazioni di sicurezza, se vogliamo. È un aspetto molto importante, ma credo anche che, penso alle operazioni di sicurezza, e forse posso spiegarti perché.
Jason Clark: È un tipo di stress diverso. Dicci perché odi le operazioni.
Rehman Khan: Beh, sono un designer. Sono sempre stato un designer. Quello che mi interessa è l'estetica. Quello che mi interessa è il design vero e proprio. E ritengo che il motivo per cui le nostre operazioni sono nella situazione attuale è che non ci stiamo concentrando sulla progettazione. Non progettiamo soluzioni e applicazioni di sicurezza e così via tenendo presente la sicurezza. Ebbene, esiste un rischio residuo e un effetto di ciò. Ed è questo che sono oggi le operazioni di sicurezza. Voglio dire, penso che sia questo che mi spinge a starne lontano, perché perché dobbiamo stressarci così tanto? Perché non può essere automatizzato come altri ambiti operativi? Stanno lavorando, funzionando, producendo. Voglio dire, prendi uno qualsiasi degli altri ambiti aziendali, quindi-
Jason Clark: Non vuoi essere il risultato dei cattivi progetti di altre persone. Non vuoi essere la coda. Vuoi sistemare le cose e progettarle bene.
Rehman Khan: Sì.
Jason Clark: Ha molto senso. Ho capito. E quindi sei frustrato nelle operazioni quando vedi progetti scadenti.
Rehman Khan: Sì. Sì. E poi li vedi ancora e ancora. Voglio dire, lo stiamo vedendo con Log4j. È un paesaggio piuttosto interessante, se vogliamo.
Jason Clark: Credo che quello abbia rovinato il dicembre di molte persone. Ha danneggiato le vacanze di un sacco di persone. Tutti quelli con cui ho parlato per almeno 45 giorni mi hanno detto: "Oh, cosa sta succedendo?" "Sì. Log4j. Ecco cosa sta succedendo. Per questo motivo siamo in difficoltà." Quindi insegni in un paio di università, cosa che apprezzo sempre, per aiutare la prossima generazione. E una di queste è la Wash U, dove ho conseguito il mio MBA, e mi piace, mi piace vedere questo nel tuo background e in ciò su cui stai lavorando. Allora, perché lo fai? Cosa pensi della prossima generazione e dell'importanza di insegnare loro la sicurezza informatica? E cosa insegni loro?
Rehman Khan: Sì. In realtà lo considero un processo di apprendimento. Insegnando, imparo. Penso che sia l'aspetto su cui mi concentro davvero, perché interagisci con gli studenti e ti vengono poste delle domande. E a volte ho le risposte, a volte no. È una domanda così diversa che non me l'aspettavo. Quindi, in parte è qualcosa che potremmo definire una specie di profezia che si autoavvera. Sto cercando di anticipare le cose.
Rehman Khan: Cosa insegno? Quando mi hanno contattato per la prima volta per il programma, alla Wash U non c'era un corso sulla gestione dell'identità e degli accessi. Così, Joe e io ci siamo incontrati e ne abbiamo parlato. E io ho detto: "Beh, guarda, ho dedicato parecchio tempo alla gestione delle identità e degli accessi, e penso che sia un'area su cui non stiamo dedicando molto tempo, per quanto riguarda i certificati e i programmi di sicurezza informatica. Quindi, facciamo qualcosa al riguardo, ma non rendiamola solo una cosa teorica. Implementiamo effettivamente dei laboratori e lavoriamo su qualcosa del genere." Quindi ho creato l'intero programma didattico per quel corso. E, dopo aver seguito alcuni corsi, ho iniziato a rendermi conto che c'è ancora molto lavoro da fare nella gestione delle identità e degli accessi. Anche se è molto simile ad altre zone, direi che c'è sempre stata. Esiste da-
Jason Clark: È vecchio, ma è il meno maturo. A proposito, direi la stessa cosa per la sicurezza dei dati. Entrambe sono vecchie industrie o vecchie aree, con il minor grado di maturità e il maggior grado di frammentazione.
Rehman Khan: Sì. Ecco, questo è ciò che mi stupisce ancora di più ed è stato fantastico. Quindi, l'altra cosa che ha trasformato, se così si può dire, è stato un corso sulla sicurezza delle reti aziendali, che in realtà ho tenuto insieme ad altri un paio di istruttori, e più che altro in modalità di osservazione. E ho iniziato a notare che non stavamo affrontando il tema della rete zero-trust o dei concetti di zero-trust. E stavamo ancora parlando del firewall tradizionale e di concetti, a mio avviso, quasi obsoleti. Quindi, quello che ho fatto è stato seguire quel corso e trasformarlo. E ora ci concentriamo sulla rete Zero Trust. Voglio dire, lo insegno ormai da due anni. Ho avuto ottimi risultati con il corso, e sì.
Jason Clark: Esiste quindi un corso Zero Trust o solo un corso Zero Trust Networking?
Rehman Khan: Questa è una buona domanda. Abbiamo fatto questo perché, poiché rientrava nel corso sulla sicurezza delle reti aziendali, abbiamo mantenuto gli aspetti della sicurezza delle reti nel corso, ma abbiamo anche introdotto i concetti di identità della persona e di identità del dispositivo, e abbiamo iniziato a mettere insieme il quadro: guarda, c'è una rete sottostante su cui si basano queste informazioni, ma devi anche sapere chi è questa persona e da quale dispositivo proviene. Quindi direi che si tratta di un modello zero-trust, ma incentrato soprattutto sugli aspetti di networking. Il piano di controllo e il piano dati di cui parlo nel corso e su cui lavoro con gli studenti si concentrano in particolare su: da dove ha origine questo traffico? Come facciamo a sapere che il traffico è buono?
Jason Clark: Qual è una delle domande più difficili che ti hanno mai fatto gli studenti?
Rehman Khan: Penso che la questione più difficile riguardi proprio come possiamo adattare i nostri ambienti attuali e trasformarli in un modello di pensiero e implementazione a zero trust? Come possiamo farlo concretamente? Ed è una domanda difficile, perché ho la sensazione che non siamo ancora arrivati al punto di zero trust. C'è ancora molto lavoro da fare. Ad esempio, c'è l'idea che, ok, dobbiamo conoscere tutti i dispositivi, tutte le configurazioni nei nostri ambienti, per poter effettivamente certificare che questo dispositivo è legittimo, che a questo dispositivo è consentito l'accesso. Ebbene, quante organizzazioni dispongono realmente di queste informazioni, in un modo su cui possiamo effettivamente fare affidamento, senza che la qualità dei dati sia un problema? Quindi è difficile spiegarlo sempre, perché varia da organizzazione a organizzazione. Penso che questa sia la domanda che trovo più difficile.
Jason Clark: Il lavoro della sicurezza è molto duro. Molti hanno scritto che è uno dei lavori più difficili a livello C, se non il più difficile dopo quello di CEO, a causa della grande complessità che lo circonda. Ma, guardando tutto questo, come fai a stare al passo? Come responsabile di tutte New tecnologie e di tutta l'architettura per una grande azienda, come riesci a stare al passo con tutto?
Rehman Khan: Penso che sia un'ottima domanda. Ed è una lotta. Penso che, per me... Come ho detto, mi concentro in particolare su un paio di ambiti. E poi, l'idea è che, attraverso l'interazione con i nostri pari, si rimane aggiornati. Ovviamente leggo molto, quindi leggo sempre articoli di ogni genere.
Jason Clark: Ne hai uno preferito?
Rehman Khan: Direi di no. Penso solo che ci sia... Il tradizionale [Bruce Dyer 00:17:04] e quel tipo di-
Jason Clark: Sì, sì. Dark Reading, CSO Online e-
Rehman Khan: Sì.
Jason Clark: Non c'è niente di New di sorprendente... Non esiste una versione del Wall Street Journal e New York Times sulla sicurezza informatica.
Rehman Khan: Sì, no. Si tratta in realtà di raccogliere informazioni da fonti molto diverse. E uno dei momenti che faccio con i miei studenti è quello in cui parlo delle notizie del giorno, dal punto di vista della sicurezza informatica. E sarò molto onesto. Voglio dire, è probabilmente il posto in cui vado, quasi ogni giorno, e raccolgo queste informazioni, e poi parlano davvero delle ragioni, del perché le cose stanno accadendo in un certo modo e di cosa si può fare per gestire il rischio. Oltre a questo, leggo soprattutto libri sull'intelligenza artificiale. Leggo alcuni report, come quelli dei Gartner e così via. Ma sì, è un po' [inudibile 00:18:18].
Jason Clark: Va bene. Quindi hai appena parlato di intelligenza artificiale. Parliamone. Ne hai letto parecchio e, ovviamente, è chiaramente un tuo interesse. Raccontaci di più sull'impatto che tutto questo ha su di te, dal punto di vista della sicurezza informatica.
Rehman Khan: Penso che, come hai detto, la complessità del nostro ambiente, che continua a diventare sempre più complessa, ci porti a trovare un modo per ampliare la sicurezza informatica. E, nel nostro modello attuale, i nostri modelli attuali semplicemente non sono in grado di adattarsi alla quantità di informazioni che vengono generate. E credo che il burnout che potremmo creare nelle organizzazioni di sicurezza sia dovuto al fatto che i professionisti della sicurezza si concentrano sui problemi giusti. Stanno lavorando sul ragionamento o sulla reazione? Quindi, penso che l'intelligenza artificiale possa entrare in gioco quando, iniziando a considerare il nostro ambito ristretto di sicurezza, la sicurezza informatica, possiamo concentrarci su determinati compiti specifici e iniziare ad automatizzare e guidare le decisioni su tali compiti specifici. Ad esempio, esistono modi per classificare gli eventi che si verificano. Abbiamo bisogno di un analista che osservi questi eventi tutto il giorno? Perché non possiamo usare l'apprendimento automatico per catalogare effettivamente gli eventi, usare effettivamente un certo livello di intento e abbinarlo al risultato, e osservare effettivamente il risultato e vedere se questo era l'intento che avevamo usando l'apprendimento automatico.
Rehman Khan: Quindi, penso che l'apprendimento automatico possa aiutarci da questo punto di vista, dove possiamo iniziare a spostare parte del carico di lavoro su algoritmi di intelligenza artificiale mirati che possono filtrare e valutare determinati punti decisionali.
Jason Clark: Ne hai visti molti... Chi è il migliore in questo, come architetto? Chi hai visto fare un ottimo lavoro in questo senso, dal punto di vista del fornitore?
Rehman Khan: Dal punto di vista del fornitore? Direi che non lo so. Non lo so. Non ho ancora trovato un venditore che possa... Penso che ci siano certi aspetti. Dietro le quinte si celano alcuni algoritmi. Ma, allo scoperto, almeno non vedo un venditore che ha completamente [inudibile 00:20:57]
Jason Clark: Okay. Anche solo un po', c'è mai stato qualcuno a cui hai pensato: "Ok, sono sulla strada giusta. Quello che stanno facendo è interessante." Startup o grande azienda, non importa.
Rehman Khan: Sì. Direi che ci sono realtà come CrowdStrike e ovviamente anche Palo Alto. C'è un po' di questo che succede lì. Penso che siano in corso molte ricerche. Ma non vedo necessariamente una versione prodotta di... C'è deepwatch. Ci sono aziende che ci stanno provando, ma non vedo ancora necessariamente un vincitore.
Jason Clark: Va bene. Quindi non sei ispirato. A questo punto non hai più ispirazione. Dal punto di vista tecnico, cosa ti entusiasma di più?
Rehman Khan: Complessità, problemi difficili, immagino. Voglio dire, mi piace risolvere i problemi.
Jason Clark: Va bene. Quindi, prendiamo in considerazione il cloud. Per quanto riguarda la sicurezza nel cloud, come diresti che sta cambiando il panorama della sicurezza? Voglio dire, l'adozione del cloud nella vostra organizzazione, ad esempio, in che modo sta cambiando il modo in cui la sicurezza viene eseguita e funziona, per tutto, per il CSO?
Rehman Khan: Sì. Penso che il cloud pubblico, in realtà, lo consideri quasi una salvezza per noi, perché... Ci sono due aspetti di questo, due prospettive che ho. Uno è che il cloud pubblico ci offre la scalabilità che abbiamo sempre desiderato. Posso sfruttare questa portata per potenziare i miei servizi di sicurezza. E a proposito, questi servizi di sicurezza non devono essere necessariamente un prodotto che acquisto da un fornitore o da un acquirente. Potrebbe essere il nostro prodotto di sicurezza. Ma ora non devo più sostenere questa infrastruttura e queste capacità. Posso effettivamente sfruttare il cloud pubblico per rafforzare le mie capacità di sicurezza. E penso che sia qui che alcuni aspetti della scienza dei dati saranno più scalabili per le organizzazioni che si concentrano sull'intelligenza artificiale e che costruiscono il proprio universo, se vogliamo, da una prospettiva di rilevamento e prevenzione.
Rehman Khan: Penso che il secondo aspetto del cloud pubblico a cui trovo difficile rispondere direttamente alla tua domanda è che, ripeto, non abbiamo professionisti della sicurezza o, se vogliamo, non ce ne sono abbastanza con l'esperienza del cloud pubblico. La sfida diventa quindi quella di avere persone che sviluppino soluzioni o addirittura valutino soluzioni e applicazioni cloud in fase di migrazione. Quindi dobbiamo poter contare su persone qualificate. Dobbiamo essere in grado di comprendere la mentalità, che rappresenta in gran parte il livello logico dell'architettura. Non abbiamo più a che fare con dispositivi fisici o firewall, elettrodomestici. Stiamo parlando di software. Abbiamo a che fare con il codice. E come si fa a prendere un'organizzazione, un'organizzazione di sicurezza, che si è concentrata principalmente su un approccio di tipo valutazione del rischio, o su un approccio più reattivo di valutazione del rischio, e che allo stesso tempo sfrutta realmente prodotti di sicurezza già pronti e li implementa. Quindi, devi essere in grado di cambiare la situazione.
Rehman Khan: Secondo la mia esperienza, ciò che serve è un team di persone che abbiano una buona padronanza della programmazione. Hanno una buona padronanza della programmazione dei sistemi distribuiti. E riunisci quel team nell'organizzazione della sicurezza. E penso che questo possa davvero fare molta strada. Esistono altri meccanismi di distribuzione, come [inudibile 00:25:17] che potresti creare tramite automazione. È possibile creare elementi quali Policy come codice. Tutti questi aspetti sono in un certo senso dei sottoprodotti. Ma secondo me è necessario, secondo me sono le persone. Penso che bisogna iniziare con la squadra giusta.
Jason Clark: Mi piace molto il modo in cui hai detto che il cloud è una sorta di salvezza per la sicurezza, e sono d'accordo al 100%. In effetti, dico io, è il reset perfetto. È come un reboot. Si tratta di una New opportunità di ottenere una leva finanziaria che non abbiamo mai avuto prima. Il cloud è estremamente utile per noi, se lo utilizziamo correttamente.
Rehman Khan: Ovviamente sei a Netskope, intendo dire, lo vedi, giusto? Stai osservando l'utilizzo del cloud e come la tua organizzazione è in grado di crescere. Ritengo che per le aziende sia un'opportunità, e credo che sia un'opportunità unica, quella di poter prendere le proprie applicazioni attuali e implementarle, progettarle e riprogettarle in modo che possano sfruttare la scalabilità del cloud pubblico, ma che siano anche sicure. Penso che sia un'opportunità unica, perché se non lo facciamo correttamente, credo che finiremo nella stessa situazione. Ora avremo solo più codice e potremmo non avere una struttura attorno ad esso. Quindi, penso che dovresti pensarla in questo modo.
Jason Clark: Quindi, ripensando alla tua carriera, quale considereresti una delle migliori decisioni che tu abbia mai preso e perché?
Rehman Khan: Beh, ci sono state un paio di occasioni, ma la prima cosa che dirò è che in realtà, quando ero al college, ho iniziato il mio percorso nel campo dell'ingegneria elettrica. E mentre frequentavo i corsi di ingegneria elettrica, ho iniziato a pensare: "Wow, vengono utilizzati dei software, dei software di disegno e questo e quello". E io guardo questo e dico: "Ok, allora perché non mi concentro sull'informatica? Dove voglio arrivare con questo?" E direi che è stata la decisione migliore che abbia mai preso. Ho lasciato l'ingegneria elettrica. In realtà ero a metà strada e sono passato all'informatica, perché sono sempre stato affascinato dai computer.
Rehman Khan: E la cosa interessante è che devo condividere questa storia con voi. In realtà ho iniziato la mia carriera nella programmazione embedded. Quindi, in pratica ho lavorato a Minneapolis. Ho lavorato per un'azienda di dispositivi medici. Ci occupavamo di pompe per infusione, che sostanzialmente somministravano insulina o farmaci antidolorifici. E lì ho iniziato la mia carriera scrivendo un'interfaccia per le pompe per infusione. Quindi, in pratica, si metterebbe la pompa del paziente in modalità di controllo, in modo che il medico possa interagire con la pompa e riprogrammarla in base ai sintomi. Quindi tu [inudibile 00:28:16]
Jason Clark: Quante righe di codice è una di quelle?
Rehman Khan: Oddio, non me lo ricordo nemmeno. Voglio dire, si tratta di centinaia di righe di codice e, a quei tempi, si trattava solo di comunicazione seriale e poi di un vero e proprio processo di connettività. Ma in ogni caso, ho iniziato nel mondo dei sistemi embedded. In realtà ho dovuto scrivere un protocollo, perché era necessario assicurarsi che questa connettività fosse sicura e affidabile, perché non si voleva che il paziente provasse dolore e che tuttavia la connettività si interrompesse e non fosse possibile riprogrammare la sua pompa. Così ho iniziato da lì e, mentre facevo questo e osservavo il software, ho iniziato a considerare la potenza del software e ho pensato: "Wow, è fantastico. Voglio dire, è qui che..." Quindi penso che quello sia stato un punto di svolta, quando ho iniziato a studiare per la laurea, sono passato all'informatica e poi ho continuato ad andare avanti. E poi, direi che il passaggio da lì, il secondo punto, scusate, è il passaggio da quello alle applicazioni aziendali. Questo è stato più o meno il secondo.
Jason Clark: Dove è successo?
Rehman Khan: È successo quando ho lasciato i sistemi embedded. In realtà sono andato alla Carlson Companies. Ho iniziato lì come sviluppatore di applicazioni e ho trascorso del tempo lì a sviluppare applicazioni, poi ho iniziato a vedere opportunità. Si concentrava principalmente sulle applicazioni J2EE e iniziava a vedere opportunità dal punto di vista della sicurezza. Cavolo, voglio dire, dobbiamo scrivere codice in modo più sicuro. Dobbiamo pensare all'accesso degli utenti. Dobbiamo riflettere su come funziona la gestione dei certificati. Voglio dire, tutti quegli aspetti hanno iniziato a diventare realtà. Quindi sì, quelli erano in un certo senso i miei...
Jason Clark: Andiamo avanti velocemente, andiamo avanti di cinque o dieci anni.
Relatore 6: Futuro. Il tuo futuro.
Oratore 7: Futuro. Futuro. Futuro.
Jason Clark: Secondo te, in cosa ora la gente desidererebbe investire? In cosa dovrebbero investire, in termini di architettura, strategia, tecnologie e prospettiva? Quali saranno alcuni dei cambiamenti più significativi che pensi... Usa la tua organizzazione o qualsiasi altra organizzazione, quello sì che sarà visibile.
Rehman Khan: Penso che siano un paio di cose. Sento che le persone. Penso che scegliere davvero i membri giusti del team e prendere queste decisioni ora darà i suoi frutti. Penso che siamo tutti in difficoltà in questo ambito, ovvero che non abbiamo abbastanza talento. E dobbiamo essere in grado di investire nei talenti. Quindi penso che, in parte, guardando indietro, secondo me, avremmo dovuto investire ancora di più nelle nostre persone, nel settore della sicurezza informatica, se vogliamo. Penso che ci siano ancora molte più opportunità, e credo che la gente guarderà indietro e dirà: "Avremmo dovuto cercare persone con una formazione più approfondita in informatica, o magari farle acquisire quella formazione".
Rehman Khan: Penso che la seconda cosa che direi è che sarà il design, il design della sicurezza. Come ho detto, è fondamentale concentrarsi sulla progettazione della sicurezza e assicurarsi che il nostro approccio alla sicurezza non si limiti a un mucchio di strumenti, ma che facciamo un passo indietro e integriamo la sicurezza nell'organizzazione nel suo complesso, nel processo. Penso che queste siano un paio di cose che, quando le organizzazioni guarderanno indietro, penseranno di aver perso quelle opportunità. E penso che sia per questo che in questo momento c'è una grande ricerca di talenti. Tutte le organizzazioni tecnologiche tendono a coinvolgere più persone nel settore della sicurezza informatica perché ne riconoscono il valore.
Jason Clark: Ecco l'ultimo segmento, un po' personale.
Oratore 8: Presto, presto, presto.
Oratore 9: Vai. Bisogna muoversi velocemente.
Speaker 10: Voglio andare veloce.
Jason Clark: Conosci ogni ambito della sicurezza. Hai ricoperto il ruolo di responsabile dell'architettura per molte importanti aziende Fortune, un paio di centinaia. Quando vorresti diventare un CSO? Vorresti mai diventare un CISO? Oppure guardi il lavoro e dici: "Sì, no".
Rehman Khan: Penso che ne abbiamo parlato, giusto? Penso che stiamo dicendo che si tratta di un ruolo strategico, ma non so se ci siamo già arrivati. Penso che sia ancora un ruolo considerato di natura operativa, del tipo: "Ehi, proteggiamo i nostri beni e facciamolo in fretta". E sì, arriverà il momento in cui potrei provarci. Ma per me c'è così tanto lavoro da fare, Jason. C'è ancora così tanto lavoro da fare dal punto di vista della progettazione e, in realtà, dell'ideazione delle giuste soluzioni di sicurezza, che sento che è lì che dovrei dare il mio contributo. E penso che sia lì che voglio poter influenzare l'organizzazione.
Jason Clark: Mi piace. Un giorno accetterai quel lavoro, ne sono sicuro. Ne parleremo nei prossimi 10 anni. Penso che ci sarai anche tu. Quindi, se non ti occupassi di sicurezza, cosa faresti se la sicurezza non esistesse?
Rehman Khan: Vorrei fare lo chef da qualche parte.
Jason Clark: Mi piace. Che tipo di cibo?
Rehman Khan: Beh, quindi si tratta principalmente di cibo indo-pakistano. Questo è il mio background. Ma a me piace fondere. Adoro la fusione. Quindi.
Jason Clark: Quindi cosa vorresti fondere con questo? Quindi, se prendessi del cibo indo-pakistano, con cosa lo combineresti?
Rehman Khan: Beh, ti faccio un esempio. Gli americani adorano la bistecca. Quindi, il modo in cui preparo la mia bistecca, e ovviamente voglio vantarmene, è che alle mie figlie piace tantissimo la bistecca che ho preparato. Pensano che sia il migliore al mondo. Ma io uso spezie pakistane. Ci sono alcuni problemi che non riesco a gestire. È tutta una mia personale miscela di spezie. E voglio essere in grado di creare quella bistecca americana, ma con un tocco pakistano.
Jason Clark: Sì. Sì. Lo adoro. È incredibile. Dovremo uscire insieme qualche volta.
Rehman Khan: Sì.
Jason Clark: Sì, in questa confusione. Quindi, cos'è un'abilità, o puoi fare entrambe le cose, un'abilità o un hobby, che non sono presenti nel tuo curriculum? Quindi, vuoi concentrarti su un hobby che hai e che la maggior parte delle persone non conosce, oppure su un'abilità? Cos'è qualcosa che la gente potrebbe cucinare?
Rehman Khan: Beh, intendo dire che cucinare è una di queste. Ma per me cucinare è anche un hobby spirituale. In molti modi, mi aiuta davvero a rilassarmi. In realtà è piuttosto carino. Direi che facevo remix di musica, ed era come la musica house. Mi piace tantissimo. E adoro la musica in generale, ma sì, penso che remixare la musica da qualche parte, io davvero-
Jason Clark: Lo adoro. E anche questo lo unisci.
Rehman Khan: Sì.
Jason Clark: Sono sicuro che usi un po' di fusion nella musica. Assolutamente. Ricordo giorni in cui passavo cinque o sei ore a scaricare musica e a cercare di [CatGrab 00:36:29] catturare ogni piccolo MP3 possibile di qualsiasi canzone. Quindi sì, questa è una buona risposta. Quindi, ultima domanda: qual è il consiglio più importante che daresti a qualcuno che vorrebbe aspirare a ricoprire il tuo ruolo? Cosa diresti loro di fare?
Rehman Khan: Direi che se sei un leader, penso che tu voglia dare potere alle persone che ti circondano e avere sotto la tua guida il miglior team possibile, il miglior team che puoi mettere insieme, il team con cui puoi creare fiducia. Penso che questa sia la misura del successo. E se riusciamo a costruire questo insieme alle persone che ci circondano, penso che i problemi diventino molto più facili da risolvere. Non riesco nemmeno a stressarmi.
Jason Clark: Sì. E ogni genere di persone. Penso che si possa facilmente affermare che, in fin dei conti, la cosa più importante che si possa fare è in assoluto la persona. E soprattutto nel tuo ruolo di responsabile dell'architettura, il tuo compito è ispirare le persone. Serve a motivarli. Poiché hai un team piccolo, ma devi avere, non so nemmeno quanti dipendenti tecnologici ci siano nella tua organizzazione, ma sono sicuro che siano 5.000, 10.000 persone, devi motivarli tutti a fare qualcosa per te, per la sicurezza. E per riuscirci davvero non è necessario ricorrere alla politica. È attraverso l'ispirazione. Si tratta di motivarli a volerlo, a prendersi cura. E quello che stai dicendo è che il tuo team, i tuoi collaboratori diretti, devono fare la stessa cosa. Devono ispirare il resto dell'organizzazione a interessarsene.
Rehman Khan: Sì, no, intendo dire che, come leader, porta molta fiducia nell'organizzazione. E vuoi anche che siano in grado di commettere errori, lasciando che provino qualcosa. E penso che tu debba sostenerli. E penso che questo sia molto importante. Se qualcuno vuole guidare un team di architetti e ingegneri, deve fare affidamento sulle loro competenze. Devi ascoltarli.
Jason Clark: Per oggi abbiamo solo questo tempo. Ma se qualcuno incontra Rehman e vuole contattarlo, può trovarlo su LinkedIn. È una persona fantastica, gli piace parlare di tutto, in particolare di architettura della sicurezza, dei cambiamenti che ci attendono, di qualsiasi cosa. Se mai lo incontraste, chiedetegli quali spezie usa per la sua bistecca. Lo farò sicuramente.
Rehman Khan: Sì, è una ricetta segreta. Le mie figlie lo proteggono come se non ci credessi. E loro dicono: "Questa è la ricetta segreta di papà". E io dico: "Bene, questa è una piccola ricetta. Sto solo facendo tutto ma-"
Jason Clark: Vogliono creare un ristorante. Vogliono creare un ristorante.
Rehman Khan: Sì.
Jason Clark: Ma no, è stato fantastico. Grazie mille per il tempo che ci hai dedicato e per aver condiviso la tua vita personale, i tuoi amori e tanto altro sulla sicurezza informatica. Quindi tutto ciò che vogliamo fare è aiutare questo settore a migliorare e, come hai detto, si tratta di... Penso che l'abbia detto circa 50 volte in questa conversazione: tutto ruota attorno alle persone, e questa è la chiave, ed è quello che stiamo cercando di fare qui: aiutare le persone. Grazie mille.
Rehman Khan: Sì. Grazie. Grazie mille, Jason, per l'opportunità.
Jason Clark: Fantastico.
Pubblicità: Il podcast Security Visionaries è realizzato dal team di Netskope. Cerchi la piattaforma di sicurezza cloud giusta per supportare il tuo percorso di trasformazione digitale? Netskope Security Cloud ti aiuta a connettere in modo sicuro e veloce gli utenti direttamente a Internet, da qualsiasi dispositivo a qualsiasi applicazione. Scopri di più su Netskope.com.
Produttore: Grazie per aver ascoltato Security Visionaries. Prendetevi un momento per valutare e recensire lo spettacolo e condividetelo con qualcuno che conoscete e che potrebbe apprezzarlo. Restate sintonizzati per gli episodi che usciranno ogni due settimane e ci vediamo al prossimo.
){kind=icon}
