[00:00:00] Erick Rudiak: Penso che ciò che mi piacerebbe che la gente pensasse di questa serie è lo spirito di cameratismo e lo spirito di comunità che sono sempre stati presenti, nonché la sicurezza informatica. E penso che una delle cose davvero interessanti di questa serie sia che crea una versione concentrata e digeribile di esperienze magiche e davvero arricchenti, in cui le persone sono appassionate del loro argomento. Solo per stare insieme e parlare. E non si tratta tanto di azzeccare le previsioni, quanto di avere una conversazione.
[00:00:34] Produttore: Ciao e benvenuti a Security Visionaries, ospitato da Jason Clark, responsabile della sicurezza e responsabile della strategia presso Netskope. Avete appena ascoltato il nostro primo ospite, Erick Rudiak, vicepresidente senior e direttore tecnico di Northwestern Mutual. In questa puntata, sentirete professionisti di fama mondiale e leader di pensiero come Erick spiegare come si mantengono al passo con i tempi e come gestiscono la sicurezza del cloud e della rete per dare il via alle cose. Stai per ascoltare la prima metà di una discussione in due parti sui principi del trasferimento di sicurezza. Questa discussione e il podcast Security Visionaries fanno parte di un manuale di trasformazione della sicurezza, una serie di New risorse di Netskope e di alcuni dei leader più lungimiranti del settore che esaminano le questioni più importanti della sicurezza odierna. Prima di addentrarci nell'argomento, ecco una breve panoramica. Dal nostro sponsor,
[00:01:24] Sponsor: Il podcast Security Visionaries è realizzato dal team di Netskope. Netskope è il leader SASE. Offriamo tutto il necessario per fornire un'esperienza utente veloce, incentrata sui dati e basata sul cloud, alla velocità del business odierno. Per saperne di più, visita Netskope.
[00:01:42] Produttore: Senza ulteriori indugi, passiamo al primo episodio di Security Visionaries con il vostro presentatore Jason Clark.
[00:01:49] Jason Clark: Benvenuti a Security Visionaries. Sono il vostro ospite, Jason Clark, CSO di Netskope, oggi. Sono in compagnia del mio ospite davvero speciale, Erick Rudiak. Ok, come stai?
[00:01:57] Erick Rudiak: Sto benissimo. È bello rivederti. È bello risentirti, parliamo di sicurezza. Uh, mi piace un sacco. Grazie mille per l'opportunità.
[00:02:06] Jason Clark: Sì, ne abbiamo parlato per un bel po', e ora ne parleremo. Giusto. Ed è bello, uh, è bello vedere che tutto questo si realizza. Quindi ne parleremo con gli ascoltatori, ma sono loro a cominciare. Cosa, ehm, ti ricordi come ci siamo incontrati la prima volta?
[00:02:21] Erick Rudiak: Penso che il nostro primo incontro sia avvenuto nel modo in cui vengono presentate la maggior parte delle organizzazioni della società civile, ovvero quando si trasferiscono in una New città. Ottengono un New lavoro come CSO e Jason Clark lo chiama e gli dice: benvenuto a St. Louis. Ehm, andiamo a cena. Parliamo di lavoro e no, me lo ricordo distintamente. Penso che tu sia stata letteralmente la prima persona a non avermi intervistato per Express Scripts. Per darmi il benvenuto in città. E poi, tipo, ne sarò sempre grato. E sei stato molto accogliente,
[00:02:50] Jason Clark: Penso che, uh, abbiamo preso del sushi. Era sushi, vero?
[00:02:52] Erick Rudiak: Probabilmente hai offerto una bistecca e io ti ho reindirizzato, ho risposto con il sushi. Ehm, e questo posso dire che è iniziata una lunga tradizione di disaccordi tra me e te.
[00:03:03] Jason Clark: Concordare sul fatto di non essere d'accordo su molti argomenti. Ehm, e probabilmente era, che anno era
[00:03:09] Erick Rudiak: Ci siamo incontrati all'inizio del 2011.
[00:03:11] Jason Clark: Wow. È pazzesco.
[00:03:14] Quindi raccontami, raccontaci un po' del tuo viaggio, giusto? Cosa ti ha portato al ruolo di CTO che ricopri ora? E, sai, un po' di informazioni a riguardo.
[00:03:24] Erick Rudiak: Voglio dire, quando penso ai miei, ehm, certamente ai miei percorsi nel settore dei rischi informatici, ho avuto diverse occasioni nella mia carriera in cui sono stato fortunato a trovarmi nel posto giusto al momento giusto e a stringere le giuste amicizie. E così il mio viaggio nel mondo dell'informazione e del rischio è iniziato nell'estate del 1997. Lavoravo alla Hewitt Associates e avevamo deciso che non avremmo dovuto lasciarci superare dalla concorrenza e che avremmo dovuto mettere il nostro piano 401k self-service su Internet. E questo era il periodo in cui stavamo creando tecnologie Internet dal nulla. Quindi, sapete, il middleware Java era ancora una tecnologia nascente ed emergente. Ehm, mi ricordo. Facendo test sulle prestazioni e rendendoci conto il giorno del lancio di ciò di cui avevamo bisogno, degli acceleratori SSL e, uh, facendo in modo che Rainbow Technologies ci spedisse un paio di box crittografici ad alta velocità che generavano numeri casuali molto velocemente. Perché, sapete, stavamo solo chiedendo P e P prime e Q e Q prime senza sosta al lancio. Ma alla fine di quel fantastico progetto, che ha dato il via a numerose carriere, tra cui l'attuale CIO di CVS, facevo parte di quel team di progetto. E il CTO di Hewitt mi ha contattato e mi ha detto: guarda, ehm, questo è stato un punto di svolta fino a quell'estate del 1997, quando Internet era considerato pericoloso a qualsiasi velocità, soprattutto per un'azienda come Hewitt, che protegge le informazioni personali identificabili di milioni di persone. E passò dall'essere pericoloso a qualsiasi velocità a... Non essere connessi a Internet. E così sono stato inserito in una posizione che mi ha portato fuori da quel team di sviluppo che ha creato un'applicazione Internet e a occuparmi a tempo pieno di sicurezza Internet. Così ho proseguito la mia carriera presso Hewitt, diventando infine responsabile della sicurezza informatica. E poi nel 2011 arrivarono gli Express Script. Abbiamo integrato Express Scripts in un'azienda Fortune 25. È stato davvero emozionante ed è stato fantastico che fossimo in missione, come Express Scripts, a gestire il terzo. Le nazioni hanno prescritto farmaci, il traffico, ehm, elettronicamente, ehm, i dettagli sulle prescrizioni, ehm, i pagamenti, i costi, i rimborsi, e noi eravamo un'azienda che ha fatto soldi quando abbiamo reso l'assistenza sanitaria più sicura e più accessibile per i nostri clienti. Ehm, ma alla fine l'intero Paese, grazie al modo in cui lo governiamo. E così, dopo nove anni di copioni espressi, siamo stati acquisiti da Cigna e ho avuto l'opportunità di riflettere seriamente. Cosa avrei fatto nella mia carriera. E quindi è stato, uh, è stato davvero emozionante, uh, sia prendermi una pausa, sia fare un passo indietro e pensare alla mia carriera in un modo che fosse in un certo senso libero dai progetti attuali, dalla situazione attuale del team attuale. E ho pensato di continuare una carriera nel settore informatico rischiosa, ma ho anche pensato di fare qualcosa di radicalmente diverso, in cui la mia esperienza nella sicurezza informatica avrebbe portato dei benefici. Un collaboratore più completo e interessante in un ruolo diverso. E così ho avuto la fortuna di fare un colloquio con la Northwestern Mutual e di essere scelto come direttore tecnico. Ed è quello che ho fatto negli ultimi due anni.
[00:06:36] Jason Clark: Allora Erick, sai, mi piace parlare con persone come te che erano CSO e poi hanno assunto un altro ruolo. Giusto. Ehm, che si tratti di un ruolo da CIO o da CTO, o anche, sai, buttarsi nel lato commerciale, ehm, sai, un po' come, ovviamente, sai, la cosa folle. È diventato responsabile marketing e strategia del CISO. Giusto. Questa non è la strada più battuta, ma cosa faresti diversamente ora che ricopri il ruolo di CTO? E se ti venisse nuovamente assegnato il ruolo di CSO, cosa, cosa avresti imparato che ti farebbe fare le cose in modo diverso?
[00:07:12] Erick Rudiak: Certamente una delle cose che avevo quando ero. Il rapporto con il nostro CTO è stato ottimo. È sempre stata una partnership. È sempre stato un modello di squadra e sogno. Allo stesso tempo, il livello di empatia che provavo per i nostri sviluppatori è aumentato di 10 volte durante il mio periodo alla Northwestern Mutual e ho avuto l'opportunità di vivere ogni giorno la vita dei nostri sviluppatori, anziché lavorare periodicamente con i nostri team di ingegneria del software. E quindi, in un certo senso, sai, comprendere in modo molto più profondo e personale. Quali sono le sfide per i nostri team di sviluppo, capire in modo molto più diretto come operano in modo agile, quali sono gli strumenti a loro disposizione, il, sapete, il. Le pipeline CI CD che utilizzano, i programmi di consegna e le richieste che vengono loro poste. E anche l'opportunità di lavorare con un CSO diverso con punti di vista diversi è stata un dono per me, l'opportunità di lavorare con Laura Diener, che è entrata a far parte della Northwestern Mutual, e di imparare da lei. E osservare il modo in cui pensa al rischio. Ehm, è una delle persone con cui preferisco parlare perché in un certo senso condividiamo questa eredità e tuttavia quella diversità di pensiero e i diversi approcci che Laura e io abbiamo utilizzato, ehm, hanno decisamente arricchito il mio punto di vista. E quindi se mai avessi l'opportunità di essere un CIS, quindi, ancora una volta, ehm, prendo le cose che ho imparato costruendo relazioni, con ingegneri del software, con tester, con i nostri team QA, con i nostri coach agili, così come vedere come un altro CSO opera giorno dopo giorno e persegue e riduce i tipi di rischi che ero solito perseguire e ridurre, ehm, come se ciò mi avesse arricchito sotto tutti gli aspetti. Fantastico.
[00:09:06] Jason Clark: Sembra di sì. Sembra che dovrei incontrarla subito. Anche. Adoro, adoro parlare e lavorare con brillanti organizzazioni della società civile che hanno tutte opinioni diverse. Ed è così che, ovviamente alla fine, questo è tutto ciò che è, ciò che è sorprendente di questo settore è che tutti impariamo gli uni dagli altri. A destra. E abbiamo un nemico comune e, uh, e quindi, sai, alla fine siamo, giusto. Siamo qui solo per aiutarci a vicenda. Quindi, quando ne parliamo, e questo è un argomento importante della conversazione odierna, tu ed io ci siamo uniti su un progetto, che abbiamo chiamato sicurezza 2025, due anni fa. E ora siamo arrivati al punto in cui, sapete, c'è un, è, è in un certo senso permeato in questo podcast, che chiamiamo Security Visionaries, e poi un libro chiamato Security Transformation Playbook. E, sai, ancora una volta, ci sono voluti due anni di lavoro, credo dalle 30 alle 50 cene a tavola rotonda in giro per il mondo e un sacco di cene a base di bistecche e sushi, Erick, sai, e ho cercato di intervistare le persone e, e sondaggi e, solo, solo un sacco di pensieri, giusto? Cosa ti ha spinto a partecipare?
[00:10:04] Erick Rudiak: Prima di tutto, è stata l'opportunità di dare qualcosa alla comunità che mi ha dato così tanto nel corso degli anni. Come se avessi trascorso più di un decennio come CISO, il minimo che potessi fare era scrivere alcune cose e partecipare a un progetto. In definitiva, nella sua forma più pura, l'obiettivo era migliorare il settore. E quindi l'opportunità di restituire l'opportunità di, sai, di dedicare tempo puro e dedicato a pensare alla sicurezza informatica e a come il nostro settore potrebbe migliorare e a far parte di questa trasformazione, agendo al servizio di questa confraternita e sorellanza di CISO di cui facciamo parte, è stata di gran lunga la cosa più attraente. Sai, ho anche visto che era un progetto che avrebbe avuto successo. Come ho visto in te, Jason, e nei materiali che, sai, che hai iniziato a mostrarmi lì nella primavera del 2019, questo sarebbe diventato una parte del manuale di ogni CISO, una parte della loro libreria, una specie di lettura obbligatoria, che ci avrebbe dato l'opportunità di catturare la storia del passato e le lezioni apprese e di trasformarle in una visione per il futuro. E il bello di trascorrere del tempo con altri CISO è che impariamo costantemente gli uni dagli altri. E se siamo fortunati, possiamo far parte di una comunità. Quindi, se siamo fortunati, possiamo far parte dei canali Slack, delle mailing list e dei fly-in, e la cosa che ricordo di aver apprezzato di quelle interazioni era l'opportunità di scaricare un sacco di informazioni tutte in una volta quando mi incontravo con le organizzazioni della società civile, che si trattasse di cene sponsorizzate o di altre comunità di cui facevo parte. E quindi poter contribuire a questo, ehm, in, sai, in volume maggiore è stato estremamente allettante. Ehm, e quindi, sì, ero davvero emozionato di iscrivermi al progetto.
[00:12:04] Jason Clark: Quindi, uh, è come se fosse iniziato. Giusto. Quello che ti ho detto è che la sicurezza è invertita, il mondo è capovolto, giusto? Oppure è la sicurezza, invertita, capovolta. Perché i nostri dati non si trovano più su una CPU di nostra proprietà. E le nostre app e i nostri utenti non sono più su una rete di nostra proprietà e sotto il nostro controllo. Giusto. E questo cambiò completamente le carte in tavola. Ehm, e in molti modi dà un vantaggio, giusto? A un cattivo e a uno svantaggio della sicurezza, a meno che non lo giriamo. A parte questo, cos'altro aggiungeresti a quello che era il nostro scopo originale?
[00:12:36] Erick Rudiak: Quando ci ripenso, penso a quell'inversione come a qualcosa di non ovvio, che ci ha dato l'opportunità di fare un passo avanti e, sai, di mettere davvero il ruolo del CSO in un contesto diverso da quello precedente. E quindi, come hai descritto come una sorta di inversione nel settore del silicio, anche per quanto riguarda il silicio si è verificata un'inversione. Ehm, sai, sulle forme di vita basate sul carbonio, gli esseri umani che stanno facendo questo lavoro. E quindi quest'altra inversione del CISO che, in molte aziende, passa dall'essere la coscienza dell'azienda, l'unica persona che si fa avanti e, sapete, che combatte la giusta battaglia e difende la sicurezza delle informazioni, la protezione dei dati, la difesa informatica, c'è anche un'inversione del ruolo del CISO dall'essere la coscienza dell'azienda a... Far parte del C-suite, essere inclusi nella stanza in cui tutto ciò accade, e quel ruolo, quella persona del CISO dovevano cambiare. E quindi questa opportunità di riflettere davvero, sapete, sull'inversione del ruolo del CISO da coscienza dell'azienda a sostenitore dell'azienda, che per caso era ben immerso nell'arte della difesa informatica, ha reso quel ruolo unico. E quella trasformazione è stata qualcosa che, sai, ho ritenuto assolutamente vitale non solo per la mia carriera, ma anche per i CISO con cui parliamo tutti nella comunità di St. Louis, e con cui abbiamo avuto l'opportunità di parlare attraverso le nostre altre comunità. Questa era una delle cose che accomunava quei CISO e l'opportunità di catturare tutto questo e in un certo senso unire l'inversione basata sul silicio e l'inversione basata sul carbonio che stava avvenendo, ehm, è stata davvero entusiasmante.
[00:14:24] Jason Clark: Sì. Penso che sia un ottimo modo di dirlo. E poi, sai, Erick, quando abbiamo iniziato, ci siamo detti: "Ok, dipingeremo questo futuro". Daremo questo manuale alle persone e daremo loro qualche consiglio. Giusto? Suggerimenti, coaching, come se fosse lo scopo di un manuale, giusto? Bisogna dire loro quali ostacoli incontreranno e fornire loro delle strategie per superarli. Ma direi che tutto, anche per noi, ha subito un'accelerazione: cose che pensavamo sarebbero accadute entro il 2025 hanno iniziato ad accadere molto prima. Giusto?
[00:14:52] Erick Rudiak: Lo ha fatto. Penso a, uh, nell'estate del 2019, tipo scrivendo, c'era un capitolo nel libro in cui scrivevamo che ci sono modi molto diversi per garantire l'accesso ai dati nel cloud. E come te e io abbiamo avuto la possibilità molto prima di collaborare a un progetto di prevenzione della perdita di dati che penso abbia avuto un discreto successo, ehm, in. Penso che entrambi abbiamo capito che la tradizionale prevenzione della perdita di dati non avrebbe funzionato quando la maggior parte dei dati era stata spostata da un data center, quel tipo di progettazione del traffico di rete a trombone e tornante che in un certo senso forzava tutto attraverso un piccolo numero di appliance, era semplicemente impossibile da scalare quando si verificava quell'inversione. E così ricordo di aver individuato dei punti in cui, ai fini del libro, avremmo potuto fare degli screenshot e illustrare questa idea: cambiare un ACL su un file in un servizio cloud era sia il primo passo verso una potenziale violazione dei dati in corso, sia qualcosa che i tradizionali dispositivi di sicurezza informatica non sarebbero stati in grado di rilevare. Come se fosse un caso di cambiamento nell'intero modo di pensare del settore. Protezione delle informazioni. E poi c'è stata una breccia, letteralmente, mentre stavamo scrivendo quei capitoli che seguivano esattamente lo stesso, uh, che seguivano esattamente lo stesso copione. Quindi, uh, è stato, uh, è stato sia umiliante che un promemoria del fatto che, uh, dovevamo finire il progetto prima che tutte le grandi idee sul futuro diventassero semplicemente pontificazioni sul presente.
[00:16:25] Jason Clark: Voglio dire, anche in, e questo è, sai, parte di ciò che, sai, fa sì che i team debbano creare alcuni perni. Giusto. Era tipo, ok, beh, in realtà sta succedendo tutto adesso. Sapete, Adjust ha affrontato la nostra strategia per il lancio di questo. Giusto. E, uh, ne parla in un modo un po' diverso e fornisce anche informazioni più rilevanti, come la pandemia. Giusto. Parliamo dell'impatto del lavoro da remoto, giusto? E alla fine, sai, SaaS e, sai, hai un capitolo sulle API, e penso che sia anche correlato, sai, al capitolo sul talento, giusto. E il ruolo mutevole del CISO, parlando di quel ruolo mutevole del CISO. Quindi ho appena fatto un. Io, in una di quelle che ho fatto un paio di anni fa, dove mi trovo, chiedo informazioni su alcune parti del budget, ehm, sulla sicurezza della rete, una parte del budget, e la maggior parte dei team di rete è proprietaria della parte del budget relativa alla sicurezza della rete. In genere il 75% era ancora di proprietà del team di networking, dei firewall, eccetera. E ho ripetuto il sondaggio ai responsabili della rete, ai direttori e ai superiori, ai responsabili della sicurezza e al 93%. Hanno affermato che nei prossimi anni entrambi i team, rete e sicurezza, convergeranno e diventeranno un unico team, perché la rete ormai è diventata Internet. Giusto. Ehm, questo è significativo. Non so se sai cosa ne pensi o cosa vedi in quello spazio, ma quel tipo di evidenza è che questo non sarebbe successo. Quando abbiamo iniziato a scrivere questo libro, la gente non avrebbe detto che queste cose si sarebbero unite.
[00:17:55] Erick Rudiak: Certo. E penso che uno degli aspetti più potenti dell'avere un libro del genere e un manuale di gioco sia che ci sono delle evoluzioni naturali. Nella sicurezza informatica. E penso a un altro argomento di cui abbiamo scritto e che, sapete, ho avuto modo di sperimentare personalmente: il modo in cui le aziende costruiscono i centri operativi di sicurezza. E c'è una sorta di progressione naturale da un livello di maturità pari a zero, in cui tutto è inesistente o improvvisato, ma col tempo, man mano che si cresce, si raggiunge quella maturità CMI, le aziende inizieranno a creare team e poi inizieranno a rendersi conto che è una cosa davvero importante. E loro usciranno e otterranno un servizio e poi inizieranno a gestirlo. E poi inizieranno a creare team esperti in determinati aspetti del rischio informatico, così vicini al nocciolo della questione che dovranno essere bravi a gestirli. E poi alla fine raggiungono un equilibrio, e questo equilibrio non è necessariamente lo stesso in ogni azienda, ma sai, questa idea di salire nella scala di maturità e man mano che si sale nella scala di maturità, diverse soluzioni hanno senso, come costruire contro acquistare diventa un'equazione diversa. L'equazione tra internalizzazione ed esternalizzazione diventa diversa. E quindi una delle cose su cui è interessante riflettere è quanto sia utile avere un piano. E in un certo senso ti guida attraverso, oh, ecco cosa succede quando si raggiunge il successivo punto di svolta nella maturità. Ehm, va bene essere al livello zero o al livello uno, se continui ad andare avanti, se continui a migliorare e avere quel piano di gioco ti aiuta ad anticipare il futuro. E questa è una parte davvero interessante del libro, secondo me. [00:19:36] Jason Clark: Sì. Voglio dire, parlando di questo, nella tua mente, chi immagini che siano le persone principali? Che stanno leggendo questo libro.
[00:19:46] Erick Rudiak: L'ideale sarebbe che lo facessero tutti, giusto? È il successo estivo che tutti hanno sulla propria libreria. Ehm, ma no, penso che se sei un CISO o un vice CISO o qualcuno che aspira a intraprendere la propria carriera in quella direzione, penso che ci sia molto materiale prezioso lì. Penso che una delle cose che mi è piaciuta di questo progetto sia... Abbiamo preso una posizione deliberata e ci siamo impegnati a fondo per far sì che il libro non trattasse solo di informazioni di sorveglianza della Marina e di addetti alla sicurezza. Nel libro ci sono un sacco di cose interessanti per gli appassionati di sicurezza informatica come te e me. Ma se sei un CFO, se sei un CIO, se sei un CTO e vuoi... Basta immergersi nel libro per un capitolo o due e capire un po' cosa passa per la testa del CISO, che ora è il tuo partner dall'altra parte del tavolo. Chi fa parte di quel team, di quell'approccio da sogno alla gestione della tecnologia della tua azienda? Penso che nel libro ci saranno molti aspetti interessanti. Per gli altri non addetti ai lavori nel campo della sicurezza informatica, si tratta di un piccolo strumento di decodificazione, come un piccolo spunto per capire, ecco cosa pensano i CISO. Questa è la storia del loro settore e il motivo per cui hanno acquisito alcune delle abitudini e delle convinzioni che hanno, e il tutto in un formato davvero accessibile e digeribile. Ehm, e quindi, sì, penso che tutti dovrebbero leggerlo.
[00:21:17] Jason Clark: Sì, sai, è divertente, ho appena pubblicato un libro per principianti, SASE Architecture for Dummies, ed è stato molto difficile, sai, il processo di creazione di un libro per principianti perché lo stai semplificando. Giusto. E quindi dici, oh, ma vorrei dire molto di più, ma è incredibile, come dici tu, per tutti, ehm, l'abbiamo pubblicato letteralmente qualche mese fa e ha già 3000 download. Giusto. Ehm, è davvero bello. Se penso a cosa è cambiato di più in termini di sicurezza quando abbiamo parlato di questa pandemia, so che il cambiamento è che i dati non si trovano più su una CPU di tua proprietà o sotto il tuo controllo. Giusto. Ed è qui che entrano in gioco entrambi, credo.
[00:22:03] Erick Rudiak: Ero solito essere quel tipo di persona che si presentava nelle sale riunioni o nei municipi e diceva che il nostro lavoro sulla Silicon era il modo in cui saremmo rimasti al sicuro. Ehm, e quell'epoca è finita così, è il passato. Tipo, non credo che, ehm, sai, se dovessi tornare ad essere un CSO, potrei fare la stessa affermazione. Il nostro lavoro al computer avrebbe messo a freno qualsiasi azienda in cui mi trovassi. Come se ci mettesse in una situazione di svantaggio competitivo.
[00:22:32] Jason Clark: Sì. Ciò che mi ha portato a St. Louis, giusto Erick, è stato il ruolo di CISO presso Emerson Electric e, sai, sono arrivato lì e, sai, c'erano 2000 sedi diverse, 140.000 dipendenti e 80 divisioni. E il primo progetto globale che ho avviato si chiamava comando e controllo. Giusto. Era una terminologia molto militare, ma era, noi prenderemo il comando e il controllo di ogni rete, di ogni dispositivo, di ogni applicazione che abbiamo.
[00:23:02] Erick Rudiak: Giusto. Non c'è più. Sì. E sapete, e mi davo una pacca sulla spalla, ero davvero orgoglioso che il nostro lavoro sul nostro Silicon includesse BYOD. Avevamo questa visione: il nostro lavoro sul silicio era compatibile con BYO D perché avevamo la tecnologia. Avevamo, uh, avevamo dei varchi, avevamo delle misure di sicurezza aggiuntive che ci permettevano di lavorare su noi stessi. Adottare il BYOD, ma questo avvenne anche in un momento precedente a questa inversione del perimetro di rete, in cui il nostro lavoro sul silicio aveva senso. Non lo fa più.
[00:23:38] Jason Clark: Quindi se dovessimo, sai, spostarci, andare avanti in un altro posto, tra cinque o dieci anni. Giusto? Secondo te, in cosa le organizzazioni della società civile desidererebbero investire adesso? Se potessero tornare indietro nel tempo, quando guardi nella tua sfera di cristallo, il futuro.
[00:23:53] Erick Rudiak: Oh. Voglio dire, la risposta più semplice è: le persone. Le persone giuste possono superare ogni sorta di ostacolo e carenza, che si tratti di tecnologia, budget o tempo. Io investirei sempre prima di tutto nelle nostre persone. Sai, la seconda cosa che prenderei in considerazione è l'orchestrazione. Ad esempio, quando ci penso, e c'è un capitolo nel libro in cui parliamo di, uh, tipo, uh, questa idea del passato, tipo, è grandioso. Perché c'è un RFC a riguardo che citiamo ed è un RFC, come quello delle convenzioni di denominazione dei server dei primi anni ottanta, giusto? Ad esempio, darai ai tuoi server il nome dei Muppet o dei personaggi o dei pianeti di Star Wars? Ehm, sai, quando ero alla Northwestern University, ehm, supportavo il dipartimento di geologia e tutti i server avevano nomi ispirati agli eroi della mitologia greca. Ehm, eppure è come se ci fosse stata una transizione. E quindi la cosa interessante è passare dall'avere una sorta di rapporto personale, basato sul nome di battesimo, con i propri computer, al fatto che i computer sono come mattoncini Lego con una disponibilità pressoché infinita e un'intercambiabilità e interconnettività pressoché infinite. Una delle prime cose che mi ha spaventato di quell'inversione quando ero CISO è stata: "Oh mio Dio, cosa succederà alla criminalistica digitale e alla risposta agli incidenti?" Ad esempio, come fanno i miei addetti al pronto intervento a fornirmi la cronaca dettagliata di un server la cui durata di vita prevista è di cinque ore o cinque minuti? Ed è stato pazzesco, sai, pensare, oh, questo richiederà. Non si trattava solo New tecnologie, non solo New, sapete, non solo New processi, ma di persone in grado di pensare in un modo completamente New . E quindi quando ci penso e quando penso a cosa, ehm, in cosa inizierei a investire oggi come CISO. Quindi penserei al tipo di orchestrazione guidata dalla macchina. Quando tutto è un mattoncino Lego e quando ci sono migliaia e migliaia e migliaia di mattoncini Lego e non sono solo server, ma sono microservizi, sono, sai, sono contenitori Docker, ehm, come tenere traccia di tutto questo e farlo in un modo che supporta la riproduzione degli incidenti, che supporta le indagini, ehm, questo mi consente di avere, sai, ehm, una base di fatti a portata di mano nel momento che conta di più, ovvero quando vengo portato nella sala riunioni e l'amministratore delegato, un membro del consiglio, il CIO, il CFO dice: Ehi CISO, dimmi cosa è successo. Ehm, tra 10 anni, quando, sai, quando tutto sarà un microservizio di breve durata o quando un numero sufficiente di cose saranno microservizi di breve durata, perché Kubernetes ha fatto girare qualcosa e ha fatto girare qualcosa basandosi, sai, su un traffico completamente dinamico. Ciò richiede un modo completamente diverso di pensare al modo in cui lavorano le nostre persone e al modo in cui la nostra tecnologia infrastrutturale si integra e informa la nostra tecnologia di sicurezza. E quindi, in questo modo, penso che investire nell'orchestrazione, ehm, sapete, i CISO farebbero molto bene a prenderla in considerazione e che l'orchestrazione deve avvenire ovunque. Deve avvenire in un data center, se ne hai ancora uno. E questo deve assolutamente avvenire nel cloud.
[00:27:22] Jason Clark: Sai, abbiamo parlato anche del principio fondamentale dell'orchestrazione automatizzata, giusto? Penso che per ogni tecnologia che acquistiamo il principio sia smettere di acquistare soluzioni black box, tutto deve essere aperto e integrato. Giusto.
[00:27:37] Erick Rudiak: Esatto. Sì. Sì. Abbiamo parlato del fatto che il tuo prodotto di sicurezza non ha un'API, ma tu ne eri a conoscenza. Ehm, non comprarlo. Sì. Bisogna stare molto attenti perché se non ha un'API, è probabile che ci sia qualche altro prodotto di sicurezza di cui si debba essere in grado di vedere dentro e fuori il suo stato e che sia cieco, e questa cecità, uh, diventa uno svantaggio quando si difendono i sistemi e si difendono i dati.
[00:28:00] Jason Clark: Sai, hai detto qualcosa che mi ha fatto riflettere, hai parlato di come utilizziamo i name server e, e, e, sai, avevamo un attaccamento personale, giusto? Come se costruissi un, costruiresti un sistema che ti rappresentasse. Lavoravo fino a mezzanotte solo per assicurarmi che quella rappresentazione di me fosse solida e, sai, non avessi mai, mai avuto problemi. Non siamo mai scesi. E, e uh, e poi ogni volta che dovevi dismettere quel sistema, per il quale avevi speso, sai, centinaia di ore investendo in un edificio, era un po' deprimente vedere qualcosa che avevi costruito dover andare. Giusto. Ehm, questo non vale per le app che esistono, ma non vale più per le infrastrutture.
[00:28:41] Erick Rudiak: Sì. Benvenuti nel futuro.
[00:28:41] Jason Clark: Sì. Quindi, sai, pensandoci bene, giusto? E ci incontreremo e, uh, un altro episodio con, uh, con un collega o due, e parleremo di tutti i principi fondamentali, giusto? I principi a cui devi attenerti, sai, se non fai nulla. Segui questi principi, giusto? E il primo principio, a proposito, è quello di mettere in discussione tutti i propri principi, giusto? Metti in discussione i tuoi principi attuali. Quindi sarà un divertente episodio di follow-up, Erick, che non vedo l'ora di vedere, ma hai qualche pensiero conclusivo sul nostro progetto che abbiamo portato avanti qui negli ultimi due anni per...
[00:29:24] Erick Rudiak: Penso che ciò che mi piacerebbe che le persone, sai, pensassero a questa serie, e che le persone tornassero a vedere questa serie e ascoltassero è lo spirito di cameratismo e lo spirito di comunità che è sempre stato presente e la sicurezza informatica. E credo che finora sia stato piuttosto difficile catturarlo. Ma, ehm, penso a tutte le cose che ho imparato dalle altre organizzazioni della società civile durante la cena. Nelle sessioni "birds like a feather", come nei corridoi delle conferenze. E penso che una delle cose davvero interessanti di questa serie sia che crea una versione concentrata e digeribile di esperienze magiche e davvero arricchenti, in cui persone appassionate del loro argomento si incontrano e parlano. E non si tratta tanto di azzeccare le previsioni, quanto di avviare una conversazione. E sono davvero emozionato di poter parlare con te, Jason.
[00:30:18] Jason Clark: Penso che sia una risposta brillante, brillante. È magico. E, sai, c'è, c'è tutto, sai, proprio come hai detto all'inizio, è una diversità di pensiero, ci sono centinaia di persone tra OSC e CIO che sono coinvolte nella realizzazione di questa ricerca, giusto. E della serie e del libro. Quindi, sapete, tutti loro ci hanno aiutato e abbiamo imparato molto da loro. Giusto. Ed è così che è iniziato tutto, quello di cui avevamo bisogno. Insieme e aiutandoci davvero a vicenda a trasformare le nostre organizzazioni, giusto? La nostra gente. E, cosa più importante, nel nostro stack tecnologico, questo ci darà di nuovo il nostro punto di leva, perché la sicurezza ha davvero perso la sua influenza, giusto? Il 90% della loro spesa è stata investita nel data center e nella rete, poiché i dati e gli utenti non sono sulla rete, e la rete viene allungata come un elastico. Giusto. E quindi, ehm, non c'è dubbio che tutti trarranno grandi tattiche, strategie e suggerimenti per il loro programma. Giusto. Ehm, la parte bella del libro e della serie. Non è che devi leggerlo dalla A alla Z. Dall'inizio alla fine è tutto tuo, puoi immergerti in qualsiasi sezione tu voglia perché hai a che fare con quella situazione. Giusto. Oppure è qualcosa che ti interessa in questo momento. Ed è così che abbiamo progettato appositamente questo, in modo che tu possa, puoi tuffarti proprio nel mezzo se vuoi. Giusto. E quindi, uh, spero che principalmente noi, quando tutti ne ricaviamo qualcosa, e che noi tutti insieme come comunità, giusto. Rendere il mondo un posto più sicuro. E. Aiutaci a far sì che i programmi di sicurezza professionale abbiano successo.
[00:31:56] Erick Rudiak: Amen. Sembra fantastico.
[00:31:56] Jason Clark: Quindi non è magico come ha detto Erick, ma è stato bello. Ehm, Erick, sei sempre stato negli ultimi 10 anni, un buon amico e un partner in questa ricerca e, ehm, sai, grazie mille per aver trovato il tempo qui e ci vediamo nel prossimo episodio.
[00:32:16] Erick Rudiak: È reciproco. Amico mio, non vedo l'ora di essere qui. Grazie per l'opportunità.
Sponsor: Il podcast Security Visionaries è guidato dal team di Netskope alla ricerca della piattaforma di sicurezza cloud giusta per rendere possibile il tuo percorso di trasformazione digitale. Il cloud di sicurezza Netskope ti aiuta a connettere gli utenti direttamente a internet in modo sicuro e rapido da qualsiasi dispositivo a qualsiasi applicazione. Scopri di più su Netskope.com.
[00:32:43] Produttore: Grazie per aver ascoltato Security Visionaries. Prenditi un momento per valutare e recensire lo show e condividerlo con qualcuno, sai, a cui potrebbe piacere. Restate sintonizzati per la seconda parte, in cui Jason ed Erick saranno accompagnati dai loro colleghi per una tavola rotonda, analizzando ciascuno dei 10 principi e come applicarli per guidare la trasformazione nella vostra organizzazione. La seconda parte è disponibile ora.
){kind=icon}
