Emily Wearmouth [00:00:01] Olá e bem-vindo a mais uma edição do Security Visionaries Podcast. Estimulação de áudio para qualquer pessoa dos setores cibernético, de dados ou relacionados. Estou substituindo hoje porque fui convidado para hospedar esta conversa para meu co-apresentador Max, que foi infectado por um vírus. E para maior clareza, não me refiro a malware e Max não é uma IA. Ele é um menino de verdade. E também ficar bom logo. Devo dizer que estou muito satisfeito por ter conseguido entrar neste assunto, porque hoje estamos retirando nossas bolas de cristal na tradição anual de fazer previsões para o próximo ano. E tenho dois convidados na berlinda, ambos preparados para registrar e fazer algumas previsões para nós. Primeiro, temos Shamla Naidoo. Eles fazem. Shamla atuou como CISO para empresas como Starwood Resorts e IBM, e também é professora adjunta de direito na Universidade de Illinois. Ela atua em vários conselhos públicos e também é chefe de estratégia e inovação em nuvem na Netskope. Bem-vindo. Shamla.
Shamla Naidoo [00:00:54] Obrigada, Emily. Estou feliz por estar aqui.
Emily Wearmouth [00:00:56] Meu segundo convidado é Sherron Burgess, também CSO de uma organização muito grande e também membro do conselho. E Sharon pode ser conhecida dos ouvintes pelo trabalho que realiza em defesa da diversidade em nosso setor. E, de fato, um de seus cargos no conselho é na Cyversity, uma organização sem fins lucrativos que se dedica a aumentar a presença de minorias sub-representadas no campo da segurança cibernética. Trabalho realmente importante. Bem-vindo, Sherron.
Sherron Brugess [00:01:19] Obrigado, Emily. Estou feliz por estar aqui.
Emily Wearmouth [00:01:21] Então, sem mais delongas, vamos começar. Dê um polimento nessa bola de cristal. Shamla nos deu uma previsão para nos ajudar a seguir em frente. O que devemos esperar ver em 2024.
Shamla Naidoo [00:01:30] Você sabe, Emily, por muitos anos, os CISOs têm se reportado aos conselhos. Mas acho que o que veremos é uma mudança nesse relacionamento. Até agora, os CISOs têm entrado principalmente na sala de reuniões, não o tempo todo, mas principalmente como especialistas no assunto. O relacionamento pertencia em grande parte a outros executivos, como o CIO, o diretor de risco ou mesmo o auditor geral. E assim o relacionamento pertencia a esses líderes, enquanto o assunto vinha do CISO. Nos meses mais recentes, o que temos visto é que a SEC é apenas um catalisador. Mas, de um modo geral, penso que os conselhos de administração estão a começar a compreender que o seu papel é muito diferente do papel do CFO. O CISO é um líder operacional no terreno. E então acho que o que você verá é que os conselhos se apoiarão mais no CISO. Eles vão querer esse relacionamento porque o CISO é a pessoa que possui as informações, as atualizações, o conhecimento e também um bom estado de saúde e bem-estar da organização no que se refere à segurança cibernética. Então, você sabe, pensando bem, uma mudança relacionada que veremos no setor é, você sabe, os conselhos são cobertos por seguro de diretores e executivos pelo trabalho que realizam no escopo dessa função. E o que vemos neste momento é que os CISOs estão a começar a pedir cobertura, cobertura de seguro e outras proteções, como indemnização pelo desempenho do seu trabalho, porque pensamos que os CISOs estão a ser investigados pelos resultados nas suas organizações. O que eu acho que você verá é que os conselhos entenderão esse pedido do CSO porque eles o têm. E onde o CISO não é automaticamente um oficial, eles vão querer ter algum tipo de endosso em sua política para incluí-los nas investigações quando estiverem fazendo seu trabalho. Então, acho que essas duas coisas vão se unir muito bem onde o conselho quiser esse relacionamento. Eles também entendem o pedido do CISO por cobertura de seguro e indenização pelo desempenho de seu trabalho, é isso que vejo que é iminente no que diz respeito a esses relacionamentos.
Emily Wearmouth [00:03:44] Parece Sherron, estou interessado em saber sua opinião. Parece que há quase um ponto de tensão em que os CISOs talvez queiram um relacionamento mais direto com o conselho, mas talvez estejam sendo retidos na mina porque não têm as mesmas proteções que os outros membros do conselho têm nestes seguros. Isso é algo que você encontrou ou conversas que teve com seus colegas que influenciam?
Sherron Brugess [00:04:05] Sim, realmente acho que sim. Quer dizer, acho que o que vimos no último ano, ano e meio, vimos CISOs agora no ponto de corte associados a hacks e violações. E então, você sabe, em muitos casos, não é necessariamente negligência do CISO, pode ser a tomada de decisão do conselho como um todo em termos dos riscos que o negócio está assumindo. E então os CISOs precisam ter, você sabe, entre a comunidade de pares de CISOs, estamos falando sobre como fazemos o nosso trabalho, como aconselhamos e prestamos consultoria aos nossos negócios, aos nossos conselhos, etc., mas ainda assim também abrir espaço para o que a empresa deseja fazer e manter nossa integridade como profissionais. E então eu acho que para fazer isso, e em vez de apenas tentar cortar o que nós, a orientação que damos para podermos trabalhar plenamente fazendo nosso trabalho como profissionais, é preciso haver um pouco mais de proteção. Deve estar no lugar. Então, sim, estou vendo isso. E você sabe, obviamente a situação com Joe Sullivan e vendo o que está acontecendo em todos os casos, apenas os CISOs estão mais atentos aqui.
Emily Wearmouth [00:05:13] Há algum grande marco que devemos observar para mostrar que estamos progredindo em direção ao que você está prevendo aqui? Haverá grandes movimentos de determinadas seguradoras? Haverá mudanças nos regulamentos sobre como os governos exigem que os conselhos organizem e protejam os seus membros? Ou é apenas algo que veremos ser lentamente filtrado de maneiras menos tangíveis?
Shamla Naidoo [00:05:33] Você sabe, acho que os grandes marcos que veremos seriam, primeiro, os CISOs começando a fazer perguntas sobre se sou um oficial e estou coberto pelo seguros para diretores e executivos da empresa e outros tipos de proteção? Bem, se você não é um oficial, você vai descobrir. E se você for oficial, também descobrirá que tem cobertura para realizar seu trabalho. Assim que você sair dos limites do seu trabalho, provavelmente terá problemas porque a cobertura não o protegerá por fazer coisas que não são legais ou que estão fora do escopo de suas funções. Então o que você vai descobrir é que os CISOs vão perguntar: eu sou um oficial? Eles também farão perguntas como: qual é o escopo da minha autoridade para tomar decisões? E se não estiver na minha autoridade para tomar decisões e outra pessoa precisar tomar a decisão porque não tenho cobertura para decisões que tomo que estão fora do escopo das minhas funções. E então acho que veremos muito mais clareza sobre os CISOs, suas funções e seus direitos de decisão. E então você terá um pouco mais de clareza sobre o que está coberto, o que está dentro, o que está fora, quais seguradoras excluem a investigação do CSO, e elas cobrem apenas a violação de segurança cibernética, a perícia e a resposta. E então acho que veremos mudanças nos executivos das empresas na forma como abordam isso. Veremos uma mudança no setor, especialmente no setor de seguros, criando clareza sobre o que está dentro e o que está fora. E acho que os CISOs serão apenas os beneficiários dessas mudanças. E então os marcos serão alcançados pelos CISOs, você sabe, eles sentem que estão devidamente apoiados? E eles sentem que sua saúde mental está sendo cuidada porque têm essa clareza, têm proteção e têm a oportunidade e o espaço para fazer seu trabalho e fazer um trabalho realmente bom. Em comparação com hoje, o que vocês estão vendo é que há muita ansiedade. Há uma boa dose de estresse na organização porque muito disso é desconhecido.
Sherron Brugess [00:07:45] E talvez eu possa acrescentar algo a isso? Porque, você sabe, é como saúde mental. É engraçado. Quando a gente fala de saúde mental para um CISO é tipo, isso não existe né, quando você tem essa dúvida. Sim, sempre recebo perguntas divertidas de fornecedores, como: o que mantém você acordado à noite? É como se tudo me mantivesse acordado porque há tanta coisa acontecendo. Você sabe, acho que o que está acontecendo aqui também no espaço em torno de alguns dos marcos. Sim, acho que o seguro dos oficiais e ser nomeado oficial e estar coberto por isso. Mas acho que outras nuances podem incluir garantir que você tenha direito à sua própria representação legal. Então, em muitos casos em que você tem seguro relacionado a oficiais, está tudo bem, contanto que você, você sabe, cumpra os limites com sua empresa, isso cobrirá você. E então acho que esse tipo de nuances adicionais será importante. Eu também acho que você começará a ver mais contratos e mais contratos com, você sabe, tipos de contratos de trabalho. Essas coisas estão explicitamente descritas no contrato? Uma coisa é ser citado no seguro, mas acho que a outra parte é, você sabe, como os profissionais solicitam cópias desse seguro e ter isso explicitamente escrito no seu contrato de trabalho também é super importante. Também gosto de como você mencionou essa autoridade para tomar decisões. Eu acho isso super importante. Você sabe, se isso está fora da minha autoridade para tomar decisões, então, você sabe, não estou coberto aqui, então não vou tomar essa decisão. Eu acho também a capacidade de escalar, você sabe, se no caso em que, você sabe, houver algum tipo de legislação e regras da SEC que digam, bem, você tem o direito ou é obrigado a relatar eventos, mesmo se isso não for exigido pelo seu conselho ou pela sua empresa, você está dizendo que isso não é algo que você deve fazer. Essas habilidades de escalar sem danos ou penalidades também serão muito interessantes.
Emily Wearmouth [00:09:40] Então, eu não sabia quando falaríamos sobre previsões que seria tão imediatamente útil para nosso ouvinte. Acho que este foi tocado em alguns pontos realmente interessantes. Um ótimo. Shana, e agora é com você, Sherron. Qual é a sua previsão para nós para 2024?
Sherron Brugess [00:09:54] Sim, então minha previsão seria que haverá uma corrida por talentos mais qualificados e esse crescimento da força de trabalho cibernética. Ao longo do ano passado, a Casa Branca lançou uma estratégia para o desenvolvimento da força de trabalho. Há um apelo para que parcerias público-privadas possam desenvolver talentos cibernéticos. E agora o que é realmente interessante, essa ideia de que todo indivíduo, eu diria a América, mas todo indivíduo precisa ter algum conhecimento básico de segurança cibernética ou relacionado à segurança. Acho que isso será superinteressante, pois agora informa às universidades e escolas, até mesmo às instituições de ensino fundamental e médio, que os alunos precisam ter consciência cibernética para que possam contribuir para a sociedade em geral.
Emily Wearmouth [00:10:44] Quando você diz K a 12, temos alguns ouvintes internacionais. Que faixa etária é essa?
Sherron Brugess [00:10:48] Desde o início da escola primária até a juventude e depois na universidade e assim por diante. Portanto, começaremos a ver muito mais a incorporação do conjunto de habilidades relacionadas à segurança como parte de sua educação, educação formalizada na escola primária e similares. Mas também no lado corporativo, o que vai ser interessante é, você sabe, historicamente, quando isso acontece, você fala sobre todos esses empregos que estão disponíveis. Você fala, você sabe, que precisamos de mais talentos para preencher esses cargos. Historicamente, temos trocado recursos. Então você vê indivíduos pulando de empresa em empresa, e as empresas não têm investido no desenvolvimento de seus próprios canais de talentos, muitas vezes olhando para offshore ou perto da costa seus recursos para não terem que desenvolver esse talento. Acho que começaremos a ver que haverá um maior investimento, você sabe, em trazer pessoas de outros setores para a segurança cibernética. Portanto, aqueles que estão em transição de carreira também procuram desenvolver-se mais a partir das universidades e faculdades ou dos jovens e também começam a trazer talentos de origens não tradicionais. Então você verá não apenas origens diversas, mas também verá, eu acho, um crescimento na faculdade júnior ou nesses treinamentos relacionados a escolas técnicas ou de dois anos que começarão a matricular-se na indústria.
Shamla Naidoo [00:12:28] Acho que o que Sharon fez com uma previsão foi apenas criar um apelo à ação, bem como fornecer o histórico e algumas das mudanças na indústria que acontecerão para apoiar essa previsão. E isso é, eu acho, muito astuto. Obrigado, Sharon, por fazer isso, porque precisamos conversar sobre essa conversa sobre talentos. E, francamente, há muito tempo que dizemos que a segurança cibernética é um desporto de equipa. Usamos, você sabe, usamos analogias como, você sabe, nem tudo gira em torno da equipe de liderança de segurança cibernética. Toda a organização precisa estar envolvida, etc. Mas acho que sua previsão é que o apelo à ação sobre como operacionalizar é como vamos realmente agir, você sabe, lidar com se você, um jovem começando a escola, você na universidade, você é um profissional precoce, você está atrasado profissional, você é um executivo. Em todos os níveis, é necessário haver um nível básico de compreensão deste tópico. Eu penso sobre isso, como você sabe. Sim, é uma previsão e é uma previsão muito astuta, mas é um apelo à acção para que todos nos mobilizemos para tornar isto real, porque é absolutamente necessário. E já não é suficiente dizer, bem, vamos perder 4 milhões de empregos até 2030. Esse tipo de métrica não é útil porque temos dito que nos últimos cinco anos ou até mais perto de uma década, não fizemos grandes progressos. Portanto, agora temos que mudar nossas táticas para chegarmos ainda mais perto.
Emily Wearmouth [00:14:03] Agora fiz minha lição de casa. Eu tenho uma sacola de presentes festivas aqui, e ela está cheia de previsões de alguns dos próximos grupos de especialistas no assunto. Antes de adoecer, Max, meu coapresentador, andava pelos corredores e frequentava os canais do Slack, incitando as pessoas a prever o futuro. Então deixe-me fazer uma pequena remexer metafórica. Aqui está uma boa. Escolhi um de Neil Thacker, nosso CISO da região EMEA, e ele prevê, creio eu, com bastante segurança. Para começar, os regulamentos propostos para a IA serão examinados em 2024, e espero que ele esteja certo nisso. Mas, curiosamente, ele questiona se algum país tentará roubar a marcha competitivamente, atrasando deliberadamente as suas próprias regulamentações, a fim de obter uma vantagem nesta corrida armamentista da IA. E eu acho que é atrevido porque metade disso, como eu disse, é menos uma previsão e mais uma reflexão, na verdade. E estou interessado em ver como isso o afeta e de forma realmente precisa, e você pode responder a uma pergunta geral, mas se puder ser mais preciso, onde você espera ver os movimentos rápidos para regular e quais mercados você acha que estão dando indicações de que eles podem ser um pouco mais lentos? Vou perguntar isso a você primeiro, Sherron.
Sherron Brugess [00:15:09] Sim, quero dizer, concordo. Eu acho que vai ser interessante, realmente, porque acho que as pessoas ainda estão tentando entender o que você sabe, as promessas de, você sabe, acho que agora é uma palavra da moda. Você sabe, as pessoas estão dizendo, ah, é como se você devesse tirar oito e isso resolveria todos os seus problemas e tudo ficaria bem. Certo. E então eu acho, em primeiro lugar, que falta apenas o que é IA e uma definição do que é. E você sabe o que as pessoas propõem que isso aconteça. Você sabe, eu acho que é um ponto muito interessante, você sabe, eles vão atrasar a regulamentação para ver se isso realmente funciona? Você sabe, também é interessante descobrir que se eles impusessem regulamentações para desacelerar todo mundo, para que pudessem manter o ritmo. Então todo mundo está desenvolvendo, iterando, ao mesmo tempo. O que estou vendo é que há muitos grupos de trabalho surgindo apenas para dar algumas idéias e reflexões sobre o que está acontecendo. Acho que a Casa Branca ou o Escritório de Ciência, Tecnologia e Política aqui nos EUA lançaram esta declaração de direitos de IA, e você está vendo muitos profissionais existentes, CISOs, você sabe, desenvolvendo esse tipo de políticas de uso aceitável e, você sabe, apenas tentando colocar algumas grades de proteção em volta dele. Mas acho que na primeira saída, as pessoas vão tentar fazer o máximo que puderem dentro dos limites. E, na verdade, tenho essa oportunidade no papel de CISO global e, você sabe, quais são algumas das áreas que eu esperaria ou países que eu esperaria que surgissem do ponto de vista regulatório? Você sabe, é claro, tendo em vista o contexto do GDPR, eu estaria muito interessado em ver o que a Alemanha fará. Eles geralmente são os primeiros em termos de direitos de privacidade e coisas do gênero. E eu acho que essa ideia de IA e, você sabe, alguns dos conceitos em torno de práticas discriminatórias ou, você sabe, a ideia em torno da privacidade e dos direitos ao esquecimento, será muito interessante ver o que alguns deles já os países regulamentados farão neste espaço. Mas acho que minha primeira tentativa diria que todos tentarão ir o mais rápido que puderem e determinar todos os respectivos casos de uso antes de introduzirem alguns desses regulamentos para atrasar todo mundo, não quero dizer lento todo mundo para baixo. Mas acho que, uma vez que seja abusado em maior escala, acho que as pessoas tentarão iterar o mais rápido possível.
Emily Wearmouth [00:17:38] E você, Shamila? O que você acha dessa previsão?
Shamla Naidoo [00:17:40] Então, concordo com você e concordo com tudo o que ela disse. E eu acho que a previsão de Neil é muito robusta. É por isso que esses países industrializados que também são defensores da privacidade e, você sabe, protecionistas em muitos aspectos, acho que o que você verá é que eles exageram porque querem ser os primeiros a sair do portão com a regulamentação e olhar para nós e olhar para a nossa disciplina e olhar para a nossa estrutura, etc. Acho que o outro lado disso é onde eu desço, ou seja, você sabe, mas agora você simplesmente sufocou a inovação. Você também criou uma oportunidade de romper com sua própria sociedade, enquanto outros podem estar, você sabe, avançando muito rápido. E por isso temos que ter cuidado para não impedirmos as grandes oportunidades que a IA pode nos dar. Você sabe, eu gosto do conceito de não causar danos, então se pudermos criar uma consciência social de não causar danos, por mais viável comercialmente que sua solução possa ser. Acho que esse é provavelmente o ponto de partida. E então, você sabe, começar a ter muitas nuances com você pode fazer isso, mas você não pode fazer isso, isso criará essa competição de tudo bem, bem, você sabe, enquanto o mundo industrializado começa a vacilar nessa construção de regulação, outros começará a aproveitar a tecnologia para obter melhores resultados, tanto comerciais como sociais. E podemos ficar para trás. E por isso me preocupo que, ao pensarmos sobre isso, precisemos contextualizar a regulamentação. Regulação é regular para resultados ruins. E, francamente, ainda não sabemos os maus resultados. Vimos alguns resultados desconfortáveis e inconvenientes, mas não vimos nenhum resultado catastrófico. E então o que me preocupa é que quando você pisa no freio antes de realmente saber que tem um pedal do acelerador, você realmente não sabe com que força pisar no freio. E precisamos de pensar mais sobre a possibilidade de sufocar sempre a inovação, não apenas nos nossos próprios países e comunidades, mas será que estaremos a sufocar a inovação para a sociedade?
Sherron Brugess [00:19:44] Quero dizer uma coisa, que é, você sabe, é algo sobre IA que considero realmente interessante. E aqui, recentemente, foi adicionada uma nova definição ao dicionário, que é a ideia de alucinação. E a ideia de que a IA tira conclusões falsas, essencialmente. Compôs a resposta. Certo. Acho que a IA sim, há algumas partes bonitas nisso. E é tão legal quando você pensa na inovação, na velocidade e em todas essas coisas que exigiriam, você sabe, muitas pessoas e muito poder de computação para serem executadas. O que sempre me preocupa do ponto de vista da IA são as implicações sociais e o que isso pode significar. E então, você sabe, eu tenho uma adolescente e quando ela chegar a esse ponto de ser uma adulta produtiva na sociedade, a essa altura, você sabe, as máquinas estarão tomando muitas decisões. E então a ideia de que estou preocupado com o fato de a sociedade perder a responsabilidade de verificar as máquinas e de realmente entender o que é real e o que não é. E então eu acho que isso é algo que é o ethos que temos que pensar à medida que entramos neste novo mundo e na promessa do que é a IA. Temos que pensar, sabe, como não nos consumimos com isso? Como podemos aproveitá-lo para inovação e afins, mas como também podemos garantir que mantemos o equilíbrio entre o que é real e o que não é, o que é verdadeiro e o que não é? E esse tipo de ideia de exploração desse lado, você sabe, pessoalmente, socialmente, acho que será um fator importante aqui. Então, você sabe, não sei como os países ou a regulamentação irão medir isso, mas acho que será muito importante quando olharmos para o que a IA, as máquinas e todas essas coisas podem fazer por nós do ponto de vista da inovação.
Shamla Naidoo [00:21:39] E você sabe, Emily, eu quero acrescentar algo a esta conversa porque e não é necessariamente uma previsão, mas acho que é de novo, é um pouco como um apelo à ação. Tenho visto muitas, muitas regulamentações de IA que se concentram nos resultados. O que eu gostaria que os reguladores fizessem é focar nas informações, porque o único lugar onde você ainda tem algum controle regulatório ou outro é o ponto de origem, que é quais dados devo usar para treinar meus modelos básicos? Que dados vou usar para fazer autoaprendizagem em minha própria organização? E, você sabe, não quero que as pessoas, e os reguladores em particular, tentem me dizer como devo usar meus próprios dados. Mas os modelos básicos, quero ter certeza de que foram mantidos. Isso foi ensinado. Eles foram criados com dados que possuem integridade e dados que possuem autenticidade. Os dados que têm origem em alguém são responsáveis por eles, para que saibamos de onde vieram e saibamos que são reais. E então encontro reguladores correndo para regular os resultados: Bem, não faça isso. Não faça isso. Mas poucos estão realmente falando sobre vamos regular no ponto de origem. Onde, em um mundo de IA, você tem mais controle. Assim que entra em um modelo, fica fora de seu controle. E todos nós que estamos usando vamos infringir o regulamento porque não treinamos o modelo original e, portanto, o preconceito já está aí. As alucinações já estão aí. E então eu gostaria de ver os reguladores repensarem onde estão regulamentando, não o que estão regulamentando.
Emily Wearmouth [00:23:21] Vocês não conseguem se conter. Você faz uma previsão e transforma-a em um apelo à ação.
Sherron Brugess [00:23:26] é um excelente ponto.
Emily Wearmouth [00:23:28] Bem, então. Tudo bem. Estou voltando para minha sacola de presentes e sinto que deveria ouvir um efeito sonoro de farfalhar de papel enquanto faço isso. O próximo é de James Christiansen, e ele postula que veremos organizações questionarem promessas sobre o que zero significa em confiança zero, que estarão procurando maneiras de implementar confiança zero adaptativa contínua de maneiras muito mais granulares. Então, com este, por onde devemos começar? Bem, o que diabos ele quer dizer com confiança adaptativa contínua? Você pode nos ajudar lá, Shamla? Ajude-nos a entender a previsão.
Shamla Naidoo [00:23:56] Sim. Você sabe, vamos começar dizendo que a sociedade não pode funcionar com confiança zero. Temos que confiar em alguém em alguma coisa em algum momento para que possamos funcionar. Portanto, esta ideia de confiança zero, confiança zero não é um objetivo. É o ponto de partida para pensarmos sobre como interagimos com a tecnologia. Não queremos confiar em nada por padrão. Não queremos confiar nisso para sempre, em qualquer momento e em qualquer lugar. Portanto, esta ideia de confiança zero é o ponto de partida. E, você sabe, normalmente confiávamos em um usuário que queria se conectar a uma rede. E então era um dispositivo conectado à rede. E diríamos, bem, confiamos no seu laptop, portanto vamos permitir que você se conecte à rede. E uma vez que você é um usuário confiável com as credenciais corretas e um dispositivo confiável, você está conectado à rede e pode fazer o que quiser enquanto a sessão permanecer ou durante o dia, a semana ou o mês, seja lá o que você permitiu. Acho que o que James está falando é a ideia de que se você começar por aí e apenas confiar no dispositivo e na pessoa para fazer o que quiser. Bem, você poderá ter alguns resultados ruins mais tarde, porque não vivemos naquele mundo onde tudo está tão bem definido. E então essa ideia de confiança adaptativa é, você sabe, quero confiar em você no momento, nas circunstâncias. E mais tarde, quero redefinir minha confiança e iniciar todo o processo novamente. Junto com o fluxo de trabalho. Vou adaptar a quantidade de confiança que lhe dou. Então eu acho que a ideia não é deixar isso acontecer de uma vez e depois continuar para sempre, mas sim ter alguma pontuação ao longo do caminho.
Emily Wearmouth [00:25:40] Adorável. OK. Eu entendo isso agora. Acenando para mim de forma tão tentadora, a ideia de que podemos parar um pouco de ficar obcecados com esse rótulo de confiança zero em 2024, ou pelo menos permitir algumas nuances em torno dele. Sherron, o que você acha dessa previsão?
Sherron Brugess [00:25:54] Também acho que será sobre o que está sob seu controle. Há tanta coisa que não está sob seu controle. Certo. Então, quando você pensa até mesmo nessas ideias de, você sabe, você está confiando através de sistemas federados, você está confiando ou até mesmo usando alguns de seus, você sabe, você sabe, puxando alguns de seus aspectos sociais para sua corporação vida. Você verá mais dessa mistura aqui. Você sabe, quanto você pode usar ou o que você pode usar para dizer, sim, essa é a pessoa, sim, ela deveria ter esse acesso e sim, ela pode ter acesso a esses recursos. E então acho que será uma maneira diferente, usando diferentes tipos de modalidades para apoiar essa confiança, esse tipo de discussão sobre confiança. Acho que é isso que começaremos a ver. Portanto, deve ser muito interessante saber o que acontece naquele espaço. Mas sim, quero dizer, ficamos loucos com essa ideia de confiança zero. E novamente, mais uma conversa com a diretoria. Sim. Você quer fazer, vamos fazer confiança zero, como realmente queremos, realmente queremos fazer isso. E então acho que haverá mais conversas e formas variadas de como abordaremos a confiança no futuro.
Emily Wearmouth [00:26:59] Ok. Portanto, a confiança zero permanecerá, mas será menos binária e construiremos uma maior compreensão dos elementos que levam à decisão de confiança. Essa é uma maneira justa de ver as coisas?
Shamla Naidoo [00:27:11] Sim, acho que sim, porque, você sabe, isso não desaparece. Mas o que isso demonstra é que, para um CISO em particular, você sabe, você não está começando onde confia em todos o tempo todo. Você tem que saber, o ponto de partida é que você não confia em ninguém, em lugar nenhum, em nenhum dispositivo, porque o mundo é muito integrado. Para aumentar a confiança, você terá que ter várias etapas e múltiplas decisões e vários controles e múltiplas soluções. E à medida que você adiciona tudo isso, você aumenta a confiança. E sabemos que a confiança acelera os negócios. E assim nosso objetivo é ter o máximo de confiança que pudermos depositar no sistema. Mas só poderemos chegar lá se tivermos todos esses diferentes níveis, camadas e locais para controles que possamos validar, verificar e equilibrar, etc. Mas o objetivo é aumentar a confiança começando com confiança zero.
Emily Wearmouth [00:28:08] Certo. Eu gosto muito disso. Uma maneira mais positiva de pensar nisso, certo. Acho que posso ver que nosso produtor está acenando para mim que estamos caminhando para o tempo. Então, acho que posso ir para algum lugar esta tarde, se você apostar. Tudo parece ser uma informação realmente útil para o próximo ano. E quando esse episódio for ao ar, também acho que estarei assistindo a postagem no LinkedIn, porque tenho um palpite de que as massas opinativas da mídia social terão ideias sobre o que concordam, o que discordam e o que talvez eles nos repreendam por esquecermos a coisa mais importante que deveríamos ter discutido, tenho certeza. Então, muito obrigado a vocês dois por reservarem um tempo hoje.
Sherron Brugess [00:28:38] Obrigado.
Shamla Naidoo [00:28:39] Obrigado. Emily, tem sido ótimo.
Emily Wearmouth [00:28:41] Você tem ouvido o podcast Security Visionaries e eu fui sua anfitriã, Emily Weymouth. Se você gostou deste episódio, compartilhe-o e inscreva-se na sua plataforma de podcast favorita. Você encontrará muitos outros episódios interessantes por aí, e publicaremos um novo a cada duas semanas, alguns apresentados por mim e outros por Max. Nos encontraremos na próxima vez.