O Futuro de Zero Trust e de SASE Começa Hoje! Inscreva-se já

fechar
fechar
A plataforma do futuro é a Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) e Private Access for ZTNA integrados nativamente em uma única solução para ajudar todas as empresas em sua jornada para o Secure Access Service Arquitetura de borda (SASE).

Vá para a plataforma
Vídeo da Netskope
Next Gen SASE Branch é híbrida — conectada, segura e automatizada

Netskope Next Gen SASE Branch converge o Context-Aware SASE Fabric, Zero-Trust Hybrid Security e SkopeAI-Powered Cloud Orchestrator em uma oferta de nuvem unificada, inaugurando uma experiência de filial totalmente modernizada para empresas sem fronteiras.

Saiba mais sobre Next Gen SASE Branch
Pessoas no escritório de espaço aberto
Desenvolvendo uma Arquitetura SASE para Leigos

Obtenha sua cópia gratuita do único guia de planejamento SASE que você realmente precisará.

Baixe o eBook
Adote uma arquitetura Secure Access Service Edge (SASE)

O Netskope NewEdge é a maior nuvem privada de segurança de alto desempenho do mundo e oferece aos clientes cobertura de serviço, desempenho e resiliência inigualáveis.

Conheça a NewEdge
NewEdge
Sua Rede do Amanhã

Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.

Receba o whitepaper
Sua Rede do Amanhã
Netskope Cloud Exchange

O Cloud Exchange (CE) da Netskope oferece aos clientes ferramentas de integração poderosas para tirar proveito dos investimentos em estratégias de segurança.

Saiba mais sobre o Cloud Exchange
Vídeo da Netskope
Mude para serviços de segurança na nuvem líderes de mercado com latência mínima e alta confiabilidade.

Conheça a NewEdge
Lighted highway through mountainside switchbacks
Permita com segurança o uso de aplicativos generativos de IA com controle de acesso a aplicativos, treinamento de usuários em tempo real e a melhor proteção de dados da categoria.

Saiba como protegemos o uso de IA generativa
Ative com segurança o ChatGPT e a IA generativa
Soluções de zero trust para a implementação de SSE e SASE

Conheça o Zero Trust
Boat driving through open sea
Netskope obtém alta autorização do FedRAMP

Escolha o Netskope GovCloud para acelerar a transformação de sua agência.

Saiba mais sobre o Netskope GovCloud
Netskope GovCloud
  • Recursos chevron

    Saiba mais sobre como a Netskope pode ajudá-lo a proteger sua jornada para a nuvem.

  • Blog chevron

    Saiba como a Netskope viabiliza a segurança e a transformação de redes através do security service edge (SSE).

  • Eventos e workshops chevron

    Esteja atualizado sobre as últimas tendências de segurança e conecte-se com seus pares.

  • Security Defined chevron

    Tudo o que você precisa saber em nossa enciclopédia de segurança cibernética.

Podcast Security Visionaries

Cookies, não biscoitos
A apresentadora Emily Wearmouthas se reúne com os especialistas David Fairman e Zohar Hod para discutir o passado, o presente e o futuro dos cookies da Internet.

Reproduzir o podcast
Podcast: Biscoitos, Não Biscoitos
Últimos blogs

Como a Netskope pode habilitar a jornada Zero Trust e SASE por meio dos recursos de borda de serviço de segurança (SSE).

Leia o Blog
Sunrise and cloudy sky
SASE Week 2023: Sua jornada SASE começa agora!

Replay das sessões da quarta SASE Week anual.

Explorar sessões
SASE Week 2023
O que é o Security Service Edge?

Explore o lado de segurança de SASE, o futuro da rede e proteção na nuvem.

Saiba mais sobre o Security Service Edge
Four-way roundabout
  • Nossos clientes chevron

    Netskope atende a mais de 2.000 clientes em todo o mundo, incluindo mais de 25 dos 100 da Fortune.

  • Customer Solutions chevron

    Estamos aqui junto com você a cada passo da sua trajetória, assegurando seu sucesso com a Netskope.

  • Netskope Community chevron

    Aprenda com outros profissionais de rede, dados e segurança.

  • Treinamento e certificação chevron

    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem.

Ajudamos nossos clientes a estarem prontos para tudo

Ver nossos clientes
Woman smiling with glasses looking out window
A talentosa e experiente equipe de Serviços Profissionais da Netskope fornece uma abordagem prescritiva para sua implementação bem sucedida.

Conheça os Serviços Profissionais
Netskope Professional Services
A Comunidade Netskope pode ajudar você e sua equipe a obter mais valor de produtos e práticas.

Acesse a Comunidade Netskope
A Comunidade Netskope
Proteja sua jornada de transformação digital e aproveite ao máximo seus aplicativos de nuvem, web e privados com o treinamento da Netskope.

Saiba mais sobre Treinamentos e Certificações
Group of young professionals working
  • Empresa chevron

    Ajudamos você a antecipar os desafios da nuvem, dos dados e da segurança da rede.

  • Por que Netskope chevron

    A transformação da nuvem e o trabalho em qualquer lugar mudaram a forma como a segurança precisa funcionar.

  • Liderança chevron

    Nossa equipe de liderança está fortemente comprometida em fazer tudo o que for preciso para tornar nossos clientes bem-sucedidos.

  • Parceiros chevron

    Fazemos parceria com líderes de segurança para ajudá-lo a proteger sua jornada para a nuvem.

Apoiando a sustentabilidade por meio da segurança de dados

A Netskope tem o orgulho de participar da Visão 2045: uma iniciativa destinada a aumentar a conscientização sobre o papel da indústria privada na sustentabilidade.

Saiba mais
Apoiando a sustentabilidade por meio da segurança de dados
O mais alto nível de Execução. A Visão mais avançada.

A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.

Obtenha o Relatório
A Netskope foi reconhecida como Líder no Magic Quadrant™ do Gartner® de 2023 para SSE.
Pensadores, construtores, sonhadores, inovadores. Juntos, fornecemos soluções de segurança na nuvem de última geração para ajudar nossos clientes a proteger seus dados e seu pessoal.

Conheça nossa equipe
Group of hikers scaling a snowy mountain
A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.

Saiba mais sobre os parceiros da Netskope
Group of diverse young professionals smiling
Miniatura da postagem

Este episódio apresenta uma entrevista com Andreas Rohr, gerente fundador e CTO da Organização Alemã de Segurança Cibernética (DCSO). Na DCSO, Andreas é responsável pela Engenharia de Inovação e Segurança e por seus Serviços Gerenciados de Defesa Cibernética. Ele tem mais de 15 anos de experiência em TI e segurança cibernética, ocupando cargos de gestão nas indústrias de energia e automotiva.

Neste episódio, Mike e Andreas discutem o alinhamento com os conselhos de trabalhadores, forjando relacionamentos comerciais por meio da transparência e incorporando segurança aos fluxos de valor.

A transparência é fundamental para trabalhar com o conselho de trabalhadores, que na verdade não está lá para impedir que a segurança ou a empresa faça as coisas certas, eles estão lá para garantir que os dados não sejam abusados contra os funcionários. Esta é a sua missão, a sua tarefa, e é válida.

—Andreas Rohr, CTO da Organização Alemã de Segurança Cibernética (DCSO)

 

Carimbos de data/hora

*(02:06): Andreas explica o que é DCSO*(23:34): Conselho de Andreas sobre como determinar o orçamento para segurança
*(09:18): Guideposts DCSO está ajudando empresas a se alinharem*(27:30): Como Andreas aconselha empresas sobre como tornar a segurança parte da estrutura de sua organização
*(15:45): Como Andreas está ajudando as empresas a navegar no Conselho de Empresa Alemão*(34:29): Óculos 2030
*(19:27): A jornada de Andreas de CISO a CTO*(43:01): Acessos rápidos

 

Outras formas de ouvir:

mais verde

Neste episódio

Andreas Rohr
CTO na DCSO

chevron

Andreas Rohr

Dr. Andreas Rohr é gerente fundador e CTO da Organização Alemã de Segurança Cibernética (DCSO), uma joint venture estabelecida entre Allianz, Bayer, BASF e Volkswagen. No conselho de administração da DCSO, Rohr é responsável pela Engenharia de Inovação e Segurança, bem como por seus Serviços Gerenciados de Defesa Cibernética.

Rohr tem mais de 15 anos de experiência em diversas áreas de TI e segurança cibernética. Anteriormente, ele atuou em cargos de gestão nas indústrias de energia e automotiva. Ele esteve altamente envolvido no cenário de startups de tecnologias de segurança cibernética por mais de uma década, muitas vezes atuando como consultor, fornecendo uma perspectiva européia única para empresas iniciantes. Anteriormente, ele serviu como oficial da Força Aérea Alemã e ocupou o cargo de vice-CISO no Ministério Federal da Defesa da Alemanha.

Mike Anderson
Chief Digital & Information Officer na Netskope

chevron

Mike Anderson

Mike Anderson atua como Diretor Digital e de Informações da Netskope. Nos últimos 25 anos, ele construiu e liderou equipes de alto desempenho em várias disciplinas, incluindo vendas, operações, desenvolvimento de negócios e tecnologia da informação. Ele ingressou na Netskope vindo da Schneider Electric, uma empresa global da Fortune 500, atuando como vice-presidente sênior, CIO e líder digital para a América do Norte. Em 2020, a Constellation Research o nomeou membro da Business Transformation 150, uma lista de elite que reconhece os principais executivos globais que lideram os esforços de transformação de negócios em suas organizações. O Conselho Nacional de Diversidade também o reconheceu como um dos 50 principais CIO por diversidade e inclusão em 2020 e 2021. Antes da Schneider Electric, Mike atuou como CIO da CROSSMARK, onde transformou digitalmente os recursos de negócios para o provedor de serviços de 40.000 funcionários para o setor de varejo e bens de consumo. Além disso, ele ocupou cargos de liderança executiva na Enterprise Mobile, uma joint venture da Microsoft que agora faz parte da Honeywell, Insight, Software Spectrum e InVerge, pioneira em serviços da Web que ele fundou em 1999. Mike atua em vários conselhos consultivos de tecnologia e indústria e trabalha como voluntário com organizações sem fins lucrativos focadas em saúde mental e prevenção do suicídio e aquelas que beneficiam o desenvolvimento de nossa futura força de trabalho em ciência, tecnologia, engenharia e matemática.

Andreas Rohr

Dr. Andreas Rohr é gerente fundador e CTO da Organização Alemã de Segurança Cibernética (DCSO), uma joint venture estabelecida entre Allianz, Bayer, BASF e Volkswagen. No conselho de administração da DCSO, Rohr é responsável pela Engenharia de Inovação e Segurança, bem como por seus Serviços Gerenciados de Defesa Cibernética.

Rohr tem mais de 15 anos de experiência em diversas áreas de TI e segurança cibernética. Anteriormente, ele atuou em cargos de gestão nas indústrias de energia e automotiva. Ele esteve altamente envolvido no cenário de startups de tecnologias de segurança cibernética por mais de uma década, muitas vezes atuando como consultor, fornecendo uma perspectiva européia única para empresas iniciantes. Anteriormente, ele serviu como oficial da Força Aérea Alemã e ocupou o cargo de vice-CISO no Ministério Federal da Defesa da Alemanha.

Mike Anderson

Mike Anderson atua como Diretor Digital e de Informações da Netskope. Nos últimos 25 anos, ele construiu e liderou equipes de alto desempenho em várias disciplinas, incluindo vendas, operações, desenvolvimento de negócios e tecnologia da informação. Ele ingressou na Netskope vindo da Schneider Electric, uma empresa global da Fortune 500, atuando como vice-presidente sênior, CIO e líder digital para a América do Norte. Em 2020, a Constellation Research o nomeou membro da Business Transformation 150, uma lista de elite que reconhece os principais executivos globais que lideram os esforços de transformação de negócios em suas organizações. O Conselho Nacional de Diversidade também o reconheceu como um dos 50 principais CIO por diversidade e inclusão em 2020 e 2021. Antes da Schneider Electric, Mike atuou como CIO da CROSSMARK, onde transformou digitalmente os recursos de negócios para o provedor de serviços de 40.000 funcionários para o setor de varejo e bens de consumo. Além disso, ele ocupou cargos de liderança executiva na Enterprise Mobile, uma joint venture da Microsoft que agora faz parte da Honeywell, Insight, Software Spectrum e InVerge, pioneira em serviços da Web que ele fundou em 1999. Mike atua em vários conselhos consultivos de tecnologia e indústria e trabalha como voluntário com organizações sem fins lucrativos focadas em saúde mental e prevenção do suicídio e aquelas que beneficiam o desenvolvimento de nossa futura força de trabalho em ciência, tecnologia, engenharia e matemática.

Transcrição do episódio

Aberto para transcrição

Andreas Rohr: A história mais convincente para o conselho de trabalhadores que, na verdade, não estava lá para impedir que a segurança ou a empresa fizesse as coisas certas, eles estavam lá para garantir que os dados não fossem violados contra os direitos do funcionário. É a missão deles, a tarefa deles, e é válida. Quando eu estava em uma posição de CISO em empresas onde havia realmente um forte conselho de trabalhadores, o melhor relacionamento é se você está realmente sendo transparente com o que faz, por que está fazendo isso?

Locutor 2: Olá, sejam bem-vindos à Security Visionaries. Você acabou de ouvir o convidado de hoje, Andreas Rohr, CTO da DCSO. Alinhar organizações em segurança requer muitas habilidades, sendo a mais importante, transparência. Desde o estabelecimento de comunicação de cima para baixo até a colaboração com conselhos de trabalho, a transparência responde a muitas perguntas ao longo do caminho. Tipo, quem tem acesso às informações confidenciais? Qual é o apetite por risco de uma organização? E como os dados dos funcionários são protegidos? Antes de mergulharmos na entrevista de Andreas, aqui está uma breve palavra de nosso patrocinador. Este podcast da Security Visionaries é desenvolvido pela equipe da Netskope. Na Netskope, estamos redefinindo a segurança de nuvem, dados e rede com uma plataforma que fornece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados em qualquer lugar. Para saber mais sobre como a Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada atrevida, visite NETSKOPE.com. Sem mais delongas, aproveite o episódio 20 de Security Visionaries com Andreas Rohr, CTO da DCSO e seu anfitrião, Mike Anderson.

Mike Anderson: Bem-vindo ao episódio de hoje de Security Visionaries. Sou seu anfitrião, Mike Anderson. Sou o Diretor Digital e de Informação aqui na Netskcope. Hoje, Andreas Rohr se juntou a nós, vindo da Alemanha. Como você está hoje, Andreas?

Andreas Rohr: Ah, muito bom. Obrigado por pronunciar o nome muito bem.

Mike Anderson: Estou super empolgado com esta conversa hoje porque, quando pensamos em segurança cibernética, você fez coisas muito interessantes ao reunir pessoas na região DACH e pensar em empresas de todos os tamanhos ao pensar no tópico cibernético . E então, você pode nos contar mais sobre o DCSO, como começou, a missão que você tem, o que está tentando realizar e como está trabalhando com as empresas?

Andreas Rohr: DCSO significa Organização Alemã de Segurança Cibernética. Portanto, o D é para Deutsche, para aqueles que talvez estejam familiarizados com o idioma. E o que basicamente quatro empresas na região DACH; Allianz, BASF, Volkswagen e Bayer, você já deve ter ouvido falar, algumas das maiores empresas da Europa, eles viram que deveriam basicamente unir forças e trocar ideias com outros pares de si mesmos para não reinventar sempre os temas de segurança sozinhos e trazendo juntos seus especialistas. Porque eles têm uma coisa em comum, que é 90%, 80% do que eles estão desafiando e a segurança é mais ou menos a mesma, apesar de estarem competindo no mercado. E segundo, os talentos não são suficientes no mercado. Portanto, reuni-los sob o mesmo teto e incumbi-los de coisas nas quais todos estão interessados tornaria as coisas ainda melhores. E os recursos permitiram o teste de novas ideias. Então essa é uma das coisas. A segunda é que todos eles têm sua cadeia de suprimentos da qual dependem. E isso foi há sete anos, então o termo ataque à cadeia de suprimentos não nasceu naquela época, mas eles já perceberam que o elo mais fraco basicamente não é a segurança e a equipe de segurança e a maturidade deles, mas a cadeia de suprimentos, que são mais dependentes.

Andreas Rohr: E digerir ou tornar as coisas digeríveis a partir de seus insights e aprendizados de segurança é o que o DCSO como uma troca orientada pela comunidade para operacionalizar tais insights e tecnologias para os quais também fomos fundados, para encontrar maneiras de facilitar para usar e também para aplicar para aquelas empresas que não possuem uma grande equipe de segurança ou mesmo conhecimento. Então operacionalizar com serviços de segurança foi a segunda tarefa, basicamente durante a fundação da empresa.

Mike Anderson: Não, isso é ótimo. E eu definitivamente sei que temos tantos papéis cibernéticos abertos por aí hoje. Qualquer coisa que você possa fazer para ajudar as empresas a combater os maus atores que estão por aí e querem causar danos às empresas. Como você disse, em alguns casos, esses são concorrentes se reunindo à mesa para descobrir como podem basicamente nos proteger dos adversários que vivem na natureza. Portanto, é definitivamente uma missão forte. Você teve outras empresas que aderiram como parte disso? E você falou sobre os quatro que se juntaram originalmente, mas você teve mais que se juntaram nessa missão também?

Andreas Rohr: Essa é uma boa pergunta. Portanto, não são apenas os quatro. Nós começamos isso muito cedo com cerca de 16 empresas fiscais, agora somos cerca de 20, 21 ou mais e algumas empresas familiares e empresas de tamanho semelhante. E eles basicamente orientam o tipo de desenvolvimento do portfólio da DCSO e sobre o que devemos falar e o que você deve pesquisar em termos de tópicos e direções e nos ajudam, em uma consultoria também por assim dizer, onde desenvolver. E o segundo é o que também gostamos e realmente conseguimos implementar é um formato muito regular onde eles aprendem não apenas com novos tópicos, mas também as coisas existentes onde falharam ou como resolveram certos desafios e o que não deu certo. Portanto, isso é ainda mais importante para encurtar as curvas de aprendizado. E isso não é só para as empresas menos maduras, é também entre as maduras. E isso prova que aproximar as pessoas, apesar de competirem em um mercado, é realmente útil, eficaz, e não deve se limitar apenas às empresas em si, mas também ao relacionamento com autoridades e talvez até mesmo com esses institutos de pesquisa. Então, realmente conectando os diferentes campos de especialização e insights, especialmente também para os serviços de inteligência. Faz sentido em ambos os sentidos ter um fluxo, não deixar isso visível para os tomadores ou adversários, como você disse.

Mike Anderson: Definitivamente, sinto a necessidade dessa parceria público-privada em torno da troca de inteligência e do que está acontecendo do ponto de vista da ameaça. Mais uma vez, meio que traz todo esse conceito de que a segurança é um esporte de equipe. Não são apenas as quatro paredes da minha organização, mas todo o ecossistema trabalhando junto. Quando você olha para isso, estou apenas curioso, quando você pensa sobre as autoridades que estão por aí, você foi capaz de influenciar políticas ou mudanças que ajudariam as empresas a ter melhores diretrizes ou coisas com as quais se alinhar?

Andreas Rohr: Sim, definitivamente. Essa foi uma das coisas que basicamente aprendi com os Estados Unidos. Então, eu vi o NCFTA, onde o FBI e outras autoridades policiais e industriais trabalhavam juntos. Acho que nos primeiros anos, nos zero dias dos anos 2000 e também em outros formatos para os quais algo é orientado pelo estado. Mas, em geral, gosto muito da ideia de que existe um relacionamento fluente onde as coisas necessárias para ajudar um ao outro são realmente trocadas. E isso também impulsionou minha forma de influenciar como fazemos isso e, de fato, temos um relacionamento muito bom com o Ministério do Interior, que na verdade é responsável por ser a função consultiva e fiscalizadora da polícia federal do BSI, o órgão federal escritório de segurança da informação, e também aquele que está protegendo a constituição. Não tenho certeza do que isso traduz para o inglês. Portanto, ter essas autoridades que têm todas as suas próprias percepções de [0:07:13.7] ____, de seus colegas do FBI, por exemplo, ou de outros serviços de aplicação da lei ou de inteligência, e certificando-se de que está sendo repassado via DCSO como uma câmara de compensação confiável, se você quiser, onde eles podem confiar que isso não vazará para o público, especialmente para os atacantes.

Andreas Rohr: Mas ajudar as empresas a encontrar certas coisas onde não há indicação clara de que uma determinada empresa está ameaçada por um determinado ator. Mas, em geral, ajudar a identificar se esses invasores estão ativos nessas redes provou ser muito valioso porque também ajudamos as autoridades a descobrir que um determinado grupo estava ativo por nós operacionalizando as informações que eles nos forneceram em um site confiável caminho. E poderíamos basicamente dizer a eles: "Ok, olhe, essa coisa que você nos deu, não temos ideia de onde veio, mas vimos isso aqui." E assim ajudamos as autoridades policiais e também os serviços de inteligência a terem seus alvos para serem melhor monitorados quando não possuem sensores, porque do lado interno as autoridades estão limitadas ao que podem fazer em contraste com fora da Alemanha. E a mesma coisa, por outro lado, as empresas que às vezes são muito conservadoras em deixar as autoridades examinarem suas redes podem nos usar para garantir que haja apenas as coisas que são realmente necessárias para cumprir para que cada missão individual seja repassada. E tendo basicamente a gente como ponte para cobrir também nem sempre dando confiança no começo.

Andreas Rohr: Então, é desenvolvido em algo onde há uma troca mais confiável onde esses medos iniciais, eles não desapareceram, mas são definitivamente mais baixos do que antes. Então isso ajuda no final de todos. Não ficando patético aqui, mas também ajudando a obter uma melhor proteção da própria democracia onde você tem partidos influentes por aí.

Mike Anderson: Bem, parece que você disse falta de confiança, então parece confiança zero. Parece que esse é um tema comum em todos os lugares. Vejo muitas organizações tentando se alinhar a ela. Olhe para o guia, como nos EUA e até além, às vezes vemos pessoas se alinhando aos controles do NIST que existem porque as seguradoras que; esse será um tópico sobre o qual falaremos um pouco mais tarde, eles estão usando isso como um guia. Os auditores o usam como um guia. O que você vê como um guia para as empresas com as quais trabalha hoje? O que é esse guia com o qual eles estão tentando se alinhar?

Andreas Rohr: Portanto, não é tanto orientado pelo NIST, é apenas tratado na natureza que estamos na Europa e tentamos, às vezes, inventar a roda nós mesmos, em vez de unir nossas forças. Mas, de qualquer forma, o guia aqui é mais a ISO 27000 ou algo semelhante a ela. É uma versão bem alemã disso. Todos eles tentam garantir que você gerencie sua segurança corretamente. E ainda mais nisso, para o desenvolvedor dos últimos anos, o nível de maturidade dessas implementações de controle importa mais do que a efetiva conformidade dos mesmos. Portanto, pense em ter coisas de conformidade primeiro e, talvez, 10 anos atrás, onde eles começaram a implementar essas coisas, a eficácia disso é o que importa. Então, na verdade, há uma mudança, e o que eu gosto com o NIST e também com outras estruturas, é que eles tentam ir mais na direção, quão eficaz você está realmente se protegendo e não necessariamente apenas gerenciando basicamente seus riscos e tendo controles. E é aqui que as coisas devem se desenvolver ainda mais. Então o cumprimento é necessário, mas é apenas uma condição necessária, não é suficiente, porque o suficiente é ser eficaz. E a eficácia realmente importa mais do que o cumprimento total. Mas isso pode não ser citado para um regulador, por favor.

Mike Anderson: Bem, é interessante, porque o que vejo muitas vezes é que as pessoas adquirem ferramentas porque os auditores dizem que você precisa ter a ferramenta. Mas, como você disse, a eficácia é, na verdade, você está usando a ferramenta para atingir o objetivo que deseja atingir ou impulsionar o resultado comercial? E muitas vezes isso é um elo perdido porque as pessoas coletam ferramentas para satisfazer os auditores, mas não estão obtendo a eficácia de que precisam. E agora eles estão se expondo a interrupções nos negócios, seja ransomware, eles estão se expondo a uma violação de dados em sua organização.

Andreas Rohr: Sim. Isso é algo que os auditores e os reguladores devem pensar de forma diferente, talvez no futuro, porque eles conduzem esse desenvolvimento pela forma como colocam sua regulamentação. E há uma boa mudança, que eu vi foi uma diretriz de segurança local que realmente entrou em vigor ou entrará em vigor totalmente em 1º de maio na Alemanha, o que indica que você precisa ter... Como na nova versão da ISO 27000, que você precisam ter sistemas para detectar ataques. É assim que eles chamam. Então, basicamente, mecanismos de detecção ISO e também resposta. E essas são realmente as coisas às quais você também se refere. Não é apenas uma coisa de ferramenta, eles também exigem que você organizacionalmente precise ter certeza de que é capaz de analisar essas coisas, de forma humana e dar sentido a isso, seja algo sério a ser perseguido ou não. E depois ainda mais importante, poder e ter as coisas implementadas para reagir. Portanto, também é algo orientado para a organização que você precisa ter capacidade 24 horas por dia, 7 dias por semana, para fazer algo a respeito. Se houver uma indicação de que um grupo de ransomware está em um estágio inicial. Porque você pode ter apenas algumas horas ou, no máximo, dias restantes para evitar o dano máximo.

Andreas Rohr: E ter essas coisas organizacionais além das ferramentas e da integração e fazer uso disso de maneira eficaz é onde a regulamentação deveria... Como as seguradoras realmente fazem, elas preferem procurar se algo é efetivamente seguro ou não. E é aqui que ele realmente precisa se desenvolver. Mas o regulador, para eles é mais fácil dizer que você precisa ter um SIM, você precisa ter um monitoramento de detecção de rede. Portanto, se você tiver um data center próprio e quais não. Mas no final pode ser um bom conselho também para o regulador, talvez essa seja uma das próximas missões do DCSO para influenciar isso para ser mais relevante na prática o que eles realmente dizem. E há um bom exemplo para a lei de segurança nacional que foi lançada há dois anos na Alemanha.

Mike Anderson: Não, isso é ótimo. Você mencionou sobre o gerenciamento do impacto. Lembro que um colega meu em uma empresa global de bens de consumo disse que, quando o NotPetya chegou, ele infectou toda a rede e todos os sistemas em 15 minutos, globalmente. E, portanto, acho que pensar é o tradicional: "Como faço para levar as coisas o mais rápido possível do ponto A ao ponto B, do C ao D e ao redor da minha rede corporativa". Tudo isso precisa ser repensado porque, se eu ficar comprometido em um nó, ele pode rapidamente assumir toda a minha rede e derrubar todo o meu negócio?

Andreas Rohr: Exatamente. E quando você também pesquisa sobre esse assunto, pense, esse NotPetya era algo que a maioria das pessoas poderia ter evitado fazendo mais higiene em seus remendos. Mas antes que essas coisas aconteçam, pelo menos com vetores de ransomware, eles fazem algum barulho na rede. Portanto, há quase 100% dos casos em que estivemos envolvidos, fazendo resposta a incidentes, vimos sinais suficientes que poderiam ter sido basicamente analisados e desencadeados ações para interromper o ataque. Isso não os faria necessariamente remediar esses sistemas e construir coisas do zero, mas eles poderiam ter evitado todo o dano que realmente aconteceu depois de alguns dias. E a mesma coisa também é com NotPetya, se você pudesse ter corrigido aquelas coisas que são conhecidas ou consideradas críticas, e algumas outras boas práticas que realmente são obrigatórias nesses padrões, você mencionou anteriormente, então este é o dever de casa , a condição necessária. E o suficiente é construir em cima disso uma boa rede de detecção que realmente lhe dê o gatilho para agir. E, não tenho certeza se teria sido resolvido em 15 minutos, mas em geral há um prazo que está diminuindo para ser justo.

Andreas Rohr: Mas há um período de tempo em que você pode detectar coisas e assumir que nem todas as medidas de proteção sempre o protegerão 100%. E é um usuário que clica em algo ou você não corrigiu ou há uma configuração não segura ou o que quer que esteja lá. Mas se você presumir que é esse o caso e tiver uma grade de detecção em cima dela, isso lhe dirá: "Ok, há algo que você não quer ter aqui. Por favor, dê uma olhada e tome uma atitude." Talvez até de forma muito automatizada ou pré-definida para parar tais ataques é o que precisa ser feito para empresas realmente boas em termos de estado de segurança.

Mike Anderson: Sim, concordo plenamente, cara. Se for manual, você está sempre dependendo da pessoa que está na cadeira e com uma lacuna de habilidade que pode se tornar problemática. Então, exatamente ao seu ponto, a automação. Para que eu possa tomar medidas preventivas e executar meu jogo o mais rápido possível, é fundamental. Voltando a pensar no lado da segurança, e penso na privacidade dos dados, todo mundo fala sobre GDPR. Eu sempre lembro às pessoas, você acha que o GDPR é difícil, espere até ter que ir ao conselho de trabalhadores alemão e falar sobre privacidade de dados para cidadãos alemães. Quando você pensa em várias ferramentas de segurança, está inspecionando o que as pessoas estão fazendo. Como você está ajudando as empresas a navegar no conselho de trabalhadores alemão para garantir que possam obter as proteções certas, mas também preservar a privacidade dos cidadãos alemães?

Andreas Rohr: Essa é uma pergunta complicada. Não há bala de prata para fazer isso acontecer. Esse conselho de trabalhadores está feliz com o que está acontecendo quando uma grande quantidade de dados é inspecionada, o que é necessário para a detecção, para ser justo. Mas a história mais convincente para o conselho de trabalhadores, que na verdade não está lá para impedir que a segurança ou a empresa faça as coisas certas, eles estão lá para garantir que os dados não sejam abusados contra seus funcionários. É a missão deles, a tarefa deles, e é válida. E para se dar bem com os conselhos de trabalhadores... E quando eu estava em uma posição de CISO em empresas onde havia realmente um forte conselho de trabalhadores, o melhor relacionamento é se você está realmente sendo transparente com o que faz, por que está fazendo isso. Então eu era bem jovem naquela época. Eu não era muito bom em argumentar potencialmente, basicamente em sua missão, porque eles também têm a missão de proteger os funcionários de danos. E isso também inclui ataques cibernéticos ou violações de privacidade de dados e violações, etc. Então, naquela época, eu deveria ter argumentado, o que faço agora, que ajudar a prevenir ataques inspecionando algum tráfego ou adquirindo certos dados seria o caminho certo a seguir. E essa é uma das coisas que eles não podem negar se você souber como a constituição basicamente funciona.

Andreas Rohr: Se você disser a eles que o único caso de uso para usar esses dados, onde é válido usar os dados, é para detectar atividades maliciosas e não rastrear funcionários e outros enfeites, e se você der isso por escrito, é isso que você faz e se você aderir às suas próprias regras nesse sentido, então elas basicamente irão, em primeiro lugar, colocar algumas pedras em seu caminho e ver se você se comporta ou não. Mas se você fizer isso constantemente de forma que esteja apenas usando-o para detectar coisas maliciosas e, basicamente, impedindo seus constituintes, se quiser, então da próxima vez deixará você passar pela porta mais facilmente do que antes. Pelo menos nunca falhei em fazer as coisas passarem pelo conselho de trabalhadores. É apenas a maneira como você coloca isso e realmente adere à maioria dos princípios para não usar os dados para outra coisa para a qual os adquire.

Mike Anderson: Isso é ótimo. Bem, espero que seja uma oferta de linha de produtos que você está oferecendo na DCSO.

Andreas Rohr: Sempre que você compra serviços gerenciados da DCSO, isso está incluído. Portanto, ajudamos o cliente a passar pela porta do conselho de trabalhadores e acho que temos uma reputação muito boa. E como já trabalhei com conselhos de trabalhadores antes no mundo da Volkswagen, mas também na concessionária, onde eles têm conselhos de trabalhadores muito fortes e contam sobre meu passado com eles e como é bom o relacionamento etc., então essa é a outra parte da história . Então, trazemos nossa experiência e eles gostam disso normalmente e facilitam sua vida em termos de ajudá-los a discutir com seus pais. E então é uma questão de confiança no final, não como confiança zero, é realmente o contrário. Portanto, se você construir um fundo, poderá fazer a maioria das coisas com o conselho de trabalhadores. E mesmo que você dê a eles apenas uma pequena dica, uma conta somente leitura para a tecnologia que você está implantando, isso também ajuda muito. Então eles devem ter transparência e ajudá-los a ver o que você está olhando e o que você faz com isso e como você comenta casos, etc., isso também está ajudando a construir confiança. Então eles podem não entender tudo como eles veem, mas é aqui que eles não têm a sensação de que algo está acontecendo no escuro, o que pode prejudicar meu povo. E não é um ingrediente secreto de sucesso, mas é algo que, se você aderir a ele, provavelmente o levará a um bom resultado.

Mike Anderson: Isso é ótimo. Concordo 100%, transparência é o que constrói confiança. Quando as pessoas não têm transparência, as pessoas estão adivinhando e adivinhando não leva à confiança. E esse é um ótimo conselho ao lidar com o Conselho dos Trabalhadores Alemães e, geralmente, como um princípio comercial. Transparência é o que constrói confiança. Se eu olhar para a função que você tem hoje e falar sobre algumas de suas funções, quais são alguns dos aprendizados que você trouxe para o DCSO? Você mencionou que foi CISO no passado e agora CTO da DCSO. Fale um pouco sobre essa jornada e como as coisas evoluíram em seu pensamento à medida que você fez a transição para a função que tem hoje em comparação com as funções de praticante e tipo CISO que você teve no passado?

Andreas Rohr: Quando eu era CISO naquela época, tinha o mesmo desafio que a maioria dos CISOs que também possuem equipes técnicas. Então, tive a sorte de não apenas ser responsável pela governança e pelo sistema de gerenciamento de segurança, mas também por ter uma equipe própria de segurança operacional e o luxo de brincar com a tecnologia etc. Então, o que eu mais comecei foi o que eu tinha todas aquelas ferramentas no lugar que fazem da ilha um bom ou até um bom trabalho, mas não havia uma maneira coerente de utilizar isso para uma imagem inteira. E eu não quero dizer coisas de painel único de vidro. Quer dizer, isso é frequentemente usado, mas fazer uso dos pontos fortes das diferentes tecnologias e combiná-las é o que basicamente me tornou bem-sucedido para ser muito econômico em obter, na verdade, todo o valor das diferentes tecnologias que eu estava empregando. E também coloquei minha equipe em posição de fazer algumas coisas boas que não foram medianas para o que as equipes podem alcançar. Então, pegando isso, tipo, um conjunto ou ferramentas diferentes, um canivete, se você quiser, um canivete suíço, então a equipe que está operando esse canivete realmente importa mais. Portanto, fazê-los lidar com diferentes tipos de tecnologias de entrada, fluxos, insights e operacionalizar as diferentes capacidades e habilidades das pessoas para maximizar o resultado e também ajudar a resolver certos deveres de casa para nossos clientes no DCSO, foi o que me motivou quando desenvolvemos O portfólio.

Andreas Rohr: Então, uma das coisas que não mencionei antes foi que também recebi a tarefa de criar um portfólio de serviços de segurança gerenciados há sete anos. Então, volte para aquela época, não era muito comum, ter talvez um SARC terceirizado ou algo assim, mas não terceirizar tanto os serviços de segurança gerenciados e resolver o dever de casa para essas organizações, para que elas possam se concentrar nas nozes mais interessantes e difíceis de quebrar e não fazer o trabalho do dia-a-dia e tornar isso muito eficiente foi possível porque eu já estava no cargo antes. E ao mesmo tempo não tendo o discurso para o cliente dizendo: "Fazemos isso por você". E como tirar seu emprego, o que é realmente algo que você recebe muita resistência das equipes de segurança com as quais tenta fazer negócios. Mas ajudá-los: "Olha, sabemos que você precisa fazer isso e às vezes é doloroso e também já estivemos na posição antes, então gostaríamos de nos misturar à sua equipe e apenas aceitar que somos aquele que faz o super lição de casa todos os dias, 24 horas por dia, 7 dias por semana e por que você não se concentra nas coisas interessantes?" E damos-lhe todos os ingredientes para isso. Essa é uma das coisas que ajudaram muito de um CISO e também temem a perspectiva dessas equipes maduras e do espaço do cliente para aceitar que trazemos valor agregado. Portanto, não é uma questão técnica, mas sim como você se integra e complementa as habilidades e capacidades da equipe. E é aí que você consegue convencer também o pessoal técnico do lado do cliente.

Andreas Rohr: E isso ajudou muito a construir o portfólio, como colocamos, e também a colocar a parte da comunidade em cada um dos serviços no jogo onde eles conversam e trocam com os colegas, não só como eles gostam de nós, mas também como eles resolver certos problemas do mundo real no dia-a-dia sem ter um consultor no local que os ajude a resolvê-los de uma forma ou de outra. Mas aprender com os outros facilitados para nós é o que realmente torna nosso sucesso possível. E isso também é único. Portanto, não estamos focando apenas em números dentro do valor do cliente para VC, mas realmente orientados para que eles possam ajudar uns aos outros e fazemos o dever de casa da maneira mais inovadora possível. Foi aí que meu passado realmente ajudou a criar um tipo diferente de portfólio.

Mike Anderson: Não, isso é ótimo. Eu tenho que perguntar, uma das perguntas que sempre me fazem, e então eu vi um debate online ontem no LinkedIn entre CISOs sobre, como você determina o orçamento para segurança? E o debate sempre ronda, é um percentual do faturamento da empresa? É uma porcentagem do orçamento de TI? É baseado na postura de risco da organização e no que eles querem investir em torno disso? Como vai você... Imagino que essa seja uma pergunta que você recebe o tempo todo das empresas. Como você está respondendo a essa pergunta?

Andreas Rohr: Em vez disso, os CISOs devem obter um, se você me perguntar, um consultor confiável e neutro que não tenha interesse próprio em vender algo. Às vezes, eu realmente me encontro em posições semelhantes. Somos contratados pelo conselho de administração e basicamente olhamos para o patrimônio deles, etc., e então sabemos que eu também vendo esses serviços, mas digo a eles o que é necessário e o que é ... sendo realmente franco e não apenas buscando benchmark e indo atrás de coisas efetivas. Então, quais são as coisas que você mais deseja proteger, que realmente fazem sua empresa funcionar? Como uma análise de impacto nos negócios. Se você sabe que é 10%, de quem é mais dependente, e se colocar todas as funções de segurança efetivas em cima disso e fizer um trabalho médio para as coisas restantes, é o melhor conselho a seguir, em vez de procurar os números puros. E você quer proteger seu negócio ou não, os 10%. E é assim que eu falo com eles, então tá, o que é preciso pra isso? Obviamente é a próxima pergunta. E quanto é uma quantia apropriada de dinheiro para gastar? Enquanto eles estão começando de cima para baixo primeiro, eu fui os processos críticos de negócios e depois de baixo para cima. O que é necessário para isso? E, em seguida, diga: "Ok, para o restante, posso usar um benchmark". Então é assim que eu abordaria isso.

Mike Anderson: Sim, é um bom conselho se eu pensar em toda a empresa. Você falou sobre o risco da cadeia de suprimentos no início da conversa. Quando eu estava na Schneider Electric, conversava com nosso chefe da cadeia de suprimentos sobre qual é a postura de segurança de nossos fornecedores? Como isso se encaixa em nossa estratégia de sourcing? E tudo se transforma em toda essa conversa sobre riscos corporativos, não apenas cibernéticos, mas qual é a estabilidade financeira da empresa com a qual estou trabalhando? A segurança agora se torna outra questão que vem ao lado disso, porque se não consigo aço, é difícil fabricar produtos sem aço. E então olhando através disso, então eu acho que você está certo com isso. Eu espero que isso sirva para a maioria das empresas que fabricam cúpula e aqueles 10% nos quais eles estão realmente focados, que eles querem proteger.

Andreas Rohr: Com certeza. E aprendemos a interrupção da cadeia de suprimentos com o Canal de Suez, que é um evento muito físico, agora tivemos essa pandemia, talvez uma guerra comercial e coisas relacionadas, e depois temos essa escassez de recursos devido à crise na Europa com a guerra e também com a China talvez não podendo operar suas fábricas porque não podem ou não querem. Então seja o que for. Portanto, saber exatamente onde estão seus elos fracos e gerenciá-los realmente basicamente, ou já redefiniu nossa maneira de medir o risco. E também devemos levar em consideração, esse é um dos aprendizados do ano passado, que nem sempre os adversários agem de forma racional. Portanto, ter um gerenciamento e avaliação de risco com base no comportamento racional de outros pode ser verdade para a maioria das coisas, como o mercado financeiro talvez e outras coisas, mas não necessariamente para estados como a Rússia. E também devemos assumir que existe uma forma disruptiva de agir sem qualquer recompensa óbvia para quem o faz, o que seria racional. E esta é uma das coisas em que você deve ser mais conservador em termos de avaliação desses riscos, em vez de: "Sim, isso é tão improvável, então não vai acontecer." Isso também é algo que devemos realmente levar em consideração.

Mike Anderson: Com certeza. Vou girar um pouco, como você falou sobre o trabalho com o conselho de administração e outros, quando você pensa em segurança como um esporte de equipe, muitas vezes o CISO é aquele que leva tudo... É como provavelmente um dos trabalhos mais difíceis do mundo, porque não há um dólar que você possa gastar que o proteja 100% e, portanto, é sempre uma troca de risco e recompensa. Mas também não é apenas o trabalho do CISO. Como você está vendo e como está ajudando a aconselhar as empresas sobre como fazer a segurança se tornar parte da estrutura de sua organização e seu pessoal em toda a organização em todas as diferentes unidades, unidades de negócios e funções? Como você está dirigindo isso e está vendo que a evolução ocorre no ritmo que você esperaria?

Andreas Rohr: Portanto, o conselho é dividi-lo em duas disciplinas diferentes. Uma é mais de uma perspectiva de compliance e de colocar o quadro no lugar, e também o apoio do conselho para as coisas mais gerais, que não são orientadas pelos negócios por si só. E o segundo é tornar as equipes responsáveis de ponta a ponta. Portanto, a maneira moderna de desenvolver e executar aplicativos é a equipe DevOps. Portanto, isso provou ser, para a maioria das coisas, a melhor configuração. E adicionar segurança, e essa era a palavra da moda, DevSecOps, na verdade significa que você incorpora a segurança para as operações, mas também para os desenvolvedores em um loop muito próximo. E é assim que você realmente conscientiza todos o que estão fazendo, qual é o impacto e o que, na melhor das hipóteses, deve ser implementado, em vez de um ciclo de desenvolvimento centrado no gateway. E com isso você pode reagir muito mais rápido em vulnerabilidades, em insights, em coisas, abuso de invasores, que pode ser uma função normal. E esta é a configuração mais moderna que você deseja ter em TI de qualquer maneira, e adicionando segurança a ela. E com isso, também desenvolvendo os desenvolvedores e depois o pessoal de operações para saber o que eles devem fazer, porque basicamente eles não foram criados com esse conhecimento. E o treinamento no trabalho, por assim dizer, é a melhor maneira de implementá-lo da maneira mais eficaz.

Andreas Rohr: Não diminua a habilidade deles em termos de fazer isso da maneira certa. Mas se há algo sentado ao lado deles tendo aquela coisa e eles estão basicamente se apoiando em certos aspectos, é a maneira mais eficaz de fazer. E este é o segundo, que deve ser implementado. E o líder funcional ou líder da tribo, por assim dizer, para o assunto de segurança deve estar com o CISO. Portanto, ter uma maneira organizada de matriz de implementar isso, mas eles devem ser incorporados ao sentar-se com os desenvolvedores e o pessoal de operações, como seria uma segurança normal. Essa é, na minha opinião, a melhor maneira de fazer isso, existem setores em que isso não funciona, então precisamos agir de maneira diferente, mas para empresas voltadas para TI, essa é a melhor maneira de garantir que isso aconteça. E talvez lá, o pessoal da segurança não pode estar lá 100% do tempo por falta de talento como sabemos, mas ter isso em geral vai implementar e trocar de equipe e fazer issos possible is the way how it should go.

Mike Anderson: Isso é ótimo. E coisas que tenho visto até agora no... Se eu pensar nas equipes de TI e digitais, o DevSecOps é definitivamente o modelo, para usar essa palavra da moda, o caminho a seguir. Se eu pensar nas minhas funções financeiras, nas minhas funções de RH, se pensar nas minhas diferentes unidades de negócios, quais são algumas das coisas que você vê trabalhando para trazer segurança à mentalidade das pessoas fora da organização e empresa de tecnologia? Como tornar a segurança parte da estrutura da organização?

Andreas Rohr: Não tenho certeza se esta é realmente uma tarefa ativa apenas do CISO, é totalmente uma espécie de conselho de administração começando com a jornada. E não é mais um desafio porque os ataques de colegas e alvos próximos e as ações perturbadoras dos invasores do ano passado realmente ajudaram muito a transformar isso do improvável que poderia ocorrer na minha organização em algo real. Ok, precisamos cuidar disso. Não é uma questão estatística, vai me atingir a cada 10 anos, mas com certeza vai me atingir nos próximos dois anos e, portanto, preciso cuidar disso. E a segurança não deve ser implementada 100% segura para evitar que tudo seja de conhecimento geral. E isso também se aplica a RH e finanças, etc. Então a diferença com eles é que eles precisam receber uma meta [0:31:15.5] ____ o que deveriam fazer, o que não deveriam fazer e como e onde perguntar se não tivessem certeza sobre certas coisas. E isso é consciência em primeiro lugar, ou... Acho que a Netskope também usa de tempos em tempos o termo firewall humano para isso. E é bom basicamente aconselhá-los e ensiná-los, mas não é tão bom quanto também ajudá-los se precisarem, o que fazer se não tiverem certeza. Então isso é ainda mais importante, para que possa haver algo suspeito, ok, mas se eles conseguirem ajuda num piscar de olhos de uma hora ou de alguns minutos, isso será ainda mais importante.

Mike Anderson: Sim. Você mencionou o firewall humano. Tem sido uma grande campanha interna do nosso CISO aqui em Lamont, porque sempre olhamos para o elo mais fraco em qualquer programa de segurança: as pessoas que estão na presidência fazendo seu trabalho todos os dias. Temos todas as ótimas ferramentas para encontrar as pessoas que gostariam de causar danos intencionais. São as pessoas que causam danos acidentais todos os dias que clicam em links que não deveriam. Eles trazem aplicativos que não deveriam usar. Eles colocam dados nesses aplicativos que não deveriam estar lá. É isso que estamos tentando resolver. Uma das grandes coisas de que sou um grande fã é como podemos criar melhores cidadãos digitais? Você ouve shadow IT como um conceito que existe hoje. E se você perguntar ao CEO agora, é mais TI liderada pelos negócios, porque temos uma nova geração de trabalhadores que são nativos digitais. E então, como podemos capacitá-los a resolver problemas, mas de forma segura. Essa é minha nova missão na vida, sendo o CIO de uma empresa de segurança: como posso permitir que a pessoa que está na presidência resolva o problema de maneira segura para que possamos desbloquear essa mentalidade nativa digital? Então, como as pessoas estão evoluindo isso? Shadow IT sempre foi uma grande novidade, mas se você olhar para muitas fábricas de suprimentos, como você mencionou, o líder da fábrica contratará alguém para construir um painel para elas. Então, como você está vendo a evolução de parte desse pensamento?

Andreas Rohr: A shadow IT evolui a partir de não obter suporte flexível com você, trazer seu próprio dispositivo ou ativar um servidor ou o que quer que seja. Obter em primeiro lugar uma forma mais ágil e também confiável de obter recursos de computação e armazenamento ajudaria muito essa TI paralela, porque eles não querem ter um servidor sob sua mesa. Então ninguém quer isso. Eles só fazem isso porque não recebem a ajuda de que precisam. Então, resolver isso de forma progressiva e também aceitar talvez algum risco de que eles não sejam os melhores na administração de um servidor, mas ainda é melhor do que ter uma TI paralela. E então a primeira coisa. E a segunda é para o usuário, por exemplo, deixá-lo trazer suas próprias coisas e construir em torno daquela talvez mureta que ajuda a resolver as coisas mais importantes em termos de higiene, mas não ter um dispositivo 100% gerenciado. Então isso também pode ajudar. E então há dicas, você recebe um e-mail de um fuso horário ou de um local, este centro no qual você interferiu anteriormente não está correto ou é tão diferente, então você pode receber alguma pequena coisa, "Sim, este e-mail está fora de sua organização ou este foi enviado em um horário incomum." Portanto, sugerir basicamente que os usuários tenham um olhar mais atento sobre o que estão fazendo e enfrentando no momento também ajuda a tomar decisões melhores no final.

Mike Anderson: Não. Esse é definitivamente um ótimo conselho. Então, quero mudar um pouco para chamarmos isso de questões futuristas. Então, enquanto olhamos para frente, tenho certeza de que você aprendeu que, se olhar para os últimos cinco anos, provavelmente há um monte de coisas que você teria dito: "Se eu pudesse fazer diferente, eu teria feito isso". Por aqui." Se eu avançar para cinco, dez anos, digamos apenas 2030, em que os líderes de segurança e TI gostariam de ter investido agora, quando olharem para 2030?

Andreas Rohr: 2030 é um período bastante longo, mas digamos que seja nos próximos cinco anos. Ainda bastante desafiador, basicamente adivinhar o que teria sido importante é se tornar flexível no ecossistema de parceiros em que você atua, e isso leva a uma forma de integração de recursos não controlados. Sendo fluxos de dados ou serviços, etc., era uma maneira muito flexível de conectá-los a uma conexão e impor, naquela camada muito abstrata, certas políticas e coisas que você pode querer mudar, se mudar de parceiro, se mudar de plataforma, etc. E isso leva a um princípio de confiança zero e o segundo a um tipo de estrutura que você controla, mas que é flexível o suficiente para não ser um monólito ao longo do tempo e, em vez disso, permitir que você faça uso de diferentes serviços em nuvem, de diferentes redes de parceiros, etc. cetera. E se você não investir na capacidade de ter essas coisas conectáveis, você terá muito mais tempo necessário para ir ao mercado para novas configurações. E isso será no final das contas, em vantagem competitiva ou até não se você não fizer isso. Portanto, investir de forma conectável e fazer cumprir pontos para garantir que suas decisões sejam governadas da maneira certa, é isso que você deseja. E no final é, até certo ponto, uma confiança zero.

Mike Anderson: Isso é ótimo. Então, já que você mencionou a palavra confiança zero, muitas vezes pensamos em cibernético, por que investimos em cibernético? É para realmente evitar violações e evitar interrupções nos negócios. Então, se olharmos para a confiança zero, como você vê isso evoluindo? Como isso influencia o modo como as empresas pensam sobre a proteção de seus dados? Porque obviamente isso é o que estamos tentando proteger do ponto de vista de violação de dados.

Andreas Rohr: Acredito que a confiança zero na verdade ajuda de maneira diferente do que a maioria das pessoas pensa em termos de prevenção de violações e obtenção de melhor governança em torno de barreiras de dados, se você quiser. É antes ser mais flexível quando você muda sua arquitetura, seu cenário de aplicativos, seus parceiros, sua aquisição, etc., e com isso ter tempo de lançamento no mercado para reagir às mudanças. E por esse motivo, você pode não querer colocar muitas suposições em sua arquitetura e em seus fluxos de dados. Portanto, abordagens de confiança zero e de fluxo de trabalho muito centradas em dados ajudam você a permanecer mais flexível. E o melhor benefício do site é que, se você for muito bom em fazer isso e controlar quem pode usar qual serviço de dados de qual local e tipo de dispositivo e outros enfeites e nível de autenticação, então provavelmente você também estará fazendo um trabalho melhor na proteção é para ter uma grande violação. Você pode perder um ou outro sistema ou um ou dados, mas não tudo, se você tiver essa forma microssegmentada de governar as diferentes partes, se quiser. E a capacidade de fazer isso lhe trará vantagens competitivas, se você me perguntar por outro lado, se você implementá-lo corretamente com uma boa governança e operações de segurança, então você também terá o efeito colateral de proteger melhor seus dados.

Mike Anderson: Não. Isso é bom. Esse é um ótimo conselho. E se eu pensar por um minuto, todas as empresas com as quais você trabalha hoje, a confiança zero obviamente é um tema quente, porque você vai para a RSA e cada fornecedor tem isso em seu estande. Tenho certeza que veremos o mesmo este ano. Se você dissesse, quais são as duas ou três principais coisas que você ouve, CIOs, CISOs e conselhos com os quais você trabalha hoje? Quais são os tópicos quentes que você está ouvindo hoje?

Andreas Rohr: O mais urgente é que sabemos que ninguém consegue se proteger 100%. É realmente [0:38:05.0] ____ por pessoas onde eles basicamente têm medo de não ver os sinais com antecedência suficiente e então basicamente têm uma varredura fraca no tempo de inatividade médio e perdem milhões ou até dois dígitos bilhões nesse sentido durante esse tempo de inatividade e não falam que não podem fazer novos negócios, etc. Portanto, este é realmente o risco número um, contra o qual eles também lutam para obter uma cobertura de seguro, o que representa uma interrupção de seu negócio principal e sem ter feito o suficiente em termos de dever de cuidado. Portanto, a maioria dos diretores do conselho sabe que não pode negligenciar esse tipo de risco estatístico, mas precisa cuidar disso. E eles também querem ter certeza de que tudo o que fazem não é algo que poderiam ter evitado com mais foco ou orçamento. E a segunda coisa, também relacionada a isso, é que eles querem ter certeza de que seus parceiros mais críticos da cadeia de suprimentos estejam na mesma posição que eles. Portanto, tendo a interrupção dos negócios, não necessariamente para os seus próprios sistemas e ambiente, mas para aqueles da sua cadeia de abastecimento, seja a montante ou a jusante. Certificando-se também de que basicamente não percam fluxos de receita. E isso é o que mais ouço e a segurança é apenas o denominador comum entre isso.

Andreas Rohr: Então, isso está realmente tornando o fluxo de dados dos fluxos de valor resiliente a esses ataques. E as coisas restantes surgem como um derivado disso. Isso é o que mais ouço e a confiança zero é, lamento dizer, algo que não é um tema artificial porque é a coisa mais estratégica para melhorar, que é uma segunda agenda em relação ao que realmente preocupa hoje. Portanto, isto resolverá o problema dentro de 3 a 5 anos, mas não necessariamente hoje, porque a confiança zero não é um produto. Eles começam a entender isso. E então eu também digo a eles: “Não caiam naqueles que dizem que é um produto”. Só que Greenfield era uma coisa nova, faça seus aprendizados, adapte-o às suas necessidades e depois com o tempo tente migrá-lo e aceite 20% de nunca ter confiança zero habilitada. Apenas deixe isso como legado e construa algumas cercas maiores em torno disso e certifique-se de ter essas coisas sob controle e não pense demais nas coisas.

Mike Anderson: Não. Esse é definitivamente um ótimo conselho. E há muitas empresas por aí que dizem: “Compre meu produto e agora você terá confiança zero”. E isso simplesmente, como você disse, não existe. Portanto, é definitivamente um ótimo conselho. Você tocou um pouco em seguros e se eu pensar na base de seguros, estou começando a ver muitas pessoas dizendo: “Quer saber? Faremos um auto-seguro ou pegaremos os dólares que gastamos em seguros e investiremos em nosso programa de segurança." Porque eles acham que há basicamente muitas maneiras pelas quais as seguradoras podem evitar pagar, como evitar que o Estado-nação diga que se for um ataque do Estado-nação, não se aplica. Como você está vendo o pensamento das pessoas? Você está vendo o mesmo tipo de coisa onde as pessoas dizem: "Quer saber, por que não fazemos um auto-seguro e investimos isso em nosso programa de segurança?" Você está vendo isso? Como será o futuro dos seguros no ciberespaço?

Andreas Rohr: Existem grandes companhias de seguros que basicamente declararam abaixo que o risco cibernético não... Não podemos mais segurar esses riscos porque, do ponto de vista das seguradoras, elas não conseguem realmente medir o estado de maturidade. Então, qual é a probabilidade de uma empresa cair no ataque? E a segunda é que os pré-requisitos a serem cumpridos são, às vezes, arbitrários, páginas das seguradoras. É diferente e na verdade é um pesadelo preencher esses questionários e às vezes nós os ajudamos a fazer estrategicamente a cruz no lugar certo e também a não dizer coisas erradas, mas sim a coisa real, então são as escolhas que não podem ser ditas depois. "Sim, você declarou isso aqui e não aderiu ou não implementou de fato." Portanto, gastando o dólar talvez em segurança própria, em vez de segurá-lo, em uma boa combinação de gerenciamento de risco, você sempre quer ter caminhos diferidos para uma seguradora que é uma prática clássica de gerenciamento. Então eu aconselho a não fazer isso de jeito nenhum. Portanto, é razoável cobrir também se realmente as coisas correrem da pior maneira para ter alguns custos ou interrupções nos negócios cobertos, absolutamente faz sentido.

Andreas Rohr: Se for uma oferta de custo ridiculamente alta, então você pode pensar: “É melhor atribuir isso à minha capacidade de reagir e detectar as coisas”. E talvez impulsionar algumas das iniciativas de segurança, mas eu não trocaria uma pela outra. Você deve agir estrategicamente com sua confiança nas coisas arquitetônicas e certificar-se de fazer você mesmo os trabalhos de casa corretos, a higiene completa, e também tentar fazer com que as seguradoras acreditem que você faz um bom trabalho em segurança e ainda obterá que. Mas com o tempo penso que a marca de seguros não oferecerá apólices muito lucrativas para obter seguro contra riscos cibernéticos. Esse é o meu instinto. Eu não posso provar isso. Mas o que vejo e ouço e vejo como mediríamos isso de uma perspectiva estatística e de massa, que foi um dos meus estudos antes de iniciar a carreira profissional, então não vejo que sejamos capazes de calcular com modelos que realmente descrevam corretamente, porque não é um fundamento estatístico.

Mike Anderson: Vou passar agora para uma parte divertida do nosso podcast, que chamamos de sucessos rápidos. Vou fazer algumas perguntas, rápido, e vamos ver quais respostas você obteve. Então, a primeira é: qual foi o melhor conselho de liderança que você já recebeu?

Andreas Rohr: Isso foi muito cedo na minha carreira profissional. E isso basicamente o CEO me disse: "Mesmo que você seja o melhor especialista no assunto que está tentando resolver aqui no mundo, então você prefere ouvir sua equipe e dizer o que você ficará surpreso com as respostas que eles darão venha até você com." E isso pode não ser tão bom ou válido quanto você mesmo poderia ter feito, mas o mais importante é que a contribuição deles garantirá que seja sustentável e que você possa basicamente dormir melhor e partir para o próximo desafio. E isso é verdade. E 90% do que você percebe como seria a melhor solução para a questão é baseado em sua própria experiência e outros têm outras experiências. Então isso também vale para a diversidade. Então, enquanto eles ouviam e ficavam surpresos, eu ficava surpreso com muita frequência, o que eu mais gosto. Então, eu realmente incentivo todos a experimentarem e darem uma chance.

Mike Anderson: Definitivamente um bom conselho. Tudo bem. Qual seria sua última refeição?

Andreas Rohr: Eu costumava estar na Índia, em Mumbai por algum tempo, então a cada dois meses, durante duas ou três semanas. E eu acho que gostaria de comer, e eles comem muito picante lá. Então o que eu mais gostei foi frango masala picante e um pouco de pão Naan de alho. Então sinto muita falta disso. Então talvez seja esse o que eu pediria.

Mike Anderson: Tudo bem, último. Qual é o seu livro favorito que você leu este ano?

Andreas Rohr: Eu li um livro de Ellis Miller que já é um livro bem antigo, acho que tem cerca de 30 anos. E se chama 'O Drama da Criança Superdotada'. E trata-se de criar um filho de uma forma que ele não atenda às expectativas ao seu redor e se adapte e faça o que quiser, mas sim encontre o que realmente o apaixona e desenvolva isso ainda mais. Então esse é um livro muito bom para ler e ajudar seu filho a encontrar o caminho. Então eu gosto muito disso.

Mike Anderson: Terei que colocar isso na lista de leitura, como pai de quatro filhos, provavelmente há algumas pepitas boas aí para eu levar embora. Bem, obrigado Andréas. Isso é todo o tempo que temos hoje e eu realmente aprecio a conversa. Então tivemos uma ótima conversa com Andreas hoje. As três coisas que tirei disso, em primeiro lugar, e Andreas tocou nisso algumas vezes, é trabalhar em toda a nossa organização, olhando para o nosso entorno, alavancando as pessoas ao nosso redor no ecossistema, porque isso vai nos ajudar ter muito mais sucesso. A segunda coisa que observo é quando olhamos para as ferramentas, não apenas colete ferramentas, mas certifique-se de que estejam integradas e alinhadas aos resultados que desejo gerar em minha organização, o que ajudará você a ser mais eficaz e eficiente ao mesmo tempo. E a última coisa que tirei da nossa conversa é: pense nos fluxos de valor da sua organização e como posso incorporar segurança nisso para ter a postura de risco correta relacionada a esse fluxo de valor específico na minha organização? Conversa super esclarecedora e espero que tenham gostado. Sintonize nosso próximo episódio em breve no Podcast Security Visionaries.

Palestrante 2: O Podcast Security Visionaries é desenvolvido pela equipe da Netskope, rápido e fácil de usar. A plataforma Netskope fornece acesso otimizado e segurança de confiança zero para pessoas, dispositivos e dados onde quer que estejam. Ajudar os clientes a reduzir riscos, acelerar o desempenho e obter visibilidade incomparável de qualquer atividade na nuvem, na Web ou em aplicativos privados. Para saber mais sobre como a Netskope ajuda os clientes a estarem prontos para qualquer coisa em sua jornada atrevida, visite NETSKOPE.com.

Orador 4: Obrigado por ouvir os visionários da segurança. Reserve um momento para avaliar e comentar o programa e compartilhe-o com alguém que você conhece e que possa gostar dele. Fique ligado nos episódios que serão lançados a cada duas semanas e nos vemos no próximo.