Produtor [00:00:00] Bem-vindo ao Security Visionaries, um podcast desenvolvido pela Netskope focado em trazer a você conversas com executivos seniores do mundo da segurança cibernética, tecnologia, confiança e networking. Este episódio apresenta uma conversa entre Shamla Naidoo, Chefe de Estratégia e Inovação em Nuvem na Netskope e Homaira Akbari, presidente e CEO da AKnowledge Partners, moderada por Steve Weber, professor da UC Berkeley na School of Information e sócio da Breakwater Strategy. Como coautores do recente livro The Cyber Savvy Boardroom: Essentials Explained, Shamla e Homaira discutem seu ímpeto para escrever este livro, como ele aborda as tendências em evolução na segurança cibernética e os tipos de feedback que receberam de seus colegas sobre o assunto. Aqui está nossa conversa com Shamla, Homaira e Steve.
Steve Weber [00:00:45] Bem-vindo ao podcast Security Visionaries. Meu nome é Steve Weber. Sou professor da UC Berkeley na School of Information e sócio da Breakwater Strategy, uma empresa de consultoria com sede em Washington, DC. É uma honra para mim apresentar este podcast. Passei dez anos dentro e fora do mundo da segurança cibernética, do lado técnico, do lado comercial e do lado político. E uma das dinâmicas mais interessantes, desafiadoras e importantes tem sido a conversa sobre segurança cibernética conforme acontece na sala de reuniões, observar os diretores lutando com a supervisão e a governança é esse conjunto de riscos realmente rápido e complexo e nessa mistura agora vêm Homaira Akbari e Shamla Naidoo com um livro novo e muito atraente, The Cyber Savvy Boardroom. Direi que é notável em várias dimensões diferentes, mas para mim principalmente pela sua legibilidade, pela sua usabilidade prática imediata e, francamente, pelo âmbito da sua cobertura. Então, vamos começar do início. HOMAIRA, Sharma. Diga-nos quem você é, como escreveu este livro e por que agora?
Homaira Akbari [00:01:58] Sou Homaira Akbari, presidente e CEO da AKnowledge Partners. Comecei minha carreira como cientista em física experimental de partículas e trabalhei no Centro Europeu de Pesquisa Nuclear do CERN. Passei metade da minha carreira empresarial liderando negócios de tecnologia com empresas como Thales na França e Microsoft, Liberty Media, e fui CEO da Skybitz, uma empresa de IoT. Atualmente sou conselheiro de administração do Banco Santander e Landstar System. Em minha função atual na AKnowledge Partners. Trabalho com grandes e grandes corporações em private equity nas áreas de segurança, segurança cibernética, IoT, transição energética e inteligência artificial.
Steve Weber [00:02:43] Shamla?
Shamla Naidoo [00:02:44] Sou Shamla Naidoo. Sou tecnólogo há muito tempo. Passei quatro décadas em tecnologia e cerca de metade desse tempo passei como líder de segurança cibernética em grandes organizações. Participo de três conselhos de empresas de capital aberto e leciono direito de tecnologia emergente e direito de privacidade global na Universidade de Illinois. Portanto, trago três perspectivas diferentes para a mesma conversa: ser um profissional, receber as atualizações do conselho e, então, aprender e compreender os compromissos e obrigações regulatórias do conselho.
Steve Weber [00:03:16] Fale sobre por que agora? Fale sobre o momento e a importância da urgência do livro em 2023 passar para 2024, por favor.
Homaira Akbari [00:03:27] Realisticamente, este livro deveria ter sido escrito há um ou vários anos. Mas a urgência agora é que, como você viu, Steve, e como todos têm visto todos os dias, temos notícias desse tipo de violação cibernética e essas violações cibernéticas estão se tornando cada vez maiores e maiores e maiores e estão se estendendo. Antigamente, seriam apenas serviços financeiros ou cuidados de saúde, mas agora estendendo-se a todos os setores, a todos os clientes, a todos os tamanhos de entidades, sejam elas sem fins lucrativos ou escritórios familiares ou grandes empresas públicas ou privadas e as pequenas igualmente . E isso se deve especificamente ao ransomware, que é basicamente o tipo de ataque aos dados ou outros ativos de uma entidade que são comprometidos e depois sequestrados, se preferir, criptografados e sequestrados. E para que seja divulgado pelos hackers, eles pedem dinheiro. E isso se tornou realmente um assunto criminal agora. E todo setor, toda empresa está sujeita a isso. E em segundo lugar, a razão pela qual há urgência são muitos reguladores e, especificamente nos EUA, a FCC acaba de adotar regras de divulgação, principalmente para empresas públicas. Mas, como você sabe, geralmente as empresas privadas também seguem isso, que consiste em relatar qualquer violação material dentro de quatro dias úteis por meio de arquivamento e 8-K. Então, de repente, a segurança cibernética foi colocada de forma semelhante a outros riscos que as organizações enfrentam. Além disso, a SEC agora exige que as empresas também desenvolvam ou elaborem sua estratégia, governança e organização sobre como apoiam a organização contra riscos cibernéticos e incluam todas essas informações em seu 10-K anualmente. Então. A sala de reuniões, mais do que nunca, está agora envolvida na cibersegurança, na supervisão do risco de segurança cibernética e na garantia de que os requisitos da SEC e, em geral, outros requisitos regulamentares são cumpridos.
Steve Weber [00:05:58] Shamla, alguma coisa para responder a isso da sua perspectiva? Esta é a primeira vez que você se senta e dedica o tempo necessário para escrever um livro. Porque agora? O que? Onde estava a urgência para você?
Shamla Naidoo [00:06:10] O que eu acrescentaria é que agora as empresas estão crescendo na velocidade da luz, certo? E todas as empresas, eu diria que a maioria já são algum tipo de empresa digital. Mas todos eles estão aumentando a pegada digital. Vivemos numa economia de dados, por isso estamos a criar e a produzir mais dados do que alguma vez fizemos. Nossa tecnologia está funcionando cada vez mais rápido. E, francamente, todas essas coisas são boas porque trazem grandes oportunidades de crescimento dos negócios. Ao mesmo tempo, porém, precisamos de dedicar um esforço correspondente e um nível correspondente de atenção aos riscos de cibersegurança, porque pegadas digitais maiores aumentam os pontos de exposição. Eles aumentam a oportunidade de compromisso. Aumentam a oportunidade de roubo e outros tipos de atividades fraudulentas. Então, acho que agora é a hora de os diretores do conselho, à medida que supervisionam a estratégia, não se concentrarem apenas nas coisas boas, mas também de darem o nível correspondente de atenção às coisas que podem dar errado, que é o que os conselhos têm a tarefa de fazer. . Mas o que tentamos fazer com este livro, e porquê agora, é criar atenção, criar uma consciência naquela comunidade de que precisamos de olhar aqui, de que eles não podem ignorar este momento.
Steve Weber [00:07:34] Interessante, é quase como se toda vez que víssemos a palavra transformação digital sendo usada, devêssemos ter certeza de que a palavra segurança cibernética está na mesma frase ou na próxima frase. Deixe-me voltar para você, Homaira. Mesmo para os menos experientes ou mais experientes do ponto de vista técnico, diretores, há muitas publicações, há cursos dedicados a educar os membros do conselho sobre segurança cibernética. Obviamente, você está trazendo este livro para esse ambiente. Como você estruturou este livro com todas essas alternativas em mente? O que havia de diferente na sua perspectiva em termos de agregar valor real a uma visão educacional lotada, mas ainda difícil de servir?
Homaira Akbari [00:08:22] Shamla e eu realmente estudamos, se você preferir, o que havia no mercado, e o ímpeto para escrever nosso livro foi porque vimos uma lacuna, na verdade. Então, o que vimos com o que existe agora são principalmente escritos, livros, panfletos, que falam sobre termos básicos, se você preferir, de segurança cibernética e o que são conceitos básicos. E então geralmente passa para centenas de perguntas que os membros do conselho podem fazer. Como CISOs, notamos e observamos em tempo real que alguns dos meus colegas diretores faziam essas perguntas em uma sala de reuniões, e o CISO responde a isso. E o membro do conselho diria: Ah, ok, obrigado. Mas não há discussão e envolvimento realmente significativos com o CSO e com a gestão como um todo para realmente entender o que está por trás dessas respostas e se você sabe o que faz, por exemplo, quando faz uma pergunta contábil ou financeira, há frequentemente um debate e geralmente quando você vê segurança cibernética, não há debate porque, na verdade, o membro do conselho simplesmente não tem esse conhecimento básico e fundamental de segurança cibernética. Então foi isso que decidimos fazer para criar em um volume bastante curto, de 80 páginas, aquele conhecimento fundamental que todo membro do conselho precisa. E então nosso plano é que eles continuem construindo esse conhecimento, nessa plataforma. E, você sabe, é um aprendizado contínuo, como sabemos, especificamente para segurança cibernética. Mas o que foi único, o que fizemos foi criar uma série de modelos mentais que realmente podem ser digeridos em formato gráfico e podem ser digeridos rapidamente por membros inteligentes do conselho, dos quais todos os diretores são pessoas altamente talentosas. E foi assim que definimos uma série de mapas. Temos quatro mapas ao longo do livro, com o primeiro mapa definindo grupos de ativos de negócios, e basicamente criamos dez categorias. Alguns deles são, por exemplo, dados de um grupo de ativos de negócios, ativos financeiros. As pessoas são os outros. Mas temos cerca de dez, na verdade dez grupos de ativos empresariais, e nós os definimos. Depois de defini-los, passamos a mostrar o que é o nosso chapéu branco. Nosso ativo é um ativo comercial. Que tipo de ganho eles obtêm ao acessá-lo e quais são suas motivações, por que fariam isso, como fariam. E isso nos levou ao que chamamos de vetores de ataque. Portanto, mapeamos em cada grupo de ativos de negócios os vetores de ataque que existem hoje para atacar esses grupos de ativos de negócios, seja para chegar até eles diretamente ou para usá-los como um canal para chegar às joias da coroa da organização, onde, por exemplo, os dados são definidos como joias da coroa, não apenas, mas apenas uma delas. Passamos então para o mapa três, e o mapa três tratava, novamente, dos mesmos dez grupos de ativos de negócios que mostramos. Como você os protege? Então mostrámos a forma típica como hoje a estratégia de defesa de uma boa empresa, de uma boa organização que tem uma postura de segurança muito boa ou preferível, tem efectivamente defendido estes grupos de activos específicos. E então chegamos ao mapa quatro, por meio do qual fornecemos novamente métricas para cada grupo de ativos de negócios para mostrar a eficácia da proteção. E aí incluímos também, porque esse é o sistema de defesa não é só proteção, mas na segurança cibernética também é detecção, resposta e recuperação. Também incluímos métricas sobre como medir a eficácia da postura de segurança por meio de testes, bem como por meio de métricas de detecção e resposta. Então eu acho que isso é único, nunca foi feito e é muito abrangente, mas também é muito fácil de digerir e aprender.
Steve Weber [00:12:40] Sim, direi da perspectiva do leitor, acho que outros leitores encontrarão a mesma coisa. Essas construções de mapas mentais realmente ajudam a definir algumas prioridades e a hierarquia de perguntas a serem feitas. Então, para mim, certamente isso foi muito novo, muito importante e útil. Sharma Deixe-me voltar para você e perguntar especificamente sobre nuvem. Para tantas organizações de tantos tamanhos diferentes, a transformação digital tornou-se agora uma conversa sobre a mudança para a nuvem em todos os tipos de configurações diferentes. Então vamos falar sobre a nuvem. E quando você pensa sobre a transformação e migração para a nuvem, que tipos de possibilidades, que tipos de questões isso levanta para o conselho, especificamente no que diz respeito à segurança?
Shamla Naidoo [00:13:29] Sabe, acho que quando adicionamos o conceito de nuvem ao livro, esse foi um tópico importante porque na sala de reuniões, a maioria dos diretores entende o conceito de velocidade. Eles entendem que precisamos desenvolver capacidades muito rapidamente. E quando você diz a eles que você pode colocar algo na nuvem ou consumir algum serviço da nuvem, a conexão imediata é que isso vai acontecer muito mais rápido porque não preciso que nossa equipe gaste o tempo e o esforço para desenvolver a capacidade básica. Alguém já fez isso. Vamos apenas comprá-lo, tomá-lo emprestado, alugá-lo, etc. e vamos usá-lo para construir nossos recursos proprietários sobre ele e ele estará pronto para o mercado muito rapidamente. Então, se você quiser ver os benefícios da nuvem e essa velocidade é uma moeda corrente nas conversas da diretoria. A questão para nós era: o que eles deveriam saber como isso poderia dar errado? Então, por exemplo, é óbvio que a infraestrutura que suporta o ambiente de nuvem está fora do seu controle físico? Quais são as coisas que eles deveriam fazer e que de outra forma não teriam feito se estivessem no data center? E essa foi realmente a razão pela qual nos concentramos neste tópico: precisamos entender os riscos de colocar coisas na nuvem. E nem sempre se trata do que você pode tocar e sentir. Às vezes é sobre quem você precisa supervisionar, quem você precisa supervisionar, que tipos de expectativas você deve ter de seus parceiros e terceiros, etc. Mas, novamente, com todos esses grandes benefícios vêm os riscos e eles têm que descobrir como irão supervisionar esses riscos da maneira mais eficiente para chegar aos resultados que desejam.
Steve Weber [00:15:20] Ótimo. Shamla, vou abandonar seu ponto de vista sobre risco porque é muito importante. Muitos diretores com quem converso falam de si mesmos essencialmente como gestores de risco num ambiente de supervisão. E quero voltar a você, Homaira, e perguntar sobre sua visão e a forma como o livro aborda essa questão do apetite ao risco cibernético. Você não pode reduzir seu risco a zero. Você está gastando em serviços, produtos e processos dentro da organização para melhorar a segurança cibernética. E a pergunta natural a ser feita é como posso saber se estou obtendo retorno do investimento e obtendo valor em termos de modular o risco para onde eu quero que ele esteja. Portanto, fale sobre como o livro ajuda os tomadores de decisão ou diretores, neste caso, a pensar especificamente sobre o risco de forma construtiva nesse contexto.
Homaira Akbari [00:16:12] Damos vários exemplos e várias diretrizes. E então, a partir daí, nós também, como mencionei anteriormente, falamos sobre um conjunto de métricas que também seria útil para medir se esses investimentos têm retorno. Mas deixe-me primeiro abordar o tipo de exemplos de que falamos, então, antes de tudo, um conselho deve estar confortável com o fato de a organização estar fazendo os investimentos financeiros e não financeiros necessários, e quero enfatizar os investimentos não financeiros. para prevenir os ataques que são evitáveis e defender-se contra os ataques que não são evitáveis. Portanto, uma medida a ser observada, é claro, quando se trata de finanças, tem o que há de melhor e um dos melhores defensores da segurança cibernética que tem o melhor ecossistema de defesa são instituições financeiras ou bancos de primeira linha. Portanto, um banco típico de nível um gasta algo entre 500 e US$ 1 bilhão por ano, Steve, todos os anos em segurança cibernética, e isso geralmente corresponde a 5 a 10% de seu orçamento de TI. Você sabe, obviamente empresas menores e esse é o primeiro nível. Eles são bancos e são realmente os melhores da categoria. Mas as empresas menores que provavelmente obviamente não terão a capacidade de gastar esse tipo de dinheiro usando 5 a 10% do seu orçamento de TI é uma boa medida, exceto se você for muito pequeno e esse orçamento para TI for bastante pequeno, você provavelmente terá que gastar cerca de 15 a 20% desse orçamento. O ponto chave é o que você disse anteriormente. Quando você pensa em defesa, quando diz que preciso me defender contra riscos de segurança cibernética, isso envolve quatro aspectos. Há proteção para seus ativos, há detecção de ameaças e, em seguida, resposta a esse ataque e, em seguida, recuperação desse ataque, porque invariavelmente você terá alguma violação cibernética. Portanto, você precisa ter certeza de que tem essa postura de segurança definida e que a segurança deseja criá-la. E, portanto, você tem o que há de melhor e várias ferramentas disponíveis. Mas sentiria falta se não terminasse esta explicação enfatizando esse investimento não financeiro. E o que é isso? O primeiro e mais importante é que uma organização tenha a cultura cibernética certa. O que você quer dizer? O que queremos dizer com isso? É realmente uma consciência generalizada, começando pelo CEO e pela equipa executiva, a consciência e o seu envolvimento com a segurança cibernética até todos os funcionários da empresa. E você sabe que o que sabemos hoje ainda é de dois terços e talvez mais perto de 80% de todas as violações se devem a algum erro, intencional ou não, cometido por pessoas dentro das organizações de nossos subcontratados. Portanto, essa consciência, essa construção de cultura de segurança cibernética por parte do CEO dizendo, eu acredito nisso, estou comprometido e dedicado a isso, que então fluirá pela organização e também garantindo que todos os executivos sejam responsáveis, não são apenas CISOs e Shamla pode lhe contar mais, já que ela é CISO responsável pela segurança cibernética.
Steve Weber [00:19:51] Shamla Deixe-me voltar para você e fazer a pergunta do dia, que com certeza está na mente de todos agora. Vocês começaram a escrever este livro quando grandes modelos de linguagem ainda eram um brinquedo de pesquisa com o qual o pessoal de laboratórios e universidades brincava. Acho que já faz uns oito ou nove meses. ChatGPT entrou em cena e de repente é um dos desenvolvimentos mais interessantes, intrigantes e importantes e a palavra IA está em toda parte. Então fale sobre como a ascensão da tecnologia como a IA generativa ChatGPT muda ou acelera a necessidade de um livro como este e os tipos de mudanças sobre as quais Homaira acabou de falar, incluindo as mudanças culturais.
Shamla Naidoo [00:20:39] Você sabe o que é interessante nisso, Steve, é que há uma década tivemos a mesma reação à tecnologia de nuvem. Certo. E assim, no passado recente, era a nuvem. Agora é a inteligência artificial e, em particular, os grandes modelos de linguagem. Você sabe, em um ano ou dois, será o computador quântico. E a questão é que a inovação não para. Portanto, haverá inovação constante. Seremos constantemente confrontados com novas tecnologias, novas abordagens, novas arquiteturas, novas ferramentas. Essa é apenas a natureza da tecnologia. E então a ideia aqui, eu acho, é que precisamos estar preparados para tudo. E os diretores do conselho, em particular, têm de compreender o ritmo da mudança e que precisam de criar o conhecimento fundamental muito rapidamente, porque essa é a maior lacuna. Se você não tiver uma base, toda essa grande informação que está por aí irá aterrissar, mas não assentará em uma base sólida, o que significa que você não pode realmente construir a partir dela. Este livro, creio eu, lhes dará a base a partir da qual poderão construir e se preparar para as novas tecnologias, as novas construções que surgirão. E então a ideia é que este seja o começo do aprendizado. Não é “o” aprendizado. É a base sobre a qual outros conhecimentos serão construídos. Então eu diria, você sabe, esteja preparado para a inovação do futuro. Este livro fornecerá os conceitos básicos, as abordagens e os modelos sobre os quais você poderá pensar sobre o futuro da inovação. Mas, você sabe, grandes modelos de linguagem são um grande tópico no momento. É um tema porque vivemos em uma economia de dados. Há dados em todos os lugares. A maioria dos dados permaneceu invisível até que esta tecnologia nos fosse disponibilizada. Assim, podemos obter os insights de negócios incorporados em todos esses dados. E então agora acho que é a oportunidade para nos concentrarmos nos dados, na proteção de dados, no risco dos dados, no risco de erro, no risco de omissões e em todas as atividades que estão incorporadas no grande modelo de linguagem que estamos vai usar para empresas. Mas, novamente, é a base.
Homaira Akbari [00:22:53] Se eu pudesse pedir isso a Steve. O que é muito interessante é que no livro falamos sobre tecnologia emergente, como Shamla mencionou, e falamos especificamente sobre ar e bate-papo, mas também falamos sobre IoT, mas por exemplo, quando se trata de IoT, falamos sobre o fato de que 80% dos riscos cibernéticos são muito semelhantes a qualquer outra coisa que já tivemos. Mas há especificidades nisso. No caso do ChatGPT ou IA, um dos grandes riscos, como todos sabemos, é alimentar o modelo com dados errados e, como resultado, obter resultados incorretos porque na verdade você cria dados falsos. O que nos leva a algo chamado deep fake, onde os dados se tornam tão falsos, tão inacreditáveis em alguns aspectos, mas algumas pessoas acreditam nisso, que cria o que é chamado de deepfakes. Então, acho que foi exatamente isso que Shamla disse, é que, você sabe, falamos sobre como a tecnologia emergente, como você deve pensar sobre isso, mas depois damos algumas especificidades para esses casos. Então acho que ajudamos o membro do conselho a pensar no assunto do dia, como eles deveriam abordá-lo.
Steve Weber [00:24:10] Tenho certeza de que haverá um novo em 2024 e que será testado à medida que avançamos. Homaira, vamos falar um pouco sobre a forma como os conselhos se avaliam e devem se avaliar. É óbvio que você tem um grande número de conselhos e empresas públicas e assim por diante. E as pessoas se perguntam: como estamos? Como sabemos o que estamos fazendo? Estamos indo bem. O que é bom é a pergunta que acho que todos ouvimos muito. Portanto, se um conselho quiser avaliar a sua empresa, pensar na maturidade ou na excelência em segurança cibernética, como deverá proceder? E como o livro fala sobre métricas e comparações e responde à pergunta: como é o bom em relação ao que os outros estão fazendo?
Homaira Akbari [00:24:55] Stevie Temos um capítulo inteiro, chamado capítulo sete, onde falamos sobre métricas para medição porque, você sabe, é uma pergunta que foi feita milhões de vezes por membros do conselho e CISOs e outras pessoas no ecossistema. No capítulo sete, a abordagem que adotamos, basicamente definimos dois conjuntos de métricas. Uma são as métricas de nível operacional e a outra são as métricas de nível de conselho. As métricas de nível operacional correspondem a esse mapa da área de que fala, que basicamente mostra para cada grupo de ativos de negócio como medir a eficácia da sua proteção e depois as metodologias de detecção e resposta que você utiliza. Também fala sobre o fato de que você precisa medir ou testar a postura de segurança da organização, o que realmente lhe dá uma medida, não a única, mas uma medida dessa maturidade. Chegamos então às métricas de nível de conselho e, até onde sabemos, ninguém realmente criou esse conceito que Shamla e eu criamos de que essas métricas de nível de conselho têm, na verdade, cinco componentes, dois dos quais são operacionais. Então, uma entrada seria qual é o seu programa de segurança cibernética, eficácia e conformidade regulatória, e qual é o seu perfil de risco de segurança cibernética, que vem das métricas operacionais que mencionei. Mas também adiciona mais três avaliações. Uma delas é: qual é a sua cultura de segurança cibernética? Em segundo lugar, quais são os seus níveis de investimento e cobertura de seguro? E, por último, qual é a prontidão da sua organização, se desejar, para gerenciar o impacto das violações cibernéticas? E achamos que não acreditamos que alguma organização esteja usando isso da maneira como articulamos, mas acreditamos que, uma vez que façam isso, serão capazes de determinar a maturidade de sua organização. E para nós, esta é a chave.
Steve Weber [00:27:04] Maravilhoso. Deixe-me voltar para você, Shamla. Entre você e Homaira, você vive e respira o universo da segurança cibernética todos os dias. Você esteve em tantos lados diferentes desse quebra-cabeça, e achei muito importante, no final do livro, ter uma noção de quais você acha que são as reflexões, pensamentos e pensamentos mais importantes. coisas que as pessoas realmente precisam levar para casa no final do dia. Porque a priorização é uma parte muito importante desta conversa. Então fale um pouco sobre os pensamentos finais, as reflexões no final do livro, as coisas que mais importam para você que os leitores tiram dele.
Shamla Naidoo [00:27:48] Então, você sabe, acho que começaria com, todos nós sabemos como medir os benefícios da tecnologia, certo? E essa é a parte fácil. Nossa dificuldade é medir, calcular e realmente confrontar os problemas quando eles dão errado e o conselho é responsável por isso. Então, para ajudá-los, acho que precisamos pensar que há muitas vantagens na tecnologia. Como isso pode dar errado? É importante ressaltar que, a menos que você seja uma empresa de segurança cibernética e venda produtos ou serviços de segurança cibernética, a geração de receita não provém de sua prática de segurança cibernética. A receita é gerada a partir de suas práticas comerciais, no entanto, as práticas de segurança, a tecnologia, as ferramentas, os controles, etc., permitem esses negócios. Então, quando calculamos o lado positivo do nosso negócio e a receita que geramos com o nosso negócio, precisamos compensar isso com o custo da segurança, porque realmente é, não é apenas o facilitador do negócio, mas é um investimento nessa receita que você gera. E então, depois de fazer o investimento, você diz, ok, foi quanto dinheiro eu ganhei com meu lucro líquido. Então é sim, é um custo para fazer negócios, mas é o custo da receita. Então essa é uma consideração importante. Acho que outra coisa a lembrar é que a liderança neste tema não é intercambiável com a tecnologia e as ferramentas para o tema. Portanto, precisamos de líderes bons e fortes que possam ajudar o conselho na seleção de riscos. Como escolhemos os maiores riscos que a empresa enfrenta e depois os eliminamos? E então como podemos dar o próximo passo que está certo e continuar diminuindo por nossa conta e risco? Porque se nos concentrarmos apenas nas ferramentas e na tecnologia, como saberemos se estamos nos concentrando nas coisas certas com o nível certo de prioridade? E nós temos, você sabe, isso, temos tantos problemas que podemos enfrentar, não é possível enfrentá-los todos ao mesmo tempo, com o mesmo nível de rigor, com o mesmo nível de investimento. Portanto, selecionar cuidadosamente esses riscos é o que penso que o CSO e os líderes de segurança têm de ajudar o conselho a fazer. E então eu também diria que é muito importante que você tenha um diálogo bom, rico, aberto e transparente. Portanto, o conselho deve dialogar com o CISO. Não apenas sobre o status, não apenas sobre uma atualização de status. Deveria realmente ser uma discussão de risco sobre o que não estamos fazendo, no que não estamos focados, no que não dedicamos tempo suficiente? Porque todos sabemos que não há tempo suficiente para fazer tudo. E então é preciso haver alguma transparência nessa discussão. E o CISO não deve ser o único líder que está no ponto neste tópico. Cada decisão de negócio, cada área de negócio, quando ganham dinheiro, eles sabem como reportar isso, eles também devem ter a tarefa de saber e compreender como o ciberespaço os impacta, como isso os capacita, e como pode restringi-los e como pode prejudicá-los. ou prejudicá-los. E, portanto, os líderes empresariais têm de começar a assumir tanta responsabilidade pelos resultados como o CSO, porque a cibersegurança não é o negócio. É apenas uma parte de tudo o mais que você faz. Portanto, acho que o QI cibernético e a cultura cibernética são considerações realmente importantes. E então, como eu disse, por último, o CSO não é o único executivo que deveria estar atento ao que falha ou ao que é bem-sucedido.
Steve Weber [00:31:35] Interessante. Homaira, qualquer reflexão adicional sobre a conclusão mais importante e poderosa é a qualidade da conversa estratégica no nível do conselho sobre o perfil de risco de segurança cibernética e sua relação com o negócio. Qual é a lição mais importante que você deve sentar e conviver com as pessoas enquanto terminam o livro?
Homaira Akbari [00:31:53] Steve, há dezenas de sugestões e nós as destacamos. Mas sim, eu tenho uma lição e isso se baseia novamente, muitas vezes essa pergunta foi feita especificamente a mim e também acho que a Shamla. Como é que podemos ser eficientes e seguros? O que podemos fazer para estar 100% seguros? Quero gastar o suficiente para estar 100% seguro. Já me perguntaram uma vez, por um sênior de uma empresa Fortune 50, por que o governo não nos torna 100% seguros? Eles podem, eles disseram. E a realidade é que não, você não pode estar 100% seguro. Por que? As três razões para isso. A primeira razão é que basicamente todas as empresas e governos e qualquer, você sabe, qualquer entidade no mundo, incluindo consumidores, dependem de tecnologias e sistemas de TI desatualizados que não foram projetados com a segurança em mente. E eles criam vulnerabilidades. E a questão é que muitas dessas vulnerabilidades não são óbvias hoje. E a segunda razão é que todos os dias adoptamos novas tecnologias, novas inovações, algumas das quais até têm segurança concebida. Mas assim que se integram com estas tecnologias antigas, tornam-se também vulneráveis ou criam vulnerabilidades mesmo nas tecnologias antigas. Então, você sabe, aumentar a superfície de ataque e impactar aquela superfície que já temos cria toneladas de vulnerabilidades, algumas delas são conhecidas por nós. E algumas delas não são conhecidas como as chamadas vulnerabilidades de dia zero. E por último, este é um setor onde você tem adversário. Você tem exércitos de pessoas que são extremamente bem pagas ou algumas delas são extremamente ricas e organizações, organizações criminosas, que estão na verdade procurando vulnerabilidades e explorando-as. E eles, você sabe, por que nos perguntaram, por que eles deram isso antes de nós? Por causa dos dois primeiros que mencionei, porque simplesmente não temos conhecimento e essas pessoas estão trabalhando continuamente e são pessoas inteligentes para procurar essas vulnerabilidades. Como resultado, você nunca estará 100% seguro, e é por isso que a detecção, ter uma boa inteligência sobre ameaças, trabalhar, coordenar e cooperar com o governo em outras empresas e outras entidades é muito importante para ter essa inteligência sobre ameaças e ser capaz para detectar, responder e recuperar de qualquer dispositivo.
Steve Weber [00:34:34] É muito importante. A lição que me lembro de voltar ao que estávamos conversando antes, como é a boa aparência? Ninguém deveria perguntar o que é perfeito porque não existe perfeição e talvez até o que é bom não seja a pergunta certa. Presumo do que você acabou de dizer que talvez a pergunta certa seja: como sabemos que estamos melhorando e melhorando mais rápido do que nossos adversários?
Shamla Naidoo [00:34:54] Sabe, Steve, eu acrescentaria que esse é um ponto excelente, porque todos os riscos não são iguais em todas as empresas. Certo. E então é o que é apropriado e o que está dentro do seu apetite. E uma coisa que eu diria aos diretores do conselho é apenas dizer o que quiser. Basta deixar claro o que você acha que é material, porque na ausência disso. Os CISOs se esforçarão muito para oferecer o que eles acham que você deseja e o que acham que você precisa. Então, deixe claro o que é relevante para esta empresa neste momento, para este conselho. O que é importante? O que você quer saber? E direi que, por ser um profissional, os CISOs lhe darão o que você precisa. Mas se eles estão adivinhando, espere que erram.
Steve Weber [00:35:43] Fantástico. Bem, veja, tive a oportunidade de ler o livro, mas muitos de nossos ouvintes provavelmente não o fizeram. Então, podemos encerrar explicando onde eles podem conseguir este livro? Onde o público pode encontrar o livro? Quando estará disponível?
Homaira Akbari [00:35:58] Estará disponível a partir de 5 de setembro e estará disponível no Netskope URL.
Steve Weber [00:36:05] Shamla, alguma última ideia para compartilhar com nosso público hoje?
Shamla Naidoo [00:36:08] Eu diria para ler o que seus fóruns estão lendo. Portanto, leia o livro para saber que tipos de perguntas você deve antecipar quando se apresentar a eles naquela sala de reuniões.
Steve Weber [00:36:16] Muito obrigado a ambos por fazerem este podcast hoje. Mas obrigado ainda mais por escrever este livro. Acho que será um recurso tremendo para muitos diretores. Espero que seja amplamente lido, distribuído e apreciado por aqueles que o leram e utilizaram de forma mais importante.
Produtor [00:36:32] Obrigado por ouvir Visionários de Segurança. Reserve um momento para avaliar e comentar o programa e compartilhá-lo com alguém que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas e nos encontraremos no próximo.
Por que Netskope 
){kind=icon}
