Produtor [00:00:00] Bem-vindo ao Security Visionaries, um podcast oferecido pela Netskope com foco em trazer conversas com executivos seniores do mundo da segurança cibernética, tecnologia, confiança e redes. Este episódio apresenta uma conversa entre Shamla Naidoo, chefe de estratégia e inovação em nuvem da Netskope, e Homaira Akbari, presidente e CEO da AKnowledge Partners, moderada por Steve Weber, professor da Escola de Informação da UC Berkeley e sócio da Breakwater Strategy. Como coautoras do livro recente The Cyber Savvy Boardroom: Essentials Explained, Shamla e Homaira discutem seu ímpeto para escrever este livro, como ele aborda as tendências em evolução na segurança cibernética e os tipos de feedback que receberam de seus colegas. Aqui está nossa conversa com Shamla, Homaira e Steve.
Steve Weber [00:00:45] Bem-vindo ao podcast Security Visionaries. Meu nome é Steve Weber. Sou professor na Escola de Informação da UC Berkeley e sócio da Breakwater Strategy, uma empresa de consultoria sediada em Washington, DC. É uma honra para mim apresentar este podcast. Passei dez anos dentro e ao redor do mundo da segurança cibernética, do lado técnico, do lado comercial e do lado político. E uma das dinâmicas mais interessantes, desafiadoras e importantes tem sido a conversa sobre segurança cibernética conforme ela acontece na sala de reuniões, observando os diretores lidarem com a supervisão e a governança, um conjunto de riscos complexos e de evolução rápida, e nessa mistura agora entram Homaira Akbari e Shamla Naidoo com um livro New e muito envolvente, The Cyber Savvy Boardroom. Eu diria que é notável em diversas dimensões diferentes, mas para mim principalmente por sua legibilidade, sua usabilidade prática imediata e, francamente, o escopo de sua cobertura. Então vamos começar do começo. Homaira, Sharma. Conte-nos quem você é, como você começou a escrever este livro e por que agora?
Homaira Akbari [00:01:58] Sou Homaira Akbari, presidente e CEO da AKnowledge Partners. Comecei minha carreira como cientista em física experimental de partículas e trabalhei no Centro Europeu de Pesquisa Nuclear do CERN. Passei metade da minha carreira empresarial liderando negócios de tecnologia em empresas como a Thales na França e a Microsoft, Liberty Media, e fui CEO da Skybitz, uma empresa de IoT. Atualmente sou membro do conselho de administração do Banco Santander e do Landstar System. Na minha função atual na AKnowledge Partners. Trabalho com grandes e grandes corporações em private equity em áreas de segurança, segurança cibernética, IoT, transição energética e inteligência artificial.
Steve Weber [00:02:43] Shamla?
Shamla Naidoo [00:02:44] Meu nome é Shamla Naidoo. Sou um tecnólogo de longa data. Passei quatro décadas em tecnologia e cerca de metade desse tempo como líder de segurança cibernética em grandes organizações. Faço parte de três conselhos de empresas de capital aberto e leciono direito de tecnologias emergentes e direito de privacidade global na Universidade de Illinois. Então, trago três perspectivas diferentes para a mesma conversa: ser um praticante, estar no lado receptor dessas atualizações do conselho e, então, aprender e entender os compromissos e obrigações regulatórias do conselho.
Steve Weber [00:03:16] Fale sobre o porquê agora? Fale sobre o momento e a importância da urgência do livro em 2023 e 2024, se puder.
Homaira Akbari [00:03:27] Realisticamente, este livro deveria ter sido escrito há um ano ou vários anos. Mas a urgência agora é que, como você viu, Steve, e como todos viram todos os dias, temos notícias desse tipo de violação cibernética, e essas violações cibernéticas estão se tornando cada vez maiores, maiores e maiores, e estão se estendendo. Antes, isso envolvia apenas serviços financeiros ou assistência médica, mas agora isso se estende a todos os setores, a todos os clientes, a todos os tamanhos de entidades, sejam elas sem fins lucrativos ou escritórios familiares, grandes empresas públicas ou privadas, e também pequenas. E isso se deve especificamente ao ransomware, que é basicamente o tipo de ataque em que os dados ou outros ativos de uma entidade são comprometidos e então sequestrados, se preferir, criptografados e sequestrados. E para que ele seja liberado pelos hackers, eles pedem dinheiro. E isso se tornou realmente uma questão criminal agora. E cada setor, cada empresa está sujeita a isso. E, em segundo lugar, a razão pela qual há urgência é que muitos reguladores, e especificamente nos EUA, a FCC acabou de adotar regras de divulgação, principalmente para empresas de capital aberto. Mas, como você sabe, normalmente empresas privadas também seguem isso, que é relatar qualquer violação material dentro de quatro dias úteis por meio de um processo e do formulário 8-K. Então, de repente, a segurança cibernética ficou semelhante aos outros riscos que as organizações enfrentam. Além disso, a SEC agora exige que as empresas também desenvolvam ou elaborem sua estratégia, governança e uma organização de como elas dão suporte à organização contra riscos cibernéticos e tragam todas essas informações para seu 10-K anualmente. Então. A diretoria, mais do que nunca, está envolvida com a segurança cibernética, supervisionando os riscos de segurança cibernética e garantindo que os requisitos da SEC e, em geral, outros requisitos regulatórios sejam atendidos.
Steve Weber [00:05:58] Shamla, há algo que responda a isso da sua perspectiva? Esta é a primeira vez que você se senta e tira o tempo necessário para escrever um livro. Por que agora? O que? Onde estava a urgência para você?
Shamla Naidoo [00:06:10] O que eu acrescentaria é que agora as empresas estão crescendo na velocidade da luz, certo? E todas as empresas, eu diria que a maioria já são empresas digitais de algum tipo. Mas todos eles estão aumentando a pegada digital. Vivemos em uma economia de dados, então estamos criando e produzindo mais dados do que nunca. Nossa tecnologia está funcionando cada vez mais rápido. E, francamente, todas essas são coisas boas porque trazem uma grande oportunidade de crescimento empresarial. Ao mesmo tempo, porém, precisamos dedicar um esforço correspondente e um nível correspondente de atenção aos riscos de segurança cibernética, porque pegadas digitais maiores aumentam os pontos de exposição. Elas aumentam a oportunidade de compromisso. Elas aumentam a oportunidade de roubo e outros tipos de atividades fraudulentas. Então, acho que agora é o momento para os diretores do conselho, ao supervisionarem a estratégia, não se concentrarem apenas nas coisas boas, mas também darem o nível correspondente de atenção às coisas que podem dar errado, que é o que os conselhos têm a tarefa de fazer. Mas o que tentamos fazer com este livro, e por que agora, é criar atenção, criar uma consciência naquela comunidade de que precisamos olhar aqui, que eles não podem ignorar desta vez.
Steve Weber [00:07:34] Interessante, é quase como se toda vez que víssemos a palavra transformação digital sendo usada, devêssemos nos certificar de que a palavra segurança cibernética estivesse na mesma frase ou na próxima. Deixe-me voltar a falar com você, Homaira. Mesmo para os menos ou mais experientes do ponto de vista técnico, os diretores, há muitas publicações e cursos dedicados a educar os membros do conselho sobre segurança cibernética. Obviamente, você está trazendo este livro para esse ambiente. Como você estruturou este livro com todas essas alternativas em mente? O que havia de diferente nisso, na sua perspectiva, em termos de agregar valor real a uma visão educacional lotada, mas ainda difícil de atender?
Homaira Akbari [00:08:22] Shamla e eu realmente estudamos, se preferir, o que estava no mercado, e o ímpeto para escrever nosso livro foi porque vimos uma lacuna, de fato. Então, o que vimos com o que existe agora são principalmente escritos, livros, panfletos, que falam sobre termos básicos, se preferir, de segurança cibernética e quais são esses conceitos básicos. E então, geralmente, ele salta para centenas de perguntas que os membros do conselho podem fazer. Como CISOs, notamos e observamos em tempo real que alguns dos meus colegas diretores faziam essas perguntas em uma sala de diretoria. Nós, CISO , respondemos a isso. E o membro do conselho diria: Ah, certo, obrigado. Mas não há uma discussão realmente significativa nem um engajamento com o CSO e com a gerência como um todo para realmente entender o que está por trás dessas respostas e se você sabe o que faz, por exemplo, quando você faz uma pergunta sobre contabilidade ou finanças, frequentemente há um debate e geralmente quando você vê segurança cibernética não há debate porque, na verdade, o membro do conselho simplesmente não tem esse conhecimento básico e fundamental de segurança cibernética. Então foi isso que decidimos fazer para criar em um volume relativamente curto, 80 páginas, aquele conhecimento fundamental que todo membro do conselho precisa. E então nosso plano é que eles continuem construindo esse conhecimento, nessa plataforma. E, você sabe, é um aprendizado contínuo, como sabemos, especificamente para segurança cibernética. Mas o que foi muito único, o que fizemos, foi criar uma série de modelos mentais que realmente podem ser assimilados em um formato gráfico e podem ser assimilados rapidamente por membros inteligentes do conselho, dos quais todos os diretores são pessoas altamente qualificadas. E foi assim que o definimos: uma série de mapas. Temos quatro mapas no livro, com o primeiro mapa definindo grupos de ativos comerciais, e basicamente criamos dez categorias. Alguns deles são, por exemplo, dados que são um grupo de ativos empresariais, ativos financeiros. As pessoas são os outros. Mas temos cerca de dez, na verdade, dez grupos de ativos empresariais, e nós os definimos. Depois de defini-los, fomos mostrar o que é o nosso chapéu branco. Nosso ativo é um ativo comercial. Que tipo de ganho eles obtêm ao acessá-lo e quais são suas motivações, por que eles fariam isso, como fariam isso. E isso nos levou ao que chamamos de vetores de ataque. Então, mapeamos em cada grupo de ativos de negócios os vetores de ataque que existem hoje para atacar esses grupos de ativos de negócios, seja para atingi-los diretamente ou para usá-los como um canal para chegar às joias da coroa da organização, onde, por exemplo, os dados são definidos como joias da coroa, não apenas, mas apenas uma delas. Passamos então para o mapa três, e o mapa três era sobre, novamente, os mesmos dez grupos de ativos empresariais que mostramos. Como você os protege? Então mostramos a maneira típica como a estratégia de defesa atual de uma boa empresa, de uma boa organização que tem uma postura de segurança muito boa ou preferível, realmente defendeu esses grupos de ativos específicos. E então chegamos ao mapa quatro, onde fornecemos métricas novamente para cada grupo de ativos comerciais para mostrar a eficácia da proteção. E então também incluímos, porque este é o sistema de defesa, não é apenas proteção, mas na segurança cibernética também é detecção, resposta e recuperação. Também incluímos métricas sobre como medir a eficácia da postura de segurança por meio de testes, bem como por meio de métricas de detecção e resposta. Então, acho que isso é algo único que nunca foi feito e é muito abrangente, mas também é muito fácil de assimilar e aprender.
Steve Weber [00:12:40] Sim, direi que, da perspectiva dos leitores, acho que outros leitores encontrarão a mesma coisa. Essas construções de mapas mentais realmente ajudam a definir as prioridades e a hierarquia das perguntas a serem feitas. Então, para mim, isso certamente foi muito New , importante e útil. Sharma Deixe-me voltar a falar com você e perguntar especificamente sobre a nuvem. Para muitas organizações de tamanhos tão diferentes, a transformação digital agora se tornou uma conversa sobre a migração para a nuvem em todos os tipos de configurações diferentes. Então vamos falar sobre a nuvem. E quando você pensa sobre essa transformação e migração para a nuvem, que tipos de possibilidades, que tipos de perguntas isso levanta para o conselho especificamente com relação à segurança?
Shamla Naidoo [00:13:29] Sabe, acho que quando adicionamos o conceito de nuvem ao livro, esse foi um tópico importante porque, na sala de reuniões, a maioria dos diretores entende o conceito de velocidade. Eles entendem que precisamos desenvolver capacidade muito rapidamente. E quando você diz a eles que pode colocar algo na nuvem ou consumir algum serviço da nuvem, a conexão imediata é que isso vai acontecer muito mais rápido porque não preciso que nossa equipe gaste tempo e esforço para desenvolver a capacidade básica. Alguém já fez isso. Vamos apenas comprá-lo, pegá-lo emprestado, alugá-lo, etc. e vamos usá-lo para desenvolver nossas capacidades proprietárias sobre ele, e ele estará pronto para o mercado muito rapidamente. Então, se você quiser ver os benefícios da nuvem e que a velocidade é uma moeda corrente nas conversas em salas de reunião. A questão para nós era: o que eles deveriam saber sobre como isso poderia dar errado? Então, por exemplo, é óbvio que a infraestrutura que dá suporte ao ambiente de nuvem está fora do controle físico deles? O que eles deveriam fazer e que não teriam feito se estivessem no data center? E essa foi realmente a razão pela qual focamos neste tópico: precisamos entender os riscos de colocar as coisas na nuvem. E nem sempre se trata do que você pode tocar e sentir. Às vezes, a questão é quem você precisa supervisionar, que tipo de expectativas você deve ter de seus parceiros e terceiros, etc. Mas, novamente, com todos esses grandes benefícios vêm os riscos, e eles precisam descobrir como vão supervisionar esses riscos da maneira mais eficiente para chegar aos resultados desejados.
Steve Weber [00:15:20] Ótimo. Shamla, vou interromper seu comentário sobre risco porque é algo muito importante. Muitos diretores com quem converso falam sobre si mesmos essencialmente como gerentes de risco em um ambiente de supervisão. E eu gostaria de voltar a falar com você, Homaira, e perguntar sobre sua visão e a maneira como o livro aborda essa questão do apetite ao risco cibernético. Você não pode reduzir seu risco a zero. Você está gastando em serviços, produtos e processos dentro da organização para melhorar a segurança cibernética. E a pergunta natural a ser feita é como sei que estou obtendo retorno sobre o investimento e valor em termos de modulação do risco para onde eu quero que ele esteja. Então fale sobre como o livro ajuda os tomadores de decisão ou diretores, neste caso específico, a pensar sobre o risco de forma construtiva nesse contexto.
Homaira Akbari [00:16:12] Damos vários exemplos e várias diretrizes. E então, a partir daí, nós também, como mencionei antes, falamos sobre um conjunto de métricas que também seriam úteis para medir se esses investimentos têm retorno. Mas deixe-me primeiro dar alguns exemplos sobre os quais estamos falando. Primeiramente, o conselho precisa estar seguro de que a organização está fazendo os investimentos financeiros e não financeiros necessários, e quero enfatizar os não financeiros, para prevenir os ataques que são evitáveis e se defender contra os ataques que não são evitáveis. Então, uma medida a ser considerada, quando se trata de finanças, é ter o melhor da categoria, e um dos melhores defensores da segurança cibernética que têm o melhor ecossistema de defesa são instituições financeiras de primeira linha ou bancos. Então, um banco típico de primeira linha gasta entre US$ 500 e US$ 1 bilhão por ano, Steve, todo ano em segurança cibernética, e isso geralmente corresponde a 5 a 10% do orçamento de TI deles. Sabe, obviamente empresas menores e essas são de nível um. Eles são bancos e realmente os melhores da categoria. Mas as empresas menores provavelmente não terão condições de gastar esse tipo de dinheiro, usar 5 a 10% do seu orçamento de TI é uma boa medida, exceto se você for uma empresa bem pequena e o orçamento para TI for relativamente pequeno, você provavelmente terá que gastar algo em torno de 15 a 20% desse orçamento. O ponto principal é o que você disse antes. Quando você pensa em defesa, quando diz que precisa se defender contra riscos de segurança cibernética, há quatro aspectos envolvidos. Há proteção dos seus ativos, há detecção de ameaças e, em seguida, resposta a esse ataque e, em seguida, recuperação desse ataque, porque invariavelmente você terá alguma violação cibernética. Então você precisa ter certeza de que tem uma postura de segurança definida e segurança para criá-la. E, portanto, você tem o que há de melhor e diversas ferramentas disponíveis. Mas faria falta se não terminasse esta explicação enfatizando o investimento não financeiro. E o que é isso? O mais importante para uma organização é ter a cultura cibernética correta. O que você quer dizer? O que queremos dizer com isso? É realmente uma conscientização generalizada, começando pelo CEO e pela equipe executiva, a conscientização, o envolvimento deles com a segurança cibernética até cada funcionário da empresa. E você sabe que o que sabemos hoje é que dois terços e talvez perto de 80% de todas as violações são devido a algum erro, intencional ou não intencional, cometido por pessoas dentro das organizações de nossos subcontratados. Portanto, essa conscientização, essa construção de uma cultura de segurança cibernética pelo CEO dizendo: "Eu acredito nisso, estou comprometido e dedicado a isso", que então fluirá por toda a organização e também garantirá que todos os executivos sejam responsáveis. Não são apenas os CISOs, e Shamla pode lhe dizer mais, já que ela é uma CISO, que é responsável pela segurança cibernética.
Steve Weber [00:19:51] Shamla Deixe-me voltar e fazer a pergunta do dia, que certamente está na mente de todos agora. Vocês começaram a escrever este livro quando grandes modelos de linguagem ainda eram um brinquedo de pesquisa com o qual as pessoas em laboratórios e universidades brincavam. Acho que foi há uns oito ou nove meses. O ChatGPT surgiu em cena e de repente se tornou um dos desenvolvimentos mais interessantes, intrigantes e importantes, e a palavra IA está em todo lugar. Então fale sobre como o surgimento de tecnologias como a IA generativa ChatGPT muda ou acelera a necessidade de um livro como este e os tipos de mudanças sobre as quais Homaira acabou de falar, incluindo as mudanças culturais.
Shamla Naidoo [00:20:39] Sabe o que é interessante sobre isso, Steve, é que há uma década tivemos a mesma reação à tecnologia de nuvem. Certo. E então, no passado recente, era nuvem. Agora é a inteligência artificial e, em particular, grandes modelos de linguagem. Sabe, em um ou dois anos, será o computador quântico. E o ponto é que a inovação não para. Então haverá inovação constante. Vamos enfrentar constantemente New tecnologias, New abordagens, New arquiteturas e New ferramentas. Essa é a natureza da tecnologia. E então a ideia aqui, eu acho, é que precisamos estar preparados para qualquer coisa. E os diretores do conselho, em particular, precisam entender o ritmo da mudança e que precisam criar o conhecimento fundamental muito rapidamente, porque essa é a maior lacuna. Se você não tiver uma base, todas essas ótimas informações disponíveis vão cair, mas não cairão em uma base forte, o que significa que você não poderá realmente construir a partir delas. Acredito que este livro lhes dará a base sobre a qual poderão construir e se preparar para as New tecnologias, New construções que virão até eles. E então a ideia é que esse seja o começo do aprendizado. Não é "o" aprendizado. É a base sobre a qual outros conhecimentos serão construídos. Então eu diria, esteja preparado para a inovação do futuro. Este livro lhe dará os conceitos básicos, as abordagens e os modelos para pensar sobre o futuro da inovação. Mas, você sabe, grandes modelos de linguagem são um grande tópico atualmente. É um tópico porque vivemos em uma economia de dados. Há dados em todo lugar. A maioria dos dados era invisível até que essa tecnologia fosse disponibilizada para nós. Assim, podemos obter os insights de negócios que estão incorporados em todos esses dados. E então, acredito que agora é a oportunidade para nos concentrarmos em dados, proteção de dados, risco de dados, risco de erro, risco de omissões e todas essas atividades que estão incorporadas no grande modelo de linguagem que usaremos para empresas. Mas, novamente, é a base.
Homaira Akbari [00:22:53] Se eu pudesse pedir isso ao Steve. O que é muito interessante é que no livro falamos sobre tecnologias emergentes, como Shamla mencionou, e falamos especificamente sobre ar e chat, mas também falamos sobre IoT, mas, por exemplo, quando se trata de IoT, falamos sobre o fato de que 80% dos riscos cibernéticos são muito semelhantes a qualquer outro que já tivemos. Mas há especificidades nisso. No caso do ChatGPT ou da IA, um dos grandes riscos, como todos sabemos, é alimentar o modelo com dados errados e, como resultado, obter resultados incorretos porque você, na verdade, cria dados falsos. O que nos leva a algo chamado deep fake, onde os dados se tornam tão falsos, tão inacreditáveis em alguns aspectos, mas algumas pessoas acreditam neles, que cria o que chamamos de deepfakes. Então, acho que é exatamente isso que Shamla disse, que falamos sobre tecnologias emergentes, como devemos pensar sobre elas, mas também damos alguns detalhes específicos para esses casos. Então, acho que ajudamos o membro do conselho a pensar no tópico do dia, como eles devem abordá-lo.
Steve Weber [00:24:10] Tenho certeza de que haverá um New em 2024 e que ele será testado à medida que avançamos. Homaira, vamos falar um pouco sobre a maneira como os conselhos se avaliam e devem se avaliar. É óbvio que você tem um grande número de conselhos e empresas públicas e assim por diante. E as pessoas se perguntam: como estamos indo? Como sabemos que estamos indo bem? Estamos indo bem. A pergunta que acho que todos nós ouvimos muito é: qual é a aparência do bem? Então, se um conselho quiser avaliar sua empresa, pensar em maturidade ou excelência em segurança cibernética, como deve fazer isso? E como o livro fala sobre métricas e comparações e responde à pergunta: Como é o bom em relação ao que os outros estão fazendo?
Homaira Akbari [00:24:55] Stevie Temos um capítulo inteiro, chamado capítulo sete, onde falamos sobre métricas para medição porque, você sabe, é uma pergunta que foi feita milhões de vezes por membros do conselho, CISOs e outras pessoas no ecossistema. No capítulo sete, na abordagem que adotamos, basicamente definimos dois conjuntos de métricas. Uma é a métrica de nível operacional, e a outra é a métrica de nível de diretoria. As métricas de nível operacional correspondem ao mapa para a área sobre a qual ele fala, que basicamente mostra para cada grupo de ativos de negócios como medir a eficácia da sua proteção e, em seguida, suas metodologias de detecção e resposta que você usa. Ele também fala sobre o fato de que você precisa medir ou testar a postura de segurança da organização, o que realmente lhe dá uma medida, não a única, mas uma medida dessa maturidade. Chegamos então às métricas em nível de diretoria e, até onde sabemos, ninguém realmente criou esse conceito que Shamla e eu criamos, de que essas métricas em nível de diretoria na verdade têm cinco componentes, dois dos quais são operacionais. Então, uma das informações seria qual é o seu programa de segurança cibernética, sua eficácia e conformidade regulatória, e qual é o seu perfil de risco de segurança cibernética, que vem das métricas operacionais que mencionei. Mas também acrescenta mais três avaliações. Uma delas é: qual é a sua cultura de segurança cibernética? A segunda pergunta é: quais são seus níveis de investimento e cobertura de seguro? E por último, qual é a prontidão da sua organização, se preferir, para gerenciar o impacto de violações cibernéticas? E achamos que não acreditamos que nenhuma organização esteja usando isso da maneira como articulamos, mas acreditamos que, quando fizerem isso, serão capazes de determinar a maturidade de sua organização. E para nós, esta é a chave.
Steve Weber [00:27:04] Maravilhoso. Deixe-me voltar para você, Shamla. Entre você e Homaira, vocês vivem e respiram o universo da segurança cibernética todos os dias. Você esteve em tantos lados diferentes desse quebra-cabeça, e achei muito importante, no final do livro, ter uma ideia do que você acha que são as reflexões, os pensamentos e as conclusões mais importantes que as pessoas realmente precisam levar para casa no final do dia. Porque a priorização é uma parte muito importante dessa conversa. Então fale um pouco sobre os pensamentos finais, as reflexões no final do livro, as coisas que mais importam para você e que os leitores levam dele.
Shamla Naidoo [00:27:48] Então, você sabe, acho que começaria com, todos nós sabemos como medir os benefícios da tecnologia, certo? E essa é a parte fácil. Nossa dificuldade é medir, calcular e realmente confrontar os problemas quando eles dão errado, e o conselho é responsável por isso. Então, para ajudá-los, acho que precisamos pensar que há muitas vantagens na tecnologia. Como isso pode dar errado? O mais importante é que, a menos que você seja uma empresa de segurança cibernética e venda produtos ou serviços de segurança cibernética, a geração de receita não vem da sua prática de segurança cibernética. A receita é gerada a partir de suas práticas comerciais, no entanto, as práticas de segurança, a tecnologia, as ferramentas, os controles, etc., possibilitam esses negócios. Então, quando calculamos o lucro do nosso negócio e a receita que geramos com ele, precisamos compensar isso com o custo da segurança, porque, na verdade, não é apenas um facilitador do negócio, mas um investimento na receita que você gera. E então, quando você faz o investimento, você diz: "Ok, esse é o valor do meu lucro líquido". Então, sim, é um custo para fazer negócios, mas é o custo da receita. Então essa é uma consideração importante. Acho que outra coisa a lembrar é que a liderança neste tópico não é intercambiável com a tecnologia e as ferramentas para o tópico. Então precisamos de líderes bons e fortes que possam ajudar o conselho na seleção de riscos. Como podemos identificar os maiores riscos que a empresa enfrenta e depois lidar com eles? E então, como damos o próximo passo que está no ponto e continuamos reduzindo nossos riscos? Porque se nos concentrarmos apenas nas ferramentas e na tecnologia, como saberemos se estamos nos concentrando nas coisas certas com o nível certo de prioridade? E nós temos, você sabe, isso, temos tantos problemas que podemos enfrentar, que não é possível enfrentá-los todos ao mesmo tempo, com o mesmo nível de rigor, com o mesmo nível de investimento. Então, acho que o CSO e os líderes de segurança devem ajudar o conselho a fazer a seleção cuidadosa desses riscos. E eu também diria que é muito importante que você tenha um diálogo bom, rico, aberto e transparente. Portanto, o conselho deve dialogar com o CISO. Não apenas sobre o status, não apenas uma atualização de status. Deveria ser realmente uma discussão de risco sobre o que não estamos fazendo, no que não estamos focados, no que não dedicamos tempo suficiente? Porque todos nós sabemos que não há tempo suficiente para fazer tudo. E então é preciso haver alguma transparência nessa discussão. E o CISO não deve ser o único líder a abordar esse tópico. Cada decisão empresarial, cada área empresarial, quando eles ganham dinheiro, eles sabem como relatar isso, eles também devem ser encarregados de saber e entender como o ciberespaço os impacta, como ele os capacita, e como ele pode restringi-los e como ele pode prejudicá-los ou prejudicá-los. E então os líderes empresariais precisam começar a assumir tanta responsabilidade pelos resultados quanto o CSO, porque a segurança cibernética não é o negócio. É apenas uma parte de tudo o mais que você faz. Então, acho que o QI cibernético e a cultura cibernética são considerações realmente importantes. E então, como eu disse, por último, o CSO não é o único executivo que deve estar atento ao que falha ou ao que dá certo.
Steve Weber [00:31:35] Interessante. Homaira, alguma reflexão adicional sobre a lição mais importante e poderosa é a qualidade da conversa estratégica no nível do conselho sobre o perfil de risco de segurança cibernética e sua relação com o negócio. Qual é a lição mais importante que as pessoas devem levar consigo quando terminam de ler o livro?
Homaira Akbari [00:31:53] Steve, há dezenas de lições e nós as destacamos. Mas sim, tenho uma lição a tirar e isso se baseia, mais uma vez, em muitas vezes que essa pergunta foi feita especificamente para mim e também, creio eu, para Shamla. Como podemos ser eficientes e seguros? O que podemos fazer para estar 100% seguros? Quero gastar o suficiente para estar 100% seguro. Já me perguntaram isso uma vez, por um executivo de uma empresa da Fortune 50: por que o governo não nos torna 100% seguros? Eles podem, eles disseram. E a realidade é que não, você não pode estar 100% seguro. Por que? As três razões para isso. O primeiro motivo é que basicamente todas as empresas, governos e qualquer entidade no mundo, incluindo consumidores, dependem de tecnologias e sistemas de TI desatualizados que não foram projetados com a segurança em mente. E eles criam vulnerabilidades. E o problema é que muitas dessas vulnerabilidades não são óbvias hoje em dia. E a segunda razão é que a cada dia estamos adotando New tecnologias, New inovações, algumas das quais até têm segurança projetada. Mas assim que se integram a essas tecnologias antigas, eles também se tornam vulneráveis ou criam vulnerabilidades até mesmo nas tecnologias antigas. Então, você sabe, esse aumento na superfície de ataque e o impacto nessa superfície que já temos criam toneladas de vulnerabilidades, algumas delas são conhecidas por nós. E algumas delas não são conhecidas, como as chamadas vulnerabilidades de dia zero. E por último, este é um setor onde você tem adversários. Você tem exércitos de pessoas que são extremamente bem pagas ou algumas delas são extremamente ricas, e organizações, organizações criminosas, que estão realmente procurando vulnerabilidades e explorando-as. E você sabe, por que nos perguntaram, por que eles deram isso a um antes de nós? Por causa dos dois primeiros que mencionei, porque simplesmente não temos consciência e essas pessoas estão trabalhando continuamente e são pessoas inteligentes para procurar por essas vulnerabilidades. Como resultado, você nunca estará 100% seguro, e é por isso que a detecção, ter uma boa inteligência de ameaças, trabalhar, coordenar e cooperar com o governo em outras empresas e outras entidades é muito importante para ter essa inteligência de ameaças e ser capaz de detectar, responder e se recuperar de qualquer dispositivo.
Steve Weber [00:34:34] É muito importante. A lição que me lembro é que voltamos ao que estávamos falando antes: o que é uma boa aparência? Ninguém deveria se perguntar como é a aparência perfeita, porque não existe perfeição e talvez nem mesmo a pergunta certa seja como é a aparência boa. Pelo que você acabou de dizer, entendo que talvez a pergunta certa seja: como sabemos que estamos melhorando e melhorando mais rápido do que nossos adversários?
Shamla Naidoo [00:34:54] Sabe, Steve, eu acrescentaria que esse é um ótimo ponto, porque todos os riscos não são os mesmos em todas as empresas. Certo. E então é o que é apropriado e o que está dentro do seu apetite. E uma coisa que eu diria aos diretores do conselho é: digam apenas o que vocês querem. Apenas deixe claro o que você acha que é material, porque na ausência disso... Os CISOs se esforçarão muito para lhe dar o que eles acham que você quer e o que eles acham que você precisa. Então, deixe claro o que é relevante para esta empresa neste momento, para este conselho. O que é importante? O que você quer saber? E eu lhe digo que, como eu mesmo sou um praticante, os CISOs lhe darão o que você precisa. Mas se eles estiverem chutando, espere que eles errem.
Steve Weber [00:35:43] Fantástico. Bem, veja, eu tive a oportunidade de ler o livro, mas muitos dos nossos ouvintes provavelmente não. Então, podemos encerrar explicando onde eles podem obter este livro? Onde o público pode encontrar o livro? Quando estará disponível?
Homaira Akbari [00:35:58] Estará disponível a partir de 5 de setembro e estará disponível no URL da Netskope.
Steve Weber [00:36:05] Shamla, alguma última ideia para compartilhar com nosso público hoje?
Shamla Naidoo [00:36:08] Eu diria para ler o que seus fóruns estão lendo. Então leia o livro para saber que tipo de perguntas você deve esperar quando estiver diante deles naquela sala de reuniões.
Steve Weber [00:36:16] Muito obrigado a ambos por fazerem este podcast hoje. Mas obrigado ainda mais por escrever este livro. Acredito que será um recurso tremendo para muitos diretores. Espero que seja amplamente lido, distribuído e apreciado por aqueles que o lerem e o utilizarem, principalmente.
Produtor [00:36:32] Obrigado por ouvir os Visionários de Segurança. Por favor, reserve um momento para avaliar e comentar o programa e compartilhe com alguém que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas e nós o veremos no próximo.
){kind=icon}
