Rehman Khan: Acho que será o design, o design de segurança. Como eu disse, realmente focar no design de segurança e garantir que a maneira como abordamos a segurança não seja apenas com um monte de ferramentas, mas deveríamos realmente dar um passo para trás e projetar a segurança em toda a organização, no processo.
Produtor: Olá e bem-vindos ao Security Visionaries, apresentado por Jason Clark, CSO da Netskope. Você acabou de ouvir o convidado de hoje, Rehman Khan, Diretor de Estratégia de Segurança, Pesquisa e Design da Charles Schwab. Com mais de 20 anos de experiência em segurança, Rehman trabalhou com todos os tipos de pessoas. Com esse tipo de experiência, há uma razão pela qual uma de suas principais recomendações é redobrar a atenção às pessoas. Líderes de segurança escolhendo os membros certos para a equipe têm um profundo efeito cascata. A importância dessas decisões determina o sucesso ou o fracasso de uma carreira em segurança. Então escolha sabiamente. Antes de começarmos a entrevista, aqui vai uma breve palavra do nosso patrocinador.
Anúncio: O podcast Security Visionaries é promovido pela equipe da Netskope. A Netskope é a líder atrevida que oferece tudo o que você precisa para proporcionar uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios de hoje. Saiba mais em Netskope.com
Produtor: Sem mais delongas, aproveite o episódio oito do Security Visionaries com Rehman Khan, Diretor de Estratégia de Segurança, Pesquisa e Design da Charles Schwab, e seu anfitrião, Jason Clark.
Jason Clark: Bem-vindos ao Security Visionaries. Sou seu anfitrião, Jason Clark, CSO da Netskope. E hoje, estou acompanhado de um New convidado, Rehman Khan. Rehman, conte-nos um pouco sobre você.
Rehman Khan: Olá, Jason. Sim, estou feliz por estar aqui. Basicamente, estou liderando a Organização de Estratégia, Pesquisa e Design de Segurança Charles Schwab. E eu moro em St. Louis, Missouri, e moro lá há quase oito anos. E, antes disso, estive em Minneapolis, trabalhando com segurança cibernética por cerca de 12 a 15 anos e fazendo outras coisas ao longo do caminho. Então, sou eu.
Jason Clark: Sim, desde que te conheço, você foi arquiteto, chefe de arquitetura de muitas empresas realmente grandes, empresas globais. Você causou um grande impacto nas organizações em que esteve presente. Mas uma coisa que acabei de notar é que seu cabelo está muito mais curto do que da última vez que te vi. Isso foi resultado da pandemia e depois de aparecer, nem sei quantos centímetros você cortou agora.
Rehman Khan: Bem, sim. Ei, acho que todos nós estamos meio que mexendo com nossas pequenas necessidades e desejos, eu acho. Sim, eu provavelmente diria que perdi quinze centímetros há apenas algumas semanas. Pensei em apenas fazer uma limpeza para o Ano New . Isso vale e talvez possamos ter um novo começo, mas essa pandemia certamente nos deu essa oportunidade de talvez deixar o cabelo crescer.
Jason Clark: Como foi a sua família ou no trabalho, quem reagiu melhor ou pior quando você cortou tudo?
Rehman Khan: Acho que eles me aceitaram como eu me apresentei. Acho que sempre tem alguma coisa acontecendo comigo. Quer dizer, eu tenho um cavanhaque e, de repente, alguns anos depois, tenho barba. E então eu acho que as pessoas estão meio que acostumadas com a maneira como as coisas mudam na minha, eu acho, aparência. Mas, eu vou te dizer, acho que as pessoas em geral foram muito elogiosas, mas houve algumas vezes em que, acho que foi um dos presidentes da Wash U, eles olharam para mim e disseram: "Nossa, você estava no show do Survivor?" Quer dizer, foi literalmente, a reação deles foi tipo, "Onde você estava?" E então, sim, acho que há uma espécie de mistura, mas a maioria das pessoas foi simpática e entendeu isso.
Orador 5: Mergulho profundo. Mergulho. Mergulho. Mergulho. Mergulho.
Jason Clark: Então você fala seis idiomas. Conte-nos um pouco sobre eles e como foram valiosos para você.
Rehman Khan: Sim. Então, na verdade, se eu tiver uma história de vida, quando criança, eu nasci no Kuwait. Eu cresci lá e depois fui para Abu Dhabi. E meu pai trabalhava para a Lufthansa, então você pode começar a ver o padrão de podermos viajar pelo mundo. E então me mudei de Abu Dhabi para Minneapolis, o que foi uma grande mudança. Mas acho que, voltando à sua pergunta, eu diria que Abu Dhabi foi uma cidade onde aprendi e interagi com um público internacional. E eu aprendi alemão. O árabe já estava lá, assim como o urdu, e continuou existindo. E acho que isso ressoa comigo e continuou a desenvolver minha paleta.
Jason Clark: Eu penso nisso. Então eu também cresci globalmente, sendo filho de militar. E penso no fato de como dar essa mesma exposição aos meus filhos? Quero que eles cresçam como cidadãos globais e não fiquem sentados na mesma cidade a vida toda. E o que eu decidi é que, a partir de dois anos, a cada verão, passaremos esse verão em um país diferente. E é assim que vou torná-los, tanto quanto possível, cidadãos globais.
Rehman Khan: Sim. Não, acho que é uma ótima ideia. Sinto que temos, quero dizer, esperança de que com a pandemia, nos próximos dois anos, possamos ter esse tipo de oportunidade de nos mobilizar livremente. Porque parte disso não é só isso, você pode ficar em casa e aprender todas essas línguas, e fazemos o mesmo com a segurança cibernética, e assim por diante. Mas parte disso tem a ver com interação. E você realmente, quando interage com as pessoas, tanto na vida pessoal, você aprende. E eu acho que viajando você aprende. Você inspira confiança em seus filhos. E eu acho que esse é um ótimo plano. Eu mesmo quero fazer isso, mas acho que se trata de ir para um ambiente onde você tem que lidar com a situação e então você começa-
Jason Clark: É a cultura.
Rehman Khan: Sim.
Jason Clark: É como se existissem dois tipos de pessoas: aquelas que vão a algum lugar e dizem: "Tudo bem. Aqui estão os 10 sites. "Quero ir vê-los", o que você pode ver basicamente pesquisando no Google, ou as pessoas que dizem: "Quero abraçar a cultura". Quero experimentar a comida. Quero conhecer as pessoas. Quero ir aos bares locais." É uma essência muito, muito diferente do que você está tentando realizar. Então, normalmente eu faço essa pergunta um pouco mais tarde, mas estou curioso agora, começando na área de segurança: qual é seu domínio de segurança favorito? Você executa a arquitetura e já fez isso inúmeras vezes, o que significa que você meio que supervisiona, como um CSO, cada domínio de segurança. Qual é o seu domínio favorito?
Rehman Khan: Nossa, essa é difícil. Posso te dar dois?
Jason Clark: Sim. Dê-me o seu primeiro e depois o seu segundo.
Rehman Khan: Certo. Eu vou dizer. Veja, gerenciamento de identidade e acesso é onde eu cresci e o que eu aprendi, e continuo vendo isso evoluindo. Acho que é o meu primeiro. Esse é o tipo de coisa que precisamos fazer, e logo atrás vem a segurança de dados. Esses dois sempre estiveram lá. Sim. Quer dizer, acho que elas andam de mãos dadas. Você pode analisar isso de uma perspectiva de segurança de aplicativo. Mas sim, acho que esses são os domínios.
Jason Clark: Esses são ótimos domínios. E se eu tivesse que te perguntar, qual é a que você mais odeia?
Rehman Khan: E isso pode se aplicar a todos os itens acima, mas são operações de segurança, por assim dizer. É um aspecto muito importante, mas também sinto que as operações de segurança e talvez eu possa dizer o porquê.
Jason Clark: É um tipo diferente de estresse. Diga-nos por que você odeia operações.
Rehman Khan: Bem, eu sou um designer. Sempre fui designer. Estou atrás da estética. Estou atrás do design real. E eu sinto que a razão pela qual temos operações no estado atual, do jeito que estão, é que não estamos focando no design. Não estamos projetando soluções de segurança, aplicativos e assim por diante com a segurança em mente. E bem, há um risco residual e efeito disso. E é isso que as operações de segurança são hoje. Quer dizer, acho que é isso que me faz ficar longe disso, porque por que temos que ficar tão estressados com isso? Por que não pode ser como outros domínios operacionais que são automatizados? Eles estão trabalhando, funcionando, fabricando. Quer dizer, você pega qualquer um dos outros domínios de negócios, então-
Jason Clark: Você não quer ser o resultado dos designs ruins de outras pessoas. Você não quer ser o rabo. Você quer consertar as coisas e projetá-las corretamente.
Rehman Khan: Sim.
Jason Clark: Faz muito sentido. Entendo. E então você fica frustrado nas operações quando vê projetos ruins basicamente.
Rehman Khan: Sim. Sim. E então você os vê repetidamente. Quer dizer, estamos vendo isso com o Log4j. É uma paisagem meio interessante, por assim dizer.
Jason Clark: Acho que essa prejudicou o dezembro de muitas pessoas. Prejudicou as férias de muitas pessoas. Todo mundo com quem conversei por pelo menos 45 dias disse: "Ah, o que está acontecendo?" "Sim. Log4j. É isso que está acontecendo. Estamos apenas lutando por causa disso." Então você leciona em algumas universidades, o que eu sempre aplaudo, para ajudar a próxima geração. E uma delas é a Wash U, onde fiz meu MBA, e adoro ver isso em sua formação e no que você está trabalhando. Então, por que você faz isso? Qual é a sua opinião sobre a próxima geração e a importância de ensiná-la sobre segurança cibernética? E o que você ensina a eles?
Rehman Khan: Sim. Eu vejo isso como um processo de aprendizagem, na verdade. Ao ensinar, estou aprendendo. Acho que é nisso que realmente me concentro, porque você tem essa interação com os alunos e recebe perguntas. E às vezes tenho as respostas e às vezes não. É uma pergunta tão diferente que eu não esperava. Então, parte disso é que é algo que talvez possamos chamar de uma espécie de profecia autorrealizável. Estou tentando me antecipar às coisas.
Rehman Khan: O que eu ensino? Então, na Wash U, quando fui abordado pela primeira vez sobre o programa, a Wash U não tinha um curso de gerenciamento de identidade e acesso. Então, Joe e eu nos encontramos e discutimos sobre isso. E eu disse: "Bem, veja, eu gastei bastante tempo em gerenciamento de identidade e acesso, e acho que essa é uma área na qual não estamos realmente investindo mais tempo, no que se refere a certificados e programas de segurança cibernética. Então, vamos fazer algo com isso, mas não vamos fazer disso apenas uma coisa teórica. Vamos realmente implementar laboratórios e trabalhar em algo assim." Então criei todo o currículo para esse curso. E, conforme fui tendo algumas aulas, comecei a observar que há muito trabalho a ser feito em gerenciamento de identidade e acesso. Embora seja tão relativo a outras áreas, eu diria que sempre esteve lá. Já existe há-
Jason Clark: É antigo, mas o menos maduro. A propósito, eu diria a mesma coisa sobre a segurança de dados. Ambas são indústrias antigas, ou áreas antigas, com menor grau de maturidade e maior grau de fragmentação.
Rehman Khan: Sim. Então, é isso que continua me surpreendendo e tem sido ótimo. Então, a outra coisa que tem me transformado, por assim dizer, é um curso de segurança de rede empresarial, e eu o ministrei junto com outros dois instrutores, mais no modo de observação. E comecei a observar que não estávamos abordando redes de confiança zero ou conceitos de confiança zero. E ainda estávamos falando sobre o firewall tradicional e sobre conceitos que, na minha opinião, são quase obsoletos. Então, o que eu fiz foi pegar esse curso e transformá-lo. E agora estamos focados em redes de confiança zero. Quer dizer, eu ensino isso há dois anos. Eu me saí muito bem no curso, e sim.
Jason Clark: Então, existe um curso de confiança zero ou apenas uma rede de confiança zero?
Rehman Khan: Então, essa é uma boa pergunta. Como fizemos isso, como estava no curso de segurança de rede empresarial, mantivemos os aspectos de segurança de rede no curso, mas também introduzimos os conceitos de identidade da pessoa e do dispositivo, e começamos a montar a imagem de que, veja, há uma rede subjacente na qual essas informações circulam, mas você também precisa saber quem é essa pessoa e em qual dispositivo ela está. Então eu diria que é uma confiança zero, mas focada principalmente nos aspectos de rede. O plano de controle e o plano de dados sobre os quais falo no curso e trabalho com os alunos estão realmente focados em: de onde esse tráfego está se originando? Como sabemos que o trânsito está bom?
Jason Clark: Qual foi uma das perguntas mais difíceis que você já recebeu de um aluno?
Rehman Khan: Acho que a questão mais difícil é como pegamos nossos ambientes atuais e os movemos para esse pensamento e implementação de confiança zero? Como realmente fazemos isso? E essa é uma pergunta difícil, porque sinto que ainda não chegamos lá com a confiança zero. Há muito mais trabalho que precisa ser feito. Por exemplo, há uma noção de que precisamos conhecer todos os dispositivos, todas as configurações em nossos ambientes, para que possamos realmente certificar que esse dispositivo é legítimo, que esse dispositivo tem permissão de acesso. Bem, quantas organizações realmente têm essas informações de uma forma em que podemos realmente confiar, sem que a qualidade dos dados seja um desafio? Então é difícil explicar isso sempre, porque varia de organização para organização. Acho que é isso que considero difícil.
Jason Clark: O trabalho de segurança é muito difícil. Muitas pessoas escreveram que esse é um dos trabalhos mais difíceis no nível C, se não o mais difícil depois do CEO, devido à grande complexidade que o envolve. Mas, analisando isso, como você pessoalmente se mantém atualizado? Como chefe de todas New tecnologias e arquitetura de uma empresa muito grande, como você consegue acompanhar tudo isso?
Rehman Khan: Acho que é uma ótima pergunta. E é uma luta. Eu acho que, para mim... Eu me concentro, como eu disse, em alguns domínios em particular. E então, a ideia é que, por meio da interação com nossos colegas, você se mantenha atualizado. Obviamente leio muito, então estou sempre lendo todos os tipos de artigos diferentes.
Jason Clark: Você tem um favorito?
Rehman Khan: Eu diria que não. Eu só acho que há... O tradicional [Bruce Dyer 00:17:04] e esse tipo de-
Jason Clark: Sim, sim. Dark Reading, CSO Online e-
Rehman Khan: Sim.
Jason Clark: Não há nada New e surpreendente... Não há uma versão do Wall Street Journal e New York Times sobre segurança cibernética.
Rehman Khan: Sim, não. É realmente coletar informações de fontes diferentes. E um dos segmentos que faço para meus alunos é falar sobre as notícias do dia, de uma perspectiva de segurança cibernética. E serei muito honesto. Quer dizer, esse é provavelmente o lugar onde eu vou, quase diariamente, e coleto essas informações, e então eles realmente falam sobre os motivos, por que as coisas estão acontecendo do jeito que estão e o que pode ser feito para gerenciar o risco. Fora isso, leio principalmente livros sobre inteligência artificial. Vou ler certos relatórios, como o Gartner e assim por diante. Mas sim, isso é meio que [inaudível 00:18:18].
Jason Clark: Certo. Então, você acabou de dizer inteligência artificial. Vamos conversar sobre isso. Você tem lido sobre isso e, obviamente, esse é um interesse seu. Conte-nos mais sobre o impacto disso, de uma perspectiva de segurança cibernética para você.
Rehman Khan: Acho que, como você mencionou, a complexidade do nosso ambiente continua a ficar mais complexa, e acho que precisamos encontrar uma maneira de escalar a segurança cibernética. E, em nosso modelo atual, nossos modelos atuais simplesmente não serão capazes de acompanhar a quantidade de informações que estão sendo geradas. E acho que o esgotamento que podemos estar criando em organizações de segurança são os profissionais de segurança focados nos problemas certos. Eles estão trabalhando no raciocínio ou na reação? Então, acredito que onde a inteligência artificial pode entrar em jogo é que, se começarmos a olhar para o nosso domínio restrito de segurança, a segurança cibernética, podemos olhar para certas tarefas restritas e realmente começar a automatizar e a direcionar decisões sobre essas tarefas restritas. Então, por exemplo, há maneiras de classificar os eventos que estão ocorrendo. Precisamos ter um analista observando esses eventos o dia todo? Por que não podemos usar o aprendizado de máquina para realmente catalogar os eventos, realmente usar algum nível de intenção e combiná-lo com o resultado, e realmente analisar o resultado e ver se essa era a intenção que tínhamos ao usar o aprendizado de máquina?
Rehman Khan: Então, acredito que o aprendizado de máquina pode nos ajudar nesse sentido, onde podemos começar a mover parte da carga de trabalho para algoritmos de inteligência artificial com foco específico, que podem filtrar e avaliar certos pontos de decisão.
Jason Clark: Você já viu muitos... Quem é o melhor nisso, como arquiteto? Quem você viu fazer um trabalho realmente bom nisso, em termos de fornecedores?
Rehman Khan: Em termos de fornecedores? Eu diria que não sei. Não sei. Não encontrei nenhum fornecedor que pudesse... Acho que há certos aspectos disso. Existem certos algoritmos que ficam nos bastidores. Mas, abertamente, pelo menos não estou vendo um fornecedor que tenha completamente [inaudível 00:20:57]
Jason Clark: Certo. Mesmo que um pouquinho, houve alguém que disse: "Ok, eles estão no caminho certo. O que eles estão fazendo é interessante." Startup ou grande, não importa.
Rehman Khan: Sim. Eu diria que você tem nomes como CrowdStrike e, obviamente, alguns como Palo Alto. Há um pouco disso acontecendo lá. Acredito que há muita pesquisa sendo feita. Mas eu não vejo necessariamente uma versão produtizada de... Há o deepwatch. Há empresas que estão tentando, mas ainda não vejo necessariamente um vencedor.
Jason Clark: Certo. Então você não está inspirado. Nesse ponto, você não está inspirado. Em termos de tecnologia, o que te deixa animado?
Rehman Khan: Complexidade, problemas difíceis, eu acho. Quer dizer, eu adoro resolver problemas.
Jason Clark: Tudo bem. Então, olhamos para a nuvem. Quando olhamos para a segurança na nuvem, como você diria que isso está mudando o cenário da segurança? Quer dizer, a adoção da nuvem na sua organização, por exemplo, como isso está mudando a maneira como a segurança é executada e funciona, para tudo, para o CSO?
Rehman Khan: Sim. Eu acho que a nuvem pública, na verdade, é quase uma espécie de salvação para nós, porque... Há dois aspectos disso, duas perspectivas que eu tenho. Uma delas é que a nuvem pública nos dá o tipo de escala que sempre desejamos. Posso aproveitar essa escala para aumentar meus serviços de segurança. E, a propósito, esses serviços de segurança não precisam ser um produto que eu compro de um fornecedor ou comprador. Pode ser nosso próprio produto de segurança. Mas agora, não preciso mais criar essa infraestrutura e esses recursos. Na verdade, posso aproveitar a nuvem pública para aumentar minhas habilidades de segurança. E acredito que é aí que alguns dos aspectos da ciência de dados serão mais escaláveis para organizações focadas em inteligência artificial e na construção de seu próprio universo, por assim dizer, de uma perspectiva de detecção e prevenção.
Rehman Khan: Acho que o segundo aspecto da nuvem pública que considero difícil, para responder à sua pergunta diretamente, é que, novamente, não temos profissionais de segurança, ou profissionais de segurança suficientes, se preferir, com experiência em nuvem pública. Então, o desafio é que precisamos de pessoas para desenvolver soluções ou até mesmo avaliar soluções e aplicativos de nuvem que estão sendo migrados. Então, precisamos ter pessoas qualificadas. Precisamos ser capazes de entender a mentalidade, que é uma camada muito lógica da arquitetura. Não estamos mais lidando com dispositivos físicos ou firewalls, aparelhos. Estamos lidando com software. Estamos lidando com código. E como você pega uma organização, uma organização de segurança, que tem se concentrado principalmente em uma abordagem de avaliação de risco, mais em um tipo de abordagem reativa de avaliação de risco e, ao mesmo tempo, realmente aproveita produtos de segurança prontos para uso e implementa esses produtos? Então, você precisa ser capaz de girar isso.
Rehman Khan: O que isso requer, na minha experiência, é uma equipe de indivíduos que tenham um bom conhecimento de codificação. Eles têm um bom conhecimento em programação de sistemas distribuídos. E você reúne essa equipe na organização de segurança. E eu acho que isso realmente faz toda a diferença. Existem outros mecanismos de entrega, como [inaudível 00:25:17] você poderia criar automação. Você pode criar coisas como políticas como código. Todos esses aspectos são uma espécie de subprodutos. Mas acho que você precisa, na minha opinião, são as pessoas. Acho que você tem que começar com o time certo.
Jason Clark: Adorei quando você disse que a nuvem é uma espécie de salvação para a segurança, e concordo 100%. Na verdade, eu digo, é a reinicialização perfeita. É como uma reinicialização. É uma New oportunidade de obter uma alavancagem que nunca tivemos antes. A nuvem é extremamente benéfica para nós, se a usarmos corretamente.
Rehman Khan: Você está obviamente na Netskope, quer dizer, você está vendo isso, certo? Você está vendo o uso da nuvem e como sua organização consegue escalar. Acredito que, para as empresas, é uma oportunidade, e acredito que é uma oportunidade única de poder pegar seus aplicativos atuais e realmente implantá-los de uma forma, projetá-los e redesenhá-los, de forma que eles possam aproveitar a escalabilidade da nuvem pública, mas ainda assim serem seguros. Acho que é uma oportunidade única, porque acho que se não fizermos isso corretamente, vamos acabar na mesma situação. Agora, teremos apenas mais código e talvez não tenhamos estrutura para isso. Então, acho que você tem que pensar dessa forma.
Jason Clark: Então, ao olhar para sua carreira, qual você colocaria como uma das melhores decisões que já tomou e por quê?
Rehman Khan: Bem, houve algumas vezes, mas a primeira coisa que direi é que, na verdade, quando eu estava na faculdade, comecei minha jornada na área de engenharia elétrica. E, enquanto eu fazia cursos de engenharia elétrica, comecei a pensar: nossa, tem software sendo usado, software de desenho e isso e aquilo. E eu olho para isso e digo: "Ok, por que não estou focado em ciência da computação? Onde eu quero chegar com isso?" E eu diria que foi a melhor decisão que tomei. Troquei a engenharia elétrica. Na verdade, eu estava na metade do caminho e mudei para ciência da computação, porque sempre fui fascinado por computadores.
Rehman Khan: E o mais interessante é que tenho que compartilhar essa história com vocês. Na verdade, comecei minha carreira em programação embarcada. Então, basicamente trabalhei em Minneapolis. Trabalhei para uma empresa de dispositivos médicos. Estávamos no ramo de bombas de infusão, basicamente administrando insulina ou analgésicos. E comecei minha carreira lá escrevendo uma interface para bombas de infusão. Então, basicamente, você colocaria a bomba do paciente em um modo de controle, onde o médico a ajustaria e a reprogramaria com base nos seus sintomas. Então você [inaudível 00:28:16]
Jason Clark: Quantas linhas de código tem um desses?
Rehman Khan: Nossa, nem me lembro. Quero dizer, são centenas de linhas de código e, naquela época, tudo era comunicação serial e, então, realmente passava por um processo de conectividade. Mas de qualquer forma, comecei nesse mundo de sistemas embarcados. Na verdade, eu tive que escrever um protocolo, porque você precisava ter certeza de que essa conectividade era segura e confiável, porque você não quer que o paciente sinta dor e, mesmo assim, a conectividade caia e você não consiga reprogramar a bomba. Então comecei nisso e, novamente, enquanto fazia isso e analisava o software, comecei a observar o poder do software e pensei: "Uau, isso é ótimo. Quer dizer, é aqui que..." Então acho que esse foi o ponto de inflexão, quando eu estava fazendo minha graduação, mudei para ciência da computação e então continuei. E então, eu diria que mudar a partir daí, o segundo ponto, desculpe, é mudar disso para aplicativos de negócios. Esse foi o segundo.
Jason Clark: Onde isso aconteceu?
Rehman Khan: Isso aconteceu quando deixei os sistemas embarcados. Na verdade, eu fui para a Carlson Companies. E comecei lá como desenvolvedor de aplicativos e passei um tempo desenvolvendo aplicativos, depois comecei a ver oportunidades. Ela estava mais focada em aplicações J2EE e começou a ver oportunidades de uma perspectiva de segurança. Rapaz, precisamos escrever códigos de forma mais segura. Precisamos pensar no acesso do usuário. Precisamos pensar em como funciona o gerenciamento de certificados. Quer dizer, todos esses aspectos começaram a se tornar realidade. Então sim, esses eram meio que meus...
Jason Clark: Avançando, vamos cinco ou dez anos no futuro.
Orador 6: Futuro. Seu futuro.
Orador 7: Futuro. Futuro. Futuro.
Jason Clark: Em que você acha que as pessoas gostariam de estar investindo agora? Da arquitetura, estratégia, tecnologias e perspectiva, em que eles deveriam investir? Quais serão algumas das mudanças mais significativas que você acha... Use sua organização ou qualquer organização, isso vai acontecer.
Rehman Khan: Acho que são algumas coisas. Eu sinto que as pessoas... Acredito que escolher os membros certos para a equipe e tomar essas decisões agora renderá dividendos. Acho que todos nós estamos lutando com essa área, que não temos talento suficiente. E precisamos ser capazes de investir em talentos. Então, eu acho que, em parte, olhando para trás, na minha opinião, deveríamos ter investido ainda mais em nosso pessoal, no domínio da segurança cibernética, por assim dizer. Acho que ainda há muito mais oportunidades, e acho que as pessoas olharão para trás e dirão: "Deveríamos ter procurado pessoas com mais formação em ciência da computação, ou talvez tê-las capacitado para isso."
Rehman Khan: Acho que a segunda coisa que eu diria é que será o design, o design de segurança. Como eu disse, devemos realmente focar no design de segurança e garantir que a maneira como abordamos a segurança não seja apenas com um monte de ferramentas, mas devemos realmente dar um passo para trás e projetar a segurança na organização como um todo, no processo. Acho que essas são algumas coisas que, na minha opinião, quando as organizações olharem para trás, elas terão perdido essas oportunidades. E acho que é por isso que há uma grande procura por talentos agora. Todas as organizações de tecnologia tendem a trazer mais pessoas para o espaço da segurança cibernética porque veem valor.
Jason Clark: Então, segmento final aqui, um pouco pessoal.
Orador 8: Rápido, rápido, rápido.
Orador 9: Vá. Temos que agir rápido.
Orador 10: Quero ir rápido.
Jason Clark: Você conhece todos os domínios da segurança. Você foi chefe de arquitetura de muitas grandes empresas da Fortune. Quando você quer ser um CSO? Você já pensou em se tornar um CISO? Ou você olha para o trabalho e diz: "Sim, não."
Rehman Khan: Acho que é como conversamos, certo? Acho que estamos dizendo que é um papel estratégico, mas não sei se já chegou lá. Acho que ainda é uma função vista como de natureza operacional, do tipo: "Ei, vamos proteger nossos ativos e fazer isso rápido". E sim, chegará um momento em que poderei prosseguir com isso. Mas para mim, há muito trabalho a ser feito, Jason. Ainda há muito trabalho a ser feito do ponto de vista do design e, na verdade, da arquitetura das soluções de segurança certas, então sinto que é aí que devo contribuir. E acho que é aí que quero poder influenciar a organização.
Jason Clark: Adorei. Um dia você vai conseguir esse emprego, tenho certeza. Nos próximos 10 anos, conversaremos. Acho que você estará lá. Então, se você não estivesse trabalhando com segurança, o que estaria fazendo se a segurança não existisse?
Rehman Khan: Eu seria um chefe de cozinha em algum lugar.
Jason Clark: Adorei. Que tipo de comida?
Rehman Khan: Bem, então é principalmente comida indiana e paquistanesa. Essa é minha formação. Mas eu adoro fundir. Eu adoro fusão. Então.
Jason Clark: Então o que você fundiria com isso? Então, se você comesse comida indiana e paquistanesa, com o que você misturaria?
Rehman Khan: Bem, vou te dar um exemplo. Os americanos adoram bife. Então, a maneira como preparo meu bife, e é claro, vou me gabar disso, minhas filhas adoram o bife que fiz. Eles acham que é o melhor do mundo. Mas eu uso temperos paquistaneses. Tenho certas coisas que não consigo resolver. É tudo uma mistura de especiarias feita por mim. E eu quero ser capaz de criar aquele bife americano, mas com um toque paquistanês.
Jason Clark: Sim. Sim. Eu amo isso. Isso é incrível. Teremos que sair juntos algum dia.
Rehman Khan: Sim.
Jason Clark: Sim, nessa confusão. Então, qual é uma habilidade, ou habilidade que você pode ter, ou hobby, que não está no seu currículo? Então, você quer se concentrar em um hobby que a maioria das pessoas desconhece ou em uma habilidade? O que é algo que as pessoas, e pode estar cozinhando?
Rehman Khan: Bem, cozinhar é uma delas. Mas cozinhar também é um hobby espiritual para mim. De muitas maneiras, isso realmente me ajuda a relaxar. Na verdade, é até legal. Eu diria que costumava remixar músicas, e era como house music. Eu adoro isso. E eu adoro música em geral, mas sim, acho que remixar música em algum lugar, eu realmente-
Jason Clark: Adoro. E você funde isso também.
Rehman Khan: Sim.
Jason Clark: Tenho certeza de que você faz alguma fusão musical. Totalmente. Lembro-me de dias em que passava cinco ou seis horas apenas baixando músicas e tentando [CatGrab 00:36:29] cada pequeno MP3 que pudesse de qualquer música. Então sim, essa é uma boa resposta. Então, última pergunta, qual seria seu principal conselho para alguém que gostaria de ocupar o seu cargo? O que você diria para eles fazerem?
Rehman Khan: Eu diria que, se você é um líder de pessoas, acho que você quer capacitar as pessoas ao seu redor e realmente ter a melhor equipe sob seu comando, a melhor equipe que você pode reunir, a equipe com a qual você pode construir confiança. Acredito que essa é a medida do sucesso. E se pudermos construir isso com as pessoas ao nosso redor, acho que os problemas se tornam muito mais fáceis de resolver. Não consigo nem me estressar.
Jason Clark: Sim. E todos os tipos de pessoas. Acho que você poderia facilmente dizer que, no final, as pessoas são absolutamente a coisa mais importante que você pode fazer. E especialmente em sua função de liderar a arquitetura, seu trabalho é inspirar as pessoas. É para motivá-los. Como você tem uma equipe pequena, mas precisa ter, nem sei quantos funcionários de tecnologia existem na sua organização, mas tenho certeza de que são 5.000, 10.000 pessoas, você precisa motivar todos eles a fazer algo por você, por segurança. E para realmente conseguir isso, não é por meio de políticas. É inspirando-os. É motivando-os a querer, a se importar. E o que você está dizendo é que sua equipe, seus subordinados diretos, precisam fazer a mesma coisa. Eles precisam inspirar o resto da organização a se importar.
Rehman Khan: Sim, não, quero dizer, como líder, isso traz muita confiança na organização. E você também quer que eles sejam capazes de cometer erros, deixando-os tentar algo. E eu acho que você tem que apoiá-los. E eu acho que isso é muito importante. Se alguém quer liderar uma equipe de arquitetos e engenheiros, você tem que depender de suas habilidades. Você tem que ouvi-los.
Jason Clark: É só isso que temos tempo para hoje. Mas, se alguém encontrar Rehman e quiser entrar em contato com ele, poderá encontrá-lo no LinkedIn. Ele é um cara ótimo, adora falar sobre qualquer coisa relacionada à arquitetura de segurança, especialmente as mudanças que estão por vir, qualquer coisa. Se você encontrá-lo, pergunte quais são os temperos que ele coloca no bife. Com certeza vou fazer isso.
Rehman Khan: Sim, essa é uma receita secreta. Minhas filhas o protegem como você não acreditaria. E eles dizem: "Esta é a receita secreta do papai". E eu digo: "Bem, essa é uma pequena receita. Estou fazendo tudo, mas-"
Jason Clark: Eles querem criar um restaurante. Eles querem criar um restaurante.
Rehman Khan: Sim.
Jason Clark: Mas não, isso foi incrível. Muito obrigado pelo seu tempo e por compartilhar sua vida pessoal, seus amores e muito sobre segurança cibernética. Então, tudo o que queremos fazer é ajudar essa indústria a melhorar, e como você disse, é sobre... Você disse isso umas 50 vezes, eu acho, nessa conversa, o que importa são as pessoas, e essa é a chave, e é isso que estamos tentando fazer aqui, ajudar as pessoas. Muito obrigado.
Rehman Khan: Sim. Obrigado. Muito obrigado, Jason, pela oportunidade.
Jason Clark: Incrível.
Anúncio: O podcast Security Visionaries é promovido pela equipe da Netskope. Procurando a plataforma de segurança em nuvem certa para viabilizar sua jornada de transformação digital? O Netskope Security Cloud ajuda você a conectar usuários diretamente à internet com segurança e rapidez, de qualquer dispositivo a qualquer aplicativo. Saiba mais sobre Netskope.com.
Produtor: Obrigado por ouvir o Security Visionaries. Por favor, reserve um momento para avaliar e comentar o programa e compartilhe com alguém que você conhece e que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas. Nos vemos no próximo.
){kind=icon}
