Marene Allison: Na área cibernética, tudo muda a cada seis meses, e há uma nova perspectiva e todo um novo conjunto de novas tecnologias que estarão disponíveis. E como CISO, tive que enfrentar a nova ameaça, meu ambiente de TI, que não muda tão rapidamente quanto o ambiente de segurança, e então envolvê-lo novamente e ver o que funciona. Acho que temos um trabalho incrível porque temos todas essas novas tecnologias. Podemos observar todas as diferentes maneiras pelas quais um adversário virá atrás de nós. E então veja como vamos protegê-lo.
Palestrante 2: Olá e bem-vindo ao Security Visionaries, apresentado por Jason Clark, CISO da Netskope. Você acabou de ouvir a convidada de hoje, Marene Allison, Diretora de Segurança da Informação da Johnson & Johnson. Aos 17 anos, Marene prestou juramento na Academia Militar dos EUA em West Point para defender o seu país contra todos os inimigos, estrangeiros e nacionais. Hoje, Marene está cumprindo outro juramento para proteger sua empresa de invasores que tentam roubar seus dados. No mundo em evolução da segurança cibernética, as ameaças podem surgir a cada passo. Como líderes de segurança, é nosso dever traduzir essas ameaças em informações acionáveis para os executivos. E com uma equipe talentosa, você estará sempre preparado para proteger sua empresa contra ataques. Antes de mergulharmos na entrevista de Marene, aqui vai uma breve palavra do nosso patrocinador.
Palestrante 3: O Podcast Security Visionaries é desenvolvido pela equipe da Netskope. A Netskope é líder em SASE, oferecendo tudo o que você precisa para fornecer uma experiência de usuário rápida, centrada em dados e inteligente na nuvem, na velocidade dos negócios atuais. Saiba mais em NETSKOPE.com.
Palestrante 2: Sem mais delongas, aproveite o episódio 10 de Security Visionaries com Marene Allison, CISO da Johnson & Johnson e seu anfitrião, Jason Clark.
Jason Clark: Bem-vindo aos Visionários de Segurança. Sou seu anfitrião, Jason Clark. E hoje estou acompanhado por uma colega incrível, Marene Allison. Marene, como você está?
Marene Allison: Estou ótimo, Jason, obrigada por me receber. Esse é um ótimo programa.
Jason Clark: Obrigado. Estou animado para trazer à tona algumas das coisas que acho que realmente interessarão à comunidade sobre você. Você tem um histórico realmente incrível. Na verdade, estou com ciúmes do seu passado, para ser honesto. Eu gostaria de ter ido para West Point. Eu gostaria de ter entrado para o FBI. E você seguiu esse seu caminho único. Fui para o exército, mas isso é uma grande diferença do que ir para West Point, onde muitos dos meus familiares estiveram. Então, talvez possamos começar falando sobre você ser a primeira turma de mulheres a se formar em West Point e o que isso ainda significa para você hoje.
Marene Allison: Sim, na verdade eu nunca quis ir para West Point. Eu queria ir para a Academia da Força Aérea. E provavelmente a primeira pessoa, mesmo antes de conhecermos a palavra patrocinador, que me patrocinou e me ajudou a orientar minha vida foi Margaret Heckler, congressista de Massachusett. Ela me deu sua indicação principal para West Point. E passei despercebido, nunca vi o lugar, entrei e saí quatro anos depois, comissionado como segundo-tenente. E sim, foi uma definição de vida. Eu sou de Massachusetts, então a ideia de que as mulheres não podem fazer nada que um homem pode fazer, e algumas delas são preconcebidas, acho que a visão de mundo dos anos 70. Eu não sabia o que era isso. E entrei nesse ambiente e me dei bem, obviamente me formei e fui comissionado na Polícia Militar, mas foi lá que fui fazer engenharia elétrica. É claro que antigamente não tínhamos ciência da computação e não tínhamos diplomas em segurança cibernética. Então fiz engenharia elétrica e isso se tornou meu curso em West Point e com certeza fez toda a diferença, certo? Tem sido enorme. Sou presidente da West Point Women hoje e represento mais de 6.000 mulheres e formadas em West Point e tudo o que foi conquistado.
Jason Clark: Uau, isso é inacreditável. Então, se você nos contar um pouco sobre essa transição para o ciberespaço e esse caminho.
Marene Allison: Bem, como eu disse. Fui comissionado como segundo-tenente da Polícia Militar e depois saí. O que eu diria é que meu segundo patrocinador na vida foi o General Sam Wetzel, que fazia parte do conselho de administração da A&P Foods. E ele e outra mulher membro do conselho estavam procurando um chefe de segurança para a A&P, uma mulher formada em aplicação da lei em West Point, e essa pessoa era eu. Fui eu como agente do FBI em Newark. E então fez a transição para a segurança corporativa, segurança física. E então, depois que deixei a A&P, após cerca de 10 anos, fui para uma via de telecomunicações. E eu fui o responsável pela segurança física e segurança global em seis semanas lá. Eles me disseram: “Ei, Marene, nosso chefe de segurança de TI está saindo. E... Ah, a propósito, estamos fazendo a Copa do Mundo, a primeira vez que usamos voz sobre IP na produção. E precisamos de alguém para administrar nosso centro de operações de segurança." Ei, eu sou sua mulher. Eu estou lá. Eu vou fazer isso. E essa foi a minha transição de não saber soletrar IT para correr como meia na Copa do Mundo de 2002.
Jason Clark: Então, agora você está no CISO da J&J ou Johnson & Johnson, onde está desde 2010. Então, quando pensamos sobre como eram as coisas em 2010, em comparação com o estado da segurança em geral, a indústria hoje. Como você falaria sobre essas diferenças nos últimos 11 anos?
Marene Allison: Então, quando você olha para 2010, éramos um servidor cliente. As pessoas estavam apenas começando com os dedões dos pés. Bezos só podia pagar um dinging, não um iate de US$ 540 milhões, e a Amazon não estava ganhando nenhum dinheiro. Então éramos um servidor cliente e nossas redes eram o perímetro, não a internet como é hoje, não como somos no mundo digital. Eu estava na Medco, uma empresa chamada Medco, que não existe mais. O benefício da farmácia. Tínhamos um site de cliente que continha dados de 65 milhões de americanos. E 2005, implementando HIPAA, Sarbanes-Oxley e PCI, tudo ao mesmo tempo para garantir que os dados estivessem protegidos. E isso nos deu um certo nível. Eu uso o termo, uso até hoje é ficar na frente do urso, né? E você está um pouco à frente do urso, mas queria alguém atrás de você, mas não queria estar muito à frente porque estava gastando muito dinheiro no espaço. E isso fez uma grande diferença, mas também mudou a forma como fazíamos a segurança de TI por causa de algumas dessas estruturas, foi ótimo. E [inaudível 00:07:03] ali e então o NISS foi lançado e a ISO 27001. Mas todos eram apenas estruturas para ajudar os CISOs a melhorarem seu trabalho.
Jason Clark: Falaremos um pouco mais sobre isso, porque acho que houve muitas mudanças nos últimos 11 anos. Mas acho que mesmo agora a quantidade de mudanças é bastante significativa quando sentamos e pensamos sobre o rumo que as coisas estão tomando, mesmo considerando os últimos dois anos, que são desafiadores para todos. Mas quando penso nos seus sapatos, você está lançando uma das primeiras vacinas e depois também lidando com uma cusparada. Você diria que as aquisições de 10 anos atrás costumavam ser muito mais difíceis em termos de tecnologia porque você gostaria de abrir uma nova linha de arrendamento ou enviaria um novo equipamento de dropship e precisamos levá-lo para a África do Sul e para Para o Brasil e para a Rússia, esse é um projeto de seis meses por si só, basta levar o hardware para lá; agora, em um mundo de nuvem, você pode fazer as coisas muito mais rápido. Você pode entregar o software, certo? Para poder fazer isso acontecer. Você acha que ficou muito mais fácil do ponto de vista de segurança fazer aquisições nos últimos 10 anos?
Marene Allison: Em geral, durante aquisições e desinvestimentos agora é muito mais fácil. Se você se lembra, quanto tempo levamos há 10 anos para configurar um servidor? E então configure tudo e passe por todos. Foram meses, dias. Certamente não foram horas, certo? Os fornecedores de nuvem realmente nos ajudaram a mudar, mesmo que você esteja fazendo isso internamente, eles ajudaram porque, se quiséssemos ser viáveis, um valor comercial em TI, teríamos que mudar a forma como fazemos as coisas e teríamos que nos tornar automatizados, certo ? E então, ei, se eu conseguir um servidor de um fornecedor de nuvem em alguns minutos e levar três meses para fazer isso internamente, adivinhe para onde você irá? E então o que aconteceu foi apenas a mudança para a nuvem. E certamente ser capaz de dinamizar e pegar tudo e poder movê-lo para um ambiente de nuvem certamente torna tudo muito mais fácil até do que colocá-lo no servidor cliente se você estiver fazendo um internamente, não importa o quão rápido seja.
Jason Clark: Então pense em sua incrível formação histórica. Qual foi uma de suas maiores experiências de aprendizado em especificidades cibernéticas?
Marene Allison: Acho que provavelmente um momento realmente decisivo para mim foi em junho de 2016 com notPetya. Acho que para nós, como CISO, posso me defender contra isso. Modos maiores, firewalls maiores. Eu posso fazer isso e estou bem. Vou conseguir mais detecção e proteção será boa. Será bom. Quando notPetya ocorreu, foi a constatação de que você precisa de resiliência cibernética. Se você não tiver resiliência cibernética, não sobreviverá no novo ambiente de ameaças. E eu sei que tenho alguns bons amigos que na época apenas disseram: “Marene, vou dar um soco, vou embora. Estou saindo da cibernética. Vou voltar para um capital de risco. Vou fazer outra coisa", porque o CISO precisa entender onde uma empresa precisa ir no pensamento de uma empresa em torno do ciberespaço. E a resiliência não está totalmente no cerne do domínio do CISO. É mesmo a empresa, certo? E vimos isso novamente com o aumento do ransomware. Conheço muito poucos CISOs que faziam backups e restaurações, mas tudo girava em torno de como você configura seu backup e restauração e como você tem alta disponibilidade. E como o ransomware entra e se propaga contra um ambiente e o adversário, observando as coisas que fizemos para obter eficiência, toda aquela automação e redundância dupla, e backups automatizados também podem ser seu calcanhar de Aquiles em um evento de ransomware. E então é aí que eu acho que para mim o evento notPetya foi aquele momento de tipo, "Ok, agora o que fazemos? E então como vamos seguir em frente?" Foi menos segurança de TI e mais gestão de riscos de segurança da informação e resiliência cibernética.
Jason Clark: Você acabou de atingir uma série de pontos realmente importantes, que quero destacar, que são... Vamos começar, o primeiro é o trabalho do CISO, é um trabalho muito complicado e difícil por causa de um, apenas o nível de estresse disso vai acontecer. Você vai ter um evento que vai fazer você perder as férias em família ou o Natal em família, ou o casamento do seu melhor amigo, certo? Isso acontece com todo mundo. Então você tem o equilíbrio desses momentos estressantes e como você está gerenciando isso combinado com a tentativa de não criar atrito no negócio, mas precisando de algum nível de atrito para que haja um pouco de controle em vigor, talvez fale com sua opinião sobre o que torna o trabalho do CISO tão estressante. A maioria dos CISOs que conheço, depois de terem feito o trabalho de CISO três vezes, dizem: "Ok, acho que talvez tenha mais uma vez ou preciso ir para uma empresa menor, ou preciso passar para outra coisa. Mas eu simplesmente não posso ir tão duro de novo", certo? O que você acha que isso significa?
Marene Allison: Exceto eu, Jason. Exceto eu, certo?
Jason Clark: Acho que morar na Flórida, certo? Talvez isso ajude você a relaxar um pouco mais.
Marene Allison: E eu diria que existem alguns tipos de CISOs. Existem CISOs que estão trabalhando em uma verdadeira missão de segurança de TI, que consiste em proteger a TI. E há os CISOs que realmente são executivos de negócios. A segurança de TI é apenas uma pequena parte do que eles fazem. E então eles têm risco cibernético. Eles estão analisando coisas como o controle de TI da Lei Sarbanes-Oxley. E essa é uma função muito diferente porque você traduz o tempo todo. O que sei sobre o que está acontecendo em vez de tentar traduzir isso para os executivos seniores é uma bela arte. É absolutamente uma bela arte que temos que fazer. E ter equipes de pessoas muito talentosas que tenham serviço governamental, visão técnica, visão de negócios e reunir isso é muito, muito importante em vez de ter apenas uma organização, composta principalmente de engenheiros de segurança. E o jogo mudou, certo? É... Todos nós vamos ao conselho de administração agora e conversamos sobre risco cibernético e métricas operacionais e as pessoas com quem você estava conversando realmente entendem de onde vem um CISO. E acho que esse jogo mudou e ser capaz de articulá-lo de uma forma que faça sentido. Levantei a mão quando tinha 17 anos em West Point para defender o nosso país contra todos os inimigos, estrangeiros e nacionais. E posso dizer até anos depois, mas não direi quantos anos depois. Eu ainda poderia levantar a mão e dizer: “Defendo minha empresa contra todos os invasores que tentam roubar ou desfigurar nossos dados”.
Jason Clark: Isso é o que é incrível em nossa missão. Na verdade, estamos apenas começando. O problema está ficando mais difícil e vamos continuar a crescer como segurança, sobre o qual quero falar um pouco. Acho que sua resposta foi perfeita em... Acho que o estresse é que eles estão sendo ampliados de uma maneira tecnicamente, mas também estão sendo ampliados de outra maneira, do ponto de vista do risco comercial e da resiliência. E nem todo mundo consegue gerenciar os dois ao mesmo tempo. E é aí que as pessoas potencialmente caem, certo? Ou a organização em torno do negócio apoia, talvez tenha um chefe que não apoia isso, certo? Veja, você pode ter um CIO que não apoia você sentado e passando uma vez por mês com o conselho, e ele se reuniu com o conselho. Você vê isso acontecer o tempo todo, ou alguém lhe diz... e eu já vi isso muitas vezes: "Ei, preciso que você assine esse risco." E bem, sim, não posso fazer isso, é um risco enorme. Bem, por que você não assina? E eles dizem: "Bem, não, esse é o seu trabalho." E então você recebe o seguinte: "Se você não assinar, então talvez você devesse sair pela porta e encontraremos outra pessoa que assinará", certo? Você acaba com esse tipo de estresse também.
Marene Allison: Na verdade, isso ocorreu, não na J&J, mas em uma empresa anterior, onde o indivíduo não tinha redundância dupla para seu call center. E eu mencionei isso como um risco de continuidade de negócios. E a presidente daquela unidade de negócios precisava assinar e ela não queria fazer isso. Então eu disse: "Tudo bem, vou apenas escrever aqui o memorando de que você se recusou a assinar, tudo bem?" Sim. Tudo bem. E então, um ano e meio depois, as inundações destruíram o único link de dados para o call center, e nós dois fomos levados ao escritório do CEO e fizemos a pergunta. E eu disse: “Bem, é aqui que a aprovação não foi necessária, embora tenha sido relatada como necessária”. E eu tive que sair do escritório.
Jason Clark: Adorei. Sim.
Marene Allison: Sim. É que a responsabilidade e a TI são misteriosas, não é, Jason? Você sabe quem está fazendo o quê. Mas acho que do lado de TI, o mundo de TI para mim seria chato, né? Na área cibernética, tudo muda a cada seis meses, e há uma nova lente e todo um novo conjunto de novas tecnologias que estarão disponíveis. E como CISO, tive que enfrentar a nova ameaça, meu ambiente de TI, que não muda tão rapidamente quanto o ambiente de segurança, e então envolvê-lo novamente e ver o que funciona. Acho que temos um trabalho incrível porque temos todas essas novas tecnologias. Podemos observar todas as diferentes maneiras pelas quais um adversário virá atrás de nós. E então veja como vamos protegê-lo.
Jason Clark: Acho que é o único lugar na tecnologia onde você tem um adversário que está constantemente avançando e inovando, certo? Não existe outro espaço na tecnologia onde você... que tenha um adversário direto, certo? Isso está constantemente vindo atrás de você. E então você combina isso com o fato de que o negócio está se movendo e você precisa estar se movendo na velocidade dos negócios ao mesmo tempo. Então você tem essas duas forças massivas que estão empurrando você em direções opostas, certo?
Marene Allison: Certo. E também temos o ambiente regulatório, qualquer pessoa que trabalhe com uma lei de segurança cibernética da China e a localização de dados na China, a mesma coisa com a localização na Rússia. Temos continuamente que envolver o ambiente de uma forma diferente, para que a empresa possa continuar a operar nos ambientes em que se encontra sem tantos atritos como provavelmente desejaríamos, se todos fôssemos apenas segurança de TI.
Jason Clark: Então, qual porcentagem do seu tempo é feita... vamos chamá-lo de ano geek, parte da segurança de TI, versus reguladores, versus o negócio do ponto de vista geral, financeiro, jurídico de RH?
Marene Allison: Eu provavelmente diria que 10 a 15% é coisa geek. E para ser honesto com você, minha equipe provavelmente gostaria que fosse ainda mais longe, de 10 a 15%, porque eu procuro e encontro coisas e falo sobre isso e vejo como poderia funcionar. E então...
Jason Clark: Bem, é divertido também.
Marene Allison: Sim. É divertido. É muito divertido, certo? E eu sempre gosto de pensar: "Bem, o que vamos fazer agora?" Certo? Então eles adoram esses desafios, tenho certeza. Se você entrevistá-los, eles dirão algo diferente, tenho certeza. A parte comercial disso é provavelmente 20, 25%. Então, o que somos? 35, 40%. E então lidar com o que são os controles de TI, não importa qual seja a regulamentação, se é uma regulamentação de privacidade, uma Lei Sarbanes-Oxley que perdeu a HIPAA é a maior parte do resto do tempo, porque estou literalmente tendo que trabalhar com outras áreas do negócio a partir de uma avaliação ou auditoria ou de um regulador terceirizado. Como é o bom?
Jason Clark: Esses 50% não parecem tão divertidos.
Marene Allison: É interessante. Eu só estava... Tivemos alguns de nossos auditores entrando no espaço cibernético. E qual estrutura você está usando para fazer a avaliação? E porque é uma oportunidade de jogar como treinador. Eu adoro auditores de TI, certo? Eu os amo porque o que vejo é alguém que um dia vai trabalhar no meu departamento, ou um dia trabalhará na área cibernética. E então olhe para esses auditores de TI e depois desafie, questione e pergunte: por que estamos olhando para isso? Isso me dá a oportunidade de treinar e eu adoro treinar.
Jason Clark: Qual é o seu domínio favorito no ciberespaço?
Marene Allison: Qual é a minha... Perícia. Perícia computacional. Sim, minha pobre meia, as pessoas que administram minha meia e o diretor sênior desse lado sabem que posso pular em meio batimento cardíaco. Vou fazer um milhão de perguntas, por que estamos fazendo isso? Deveríamos estar fazendo isso? E então vincularei isso à tecnologia, algum evento aleatório que ocorreu há três anos, de que me lembrarei. E então eles adoram isso. Eles amam muito isso.
Jason Clark: Tenho certeza que sim. Mas... Então, vamos voltar ao... Começamos a mergulhar na inovação e eu queria abordar isso nos últimos minutos aqui. Então, há muitas mudanças acontecendo. Onde estão as áreas que você acha que precisam de mais inovação técnica, certo? Ao olharmos para a segurança cibernética, pode ser apenas segurança na nuvem. Pode ser segurança de dados. Poderia ser SIMS. Poderia ser o perímetro de convergência para SASE e SSE, mas segurança de API, apenas todas as opções acima. Curioso, apenas a sua visão de onde a inovação é necessária. Se você estivesse conversando com centenas de CTOs e empreendedores incríveis e pensasse: “Vá construir isso. Estas são as coisas que precisamos." O que você diria?
Marene Allison: A forma S dos aplicativos, em que temos que gerenciar cada linha de código de um aplicativo, não será sustentável. Precisamos de CTOs e de tecnologia que possam colocar esses aplicativos em contêineres e tirá-los do estado vulnerável em que se encontram hoje. Eu não era tão novo... tipo, Ok, a peça de segurança do aplicativo é grande, mas até o Log4j, porque o Log4j está nos aplicativos e nos servidores e está em todo lugar. E ei, adoro quando você pode corrigir. Mas muito do código não pode ser corrigido devido ao que está fazendo e onde está. Então vai ter que ter algum tipo de contêiner. A outra parte são os dados, certo? Existem as coisas físicas. E ainda hoje chamo a aplicação em si, é um espaço físico contido ou o servidor, ou a nuvem ou a rede. Todas essas são coisas físicas que precisam de nossa experiência para serem protegidas. Mas os dados, os dados vão para todo lado. Isso vai permear todos os lugares. 5G, os dados que saem dos sensores, um anel no seu dedo vai falar com o seu relógio, vai mandar coisas para o seu médico. Por favor, não envie para alguém que está tentando me vender um programa de perda de peso, certo? Todas essas coisas se tornarão muito, muito importantes. E estamos preparados? Sabemos para onde vão os dados? Continuamos tentando gerenciar os dados de acordo com sua localização ou os canais por onde passam. Como gerenciamos os dados em si?
Jason Clark: Em todos os lugares. E como os controles de segurança seguem essencialmente os dados? O que eu chamaria de Segurança Nirvana, é disso que precisamos. E o que é engraçado é que 90% das conversas sobre segurança não falam sobre dados. Eles falam sobre ameaças e vulnerabilidades, e probabilidade, e auditoria, e conformidade e tudo mais. E a realidade é que, no final das contas, a grande estratégia de segurança é proteger os dados. Mas há resiliência aí com certeza, certo? Há tempo, mas a maior parte são dados. Você não encontra... A maioria das conversas é na verdade a maior parte da tecnologia em torno disso, exceto...
Marene Allison: Certo. Exatamente. É um contêiner. É o contêiner por onde ele se move. É o recipiente onde ele fica. Mas não falamos sobre isso. E então o que precisamos fazer com isso? E então isso entra em... Um dos meus tópicos favoritos sobre Zero Trust e acesso, e quem tocou nos dados. E todas essas coisas porque são muito, muito importantes. E para onde nos levará a tecnologia e como a protegeremos para o futuro?
Jason Clark: A maioria das pessoas com quem converso vê o Zero Trust e, definitivamente, a maioria dos fornecedores. Eles vêem isso como binário, a confiança é binária. Então ou você tem acesso ou não tem acesso. Eu fico tipo, “Não, você não pode apenas entrar na minha casa ou não pode entrar na minha casa. Você... Posso deixar você entrar em minha casa, mas assim que perceber mau comportamento, ou não deixarei você sair do meu cofre. E a gente só precisa pensar nas coisas que tem um nivelamento de acesso. E isso é constantemente avaliado com base em muitos fatores de risco. E eu acho que é aí que a gente precisa chegar, onde tem um pouquinho, a gente pode confiar mais, né? Há casos em que você pode dar às pessoas o benefício da dúvida por um segundo, se elas... digamos, digitarem uma frase. Digite uma frase pelo motivo pelo qual você precisa desses dados. E 99% das pessoas dirão: “Não, deixa pra lá. Estou recuando." 1% digitará o motivo. Está registrado agora. E foi um disco, certo? Em vez de dizer: “Simplesmente não. E faça uma solicitação para a equipe de segurança", certo? E então é um nível de engajamento muito diferente, eu acho, onde você pode ter Zero Trust automatizado e integrado.
Marene Allison: Mas quer saber? Também deveríamos perguntar: “Então, onde vamos colocar os dados?” Certo? E você pode imaginar um mundo. É aqui que eu gosto de pensar: "Ah, você vai fazer o download para quê? SharePoint, um banco de dados e você sabia o que era." E os dados sabiam que se não fosse lá, diziam: “Ei, o desenvolvedor colocou no lugar errado, certo? Venha me encontrar. Mãe, venha me buscar", certo? Você pode imaginar esse mundo. Nós chegaremos lá. Teremos dados assim em algum momento, mas vai demorar um pouco. Mas isso ajudará a indústria de segurança. Veja a criptografia, certo? A criptografia era... é Zero Trust. Não confio em você a menos que lhe dê as chaves. Mas se eu te der as chaves você terá acesso a tudo, certo? E-
Jason Clark: Sim. Então, isso está ligado ou desligado, certo? Esse é o problema.
Marene Allison: Sim. Esse não é um ótimo modelo porque agora colocam as chaves em lugares estranhos, certo?
Jason Clark: Hum-hmm (afirmativo). Exatamente. Conclua ligado ou desligado binário.
Marene Allison: Ligado, desligado. Certo?
Jason Clark: É isso.
Marene Allison: E você está certo. E pode ser apenas dependente do tempo. É como análise do comportamento do usuário ou acesso contextual, certo? E vimos muito disso quando, Oh, sua autenticação de dois fatores. Se você estiver na rede J&J, tiver acesso, fizer logon único na J&J e estiver na VPN, poderá ter acesso a isso. Mas se você estiver fora da rede e entrar, precisará fazer mais dois fatores, certo? E isso é apenas contextual, certo? Ou se você estiver em um determinado lugar ou não estiver em um endereço IP, isso é... Você pode imaginar onde todos os salões Starbucks serão considerados seguros ou não seguros?
Jason Clark: E acho que esse mundo de tirar tudo do nosso data center, seja na nuvem, no SaaS ou em nossos dispositivos, nos permite isso. Isso nos leva a ter esse tipo de... o que gosto de dizer é a redefinição perfeita da segurança. Isso nos permite dizer: “Ok, tudo fala com tudo. Tudo é uma API agora. E vamos automatizar essas coisas de uma maneira muito melhor." Estamos reconstruindo a segurança nos últimos anos e temos muito mais trabalho a fazer, mas sinto que começamos a fazer isso.
Marene Allison: Sim. E até imagine, porque o risco de terceiros e eles falaram dos riscos da cadeia de abastecimento. Eles falaram sobre esses riscos. Já imaginou se seus dados tivessem a capacidade de ligar para você caso não estivessem sendo tratados corretamente?
Jason Clark: Sim.
Marene Allison: Você pode imaginar o que serão essas conversas... Provavelmente daqui a 10, 15 anos, mas você pode imaginar CISO para CISO: "Ei, com licença. Meus dados me ligaram e disseram que você está abusando deles."
Jason Clark: Sim. Não está onde deveria estar.
Marene Allison: [crosstalk 00:29:16] acesso não autorizado e quero falar com você sobre isso. Ou foi para a internet, não era para ir para lá.
Jason Clark: Por que minha configuração de dados está na China que forneci a você como terceiro, certo? Sim. Está ligando para casa. Sim.
Marene Allison: Exatamente. Você pode imaginar isso? Sim, e alguns dos problemas com os quais os CISOs lidam hoje, perda de dados, exposição de dados, proteção de dados, risco de terceiros. Eles terão uma dimensão diferente da que têm hoje. E é isso que é emocionante em nosso trabalho, certo?
Jason Clark: Então são como dados inteligentes.
Marene Allison: Dados inteligentes.
Jason Clark: Isso sabe se está sendo usado de maneira adequada e segura. Então, uma última pergunta para você, apenas mais em um nível pessoal: qual é o hobby que você adora fazer fora do ciberespaço ou dois?
Marene Allison: Sim. Tenho três cavalos em uma fazenda no norte da Flórida, e meu marido e eu cultivamos comercialmente mirtilos orgânicos.
Jason Clark: Uau. Naquela mesma fazenda?
Marene Allison: Naquela mesma fazenda. São mais de 200 acres, então há muito espaço. E temos cerca de 50 acres de mirtilos orgânicos.
Jason Clark: Quanto tempo você passa na fazenda versus seu...
Marene Allison: Pode-se considerar a fazenda como a casa principal, porque uma vez que se tem uma fazenda, há muito poucas outras coisas para fazer. Eu trabalho em casa em ambos os lugares e vou para Jersey para ir ao escritório cerca de uma vez por mês.
Jason Clark: Isso é incrível. Bem, obrigado. Esta foi uma sessão incrível e sei que os ouvintes terão gostado muito desta conversa, onde abordamos muitos tópicos e foi divertido. Então, muito obrigado Marene, e é sempre um prazer conversar com você. E...
Marene Allison: É um prazer estar aqui, Jason. E sempre que pudermos conversar é um ótimo dia para mim. Obrigado.
Palestrante 3: O Podcast Security Visionaries é desenvolvido pela equipe da Netskope. Procurando a plataforma de segurança em nuvem certa para possibilitar sua jornada de transformação digital? O Netskope Security Cloud ajuda você a conectar usuários com segurança e rapidez diretamente à Internet, de qualquer dispositivo a qualquer aplicativo. Saiba mais em NETSKOPE.com.
Palestrante 2: Obrigado por ouvir os Visionários de Segurança. Reserve um momento para avaliar e comentar o programa e compartilhe-o com alguém que você conhece e que possa gostar. Fique ligado nos episódios que serão lançados a cada duas semanas e nos vemos no próximo.
Por que Netskope 
){kind=icon}
