Practicar la confianza cero y adoptar el supuesto de incumplimiento

0:00:04.1 Raghu Nandakumara: Bienvenido al segmento, un podcast de liderazgo de confianza cero. Soy su anfitrión, Raghu Nandakumara, jefe de Soluciones Industriales en Illumio, la empresa de segmentación Zero Trust. El día de hoy me une el Dr. Chase Cunningham, también conocido como Dr. Zero Trust, Chief Strategy Officer de Ericom Software y ex Analista de Forrester. Como Chief Strategy Officer de Ericom, Chase es responsable de desarrollar, liderar, comunicar, ejecutar y mantener la estrategia corporativa. En su rol, se desempeña como líder servidor, pensador estratégico y hacedor, asegurando que las estrategias de ejecución respalden la visión general de la empresa. Antes de su cargo en Ericom, Chase fue vicepresidente y analista principal en Forrester Research, donde se centró en la planificación de centros de operaciones de seguridad, operaciones contra amenazas, cifrado, seguridad de redes y conceptos e implementación de confianza cero. A lo largo de los años, Chase también ha desempeñado diversos roles de investigación de amenazas e inteligencia con organizaciones como Armour, Accenture y la Agencia de Seguridad Nacional. Hoy, Chase se une a nosotros para hablar sobre la evolución del marco Zero Trust, cómo obtener la confianza cero correctamente y qué se equivocan las organizaciones al mapear sus estrategias de confianza cero. A todo el mundo le encanta una buena historia de origen, cierto, así que escuchemos la historia del origen de la confianza del Dr. Zero.

0:01:09.1 Chase Cunningham: Le digo a la gente como, y no estoy bromeando, soy súper afortunado de haber tenido algún éxito en la vida o en el cibermundo, solo porque es una constante, tropiezo en la suerte y tener buena gente a mi alrededor. Entré a la Marina como mecánico diesel. No tenía nada que ver en absoluto con las computadoras, lo que sea. La forma en que me metí en el cibernético fue totalmente por accidente.

0:01:31.1 Raghu Nandakumara: Agradable, agradable. Así que bien, como este es el podcast Zero Trust, así que vamos a terminar hablando de Zero Trust, cierto. ¿Cuál fue su exposición a Zero Trust? ¿Estaba muy directamente relacionado con lo que hizo en Forrester o estuvo expuesto a esto antes de eso también?

0:01:48.5 Chase Cunningham: Después de hacer todas mis cosas cibernéticas y cripto en el ejército y luego fui a hacer cosas para el gobierno, de hecho enseñé y escribí un plan de estudios para la explotación de redes informáticas, que era la forma en que el gobierno facturaba cosas realmente caras cuando haces equipo rojo. Entonces hice equipo rojo en el espacio de gobierno durante bastante tiempo y cuando estaba platicando con John Kindervag, a quien había conocido, cuando aún estaba en Forrester, él estaba hablando de lo de ZT y en ese momento yo estaba como, bien, claro, lo que sea que suene como chalecos de marketing 101, cool, bla, bla, bla. Y luego vine a Forrester y en realidad estaba, diría cabreada que dijeran: Oye, vas a recoger la ropa interior sucia de John y hacer esto de ZT. Pero cuando empecé a mirarlo desde la perspectiva de si era un tipo malo o un equipo rojo, ¿estos conceptos me provocarían, ya sabes, que renunciara e fuera a buscar otro objetivo? Y lo harían, de repente la bombilla se encendió y yo estaba como, bien, John estaba en algo. Entonces yo sólo fui a ello. Pero sí me gustó, discutí seriamente con mi jefe, Joseph Blankenship y otras personas en Forrester como yo... Por favor, no me obligues a hacer algo que alguien más ya ha hecho porque no quiero ser el segundo Violín en lo que sea. Pero resultó ser un buen, ya sabes, un buen uso de mi tiempo.

0:03:01.9 Raghu Nandakumara: Sí, absolutamente. Y yo diría que como una especie de practicante, cierto, diría que ese tipo de John Kindervag como que sentó las bases para una especie de definición moderna de Zero Trust. Yo diría que usted más que probablemente nadie más hizo para realmente tomar esa corriente principal. Entonces, ¿cómo sientes ahora que este tipo de, este bebé que alimentaste finalmente empieza a caminar sobre sus dos pies?

0:03:30.3 Chase Cunningham: Para tropezar.

0:03:31.9 Raghu Nandakumara: Todavía no diría bola de nieve, pero al menos camina sobre sus dos pies.

0:03:35.5 Chase Cunningham: Es bueno que haya gente que vea que hay valor en una estrategia que tiene sentido. Estoy harta y cansada de escuchar a la gente puñetarse y gemir sobre la, la palabra de moda y lo que sea y todo el odio que viene con ello. Porque para mí, en realidad estoy literalmente, estoy, estoy trabajando en un blog ahora mismo sobre como, mira, si no compras lo que estamos vendiendo y no crees que esto tenga sentido, por favor sigue siendo estúpido en hacer lo que estás haciendo y vas a ser la que es la gacela lenta. Como seguir adelante. Estoy al grano ahora solo con, si hay este movimiento masivo del mercado y toda esta adopción y estoy... Ayer tuve llamadas con gente en Argentina, voy a hablar en Columbia el mes que viene en ZT. Si el mundo entero piensa que esto es algo real y tú, los que odian no, bien, sé un odiador y avísame cuando te entreguen tu culo y luego ven a hablarme de ZT.

0:04:26.7 Raghu Nandakumara: Así que sí, estoy de acuerdo, ¿verdad? De lo contrario no estaríamos haciendo esto, ¿verdad? Entonces, ¿cuál es el... Y como miras a tu alrededor, cierto, y como que dices, bien, cuál fue el punto de inflexión, ¿verdad? Porque había suficiente en términos de la premisa real detrás del porqué, como por qué Zero Trust, ¿verdad? Es sentido común, ¿verdad? Pero ha tardado una eternidad para que la gente casi alcance ese nivel de sentido común. ¿Cuál fue el punto de inflexión en su opinión?

0:04:56.5 Chase Cunningham: Creo que COVID era el gas en el fuego que se necesitaba porque había tal movimiento para descubrir muy rápidamente cómo mantener los negocios en funcionamiento. Y entonces cómo también no solo abrir la puerta escribo grande y ir, ojalá no nos ahoguemos, ya sabes, al enésimo grado que había suficiente gente que como que tenía a una oportunidad, una crisis, una oportunidad, ¿verdad? Crisistunity para dar un paso atrás e ir, bien, podemos hacer algo diferente y así es como podemos hacer algo que tenga un poco más de sentido porque obviamente teníamos prueba, en Pong prueba de que el otro modelo no funcionaba y ahora con control remoto y todas las demás cosas que estamos viendo, y creo que leí un artículo esta mañana sobre cómo se acepta lo híbrido ahora es la forma en que se va a ver ese trabajo, ya sabes, tal vez no todo el mundo tiene que estar en la oficina a menos que trabajes para Musk o lo que sea que sea que esté pasando allá. Y el resto de nosotros podemos como, ya sabes, vivir como humanos el... Esa realidad requiere que tengamos ese tipo de enfoque y ZT simplemente se encuentra en el lugar correcto en el momento adecuado con tecnología que evolucionó para permitir esa cosa.

0:06:03.2 Raghu Nandakumara: Sí, absolutamente. Y porque... Y... Y creo que también piensas que no solo una especie de COVID y el paso al trabajo híbrido, etcétera, ¿verdad? Pero, ¿cree que también fue una mayor realización de cómo se veía ahora ese panorama de amenazas, verdad? Y más o menos, y sé que hablas de cómo ZT casi equivale a Asume Breach o en realidad viceversa. Supongamos que Breach es lo fundamental sobre el que ZT es entonces la respuesta.

0:6:34.4 Chase Cunningham: Sí, quiero decir, es gracioso porque eso solía ser un punto de inflexión para que la gente estuviera como, acepta que ya tienes un compromiso. Oh no, no, estamos, eso no es una cosa y que no estamos comprometidos y no hay, tenemos millones de dólares en esto. Y es como, oh, quiero decir, bien, déjame escribir esto porque vas a estar, ya sabes, pingándome en seis meses y ahora eso, eso parece ser, ya sabes, no es un golpe a una persona o algo así, es solo la realidad del espacio. Así que acéptelo y luego alinee sus recursos alrededor de él para superar ese problema. No tiene que ser... Yo diría que no tiene que ser un negativo realmente, si lo piensas de otra manera. Y eso, ya sabes, el otro haterade que es tan, ya sabes, por todos lados ahora mismo es, bueno esto no es nuevo. Corregir. No es nuevo. Esta es una evolución y una maduración de algo que tiene mucho sentido y tiene sentido desde hace mucho tiempo. Como dijiste, la gente simplemente lo ignoró porque la gente es, no sé, gente, nosotros chupamos en general.

0:7:33.9 Raghu Nandakumara: Creo que en realidad... Fue en... Fue en tu LinkedIn o Twitter recientemente donde creo que pusiste algo, algo en la línea de que no hay parche para la estupidez humana o algo por el estilo. Pero siento que te cite mal si lo hice, pero me gustaría que simplemente, sé que nuestros oyentes van a ser una especie de profesionales de seguridad con experiencia y habrán escuchado Asume Breach, les encantará escuchar de Zero Trust, ¿verdad? Solo tienes que colocarlo, ¿verdad? ¿Por qué... ¿Por qué Zero Trust es la respuesta natural a un Asume Breach? Más o menos, si la pregunta es Asume Breach, ¿por qué Zero Trust tiene que ser la respuesta?

0:8:10.8 Chase Cunningham: Si miras el, el qué se requiere. Así que volteemos el guión por un segundo y digamos que no nos preocupa la defensa. Digamos que aceptamos que hay un compromiso. Bien, listo. Ahora, ¿qué es lo que realmente no queremos que suceda? Quiero que no puedan permanecer en mi red ni en mi entorno. Quiero que no puedan moverse. Como si, si alguien irrumpe en mi casa, eso es un problema, pero no quiero que te mudes y vivas conmigo. Entonces, ya sabes, seamos reales al respecto. Si aceptamos que eso es lo que estamos tratando de hacer, ¿qué necesita el malo para tener éxito de esa manera? Necesitan relaciones de confianza desde dentro de los sistemas. Y John lo dice todo el tiempo, confianza de la emoción humana, la hemos integrado en las computadoras. Si eliminas las relaciones de confianza, no es que vaya a haber cero confianza, es que van a tener un riesgo manejable basado en relaciones de confianza y que... Eso hace que el día del malo sea realmente duro. Como si eso fuera... Eso es lo que queremos. Ahí es donde está. Yo no estoy... No estás... No vas a tener nunca una brecha, no vas a tener un compromiso. No vas a tener... Y, estoy de acuerdo con la gente, dirán que bueno no existe tal cosa como cero confianza. Corregir. Al igual que no existe tal cosa como cero grasa corporal porque morirías, pero intentas llegar muy bajo.

0:9:24.2 Raghu Nandakumara: Sí, sí, 100%. Y creo que el tipo de algo que dijiste ahí justo ahí, es sobre hacerle la vida difícil al atacante, ¿verdad? Creo que estamos mejorando en ese enfoque, pero aún así, creo que con demasiada frecuencia no nos acercamos a construir controles de seguridad desde esa perspectiva, ¿verdad? Como, de nuevo, como tus pensamientos, como por qué, porque es tan natural, ¿verdad? Se lo ponen difícil, van a ir a otro lugar.

0:9:52.5 Chase Cunningham: Es gente tratando de defender su posición en la compañía de manera equivocada. Quiero decir, ahora tienes CISO que tienen su asiento en la mesa y genial y eso es súper impresionante y lo que sea. Pero quiero decir que la realidad es que normalmente están tratando de justificar su posición en una empresa y diciéndole a la gente que van a estar perfectamente defendidos o cualquier otra cosa. En lugar de esa conversación real sobre como, mira, lo que estoy haciendo va a reducir exponencialmente nuestro riesgo y eso va a hacer que esto sea más manejable y podamos mantener el tiempo de actividad y cualquier otra cosa. Todavía tengo que toparme con un solo taller con un cliente que haya sido sobre la pieza tecnológica de ZT, ha sido 100% sobre los problemas de liderazgo que enfrentaste ahí.

0:10:32.9 Raghu Nandakumara: Sí, exactamente correcto. Y yo una especie de... Algunos blogs donde estuve leyendo la semana pasada, en torno a cómo es Zero Trust... O adoptar una estrategia de confianza cero tiene que ver tanto con esa aceptación multifuncional, ¿verdad? Más... Mucho más que solo ser un programa de seguridad para la organización de seguridad, ¿verdad? Entonces, para las organizaciones que están adoptando Zero Trust es, ¿diría que hay algo en lo que una organización está haciendo mal la confianza cero? ¿O dirías que a cualquiera que esté haciendo cero confianza se le debe acreditar?

0:11:07.3 Chase Cunningham:No, creo que... Creo que hay una manera de hacerlo mal. Si no estás entendiendo por dónde estás empezando y no estás teniendo una conversación muy real sobre las cosas que son más importantes y trabajando tu camino hacia afuera desde ahí, como lo hemos hablado durante mucho tiempo, entonces estás extrañando el bosque para los árboles. Personalmente, mi metodología y cualquier persona con la que me involucre es, lo primero que vamos a hacer es tal vez no sea un equipo rojo del mundo real, pero voy a lanzarte un escenario y luego voy a sentarme ahí y ver qué pasa. Porque hasta que no hayas pasado por el estrés de esa situación y en realidad hayas tenido los pies al fuego, todo es pontífice. ¿Entérate a lo que me refiero? Si el... Si la realidad de la seguridad es hacernos sobrevivir más allá de una brecha, que es uno de esos momentos oh Dios mío, entonces necesitamos reaccionar en base a lo que realmente va a ocurrir. Y yo... He tenido tantas empresas que han dicho, estamos listos y yo voy y dejo caer la carpeta de situación frente a ellos y luego ves rodar las cabezas, las discusiones pasan, la gente corriendo por las puertas y es así, aquí es donde empezamos. Puedo, este problema es solucionable. Este es un tema de liderazgo de la administración. Tecnología, eso es salsa bebé. Eso viene después.

0:12:15.4 Raghu Nandakumara: Sí, sí, sí. 100%. Entonces, ¿cómo hace esto bien una organización? Derecha. Bueno, ¿cuál es el... ¿Cuál es el libro de jugadas que necesitan adoptar para hacer cero confianza, adoptar una estrategia de confianza cero, tener éxito con ella, poder medirla? Vamos a desempacar eso.

0:12:31.3 Chase Cunningham: Bueno, creo que lo primero es... Es como digo, es poner los pies al fuego y entender no solo desde la perspectiva del equipo de seguridad, sino todo el camino arriba y abajo tanto de la cadena alimenticia se pueda involucrar. Como lo que en realidad se volvería una loqueria cuando algo ocurre para que de esa manera al menos hayas experimentado la miseria que vendrá. Entonces esa es una pieza organizativa. Lo segundo que creo que es crítico es tener una comprensión realmente buena de la totalidad de activos que está tocando esa empresa, esa red, lo que sea, porque no puedo defender lo que no sé. Y luego mapear sus controles en función de las brechas que ve. Si usted... Si lo piensas desde la perspectiva de la... El general en la cima del campo de batalla, ¿verdad? Y puedo mirar a través de todo. Si puedo hacer eso, puedo vectorizar recursos para tapar las brechas. No quiero estar bajo tierra y luego mirando hacia arriba y yendo, caray, realmente espero estar poniendo las cosas correctas en el lugar correcto en este campo de batalla.

0:13:25.3 Raghu Nandakumara: Y para las organizaciones que empiezan este viaje, ¿verdad? Donde esta... ¿Dónde suelen salir desatascados?

0:13:33.4 Chase Cunningham: Por lo general, van demasiado grandes, demasiado rápido. Dirán, en realidad es un buen ejemplo. Yo estaba trabajando con un banco, uno grande, y me dijeron, bueno vamos a hacer ZT para los usuarios. Yo estaba como, genial, súper genial. Creo que eso es positivo. Y ellos dijeron, vamos a lanzarlo y vamos a empezar con 5000. Y yo estaba como, guay, guay, eso no es pequeño. Y ellos dijeron, oh, bueno, somos un banco global, lo que sea. Yo estaba como que eso no es pequeño. Y ellos dijeron, bien, bueno, ¿con qué número deberíamos empezar? Y dije, cinco. Y eran como, ¿cinco? Eso es... Eso ni siquiera vale nuestro tiempo. Y yo dije, bueno, si violara a cinco personas en tu empresa, ¿eso destrozaría tu tienda? Bien, justo. Entonces, y luego si lo haces bien para cinco, lo haces por 10, y si lo consigues para 10, lo haces por 50. Y luego tú... Ya sabes, rodas, como, afilas la cuchilla basándote en molerla contra el metal en lugar de venir en balanceo y crees que acertó.

0:14:23.2 Raghu Nandakumara: Pero, ¿cómo eliges los cinco? ¿Correcto? Dijiste, bien, escoge estos cinco específicos que cumplan con estos perfiles o fue, bien, comencemos poco a poco.

0:14:33.5 Chase Cunningham: Correcto. Para mí se trata de quién sería... Si vas a elegir a esas cinco personas, que tienen el mayor acceso de administrador en un sistema, esas cinco, esas son las personas en las que quiero centrarme primero. Y si vuelven y se van, bueno, uno de ellos es el CEO bien, bueno tenemos un verdadero problema ahí. ¿Por qué diablos el CEO obtuvo acceso de administrador a las cosas?

0:14:50.0 Raghu Nandakumara: Entonces, habrá gente escuchando aquí y pensando, bien, bien, ¿qué puedo... ¿Cuáles son esas pequeñas perlas de sabiduría con las que el Dr. Zero Trust nos va a bañar? ¿Correcto? Correcto, es porque estoy luchando con esta estrategia Zero Trust. Entonces, ¿qué sería eso en este momento, en base a lo que has estado viendo pasar? Cómo es, aquí están mis perlas de sabiduría.

0:15:13.5 Chase Cunningham: Creo que lo más importante es tratar la ciberseguridad como tratas a las otras partes de tu negocio. Cuántas veces hemos estado en una reunión con el CEO y ellos dicen algo en la línea de: “Todo el mundo está en ventas en esta empresa”. Y alguien se pone de pie y dice: “Al diablo, de ninguna manera”. Está comprometido porque forma parte de esa organización y las ventas son fundamentales para el éxito del negocio. ¿Adivina qué? La ciberseguridad es lo mismo. Así que habla con la gente como si fueran parte de ello y necesitan estar comprometidos. Y encima de eso, creo que también deberías dejar de invertir en soluciones que no sean controles técnicos porque esto es una solución tecnológica y tratar a las personas como si fueran piezas de equipo es estúpido y no vas a obtener el retorno de ello. Es una gran cosa para los inversionistas y es bueno para los VC, pero ponerlos ahí arriba. Encuéntrame una organización que se haya entrenado sin compromiso, y traeré a algunas personas que destrozarán la tienda muy rápido.

0:16:18.3 Raghu Nandakumara:Empezaste a hablar de vendedores, y los vendedores seguramente han saltado al Zero Trust y mucho antes que los practicantes. ¿Qué han hecho los vendedores para, diría yo, corromper el mercado Zero Trust?

0:16:43.1 Chase Cunningham: Bueno, creo que son un par de cosas. Número uno, obviamente corrieron con mucho de, “Nosotros hicimos X, entonces ¿dónde está ZT ahora? Espera un minuto, hay más en ZT que eso, no hay botón y no hay un producto para ello”, así que ese ha sido uno. Y luego lo comercializan. Casi parece que los que fueron más nostres que hacer eso, lo comercializaron aún más duro. Estaban como, “Si vamos a ser esto, vamos a doblar y triplicar abajo hasta que alguien nos llame”, lo cual ellos... Esa es tu estrategia, lo que sea. Y la otra pieza es, el movimiento hacia la plataforma, que ha sido pagado por todas estas cosas. Sí, lo llamo el Walmart de la ciberseguridad, por toda esta porquería que está en nuestro estante en alguna parte, y lo juro por Dios, si compras suficiente, eventualmente todo funcionará juntos mágicamente, y tendrás la casa Lego de tu cosa ZT, y te lo venderemos todo de una sola vez. Y no funciona, no es... Hay portafolios, y hay muy, muy pocas plataformas que están en este espacio, y eso ha sido lo que más se ha desbaratado en mi opinión.

0:17:39.4 Raghu Nandakumara: Entonces, cómo es tu mensaje a los vendedores y Zero Trust es una importante iniciativa portuaria para que los vendedores jueguen, ¿cuál es tu mensaje... ¿Cuál es su mensaje para ellos? ¿Qué necesitan hacer más para fomentar realmente la adopción de Zero Trust en su base de clientes?

0:18:09.4 Chase Cunningham: Bueno, creo que uno es simplemente liderar con el entendimiento de que la razón por la que alguien te está involucrando en una conversación sobre ZT es porque está haciendo una pregunta estratégica. Entonces ser capaz de responder a la pregunta estratégica con una propuesta de valor estratégica. Eso es súper valioso. Y la otra cosa en la que consigo gente todo el tiempo cuando hago asesoría con vendedores y lo que sea es, les pregunto a los vendedores como, “Dime dónde estás en tu viaje de Zero Trust? ¿Qué están haciendo ustedes para su propio ZT?” Por lo general, me salen grillos o mucho mirando a mi alrededor. Si no estás haciendo ZT tú mismo, ¿por qué con toda la sabiduría de Dios compraría tus cosas para hacer ZT por mí? Si no sabes cómo conducir, no me digas cómo mover mi auto de carreras.

0:18:54.3 Raghu Nandakumara: Un 100%. 100%. Entonces, sé que está involucrado con el foro de demostración Zero Trust, ¿qué está haciendo eso al proporcionar una plataforma para los proveedores pero también para los usuarios finales, para los consumidores? ¿Qué es eso habilitando ese tipo de, digamos que otras organizaciones similares no lo son?

0:19:17.2 Chase Cunningham: Sí, así que parte del problema es que si vas a conseguir lo que yo llamaría un buen contenido de jurado sobre tecnologías de proveedores es que tienes que hacer mucho de acaparar aves y de ti mismo, y eso puede llevar mucho tiempo. Entonces, lo que hemos hecho con el foro de demostración es decir: “Vamos a conducir a los proveedores que tienen un reclamo válido aquí, que hablen sobre las cosas, hagan un liderazgo de pensamiento y luego, literalmente, hagan una demostración de su sistema”. Y sí, es una demostración de proveedor, pero es una demostración para que un usuario final pueda ir a mirar eso y decir: “Bien, realmente quiero ver, este problema X está siendo resuelto. Estos tipos tienen muy buena tecnología, al parecer. Déjame ir a escucharlos hablar de ello. Y entonces, por cierto, puedo ver lo que realmente hace esa solución”. Y eso para mí, desde la perspectiva de esto, el lado de la investigación es que lo hace donde el usuario final tiene muchos menos pasos por los que saltar para obtener realmente buena inteligencia sobre lo que está pasando con el espacio del proveedor.

0:20:12.8 Raghu Nandakumara: ¿Y el foco está ahí? Y solo quiero entender esto un poco más, porque hablas de casos de uso. Y realmente no hemos hablado de eso, y lo que está diciendo aquí es que son casos de uso muy específicos los que Zero Trust habilita y poder mostrar eso en lugar de un genérico, Oh, le permitimos acelerar su viaje de Zero Trust, ¿y también lo es el enfoque en casos de uso muy específicos?

0:20:42.2 Chase Cunningham: Así que se trata de casos de uso, y también se trata de tomar el espacio del proveedor y convertir las capacidades en los pilares del marco. Y de esa manera, si estoy... A mi me gusta lo dije antes, no hay un montón de plataformas, hay algunas carteras sólidas. Si estoy buscando al proveedor que lo haga, la administración de acceso a la nube, sea lo que sea. Simplemente elija su término aleatorio súper cibernético ZT, ellos hacen administración de acceso a la nube o algo así. Puedo ir a ver esto y puedo decir: “Bien, estos son los proveedores que tienen esas capacidades”. Hay cinco o seis de ellos que realmente hacen esa cosa, debería mirar cinco o seis en lugar de 247. Creo que hoy busqué y lo sumé y había 2731 vendedores en ciberseguridad. Eso es una locura. Estamos hablando, creo que los números que Richard Sternan y sacaron fueron 60 mil millones de dólares en el mercado como si eso fuera few.

0:21:39.2 Raghu Nandakumara: Así que, en realidad, justo a esa derecha, la proliferación de vendedores que existe hoy en día, ¿ves... Y como que habláis de cartera versus plataforma también, ¿ves esto... O mirando hacia 2023, ¿ves que va a venir de algún modo la formación de la verdadera plataforma Zero Trust? Por lo tanto, los proveedores que buscan un verdadero alcance de plataforma Zero Trust y construyen ese conjunto interconectado de adquisiciones o productos de producción propia. ¿Ve eso como algo real o seguimos viendo la proliferación de proveedores al menos durante los próximos 24 meses?

0:22:19.5 Chase Cunningham: Creo que por una variedad de razones, vamos a ver una consolidación de gran parte de ese espacio. La recesión va a hacer parte de ello. Estamos teniendo los vientos en contra económicos y cualquier otra cosa que eso va a impulsar mucho de eso. Creo que también hemos saturado el mercado en cosas interesantes, nuevas, geniales, sexys, también hemos visto una desaceleración en ese espacio. Y las API ahora son tan buenas que es válido tomar una cartera de capacidades y convertirlas en la plataforma operativa que está buscando. Y eso es realmente lo realmente valioso que creo es que si puedo decir, quiero usar a estos tipos que son realmente buenos en esto, y estos tipos que son realmente buenos en esto. No quiero comprarlo todo de ellos, pero quiero que cooperen y colaboren juntos para darme el máximo rendimiento, ahí es donde el lado de la plataforma de esto realmente se convierte en una cosa. Y es una especie de lado de la misma, pero se debe a las API que forman parte de esa integración.

0:23:18.0 Raghu Nandakumara:Sí, estoy de acuerdo, y creo que hemos tenido esta conversación antes sobre realmente juntar, y usted ha sido un gran promotor de esto consistentemente, se trata de reunir las mejores tecnologías de su raza, pero poder casi unificarlas en un solo plano de control. Y como dijiste, mucho de eso es muy de cosecha propia. Tienes que ser serio acerca de querer eso y luego construir eso.

0:23:44.7 Chase Cunningham: Sí, creo que puedes llegar a una apariencia de eso. Y la otra pieza de la conversación de casos de uso es que siempre habrá, para diferentes negocios y diferentes verticales, siempre habrá ese caso de uso que requiera que tengan lo mejor de su raza, lo que sea, lo que está bien. Eso es lo más crítico, esa es tu radio activa por todos los medios, consigue el Lamborghini de esas cosas. Pero para el lado laboral de esto, ahí es donde este otro enfoque, en mi opinión, tiene más sentido. Es curioso, cuando hablas de Lamborghini, todo el mundo olvida que Lamborghini comenzó como fabricante de tractores.

0:24:25.1 Raghu Nandakumara: Sí, exactamente. Bueno, el único Lamborghini que tengo es el que mi hijo hizo de Legos, y créeme, eso nos llevó seis meses terminar. Como que aludiste a las condiciones macroeconómicas, hablaste de ROI, así que hablemos de eso un poco. A un alto nivel, ¿cómo la adopción de una estrategia de confianza cero genera ROI? ¿O cómo muestra el ROI por adoptar Zero Trust?

0:24:56.4 Chase Cunningham: Así que creo que una de las mejores maneras en que he visto trabajar con organizaciones es realmente de lo que se deshacen a medida que avanzan hacia un lado estratégico de las cosas. He trabajado con organizaciones que han tenido al menos dos, si no tres, soluciones similares, resolviendo problemas similares que han sido implementados por nuevos equipos a lo largo del tiempo. Creo que la más interesante fue alguien que tenía tres soluciones de IAM todas haciendo lo mismo, y fue como, “Bueno, ¿cuál es la mejor?” “Entonces, aquí vamos, vamos a traer eso”. Los años anteriores a esto fueron muchas respuestas bruscas a las nuevas necesidades, nuevos problemas, nuevos riesgos, nuevas amenazas. Bien, hemos saturado mucho de eso, ahora lo siguiente es salir y decir: “¿Qué es lo que realmente satisface las necesidades? ¿Qué habilita mi estrategia? Déjame que te quite algunas de las porquerías que no necesito”, y entonces ese presupuesto se libera para otras cosas. Y cada vez que tienes una conversación en el negocio con “Liberé presupuesto”, de repente la gente empieza a sonreír. No quieres estar pidiendo más pero eres bueno para decir: “Estoy dispuesto a sacrificar algunos”.

0:26:00.2 Raghu Nandakumara: Pero en su experiencia de liderar muchas iniciativas de confianza cero, ¿cuándo se realiza a menudo ese ROI? Porque asumo que es... Puede que tengas un indicio de que se está realizando desde el primer momento, pero en realidad verlo en persona es una forma de entrar en el ciclo, entonces, ¿cuándo se realiza eso a menudo?

0:26:24.2 Chase Cunningham: Llevará un tiempo en el proceso. Lo bueno es que puedes alcanzarlo y un poco tener, yo diría casi un presupuesto predictivo al que puedes volver atrás y decir un poco: “A medida que migramos, año cero a tres, esto es lo que va a desaparecer, y aquí es donde ese presupuesto se va a liberar”. Porque sabemos lo que cuestan las cosas, y luego puedes empezar a decir: “Este año, voy a ser gratis..." Es lo contrario de tu presupuesto, es como lo que hiciste para conseguir estas cosas, ahora solo las estás descargando y puedes decir predictivamente lo que vas a liberar.

0:26:54.7 Raghu Nandakumara: Y supongo que ese es todo el alcance del programa Zero Trust es una parte tan importante de eso, de modo que no se exceda el alcance al principio y, por lo tanto, no tiene suficientes recursos para ejecutarlo.

0:27:08.4 Chase Cunningham: Alcance antes de que estés vivo. Y por eso creo que es tan crítico tener realmente la conversación de liderazgo en la planeación antes de que empieces a bajar eso, porque no... No confundas la ejecución táctica con el valor estratégico, y mucha gente hace eso. “Nosotros hicimos esto. Bien, genial. ¿A continuación?” Eso es ejecución táctica. El valor estratégico es: “Estoy marchando hacia esta cosa, ¿qué tácticas hago que me permitan mantener esa marcha?”

0:27:36.4 Raghu Nandakumara: Sí, y creo que ese es el... Me encanta la forma en que expresas eso, porque creo que eso es lo que la gente extraña cuando está tratando de ejecutar una estrategia de Zero Trust. Que tienen ese objetivo estratégico, pero lo que les falta son en realidad los pasos tácticos que necesitan dar para lograrlo, y entonces de ahí, nunca ven el retorno de su inversión o ni siquiera dan el primer paso porque solo están considerando el panorama general. Entonces, avanzando un poco, pensemos en Zero Trust y cómo los reguladores, organismos gubernamentales, etcétera, están empezando a presionar realmente para la adopción de la estrategia Zero Trust. Por supuesto, el tipo de EO de administración Biden es obviamente algo mundialmente famoso ahora, diría yo.

0:28:32.2 Chase Cunningham: Fue un momento decisivo.

0:28:34.5 Raghu Nandakumara: Un 100%, pero han pasado unos 18 meses desde que se emitió. ¿Dónde estamos en términos de progreso real en contra de eso?

0:28:44.3 Chase Cunningham:En octubre de 2022, el gobierno federal finalmente estableció anteriormente una Oficina del Programa de Confianza Cero del DoD, y eso fue... Cualquier vez que el DoD establece una oficina de programas eso es algo. Además de eso, destinaron alrededor de mil millones y mil 100 millones de dólares a esa oficina y dijeron: “Apague y habilite ZT”. Entonces en el habla de gobierno, eso es bastante rápido, 18 meses para llegar a un PO con mucho dinero asignado, es rápido y están empezando a poner las cosas en su lugar. Sin meterme en problemas, he estado involucrado en algunas de las conversaciones con algunas de esas organizaciones y hay movimiento en marcha, pero se están apegando a la estrategia que delinearon en el documento del DoD Zero Trust que se publicó el 23 de noviembre. Entonces están haciendo lo que creo que es lo correcto, apegarse a sus armas y seguir adelante, va a ser un trabajo. Lo que todo el mundo leyó a través de ese documento de estrategia, dijeron: “Oh, el Departamento de Defensa dice que van a ser ZT para 2027”. Eso no es para nada lo que dijeron, dijeron que van a estar en un estado de Confianza Cero para 2027. Si lees todo, en realidad habla de que no estarán en un estado operativo de cumplimiento completo hasta 2032, y eso es temprano. Así que esa es una línea de tiempo muy realista, en mi opinión.

0:30:10.5 Raghu Nandakumara: ¿Y crees que es un programa que tiene suficiente impulso detrás de él, que va a perder el rumbo, o aún es demasiado pronto para decirlo?

0:30:22.2 Chase Cunningham: Creo que es muy temprano para mirar en una bola de cristal, pero sí creo que la forma en que han cambiado la estructura de incentivos, pasaron de mucho palo a mucha más zanahoria, va a impulsar eso hacia adelante. Porque si vas a sacar mucho valor de ello y la conversación que ya está sucediendo es que tienen a los bandidos de la carretera que solo están clamando y dando vueltas como Tiburones con sangre en el agua para que vengan a ayudar a que eso suceda. Y así es como se hacen las cosas en el gobierno es cuando tienes a los bandidos de la carretera de la cuneta viniendo y haciendo que realmente suceda. Si confiabas en el Departamento de Defensa para hacerlo ellos mismos, el sol se quemaría antes de que se hiciera algo.

0:31:02.0 Raghu Nandakumara: Bandidos de la Beltway, la primera vez que escucho eso pero lo consigo de inmediato.

0:31:06.9 Chase Cunningham: Vivo cerca de la calada, así que los veo todo el día.

0:31:11.8 Raghu Nandakumara: Y supongo que toda la reacción de otros reguladores y otras organizaciones gubernamentales como la TSA, por ejemplo, la emisión de directivas de seguridad a estos operadores de GNL es una manifestación directa, un seguimiento directo de la EO, pero también amenazas a la infraestructura crítica. Y eso de nuevo, es probable que las amenazas no sean algo bueno, pero están actuando es un buen factor de forzamiento para la adopción de Zero Trust.

0:33:44.5 Chase Cunningham: Sí, le digo a la gente, ni siquiera me importan las amenazas realmente. Si pasas todo tu tiempo preocupándote por el próximo exploit ruso sexy y genial o lo que sea que alguien vaya a robar a la NSA y lanzarlo a Internet Abierto, es un ejercicio de utilidad. Realmente lo que deberías estar haciendo es mirar de lo que hablamos en ZT, cuáles son los fundamentos para que esas cosas sean exitosas porque son física. Hay cosas que pueden ser sexys y geniales aquí arriba, voy a lidiar con el problema aquí abajo en el nivel más bajo y hacer que sea donde esas cosas no funcionen. Y entonces una victoria es una victoria, es una victoria, y trabajar con eso.

0:32:21.6 Raghu Nandakumara: Sí, porque en última instancia, son las mismas cosas que siguen siendo explotadas, de las que los atacantes se benefician. Eso muy raramente ha cambiado.

0:32:31.6 Chase Cunningham: En toda la guerra, porque la cibernética es un dominio de la guerra, en toda la guerra en la historia, nadie ha tenido que ser tan claro qué va a hacer el enemigo para ganar, y todavía se quedan sentados diciendo: “Bueno, me pregunto cómo defendemos esto”. Vamos, hombre, es el color con crayones. Está escrito aquí mismo.

0:32:47.5 Raghu Nandakumara: Sí, exactamente, exactamente. Entonces es esa época del año en la que estoy seguro de que estás inundado de solicitudes de: “Oye, Chase, danos tus predicciones para 2023”. Te pondré en el clamor aquí, 2023, ¿qué le depara Zero Trust?

0:33:07.9 Chase Cunningham: Creo que lo más importante es que vas a ver más adopción de ZT fuera del mercado estadounidense. Esa es la única predicción en la que siento que puedo pararme y decir que probablemente va a ser realista, y eso es literalmente porque estoy teniendo esas conversaciones con organizaciones en América Latina, Australia, Japón, India, el Reino Unido, la región nórdica. Entonces creo que eso es lo que va a seguir creciendo. Aparte de eso, yo diría que la mayor parte va a ser lo mismo, día diferente con chusmas ligeramente diferentes a su alrededor.

0:33:47.1 Raghu Nandakumara: ¿Y ve esa aceleración de la adopción de Zero Trust? ¿Ves eso específicamente en el sector público o impulsado por el sector público? Entonces, ¿más tipo de io, edictos provenientes de gobiernos de otros países o impulsados por el sector privado?

0:34:08.2 Chase Cunningham: Creo que internacionalmente va a ser impulsado principalmente por el sector privado. Creo que /wink wink tiene un poco de idea de que algunas cosas probablemente están llegando tan lejos como directivas públicas en los Estados Unidos. Pero al igual que el ciberespacio es una especie de goteamiento donde Estados Unidos y el Departamento de Defensa están por delante de todos los demás o haciendo las cosas primero al tipo murciélago, y funciona a su manera en todas partes. Así que creo que Australia, sé, ha estado trabajando un poco de mapeo de sus ocho esenciales a Zero Trust, así que creo que va a haber algunas cosas así, pero tal vez suceda este año, tal vez no.

0:33:47.3 Raghu Nandakumara: Muy bien, así que antes de que acabes, tú y John, van a encontrarse a tomar una copa y están intercambiando analogías de Zero Trust. ¿Quién tiene una mejor analogía de Zero Trust?

0:35:01.5 Chase Cunningham: Podría ir de cualquier manera, honestamente, dependiendo de cuántos tragos hayamos tenido que ser perfectamente francos. Sí, John es obviamente El Padrino, pero de vez en cuando tiré algunos buenos por ahí.

0:35:16.3 Raghu Nandakumara: Vamos, escuchemos uno. Escuchemos el último que has reunido.

0:35:21.4 Chase Cunningham: ¿En cuanto a qué es Zero Trust? Sí, yo diría que Zero Trust para mí es como salir con mi hija. Voy a saber quién eres, voy a ver qué pasa, te daré acceso a ella, voy a monitorear lo que está pasando. Y entonces si haces cosas que están fuera del balance de lo que yo llamaría aceptable, te vas, eso es todo.

0:35:42.8 Raghu Nandakumara: Chase, con eso, muchas gracias por tu tiempo. Todos escuchando esto, Chase, Dr. Cunningham, Dr. Zero Trust tienen su propio podcast epónimo, Dr. Zero trust disponible en todas las plataformas habituales. Ve y compruébalo. Es una dosis regular del contenido más real y procesable en todas las cosas cibernéticas, no solo Zero Trust, sino que también obtienes una gran cantidad de bondad de Zero Trust allí. Gracias.

0:36:12.2 Chase Cunningham: Impresionante, muchas gracias.

0:36:15.7 Raghu Nandakumara: Gracias por sintonizar el episodio de esta semana de The Segment para obtener aún más información y recursos de Zero Trust, visite nuestro sitio web en illumio.com. También podrías conectarte con nosotros en LinkedIn y Twitter en Ilumio, y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios donde sea que consigas tu podcast. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.