Fortaleciendo Nuestra Defensa Colectiva

0:00:03.8 Raghu Nandakuma: Bienvenido a The Segment: A Zero Trust Leadership Podcast. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la empresa de Segmentación de Confianza Cero. Hoy me une Ann Johnson, Vicepresidenta Corporativa de Desarrollo de Negocios de Seguridad en Microsoft. Con 22 años de experiencia en la industria de la ciberseguridad con un mandato en RSA Security, Qualys y Microsoft, Ann es una reconocida oradora mundial, autora y una defensora abiertamente de la diversidad y la pertenencia en la tecnología y en todo el mundo. Además, Ann asesora y sirve en la Junta Directiva de muchas organizaciones, incluyendo la Seattle Humane Society, Human Security y el Executive Women's Forum. Hoy, Ann se une a nosotros para discutir la IA, las conversaciones diarias de Zero Trust, las mejores prácticas de resiliencia cibernética y mucho más. Estamos muy honrados de tenerte en nuestro podcast, en The Segment. A modo de introducción, ¿puedes contarnos un poco sobre tu experiencia en el ciberespacio y lo que implica tu rol actual en Microsoft?

0:01:12.3 Ann Johnson: Si. Gracias Raghu. Es maravilloso ser un invitado. Dirijo, hoy en Microsoft, nuestras asociaciones estratégicas y fusiones y adquisiciones para la ciberseguridad. Entonces es un trabajo maravilloso. Creo que tengo uno de los mejores trabajos en ciberseguridad porque puedo ver todo en la industria, lo más nuevo, las cosas que están naciendo, y luego pensar en cómo nos asociamos con todos para realmente construir un ecosistema de seguridad porque fundamentalmente creemos que la seguridad es un deporte de equipo. Llevo 23 años en el ciberespacio desde que empecé con esta pequeña empresa llamada RSA Security. Yo soy.. todas las personas cibernéticas tienen dominios de especialización. En realidad soy una persona de identidad y fraude, así que ese es el lugar del que vine para la ciberseguridad desde hace mucho tiempo. Y he estado en Microsoft durante aproximadamente siete años y he hecho algunos trabajos diferentes aquí, pero ha sido una carrera extraordinariamente divertida y realmente superó nuestras expectativas con nuestra capacidad de brindar soluciones a los clientes que simplificarán su seguridad y los ayudarán a ser más seguros en última instancia.

0:02:11.1 Raghu Nandakumark: Eso es increíble. Entonces has tenido una carrera tan historiada en el cibertiempo. ¿Qué te sigue manteniendo interesado y motivado para permanecer en este dominio?

0:02:21.5 Ann Johnson: Cambia todos los días. Soy de esas personas a las que tu cerebro nunca apaga y buscas cosas constructivas para que se enfoque, y lo que encuentro es que las dimensiones con el ciberespacio son dinámicas y los actores que son los malos actores cambian y los hilos cambian y el paisaje cambia. Y como ahora las empresas se están modernizando, eso hizo un enorme cambio de lo cibernético y ahora tenemos esta cosa llamada inteligencia artificial, los modelos de lenguaje natural y ChatGPT que se están volviendo reales. Así que es tan dinámico y divertido y en constante evolución. Simplemente me mantiene continuamente interesado.

0:02:53.5 Raghu Nandakumark: Como que sacaste a colación la IA y esos modelos de lenguaje natural y ChatGPT. Entonces, en su opinión, la amenaza potencial que representan y cómo podrían ser aprovechados por actores maliciosos, ¿es eso muy real o por el momento es simplemente más bombo que realidad? ¿Cuál es tu opinión al respecto?

0:03:13.3 Ann Johnson: Si. Entonces no sé si hoy es real. Creo que a medida que seguimos pensando en la inteligencia artificial y los modelos de lenguaje natural, obviamente van a ser abusados por malos actores y creo que de dos maneras. La primera forma es que van a aprovechar la tecnología para lanzar algunos de sus ataques. Van a descubrir cómo aprovechar la tecnología para que sea más fácil o más rápido para ellos lanzar ataques. Lo segundo, sin embargo, es que necesitamos asegurar los modelos ellos mismos. Necesitamos asegurar los datos. Necesitamos protegernos contra el envenenamiento de datos. Tenemos que protegernos contra el envenenamiento modelo. Porque si piensas en la IA, como para el ciberespacio, los datos del mundo van a quedar ahí de una manera u otra en el futuro y ese es un gran entorno rico en blanco para cualquier mal actor.

0:03:56.0 Raghu Nandakuma: Absolutamente, y creo que ese siempre ha sido el desafío con el aprendizaje automático inicialmente y ahora como IA, esa forma de inteligencia realmente se está expresando, en última instancia se basa en cualquier dato que le des y comprometerlo de alguna manera o contaminando que impacta lo que es la salida. Pero si lo miramos desde una perspectiva positiva, has tocado cómo los malos actores podrían aprovechar los modelos de IA. Pero, ¿ve eso también como un potencial ahí para que esencialmente los equipos azules, la gente defensiva como nosotros, se adelanten a los malos actores, aprovechando estos modelos? ¿Ves el potencial para eso también?

0:04:36.1 Ann Johnson: Sí, creo que hay un potencial absolutamente enorme para nuestros equipos azules, para nuestros equipos rojos, pero también para que internamente aprendamos de lo que creemos que van a hacer los actores. Nuestro trabajo en esta industria, siempre he creído, es estar un paso por delante de ellos y por eso soy optimista constantemente y sí creo que nuestros equipos azules y nuestros equipos rojos pueden aprender mucho de estos modelos de lenguaje natural. Lo que hace es que lo hace más igualitario. Entonces, si no eres un coder, digamos que no eres alguien que haya escrito mucho código, en realidad ahora tienes la capacidad de realmente enviar un mensaje a un sistema y hacer que ejecute algo para ti, lo que significa que abre este mundo que ya sea que estés haciendo investigaciones o haciendo equipo rojo o azul, de repente abres el mundo a una audiencia mucho más amplia.

0:05:19.6 Raghu Nandakuma: Creo que la forma en que describe eso es tan maravillosa, igualitaria, porque la ciberseguridad a menudo puede parecer algo que es dominio de unos pocos muy selectos y ese ejemplo clásico de, digamos, como un Mr. Robot con una sudadera con capucha encorvada sobre un teclado. Pero creo que mientras pensamos en la seguridad hoy y escuchamos hablar de términos como democratización de la seguridad, es muy importante que toda la organización sea traída para el viaje. ¿Es eso algo con lo que estás muy a bordo?

0:05:52.3 Ann Johnson: Estoy completamente a bordo con él. Y tiene dos dimensiones para mí. Uno, me han citado diciendo en el pasado que “sabemos que la ciberseguridad ha madurado como industria cuando ya no hay un grupo de ciberseguridad”. Ahora, esa es una declaración extrema y obviamente la hago como una forma de simplemente pincharlo un poquito. La ciberseguridad es el trabajo de todos y cuanto más podamos hacer que las herramientas sean más fáciles de usar para las personas y realmente podamos convertirlas en el trabajo de todos, más seguros seremos en última instancia. El segundo, es que tenemos esta línea de pobreza cibernética a nivel mundial. Va a haber países que no tengan la capacidad de protegerse de los ataques de Estado-nación. Y como la guerra cibernética sigue siendo uno de los elementos de una guerra cinética, es verdaderamente un elemento de guerra como hemos visto recientemente, vamos a tener que encontrar la manera de dar a estos países las habilidades que necesitan para que puedan defenderse. Estas personas que simplemente no tienen habilidades cibernéticas o no tienen el dinero para tener habilidades cibernéticas. Y sí llamamos a eso la línea de pobreza cibernética. Entonces creo que son ambas dimensiones. Realmente creo que la IA, por mucho que va a ayudar a nuestro SOC y a nuestros defensores y [hacer] el trabajo de esas personas más fácil, esa democratización de la misma va a ser realmente un cambio para la industria.

0:07:00.1 Raghu Nandakuma: Ann creo que eso es fascinante. Y creo que también una parte de eso también es justo, lo que veo, es la nivelación de países individuales y obviamente grupos de países. Por ejemplo, aquí en la UE donde los países actúan más como colectivo para llevar esa nivelación de postura general de ciberseguridad impulsada por la legislación a nivel nacional, lo que solo puede ser algo positivo. Atado a todo lo que describe con esa más democratización. ¿Es así como lo ves?

0:07:30.0 Ann Johnson: Es como lo veo y creo que la democratización tiene que existir también y tiene que haber estándares globales y tiene que haber regulación global. Pero también tiene que haber cooperación global, ¿verdad? Cooperación, sector privado, sector privado-público, sector público a público. Estamos viendo un aumento en la colaboración y cooperación, pero no estamos donde necesitamos estar y la única manera de derrotar al mal enemigo es con la defensa colectiva. Y necesitamos mejorar mucho en la defensa colectiva, y la IA debería ser solo una herramienta en el arsenal.

0:08:00.0 Raghu Nandakuma: Eso me gusta. A mí me gusta ese término, defensa colectiva. Bien. Creo que hemos pasado la primera parte casi esperando con ansias lo que depara el futuro, así que me gustaría retroceder un poco y solo preguntarte: ¿cómo en tu tiempo en el ciberespacio has visto evolucionar las prioridades y los enfoques del ciberespacio con el tiempo? porque estaba escuchando tu podcast, creo que fue el episodio con Sounil Yu, donde describió las diversas eras de la ciberseguridad. ¿Qué opinas de esas épocas?

0:08:31.3 Ann Johnson: Creo que la primera era de la ciberseguridad es que algunas personas levantaban algunos firewalls, tal vez usaban tokens para la autenticación, tenían algunos routers, y tenían algún software antivirus. Y fue como, “Bien. Aquí todos estamos bien”. Era un, “Mantener todo fuera del medio ambiente”. Fue mucho un, “Todos nuestros empleados vienen a la oficina. Están trabajando en dispositivos que les emitimos”. Tal vez ni siquiera portátiles, tal vez algunos de ellos son de pantalla verde. Y la mayor preocupación que tenía el CIO era que alguien conectara un servidor deshonesto en el data center, ¿verdad? Y luego hemos evolucionado a este mundo donde, bien, de repente nos hemos vuelto más móviles y la gente está trabajando en varios dispositivos y existe este concepto de Bring Your Own Device. Y por cierto, empezamos a asumir brecha en algún lugar alrededor... Y probablemente ya han pasado unos 10 años, hemos empezado a asumir una brecha. Asumimos que alguien está en tu entorno. Entonces, ¿cómo los contenemos? ¿Cómo minimizamos el daño? ¿Cómo los encontramos? ¿Y cómo los desalojamos? Entonces las herramientas empezaron a cambiar. Ya no podías mantener a todos fuera. De hecho, tenías que dar acceso a la gente porque la gente quería trabajar desde cualquier lugar en cualquier dispositivo. ¿Cómo se hace eso de manera segura?

0:09:33.1 Ann Johnson: Entonces eso fue como la segunda era. Esta tercera ola en la que estamos entrando ahora, realmente se aceleró en gran medida por la pandemia cuando vimos que 87 o 90 por ciento de los empleados globales iban y trabajaban desde casa. Y de repente teníamos estos entornos híbridos que no eran necesariamente seguros, y teníamos gente trabajando en quioscos o trabajando en el mismo dispositivo en el que su hijo esencialmente estaba haciendo su trabajo escolar e introdujimos todo este otro vector. Hemos retrocedido un poco a donde ahora tienes más gente en la oficina, algunas personas todavía en casa, o están en la oficina o en casa parte del tiempo, y eres verdaderamente híbrido pero luego también tienes esta nueva herramienta de IA. Entonces de nuevo, es como hizo el... El mayor problema que los CISO todavía me dicen hoy en día es la visibilidad. Entonces, ¿cómo ves que algo realmente malo está sucediendo en tu entorno, detectarlo súper rápido y evitar que haga daño? Y eso es como la tercera ola de herramientas y todo se trata de los datos. La gente no viene a tu entorno solo para pasar el rato. Realmente se trata de los datos.

0:10:33.8 Raghu Nandakuma: Eso es realmente interesante. Y solo retomando eso último que dijiste, se trata de visibilidad. Cuando pienso en esto, casi siento que la visibilidad debería ser lo primero que se pone en marcha cuando se despliega una nueva tecnología para obtener una comprensión completa de lo que sucede a su alrededor. ¿Por qué sigue siendo una brecha significativa para tantas organizaciones? ¿Por qué no tienen suficiente visibilidad en los lugares correctos?

0:11:01.1 Ann Johnson: Porque es súper duro. Si piensa en la deuda técnica y los sistemas heredados y los sistemas dispares y entornos de nube deshonestos y las personas que se registran en aplicaciones SaaS y las personas que trabajan en sus propios dispositivos y la necesidad de equilibrar la productividad con la seguridad, se vuelve realmente difícil obtener una visibilidad completa en todo su entorno. Tenemos personas que todavía se ejecutan en sistemas Windows NT o Windows 95. ¿Cómo va a obtener visibilidad para aquellos si no están hablando con los entornos tipo nube? Tiene líneas de fabricación que no tienen conectividad en la nube. Tienes compañías petroleras que tienen sistemas de producción offshore, compañías mineras alrededor del mundo que sus camiones de minería automatizados están a 3,000 millas de distancia de su oficina corporativa sin embargo tienen 800 sensores en ellos. Es realmente difícil obtener visibilidad y es con lo que la gente lucha, y lo mejor que puede hacer la industria de la seguridad es continuar mejorando la visibilidad para que nuestros CISO sepan al menos cómo es su superficie de ataque y puedan poner los controles correctos en su lugar.

0:12:00.0 Raghu Nandakuma: Entonces, cuando hablas, en tu rol, cuando hablas con líderes cibernéticos en la multitud de industrias y naciones, etc., ¿cuál dicen que es su mayor preocupación? ¿También se alinean con “me preocupa que simplemente no sé lo que está pasando”, o lo elevan un poco de nivel?

0:12:19.1 Ann Johnson: En general, y esta es una declaración realmente general, generalmente se sienten bastante bien con las cosas que saben. Las amenazas de las que son conscientes, los dispositivos que pueden ver, generalmente sienten que tienen buenos controles de seguridad. Es lo viejo no sabemos lo que no sabemos. Y la preocupación es que alguien podría haber estado en su entorno durante 18 meses en algún tipo de sistema deshonesto o alguien trajo una nueva aplicación SaaS en línea y no le dijo a las empresas y cómo están compartiendo datos con ella. ChatGPT entra en esa categoría. Muchas de las preguntas que nos hacen son: “No tenemos la visibilidad de qué datos potencialmente confidenciales están poniendo nuestros empleados en un sistema como ese”. Entonces tienen una hiper-preocupación por esto. Necesitamos tener la máxima productividad para nuestra organización, pero no tenemos visibilidad de lo que la gente está haciendo. Y si no tenemos visibilidad de lo que están haciendo, no podemos asegurarlo.

0:13:05.0 Raghu Nandakuma: Derecha. Es como, ese tipo de, el catch-22 entonces. Necesito productividad pero entonces, para asegurar eso, necesito una mejor visibilidad. No tengo visibilidad así que no sé cómo asegurar eso, así que no sé cómo apoyar tu necesidad de una mejor productividad. Y te metes en ese ciclo. Entonces, como que quiero volver a algo que dijiste y de lo que hablabas, hace aproximadamente una década que se avecina una mentalidad de brecha que se avecina y que no solo sea suficiente para recuperarse o restaurar sino que realmente sea capaz de sobrevivir. Así que me gustaría usar eso como una continuación para hablar de Zero Trust. Supongo que la primera pregunta para ti es, ¿cuándo te topaste por primera vez con el término Zero Trust? ¿Qué significa para ti y cómo te sientes al respecto?

0:13:51.4 Ann Johnson: Entonces, algunas cosas. Uno, creo que el concepto de Zero Trust es un concepto maravilloso. ¿Cuándo vine por primera vez... No recuerdo cuando me encontré por primera vez con Zero Trust pero digamos que es hace cinco o siete años, simplemente pongámoslo en ese marco de tiempo. Creo que el problema es que se ha convertido en este término amorfo que nadie entiende realmente. Y fue un término de marketing durante un tiempo que la gente simplemente dice: “Oye, somos Zero Trust”, sin base en principios. Entonces tenemos principios realmente explícitos a su alrededor. Lo primero es que verifiques de manera explícita. Todo lo que sucede en una sesión necesita ser verificado. Cualquier cosa, ya sea que se trate de una sola pieza de datos que pasa por el entorno, autenticación, anomalías, etc. La segunda cosa es que utiliza el acceso de menor privilegio. Debe utilizar el acceso de privilegios mínimos para todos sus usuarios. La mayoría de los usuarios finales no necesitan derechos de administrador en la computadora portátil. Necesita tener algún tipo de estaciones de trabajo de administración seguras. Y estas políticas deben ser adaptables para que las personas solo tengan el privilegio justo a tiempo que necesitan, cuando lo necesitan, y luego desaparece y necesita ser registrado y auditado.

0:14:50.6 Ann Johnson: Lo tercero es que suponga incumplimiento. Siempre asuma que alguien está en su entorno, asuma que no tiene visibilidad completa, y ahí es donde entra en el cifrado y la protección de datos y DLP y que tiene un programa realmente maduro en torno a eso. Y eso es súper difícil porque la gente no sabe dónde están todos sus datos y es realmente difícil asegurar cosas que no sabes dónde están. Entonces Zero Trust para mí es fundamental para la ciberseguridad. Y la mayoría de los clientes, por cierto, lo sepan o no, están en un viaje de confianza cero. Ya están haciendo algunas piezas de esto y es que realmente está teniendo la madurez del programa. Y hay algunos programas que son más maduros que otros, son los típicos primeros adoptantes que son más maduros que otros. Pero la gente a menudo me pregunta: “¿Por dónde empiezo? ¿Qué hago?” Y una de las cosas que les digo es que el acceso de menor privilegio es un muy buen lugar para comenzar y la autenticación multifactor, para el 100% de las personas que acceden a tu entorno el 100% del tiempo, es el otro muy buen lugar para comenzar.

0:15:43.3 Raghu Nandakuma: Estoy de acuerdo. Y creo que solo escuchando la forma en que lo expuso y si pienso en mi curso de licenciatura en informática y tomé un par de módulos sobre seguridad, mucho de lo que Zero Trust realmente habla y predica son los axiomas de la seguridad informática, de la seguridad de la información, como mínimo privilegio. Y para mí, es casi como, ¿por qué es que esas mejores prácticas no se han seguido desde el principio y ahora estamos casi haciendo ingeniería inversa a lo que tenemos para acomodar algo que deberíamos haber estado haciendo en primer lugar? ¿Por qué se ha desarrollado esa brecha?

0:16:18.6 Ann Johnson: Sí, creo que las personas sobreprivilegian el acceso porque no quieren que ninguno de sus empleados corra con problemas de productividad. Eso lo sé, por cierto. Entonces el acceso es sobreprivilegiado solo, literalmente, por razones de productividad y realmente hay que ser científico sobre cómo piensas sobre el acceso. Estamos en el lugar de la industria que todo el mundo habla asume incumplimiento, creo que uno es muy conocido, pero el verificar explícitamente todo lo que sucede en la sesión es lo más difícil. Porque solía ser, y sabes esto, si alguien estaba preocupado por la seguridad, se autenticaba fuertemente sin embargo se autenticaba fuertemente, y luego había algún tipo de control de acceso basado en roles y entonces eso era lo suficientemente bueno, ¿verdad? Ahora estamos diciendo, no, eso no es suficiente. En realidad, cada transacción que ocurre en la sesión de alguien tiene que ser interrogada porque podría tener malware malicioso que está impactando el software. Podría tener malware malicioso que esté impactando los datos. Alguien podría haber secuestrado la sesión. Alguien podría haberlos seguido hasta la sesión. Y entonces estamos diciendo que esto “verificar explícitamente todo lo que sucede en una sesión” es difícil y es nuevo pero para tener la máxima seguridad es el lugar en el que realmente quieres estar.

0:17:25.9 Raghu Nandakuma: Y entonces, ¿qué se traduce eso en lo que los clientes están pidiendo y luego en lo que están ejecutando? ¿Cuál es esa típica conversación que tendrías? Y supongo que en tu papel, es mucho a ese nivel de exec. ¿La conversación comienza desde la organización XYZ? “Queremos construir un programa Zero Trust. ¿Cómo lo hago?” o es más alrededor, “Aquí hay una especie de transformación que estamos a punto de emprender. ¿Cómo debo asegurarme de que la seguridad sea la mejor de su clase para soportar esa transformación?” ¿Cuál es la naturaleza de esa conversación que conduce en última instancia a “necesitas adoptar Zero Trust”?

0:18:06.5 Ann Johnson: Eso sería ideal, lo último de lo que dijiste sería ideal. “La compañía va a tener algún tipo de transformación importante, vamos a traer seguridad de manera temprana” simplemente sería ideal. No sucede tan a menudo como te gustaría. Estamos mejorando. Por cierto, la seguridad es ahora una conversación a nivel de junta. Las líneas de negocio se sienten cada vez más cómodas porque sus pares de seguridad no están tratando de bloquearlas, solo están tratando de permitir un negocio seguro. Y la seguridad debería ser un facilitador, ¿verdad? Entonces idealmente sucede cuando el negocio está tratando de hacer algo nuevo y entonces piensas prácticamente cómo van a hacerlo. La buena noticia de tener una arquitectura Zero Trust es que puede incorporar gran parte de ella. Si la arquitectura ya existe, entonces incluso traer otras líneas de negocio no significa que tengas que hacer algo diferente.

0:18:48.4 Ann Johnson: Y ejecutar cosas, voy a dar un ejemplo, ejecutar cosas como Microsoft Condicional Access, que analiza cada transacción que ocurre en la sesión desde el punto de vista del usuario, es uno de los fundamentos de tener una estrategia Zero Trust realmente buena. Cosas que miran tus dispositivos, la salud de tu dispositivo, qué está haciendo tu dispositivo en esta sesión, tecnología que mira eso. Entonces, si puede habilitar el negocio, no tiene que volver a la seguridad cada vez. Solo tienen que seguir los principios de Zero Trust cada vez que están implementando algo bueno. Y realmente se convierte en un habilitador del negocio y hace que la seguridad sea más efectiva y la seguridad más simple. Esas son las medidas definitivas de tener un buen programa Zero Trust.

0:19:27.6 Raghu Nandakuma: Y creo, quiero decir, ese realmente es el estado ideal donde existe que la consistencia se construye bajo el negocio o los desarrolladores de aplicaciones, etc, saber que mientras se adhieran a los requerimientos de seguridad y construyan de acuerdo a esos, entonces van a estar obteniendo la mejor seguridad de su clase, va a ser el acceso de menor privilegio y esa transformación no va a ser de ninguna manera impedida. Entonces, desde una perspectiva de Microsoft, ¿cuáles ve que son los habilitadores tecnológicos clave que tiene que está entregando a los clientes para soportar esto?

0:20:05.8 Ann Johnson: Si. Nuestra estrategia Zero Trust, y cada uno llega a ella de una manera diferente, comienza con nuestra identidad. Debido a que somos muy fuertes en identidad y tenemos nuestra Microsoft Entra Suite, nuestra Zero Trust comienza ahí. Y comienza con la autenticación fuerte, Windows Hello for Business o Azure Authenticator, tenemos terceros con los que estamos integrados. Entonces, comienza con autenticar fuertemente al usuario y luego pasa a usar acceso condicional, así que asegúrese de que todo el acceso a la aplicación, todas sus aplicaciones estén conectadas al acceso condicional y estamos viendo el estado de todo lo que sucede dentro de la sesión desde ese punto de vista. Entonces, como saben, hacemos muchas asociaciones. Hacemos una gran cantidad de asociaciones. Y en los espacios donde no tenemos una tecnología discreta o explícita, ya sean los controles de red o ese tipo de controles, puertas de enlace web seguras, ese tipo de controles, y estamos avanzando en decir que necesitamos tener una oferta Zero Trust muy sólida que esté potenciada con nuestro ecosistema de partners y con algunas soluciones de primera parte de Microsoft. Entonces verán, en los próximos 12, 18, 24 meses nos movemos aún más en esa dirección.

0:21:07.1 Raghu Nandakuma: Y lo ves... Si pienso en la arquitectura NIST Zero Trust y existe este concepto de este plano de control unificado que luego se habilita, se aplica a través de esos puntos individuales de aplicación de políticas, sean lo que sean. ¿Considera realista que en algún momento en el futuro veamos verdaderos planes de control de política única que sean capaces de ir y entregar esa aplicación de la Confianza Cero en todos los pilares? Digamos que si nos referimos de nuevo a la definición original de Zero Trust de Forrester y a los pilares de los que hablan, ¿ve eso como algo realista?

0:21:50.9 Ann Johnson: Llevamos décadas tratando de conseguir las cosas que son de un solo cristal para una tonelada de controles. Idealmente, tenemos muy pocos controles, donde alguien tiene que interactuar o ofusquemos la complejidad del usuario final aunque haya... Para Microsoft, incluso si hay soluciones de asociados de negocios bajo el capó, ofuscamos la complejidad para el usuario final y para el administrador para que puedan realizar toda su administración de control en un solo lugar. No estamos ahí. Como industria, no estamos ahí. Sé que todos ustedes están haciendo su parte de mucho trabajo con Zero Trust pero cuanto más simples podamos hacer las soluciones y más alineados podamos hacer los controles y la capacidad de que los administradores trabajen en una sola consola, mejor va a ser la industria. Entonces es una ambición.

0:22:34.2 Raghu Nandakuma: Y ves el... Para acercarnos cada vez más a eso y si se trata de un par de planos de control diferentes que son capaces de interactuar de alguna manera entre sí, eso puede ser suficiente. Pero lo clave ahí diciendo esencialmente... Zero Trust, la definición moderna de Zero Trust, habla, entre otras cosas, sobre una capacidad basada en el riesgo y basada en el contexto para definir políticas. Entonces, ¿es importante? Supongo que es esencial que esos planos de control compartan el mismo contexto y la misma visión del riesgo para poder hacerlo de manera consistente. ¿Ese es, supongo, el primer paso?

0:23:19.7 Ann Johnson: Entonces, si piensa en su plataforma de segmentación y que sea un lugar de control de usuario donde el usuario pueda realmente tener visibilidad en todas las cargas de trabajo y dispositivos y luego puede configurar sus políticas de segmentación granular en la medida en que puedan ejecutarse debajo o junto a lo que estamos haciendo con nuestro plan de control Zero Trust y podemos apuntar al usuario a Illumio con un solo clic. Pero mi escenario ideal es que tengas este ecosistema y Microsoft esté sentado al frente del ecosistema con nuestra plataforma, con nuestra plataforma Entra, y todos los datos están llegando a nosotros y están pasando por acceso condicional y luego estamos aprovechando, porque no vamos a ser el 100 por ciento de la solución, estamos aprovechando lugares como Illumio para hacer un trabajo específico pero estamos ofuscando la complejidad del usuario final teniendo que hacer girar un completamente diferente consola para tener que hacer ese trabajo. Eso es ideal.

0:24:10.3 Raghu Nandakuma: Sí, absolutamente. Pero creo que esto es lo interesante es que creo que la forma en que lo expresaste es tan precisa, que en última instancia existe el escenario ideal pero entonces lo que es posible hoy en día con integrar las mejores soluciones de su clase y cómo puedes construir esa consistencia porque hoy ningún cliente puede esencialmente ir a un, voy a decir, a un mercado y decir: “Oye, estoy comprando la solución Zero Trust que lo abarca todo. Haga clic, listo. Tengo Cero Confianza”. Nadie está haciendo eso hoy.

0:24:42.5 Ann Johnson: No. Pero por eso nuestra ambición es ser la plataforma y es la plataforma sobre la que otros construyen encima. Construye sus soluciones sobre nuestra plataforma y de esa manera el tráfico llega a nosotros, pasa por acceso condicional y podemos alimentarnos con todos estos diferentes socios que estamos trayendo a nuestro ecosistema Zero Trust. Nuestra ambición es exactamente de lo que estamos hablando aquí, pero aún no estamos ahí y probablemente estemos a 18, 24 meses de estar ahí.

0:25:08.4 Raghu Nandakuma: Seguro. Eso es un emocionante 18, 24 meses entonces. Eso no está muy lejos en el horizonte. Entonces, como que quiero cambiar de marcha un poco y hablar sobre cómo ves, lo que está sucediendo desde una perspectiva de legislación y regulación, no solo en Estados Unidos sino globalmente, que sientes que va a impulsar o acelerar la adopción de Zero Trust. Todo el mundo habla del mandato de Biden y lo que sigue a raíz de eso pero también estamos viendo cosas como, digamos, la UE, NIS2 y DORA. Y estamos viendo una regulación similar afuera en APAC y así sucesivamente. ¿Qué tan beneficiosa cree que va a ser esta legislación y regulación para acelerar realmente la adopción de mejores prácticas de seguridad? ¿Crees que va a haber un resultado positivo significativo?

0:25:55.2 Ann Johnson: Creo que en la medida... Mira, la UE hizo algo realmente interesante con su concepto de tener casi un domo cibernético y tener defensa colectiva dentro de la UE. Y ese tipo de regulación y ese tipo de requerimientos y ese tipo de marco en el futuro es realmente de alto impacto y significativo. Uno de los desafíos que tienen nuestros clientes, que trabajan en entornos globales, es que las regulaciones carecen de consistencia. Y voy a usar un ejemplo. Lo único bueno de GDPR es que impulsó la coherencia. Si te gustó o no te gustó no es la conversación. La conversación es que entendiste cuáles eran tus requisitos si estuvieras en la UE, desde el punto de vista de la privacidad. Entonces creo que en la medida en que podamos conseguir una regulación más alineada y más consistente, y la industria pueda ayudar a educar a los reguladores y los reguladores puedan hablar con los expertos, creo que va a haber una cantidad tremenda de valor ahí. Yo sí.

0:26:47.6 Ann Johnson: Y damos la bienvenida a la oportunidad de tener conversaciones constructivas sobre la regulación en todas las partes de la tecnología, incluida la IA, porque es necesaria. Pero lo que es desafiante es si tienes... Creo que el número ronda los 250. Microsoft analiza diariamente alrededor de 250 regulaciones únicas en todo el mundo para ver si necesitamos cumplir con las normas. Tiene que haber más consistencia en la región. Tiene que haber más estándares globales porque al final del día es muy difícil para las organizaciones trabajar a ese ritmo en el cumplimiento de normas, pero también ejecutar un programa de seguridad y ejecutar sus negocios.

0:27:24.0 Raghu Nandakuma: Si piensas en algo como DORA, y sé que te apasiona mucho hablar de ciberresiliencia y el paso hacia esto, ¿ves eso, algo así, como llevar la consistencia a una industria en particular? ¿O sigue siendo el reto que aún entonces tiene que ser promulgado a nivel de país que de alguna manera trae las complicaciones de lo rápido que va a ser adoptado y así sucesivamente?

0:27:51.8 Ann Johnson: Sí, creo que es correcto. Creo que la singularidad dentro del país va a impulsar una complejidad que no se piensa. Tu capacidad para recuperarte de un ataque es lo más importante que tienes. Su capacidad para poner en línea sus sistemas principales de negocios después de un ataque es una de las cosas más importantes que tiene y creo que cualquier regulación que realmente ayude a las organizaciones a hacerlo sin agregar una gran cantidad de sobrecarga es fantástica, pero la implementación real por país y por nivel de negocio va a generar mucha complejidad.

0:28:27.0 Raghu Nandakuma: Entonces, si luego cambiamos esto un poco, desde la perspectiva de una organización, ¿en qué deberían estar pensando cuando piensan en la resiliencia cibernética? ¿Cómo deberían estar pensando en construir los controles adecuados para darles un nivel de resiliencia cibernética con el que su junta directiva esté contenta, que garantice un cierto nivel mínimo de productividad?

0:28:48.9 Ann Johnson: Si. Y, Raghu, esto es algo que, porque escuchas mi podcast a veces, he hablado mucho, sobre lo que he escrito, etc. Me apasiona. Lo primero que las empresas necesitan saber es dónde están sus sistemas de negocio principales. ¿Cuáles son los sistemas de tres a cinco o 10 o lo que sea que sea que tengan que estar en línea para que su negocio funcione? ¿Qué son? Y eso es todo, desde nómina hasta tus clientes. ¿Qué es lo que mantiene el negocio en marcha? Ese es el número uno. Donde se sientan los datos para eso, es el número dos. Una vez que identifiques eso entonces sabes lo que... Se hablará de muchos programas de seguridad, lo enmarcan como las joyas de la corona porque puede que no tengan los recursos ni la gente para asegurar todo, pero tienen que asegurar esas cosas. Entonces, ¿cuál es su plan de failover? Digamos que esos sistemas están todos abajo, ¿dónde está la redundancia para esos sistemas?

0:29:33.7 Ann Johnson: ¿Tiene un entorno de nube? ¿Tiene redundancia fuera de la costa? ¿Tiene redundancia en otro país para esos sistemas? ¿Cómo te vas a comunicar? Si su sistema de correo electrónico se ha visto comprometido, y eso significa que posiblemente su sistema de mensajería también se haya visto comprometido, ¿cómo se va a comunicar internamente en su organización si tiene un evento? ¿Qué va a pasar? Tiene que haber. ¿Quién va a hablar con los reguladores y cómo van a hablar con los reguladores? ¿Quién va a hablar públicamente y cómo van a hablar públicamente? ¿Quién se va a comunicar con sus abogados? ¿Quién le habla a tus empleados y cómo les están hablando a tus empleados? ¿Tiene un tercero ya bajo contrato en algún tipo de acuerdo sobre un retenedor para hacer respuesta a incidentes? ¿Tiene un tercero en un retenedor para reconstruir sus sistemas? Sé que suena realmente táctico, pero ¿dónde están sus backups y si realmente ha probado que puede recuperarse de sus backups?

0:30:26.3 Ann Johnson: ¿Y sus backups están alineados para que puedan verse comprometidos? Una de las cosas que hacen los actores de ransomware es, una de las primeras cosas que hacen es ir a buscar sus backups porque realmente quieren corromper esos backups. Entonces todas esas cosas tienen que ser... Entonces no es solo tecnológico, es del lado empresarial. Y entonces realmente necesitas tener ejercicios de mesa y asumir que has tenido un evento como este y que realmente tienes que planificar. Tienes que ejecutar el plan varias veces. Todos hacemos equipos rojos y azules y púrpuras, pero ¿haces un ejercicio de mesa que diga: “Tu entorno está completamente decaído. ¿Y ahora qué?” Y debe hacerlo un par de veces al año, no solo con el personal operativo, sino con sus ejecutivos y potencialmente con su Junta al menos una vez al año. Son todas esas cosas que recomendamos como mejores prácticas.

0:31:05.0 Raghu Nandakuma: Lo que me gusta, y tocaste esto al final ahí, es que avanzar hacia lo que significa ser ciber compatible. Alejándose de... Y creo que lo que estás insinuando pero no quiero poner palabras en tu boca, es que alejarte de los ejercicios de casillas de verificación a ejercicios realmente dirigidos por amenazas, ofensivos dirigidos por la seguridad, ya sean ejercicios de equipo púrpura, ejercicios de equipo púrpura real o ejercicios de mesa que prueben tus controles reales frente a un conjunto de, “Bien. ¿Está configurado para hacer X? ¿Está configurado para hacer Y?” Y así sucesivamente.

0:31:45.6 Ann Johnson: Así es. Y yo diría, y tal como dijiste, hay mucho que desempacar. La primera pregunta es: “¿De quién es el trabajo? ¿Quién es el dueño de la ciberresiliencia de su organización?” Y el plan de resiliencia cibernética, cada organización que se me ocurra, cada organización grande tiene un plan para desastres naturales. Si tuvo un desastre natural en su región, tiene un plan sobre cómo va a volver a poner su negocio en línea, mantener a sus empleados seguros, etc. Necesita exactamente el mismo plan para el ciberespacio. ¿Y entonces de quién es el trabajo? ¿Es la gente la que hace tu resiliencia? ¿Es tu equipo cibernético? Todas esas decisiones deben tomarse ahora, no después de tener un evento.

0:32:24.2 Raghu Nandakuma: Y simplemente dando seguimiento a eso, ¿cuáles son las cosas clave que los CISO, sin falta, deberían estar reportando a su Junta Directiva que en realidad proporcione una indicación clara a la Junta Directiva, al CEO, de cómo el programa de seguridad se empata con los objetivos del negocio? ¿Como cuáles son esas, digamos, tres cosas clave?

0:32:45.9 Ann Johnson: Si. Lo primero que quiero decir es entender que su Junta Directiva no son personas de seguridad. Puede que ni siquiera sean personas de tecnología. Entiende eso primero porque de lo que sea que vayas a platicar con la Junta necesitas ponerlo en un lenguaje que ellos entiendan. El lenguaje que entiende una Junta Directiva es el riesgo. Entonces todo de lo que hablas debe estar relacionado con el riesgo empresarial. Este es solo un ejemplo realmente básico. “Si no implementamos la autenticación multifactor en nuestra organización, existe un riesgo mucho mayor para nosotros porque sabemos que el vector de ataque número uno sigue siendo el phishing y las personas que usan contraseñas débiles”. Así que ese es un riesgo que el negocio debería ser capaz de entender, especialmente cuando se trata de obtener un presupuesto para eso. Pero a nivel de la Junta Directiva, quiere entrar y mantenerlo muy simple, repasar tal vez sus 10 principales riesgos y mantenerlo en ese lenguaje de riesgo y mantenerse alejado de: “Oye, quiero hablar sobre nuestra estrategia de cifrado de extremo a extremo”. Hable sobre por qué tiene una estrategia de cifrado y qué va a lograr y cómo va a reducir el riesgo para el negocio. Eso es lo que yo animaría a los CISO a hacer. Y los CISO solían ser roles realmente técnicos. Ahora están llegando al lugar donde los CISO tienen que ser realmente buenos empresarios que entiendan la tecnología y la aplicación de la tecnología al negocio.

0:33:58.9 Raghu Nandakuma: Entonces eso es realmente interesante. Absolutamente. Esa evolución del CISO desde muy técnico, hacia adentro, casi orientado a la tecnología, hasta ahora mucho más alineado con los negocios, orientado a los negocios, y poder casar esos dos. Pero hablabas en términos de comunicarte con la Junta Directiva y casi es como lo que dijiste fue hablar de tecnología y hablas de, digamos, encriptación y hablas de cómo esto proporciona un beneficio para el negocio. Para mí, eso todavía se siente como llevarlo a un nivel muy bajo para la Junta Directiva y es potencialmente una terminología y un concepto que ellos no entenderían. Entonces, ¿puedes hablar de eso un poco más?

0:34:42.3 Ann Johnson: Si. Déjame aclarar lo que dije. No, no creo que le hables de encriptación a la Junta. Creo que sea cual sea la tecnología de la que hables, deberías hablar solo de riesgo empresarial. ¿Cuál es su programa de seguridad de datos y cómo reduce el riesgo de su negocio? Todo de lo que hablas debe ser de riesgo empresarial. Pero, no, no creo que debas hablarle de encriptación a la Junta, y ese es el punto que estaba tratando de decir. No hables de tecnología. Hable sobre el riesgo del negocio y cómo un programa va a reducir el riesgo de su negocio.

0:35:08.4 Raghu Nandakuma: Si. No, entendido. Bien. Soy perfectamente claro y no hay ambigüedad en eso. Entonces estamos hablando de líderes cibernéticos y ya has hablado de la evolución del CISO que has visto en tu tiempo en el ciberespacio. ¿Hacia dónde ve esa evolución que conducirá en los próximos años? ¿Cómo ve que ese rol del CISO siga evolucionando?

0:35:31.9 Ann Johnson: Creo que el rol del CISO va a seguir evolucionando y ser, obviamente, va a ser mucho más exigente. Tenemos un gran CISO en Microsoft, Bret Arsenault, un CISO maravilloso. La mayoría de los CISO que conozco son humanos maravillosos que quieren hacer las cosas correctas que están en un trabajo ingrago, porque te culpan de todo y gracias por nada. Pero el rol va a seguir evolucionando a este nivel de complejidad del negocio. Necesitas entender la regulación. Debe comprender cómo se aplican los controles a la regulación. Necesitas poder hablar con las personas que están en primera línea en el SOC. Necesitas poder hablar con tu Junta Directiva. Es un trabajo realmente duro. Pero cuanto más pueda alinear el CISO, como lo hace Bret, sus prioridades con las prioridades del negocio, más efectivo va a ser en ese rol.

0:36:13.9 Raghu Nandakuma: Ann para ti personalmente, ¿qué es lo que te emociona, esperando en el ciberespacio, ya sea una evolución tecnológica, ya sea una evolución de las personas o una evolución de la legislación? ¿Qué es lo que realmente te emociona en los próximos años?

0:36:33.2 Ann Johnson: Te lo diré, y no soy una palabra de moda... Llevo haciendo esto el tiempo suficiente como para no emocionarme mucho. De hecho, estoy muy entusiasmado con la IA y los modelos de lenguaje natural. La capacidad de extender las capacidades del ciberespacio a un grupo mucho más amplio de talento que realmente podría contribuir a la industria ayudará a reducir nuestra escasez de talento que tenemos, así como la aplicación de la tecnología en sí misma para razonar a través de millones y billones de señales que la gente ve en su entorno y en realidad te dirá qué es un problema real. Te da visibilidad mucho más rápidamente. Si resuelve solo esas dos cosas, dándote visibilidad mucho más rápido y ayudando a resolver nuestra escasez de talento porque el pool de talentos se hace mayor, está a la altura de su promesa en mi mente.

0:37:13.5 Raghu Nandakuma: Oh, absolutamente. Y creo que solo reiterando lo que dijiste y atándolo de nuevo a ese gran problema que destacaste, la falta de visibilidad. Si nos permite mejorar la visibilidad, creo que a partir de eso podemos conducir a una mejor toma de decisiones y una mejor seguridad, que es en última instancia el resultado que queremos.

0:37:32.7 Ann Johnson: Corregir. Eso es exactamente correcto.

0:37:34.9 Raghu Nandakuma: Impresionante. Ann, ha sido un placer hablar con usted hoy. Y por supuesto, para nuestros oyentes, si quieres aprender más sobre tendencias, si quieres elegir un podcast de liderazgo en seguridad que absolutamente tengas que escuchar, entonces sintoniza el podcast de Ann's Afternoon Cyber Tea con Ann Johnson. Está en CyberWire, está en todas las plataformas de podcasting habituales. Y ve y escucha todas las ediciones anteriores porque hay mucho contenido fantástico ahí. Ann, gracias de nuevo por tu tiempo. De veras lo agradezco. Y ha sido maravilloso conversar con ustedes.

0:38:10.9 Ann Johnson: Muchas gracias, Raghu. Se lo agradezco. Ha sido una gran conversación. ¡Qué tengas un día maravilloso!

0:38:15.0 Raghu Nandakuma: Gracias. Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, visite nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter @illumio. Y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios dondequiera que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

‍