El manual del CISO

00:00

Muy bien, así que a medida que concluimos la segunda temporada de The Segment, y estamos al final del Mes de Concientización sobre Ciberseguridad de este año. Es genial tener como invitado final para esta temporada, a un verdadero Chief Information Security Officer (CISO), CISO para EMEA aquí de Netskope, Neil Thacker. Neil, tan feliz de que te unas a nosotros hoy.

00:21

Bueno, es mi privilegio estar aquí. Gracias, Raghu por la invitación.

00:26

Es un placer para nosotros. Siempre es bueno tener representación de uno de nuestros socios con nosotros. Así que el doble de gracias por eso. Entonces, CISO, CSO (Chief Security Officer), correcto, es un título muy, diría yo, de alto perfil, y súper importante hoy en día en todas las organizaciones de todos los tamaños. Pero Neil, ¿cómo terminaste convirtiéndote en CISO?

00:50

Bueno, ha sido un largo viaje. Digamos que como que crecí en la era de las computadoras, ¿verdad? Entonces, cuando era niño, me familiarice con las computadoras. Las computadoras eran como lo nuevo que llegaba a los hogares y oficinas y ese tipo de cosas. Entonces, como que crecí y me familiarice con, más o menos todo como tratar con computadoras y lidiar con la edad de los viajeros. Y luego, uno de mis primeros roles fue que estaba cuidando de conectar a la gente a internet. Entonces, como que yo, mis primeros pasos de carrera fueron en la era de internet. En el pasado cuando todavía teníamos módems de dial up y ese tipo de cosas. Y con el tiempo, claro, la seguridad entró, ¿verdad? Teníamos que asegurar cómo conectábamos a las personas con los servicios, etc., y ahora teníamos trabajadores remotos y todo ese tipo de cosas. Entonces, como que, yo también viví esa vida. Y fue realmente, no fue hasta mediados de la década de 2000 que como que me mudé al lado más del ejecutivo en lugar de solo al lado técnico. Todavía tengo una formación técnica. Sí, como que me mudé al lado ejecutivo. Y fue realmente alrededor de la era de la nube donde empezamos a ver que cada vez más organizaciones se movían a la gran hiperescala, sus centros de datos y su tipo de, su futuro, su estrategia estaba en la nube, ¿verdad? Y luego tuvimos esta explosión de SaaS, y ahí es en última instancia donde, nuevamente, para mí, se convirtió, de nuevo, en un gran desafío conseguir otra cosa para asegurar las organizaciones para las que estaba trabajando en ese momento, asegurar su adopción de la nube. Y así es realmente, así es como fue ese que fue uno de mis primeros roles de CISO en esa época. Y, sí, ser un, ser experimentado en esa época que fue, fue realmente importante. Entonces sí, así es como me mudé y me convertí en CISO. Pero si miro hacia atrás en mis antecedentes, he trabajado en una mesa de servicio, he y he aprendido algunas habilidades realmente buenas allí en términos de comunicación y manejo de problemas e incidentes. Y obviamente, eso también es bueno tenercomo CISO hoy. Como que he trabajado en roles, donde de nuevo, ha sido sobre el riesgo. Trabajo para grandes organizaciones de servicios financieros lidiando con el riesgo, como el reaseguro se trata de riesgo. Entonces, también he trabajado en esos roles para esas organizaciones. Así que como que he tomado todos esos aprendizajes en los últimos 25 años. Sigo usando muchas de esas cosas del día a día, las cosas que he aprendido, día a día en mi papel de otra vez como CISO.

02:58

Me encanta escucharlo, ¿verdad? Empezaste tu carrera como conectando personas a internet, y ahora trabajas para una empresa que asegura cómo acceden a Internet y cómo estar seguros mientras acceden al trabajo desde internet. Está casi cerrado el círculo y completo. Entonces, hablemos del papel del CISO. En su opinión, en su experiencia, como ha madurado un poco en esto, en este rol a lo largo de los años y se ha desarrollado, ¿cómo ha cambiado esa función, y cuánto se ha mantenido esencialmente igual?

03:32

Sí, quiero decir, yo diría, creo, definitivamente, creo que pasar por la era de la nube, definitivamente ha cambiado las cosas, ¿verdad? Nosotros como antes de eso, todo se trataba de nuevo, asegurar el perímetro, asegurar la organización. Se trataba, de nuevo, de asegurar lo que pudiéramos usando, por supuesto, el perímetro. Pero es gracioso porque en realidad recuerdo estar sentado; fui a un evento a mediados de la década de 2000. Fue un foro de Jericó cuando hablaron de la disolución perimetral. Y hablaban de nube, a pesar de que no lo llamábamos nube en ese momento, era esto como pre la pre-nube. Pero en última instancia, esto es lo que estaba sucediendo. Las organizaciones estaban viendo este perímetro disolverse. Y creo que para mí, de todos modos, se volvió más sobre, menos enfoque en algunos de los aspectos técnicos y el conjunto de habilidades técnicas, y más en entender mejor tipo de acuerdos y contratos y términos y condiciones. Pero también, en última instancia, todo sobre el riesgo, ¿verdad? Entonces fue interesante en ese momento que tuvimos esto; tuvimos discusiones internamente en una de nuestras organizaciones anteriores, ¿confiamos en la nube? Y por supuesto, entonces tienes esa misma discusión donde es solo el centro de datos de otra persona, que tenemos, teníamos terceros que usamos antes de eso, pero ahora es como que ahora está creciendo en una escala que quizás no habíamos predicho realmente, y sucedió muy rápido. Y creo que ahí es donde típicamente veo incluso hoy. Veo el papel del CISO, de nuevo, tener que centrarse en el riesgo, mirar a la nueva tecnología, a la nueva innovación. Por supuesto, llevamos muchos años lidiando con IA. Pero claro, ha habido una explosión en los últimos años en torno al uso de IA. Así de nuevo, pero todo eso se reduce al riesgo, en última instancia. Y además, se reduce a una mejor comprensión de los datos. Siempre hablo de esto, ¿verdad? Se trata de datos, y se trata de riesgo. Si puedes, como CISO hoy en día, si eres excelente para entender los riesgos asociados a los datos, entonces ya estás un poco, tienes una gran oportunidad como CISO y una trayectoria profesional, ¿verdad? Si estás buscando convertirte en un CISO, el solo hecho de tener ese conocimiento es realmente, realmente impactante.

05:33

Absolutamente de acuerdo. Y creo que cuando hablas de entender datos, creo que lo que realmente quieres decir es entender realmente cómo se ata con los objetivos del negocio, ¿verdad? ¿Es eso poder entender tipo de cosas que estás protegiendo, por qué son importantes para el negocio? Esa debe ser una parte clave del papel de las OSC en la actualidad.

05:53

Si. O sea, la cosa es, siempre fue esa discusión. Se trataba de, ¿podemos proteger todos los datos? Todos los datos con los que esta organización realiza transacciones a diario. Si. En última instancia, el Nirvana es que intentas hacer eso. Pero en resumen, la única manera real de hacerlo es priorizando. Es mirar la priorización de riesgos. Entonces, mirando qué, de dónde provienen los mayores riesgos, los riesgos más altos, en términos de qué impacto tendrá en mi organización si, por ejemplo, pierdo el acceso a esos datos. Ya no tengo acceso a esos datos. Tuvimos esto con, obviamente, el con ransomware durante muchos, muchos años. Pero también está por ahí, ¿cuál es el valor de esos datos? Porque si pierdo esos datos, ¿cuál es el verdadero impacto, desde una perspectiva financiera, por ejemplo, en relación con esos datos, no solo las multas y las sanciones, sino en última instancia, de nuevo, estoy perdiendo la propiedad intelectual? ¿Estoy perdiendo reputación? ¿Hay algún daño ahí en términos de eso? Entonces, para mí, siempre se está hablando de, nuevamente, poner donde sea posible, controles alrededor de los datos. Y a tu punto, sí, absolutamente, ser muy bueno identificando esos datos. He visto a varias organizaciones hacer esto realmente bien. Quiero decir, he estado involucrado con la clasificación de datos y las herramientas de prevención de pérdida de datos durante muchos, muchos años, y creo que realmente tiene que, creo, casi derribar el libro de reglas cuando se trata de esto. Es casi, sí, la clasificación es algo agradable de hacer. Hay que fijarse en la categorización de datos. Entonces, ¿de qué categoría de datos estamos hablando? Pero también, nuevamente, poner controles alrededor de esos datos para que, en última instancia, los controles sigan esos datos dondequiera que vayan, y pueda mantener algún tipo de, supongo, perímetro alrededor de esos datos. Más o menos, así es como veo cambiar el tipo de roles y responsabilidades de los equipos de seguridad. Y, por supuesto, como CISO liderando ese equipo, necesitas ser un poco innovador y ser el pionero en ese espacio.

07:39

Absolutamente, todo ese desafío de clasificación, categorización para luego impulsar, supongo, una especie de base sobre la que entonces estás impulsando los resultados que estás buscando impulsar. Eso es algo así, es tan fundamental para ello. Entonces, hablemos, desde tu perspectiva, de los retos que has tenido que superar en tu rol. Quiero decir, vamos a llegar a una especie de retos en la industria en su conjunto, pero hablemos de nuevo, cierto, tu propio camino de desarrollo como CISO y cosas que has tenido que superar.

08:09

Sí, creo, quiero decir, para mí, el primero estaba por aquí. Es decir, recuerdo haber ido a mi primera reunión de junta de nuevo hace muchos años. Yo asumí un papel, y presenté básicamente lo que la persona anterior había estado presentando durante muchos años. Y supongo que fue la oportunidad para que la directiva preguntaras: “¿Por qué estás presentando esto?” Y yo dije: “Bueno, es una continuación”. Yo era relativamente nuevo; creo que estoy en el papel durante seis o siete semanas preparándome para esta reunión de la junta directiva. Esto es lo que hoy se ha presentado, y tuve la oportunidad de entrar a la sala de juntas y presentarlo. Y de nuevo, la primera pregunta fue: “¿Por qué? ¿Cuál es la importancia de todo esto?” Entonces, supongo que esa pregunta no se había hecho antes. Y fui muy claro. Yo fui muy franco. Dije, de nuevo, hasta ese punto, esto es lo que se ha presentado anteriormente. Pero sí, podemos cambiarlo si estás interesado en mirar otras métricas. Y luego tuvimos esta discusión: ¿cuál es el valor del equipo de seguridad? Entonces, fue una, quiero decir, fue una gran primera reunión de la junta, ¿verdad? Me arrojaron en el extremo profundo. Pero para mí, por supuesto, resaltó que necesitamos gustar para las métricas y para las mediciones, necesitamos estar más alineados con los negocios. Ese fue mi, ese fue mi primer hallazgo. No se trataba de cuántos sistemas parcheamos y cuántos incidentes hemos tenido. En última instancia, fue cómo están, por ejemplo, el equipo de seguridad apoyando el negocio, impulsando el negocio y ayudando a que el negocio avance. Obviamente regresé a la siguiente reunión de la junta y presenté una serie de métricas completamente diferente, completamente diferente en relación con eso. Así que ese fue mi primer hallazgo. También me di cuenta bastante rápido de que, por supuesto, la comunicación, nunca podemos usar realmente palabras de moda y acrónimos en esos entornos. Y probablemente me había pasado los últimos 10-15 años lidiando con ese tipo de terminología. Entonces, necesito, lo sé, necesitaba rápidamente, mejorar mi comunicación. Y, por supuesto, hacerlo más impulsado por el valor del negocio. Y en última instancia, de nuevo, volviendo a apoyar el negocio. Apoyar el negocio, en términos de nuevas fuentes de ingresos, nuevas ideas, compromisos de tipo M&A, qué tan rápido podríamos poner en marcha y proteger las organizaciones por las que hemos pasado y adquirido. Y en última instancia, ¿hacer que eso sea presentable para otra vez, un líder empresarial? Entonces esos fueron los, quizás algunos de los primeros retos y mejoras que sentí que necesitaba hacer como CISO. Nuevamente, mirando hacia atrás en los últimos 10-15 años, así es como he visto valor en tener ese tipo de discusiones, menos enfocándome en el lado técnico.

10:30

Ese es un gran punto el que haces, porque, y dado que esa experiencia fue muy temprana en tu carrera de CISO, algo así como retrocediendo más de una década. Todavía me resulta bastante agotador cuando miro cada vez que ves una especie de CISO en comentarios invertidos, artículos de liderazgo de pensamiento, y hay un comentario sobre CISO/OSC necesitan estar mejor alineados con las prioridades de la junta directiva. Necesitan comunicarse mejor con los tableros y hacerles entender por qué. Si te están haciendo estas preguntas hace 10-15 años, ¿por qué esto sigue siendo una conversación, verdad? Deberíamos haber ido más allá de esto, de la necesidad de esto, y es que a nadie se le debería decir o volver a decir que es importante. Debe tomarse como dado. ¿Por qué sigue ocurriendo este debate?

11:18

Sí, es un muy buen punto. O sea, yo, por cierto, sigo creyendo que estamos de nuevo, estamos escuchando. Estamos siendo educados por la junta directiva en las organizaciones. Sigo creyendo como muchos niveles C, muchos otros roles también se están educando, ¿verdad? Es como, he estado en reuniones de junta donde no has sido la persona a la que se le ha llamado por no proporcionar el tipo correcto de información que ellos quieren ver. Entonces, siempre es una curva de aprendizaje. Siempre es un aprendiz, por ejemplo, que va a estas sesiones. Y creo que también es el punto es que necesitamos que mi siguiente rol fue, fue entrar y no entrar con el mismo tipo de información, los mismos tipos de métricas, y solo entrar y pedir esa primera reunión, entrar y preguntar: “¿Qué quieres, cómo puedo ayudar a apoyar a esta organización y proporcionarte la información que requieres como junta directiva para, por supuesto, mejorar”. Entonces, creo que ahí es donde todos seguimos aprendiendo, ¿verdad? No hay, supongo, no hay respuesta. No hay una respuesta única para interactuar con la junta. Es diferente en cada organización, y hay diferentes requisitos para cada organización, creo, y también en cada organización tiene sus propios desafíos o tiene su propio tipo de estrategias implementadas que, sí, no se puede simplemente ir y llevar eso a la siguiente organización. Entonces, creo que esa es probablemente la razón por la que. Creo que más discusiones sobre esto no es un problema. Pero algunos de los ejemplos correctos escuchamos sobre esto, de todo lo que deberíamos estar hablando, deberíamos estar hablando y usando lenguajes de negocios, y deberíamos estar usando este tipo de nivel de comunicación. Pero en realidad nadie da ejemplos. Hay algunos, por cierto, ahí fuera. Pero sí, tenemos que seguir empujándolos a la vanguardia para que, para que la gente entienda, como, ¿cuál es una buena métrica para comunicarse con la junta directiva?

12:55

Sí, absolutamente. Creo que los ejemplos serían mucho mayores que simplemente afirmar lo obvio de “hacer un mejor trabajo”. Pero me gusta cuál es tu tipo de, volviendo a lo que empezaste, casi somos un miembro de la junta haciendo la pregunta es, como, ¿por qué debería importarme esto, verdad? Y creo que es, siento que siempre es una buena pregunta para tener en el fondo de tu mente, no solo para las presentaciones de la junta, sino prácticamente para cualquier presentación, es eso, ¿por qué debería importarle a mi audiencia lo que yo les digo? Puede que sea la idea más grande del mundo, pero si al público no le importa, no importa.

13:28

Es ese libro, ¿verdad? Empezar con, ¿por qué? Si estás presentando usando una presentación de diapositivas, o si estás teniendo una discusión, es todo, ¿por qué estamos hablando de esto? ¿Por qué? ¿Por qué es esto importante? Nuevamente, ¿por qué estamos invirtiendo nuestro tiempo y nuestra energía en esto? Ese siempre es un buen punto de partida. Es decir, hablo de esto en términos de, como, nuevas oportunidades de negocio, y cuando empezamos a pensar en esto, como incluso mirar los negocios del futuro, bueno, ¿qué estamos tratando de resolver en términos de esto? Entonces, sí, siempre es bueno empezar con. ¿Por qué?

13:53

Sí, absolutamente. Entonces, sé que cuando estamos discutiendo en el período previo a esta conversación, pasas mucho tiempo. Quiero decir, por supuesto, eres CISO para Netskope, pero también pasas mucho tiempo hablando con los CISO de tus clientes. Entonces, ¿qué les emociona? Y sienten que “Oye, en realidad, sabes qué, estamos haciendo bien estas cosas”. Porque creo que un mensaje positivo también es importante porque tenemos suficiente negatividad en el ciberespacio.

14:20

Sí, cierto, sí. Quiero decir, en realidad, la semana pasada tuvimos nuestro consejo asesor de clientes, lo que me dio, de nuevo, una gran oportunidad de platicar con, como mis pares en la industria, otros CISO, en algunas organizaciones increíbles. Y siempre, siempre interesante escuchar a las dos partes, los retos, pero también algo así, qué está funcionando, qué es lo que están viendo en términos de grandes cosas como la innovación en términos de ciberseguridad también. Y creo que es genial ver tantas organizaciones como positivas, realmente empiezan a consolidar muchas de sus tecnologías, su stack de seguridad que quizás han tenido en el pasado que han sido en muchos casos complejos y difíciles de administrar. Entonces, como ejemplo, tuvimos una discusión rápida sobre alejarnos de las redes corporativas, y si, de nuevo, si retrocedo 20 años, estábamos hablando de esto con como el Foro de Jericó y la Cloud Security Alliance cuando hablamos de mudar a un mundo sin perímetro. Y lo interesante es, está pasando, ¿verdad? Ahora estamos viendo que cada vez más organizaciones hacen esto absolutamente, diciendo que nuestro objetivo, si no está ya en su lugar, es eliminar en última instancia nuestra red corporativa y nuevamente, permitir a nuestros empleados y cualquier dispositivo que quieran usar, conectividad directa a sus servicios que quieran consumir, sin tener que ir y VPN y conectarse de nuevo a las redes y luego continuar a sus servicios. Es decir, todavía hay algunos casos de uso y ciertas industrias que tal vez necesitan mantener eso, pero es genial ver, quiero decir, hablando con una de las organizaciones de servicios financieros más grandes la semana pasada, ese era su objetivo. Buscan alejarse de esa red corporativa difícil de administrar y difícil de escalar. Así que eso fue algo bueno, y estoy viendo un mensaje más consistente sobre cómo las organizaciones lo han hecho, y están compartiendo cómo lo han hecho, cómo han podido hacerlo, y también analizando todos los beneficios, como la reducción de costos, la consolidación de costos en muchas áreas, la reducción de riesgos y, en última instancia, la búsqueda de mejorar la productividad general para sus empleados y sus usuarios finales.

16:16

Eso es algo realmente interesante y creo que todo el movimiento de si es sin perímetro, o si se está moviendo hacia, como micro perímetros, como lo que sea, de cualquier manera que quieras, como quieras enmarcar eso. Creo que son esencialmente dos caras de una misma moneda. Creo que por qué eso es eficiente desde el punto de vista de la seguridad es que entonces no tienes este dificil de, ¿es esto de confianza? ¿Esto no es de confianza? Ese tipo de se va, porque si, como, esto no es una pista a Zero Trust, eso vendrá después, ¿verdad? Pero creo, creo que esa es la belleza de ello, es que entonces de repente se puede decir, bueno, a todo se accede vía internet. Estoy tratando todo de esa manera. Entonces puedo traer una manera muy consistente por la cual aplico seguridad. Quiero decir, puedo usar todo el contexto, etc., ¿verdad? Y algo que viene de un Starbucks puede tratarse de manera diferente a algo que viene del salón del hotel, ¿verdad? Pero aún así, todavía puedo aplicar los mismos principios en lugar de tener que hacer suposiciones. Y creo que ese es un tipo de lugar bastante poderoso en el que estar.

17:20

si, si. Creo, absolutamente. Pienso que cuando hablamos de los principios de Confianza Cero que se adoptan en general. Entonces, como ejemplo, trabajé con un buen amigo mío como CIO para una organización grande, muy grande, y él compartió una gran historia. Obviamente, durante la pandemia, todos trabajaban de forma remota, y configuraron todo este principio de confianza cero y conjunto de políticas, para asegurar mejor a sus trabajadores remotos. Y lo interesante fue cuando dijo: “Cuando todos empezaron a regresar a la oficina, nos dimos cuenta que teníamos mejor seguridad cuando todos estaban remotos por los cambios que hicimos. Entonces, queríamos aplicar esos mismos principios a nuestra red interna. Y entonces nos dimos cuenta, bueno, de nuevo, podemos simplemente deshacernos de nuestra red interna, de nuestra red corporativa”. y al final eso es ahí que es su objetivo. Entonces, en este ejemplo, esta organización, han visto esto como una gran manera de justificar este movimiento, esta transformación hacia este tipo de enfoque, porque nuevamente, mirando su postura de seguridad, mirando los controles de seguridad, se dieron cuenta de que en realidad tenían controles más granulares, más específicos para sus trabajadores remotos. Entonces, pero la forma en que hicieron esto, y esto casi se estaba convirtiendo ahora en un fundamental, está yendo más allá de la simple identidad como medio para evaluar o usar la identidad solo como una señal como parte de Zero Trust. Fue, por supuesto, considerando el dispositivo que está usando la persona. ¿Es corporativo? ¿Es un dispositivo personal o de cualquier otro tipo, por ejemplo, más allá de solo laptop y móvil, etc.? Pero entender un poco más sobre el dispositivo en sí, hacer algunas comprobaciones de postura en el dispositivo, pero también entender el dispositivo, y luego mirar la ubicación. Entonces, ¿desde dónde se conecta esa persona, y también a dónde se conecta, y luego algunos de los detalles en torno a qué aplicación? Porque ahora todo se trata de aplicación. No lo es realmente; no te estás conectando a una red. Se está conectando a una aplicación. Y entonces fue, bueno, ¿qué instancia de la aplicación? Porque una instancia corporativa de una aplicación es muy diferente a una instancia personal, y en algunos casos, por supuesto, son lo mismo. Si miro los ejemplos obvios, como OneDrive y Google Drive y todo ese tipo de cosas. Realmente importa a qué tipo de instancia se está conectando. Si está moviendo datos corporativos a una instancia personal de OneDrive, entonces eso es probablemente un gran problema, ¿verdad? Y luego es la actividad. Entonces, ¿qué pasó antes y después? Y luego también, por supuesto, volviendo a la pieza de datos. Nuestro consejo asesor, la semana pasada, estábamos hablando de esto, y se hizo un comentario alrededor, ¿qué pasa con el tiempo? Debido a que el tiempo, los datos y el acceso a los datos en ciertos momentos, y es obvio, podrían ser una anomalía, pero también, en última instancia, cuando está construyendo un conjunto de principios de confianza cero, también desea considerar el tiempo porque los datos tienen su propio ciclo de vida. Entonces, datos, podría haber ciertos activos de datos, etc., que son altamente confidenciales en un momento determinado, pero tal vez como, como cualquier tipo de trabajo sobre actividad tipo M&A, pero después de ese punto en el tiempo, es sí, quizás ya no tan confidencial. Entonces el tiempo también es una especie de señal que debemos considerar como parte de esto. Pero eso fue, como dije, que realmente me abrió los ojos a pensar en esto más allá de la identidad. Y de nuevo, esto fue algo que hemos adoptado, por supuesto, en Netskope y como parte de nuestra función de seguridad interna, es todo un Zero Trust. Y mirar ese modelo de madurez y avanzar lo más lejos que podamos en términos de la postura óptima, e incluir todas estas señales, porque todas son críticas.

20:41

Sí, no, estoy absolutamente de acuerdo. Y creo que ellos siento que la identidad es importante, pero también siento que en muchos sentidos, probablemente ha habido una sobrerotación y enfoque en la identidad y no suficiente enfoque en otras señales y otros pilares. Y mientras hablabas, y estás pasando por una especie de otras fuentes de señales, red, aplicación, dispositivo, etc. De hecho me hizo pensar, cuando estamos pensando en una especie de pilares de Zero Trust, y tenemos, como el dispositivo, la aplicación, el usuario, la red, creo que es la carga de trabajo o los datos, no puedo recordar. Y muchas veces hablamos de suerte de madurez, de controles de maduración en cada uno de esos pilares. Pero como estás hablando, en realidad, cada uno de esos pilares también son fuentes de señales. Y como que piensas en esos dos como propiedades de todo, pero también cosas que estás protegiendo y como que hay mucha interrelación entre los dos a medida que construyes, ya que de alguna manera alineas y maduras tu estrategia Zero Trust, sí, estoy de acuerdo, ¿verdad? Piensa más allá de la identidad, bien, cuando estés pensando en estas señales.

21:48

Mantuve un equipo de operaciones de seguridad durante muchos años, y siempre quisiste contexto. Nuevamente, esto es, este es realmente un ejemplo crudo, pero teníamos a alguien que tomó datos, realmente confidenciales, datos de alto valor, y los puso en una unidad USB. Estaban a punto de salir de la organización, y nosotros la llamamos, y lo identificamos. Dije: “Bien, necesitamos esa unidad USB de nuevo porque necesitamos limpiarla de forma segura”. Al parecer, lo estaban haciendo con fines de backup, lo que ya activaba las campanas de alarma. ¿Por qué harías una copia de seguridad en USB cuando tenías servidores de archivos, etc., y repositorios de GitHub, todo ese tipo de cosas? Esto fue, de nuevo, en un rol anterior, pero fue interesante, porque cuando el dispositivo volvió, bueno, era un dispositivo diferente al que en realidad se estaba usando para copiar los datos. Entonces eso fue, de nuevo, una alarma inmediata, y en realidad paramos a la persona. Dijeron: “Oh, sí, devolví una unidad USB diferente”. Pero nuevamente, ese es solo un ejemplo crudo real, y de por qué ese contexto es realmente importante, porque en realidad nos detuvimos en ese momento en el que se consideraría una violación de datos significativa en la organización. Nosotros detuvimos que eso sucediera. Y, por supuesto, todos sabemos como practicantes de seguridad, queremos detener tantas brechas como sea posible porque sabemos lo que sucede como parte de la respuesta a la recuperación, etcétera; además consume mucho tiempo y esfuerzo. Entonces, es por eso que, nuevamente, desde el equipo de operaciones de seguridad, y pido por cualquier equipo de operaciones de seguridad con el que trabajo, me reúno, con el que hablo hoy es de nuevo, mirando qué contexto se puede obtener de estas cosas. Y como que, sí, necesitas tener al menos de esas ocho o nueve señales, en algunos casos, para determinar realmente el impacto y la evaluación del evento.

23:22

Creo que no le diste a esta persona el beneficio de la duda. Creo que lo habían hecho es que se han llevado el USB y luego lo respaldaron a otro USB, que es lo que te dieron. Entonces, solo estaban haciendo backups redundantes, por si acaso.

23:34

Era, por supuesto, para, sí, ocultar el hecho de que tenían estos datos que se estaban llevando con ellos. Nosotros, por supuesto, no queríamos que se llevaran con ellos los datos corporativos. Ese era el, en última instancia, el escenario que teníamos, y que, sí, pudimos mitigar eso. Pero de nuevo, en base al contexto que era, miras el dispositivo, y es como, bueno, este no fue el dispositivo que activó la alerta. Por lo tanto, ya sabes, de inmediato hay un tema más grande en juego. Sí, creo que es lo mismo con la nube hoy. Tengo esta discusión con muchos, muchos otros CISO hablando sobre los desafíos de la nube — es como que no siempre, o en los primeros días, no siempre teníamos una visibilidad completa de qué servicios en la nube estaban siendo utilizados por nuestra organización, qué había sido aprobado, qué había pasado por evaluaciones de proveedores y evaluaciones de terceros, etc. Y sigo pensando que hoy tenemos ese desafío para muchas organizaciones; esa es la retroalimentación que me dan. No sabemos exactamente qué se está usando. Tenemos nuestros servicios de nube pública aprobados que tenemos como que somos Azure o AWS o GCP, pero para SaaS, la retroalimentación que generalmente obtengo es que no sabemos realmente lo que estamos usando en términos de SaaS, como que no podría obtener un inventario completo de lo que se usa día a día en términos de servicios en la nube. Pero, por supuesto, hay herramientas como Netskope, por ejemplo, que pueden ayudar a una organización a identificar eso y luego poner controles en torno a eso. Y creo que ese es un muy buen punto de partida. Pero luego vuelve a bajar a los datos. Entonces bien, bueno, ¿qué datos están subiendo a esos servicios? Porque si pierdo el acceso a esos servicios, como ese servicio no está disponible. ¿Cuál es el impacto? Nuevamente, volviendo a la discusión a nivel de junta, de eso es de lo que ahora hablamos, si perdemos el acceso a estos datos, cuál es el impacto de eso para nosotros como organización, estamos teniendo esa misma discusión en este momento en torno a los servicios de IA. A medida que los servicios de IA están cada vez más integrados en los procesos del negocio, es como, bueno, ¿qué sucede si ese servicio ya no está disponible, cuál es el impacto? Entonces, sí, tenemos que empezar a pensar en esas formas. Es una forma de, por supuesto, resiliencia, pero ahora está pensando como, ¿sé qué tan resistentes son mis servicios y qué sucede si no van a estar disponibles o si se han visto comprometidos?

25:35

Volviendo a lo que dijiste sobre el uso de TI en la sombra, ¿verdad? Y más o menos lo que sea, digamos mediados de la década de 2010 cuando esto era una especie de infancia del mercado CASB. Y recuerdo haber visitado realmente tu centro de desarrollo en Bangalore y sentarme con miembros de tu equipo de producto y pasar y decir: “Sería genial, estamos en medio de una evaluación, sería genial si pudieras hacer esto, esto y esto, porque entonces eso me daría toda la visibilidad que necesitaba sobre el uso de SaaS”. Pero como hablamos, una especie de IA, simplemente tocaste como el uso de IA, ¿verdad? Y creo que esto es realmente interesante, porque creo que con la IA convirtiéndose tal como los modelos de IA convirtiéndose en un componente tan clave de las aplicaciones de negocio, ahora es el modelo de IA una aplicación crítica. Entonces, tenemos que estar pensando en cómo aseguramos eso de la misma manera a la que tal vez nos hubiéramos postulado si fuera un proveedor bancario, mi sistema bancario principal, ¿verdad? Mi modelo de IA ahora es fundamental tanto para la A, la I, como para la C, ¿verdad? Necesito proteger a los tres en el modelo de IA.

26:43

Si. Nuevamente, como dije, he vivido muchas edades, como la era de las computadoras, la era de Internet, la era de la nube, y luego la era de la IA ahora. No sé si tengo otra edad en mí para ser honesto. Incluso podría ser reemplazado por IA, no lo sabemos. Pero creo que tienes razón, cada vez que entramos en una nueva era, o estamos en transición a otra era, empezamos a pensar, bueno de nuevo, obviamente, ¿cómo podemos asegurar mejor eso? Y tuve la misma discusión con la era de internet, donde en realidad era un caso de, bueno, solo vamos a darle acceso a internet a ciertas personas. Y por supuesto, a los pocos meses, todos tenían acceso. Y lo mismo para la nube. Es como si solo vamos a limitar el número de servicios en la nube que usamos. Y luego, dentro de unos meses, tuvimos el tema de TI en la sombra. Y creo que estamos viviendo, por supuesto, en la era de la IA ahora. Es decir, en una cosa nos enfocamos mucho en ello. Así que soy miembro de nuestro Comité de Gobierno de IA y soy coautor de nuestra política de IA responsable y nuestro estándar de seguridad de IA, y trabajo en estrecha colaboración con nuestros equipos en Netscape. En términos de, nuevamente, nuestro uso de la IA, tanto desde una perspectiva de empresa como también desde lo que tenemos dentro de nuestro producto. Tenemos un registro, tenemos un registro preciso de uso, y unimos todo esto de nuevo a cuáles son los casos de uso, por ejemplo. Entonces, sí, tenemos esta gran capacidad de que podemos hacer eso, ¿verdad? Tenemos esto como organización. La IA es nuestro enfoque clave para identificar y también asegurarnos de que ponemos controles, por ejemplo, para proteger mejor el uso de la IA. También estamos, por supuesto, trabajando en estrecha colaboración con nuestro equipo de investigación de amenazas y, por supuesto, hemos visto un aumento en el uso de IA para impulsar la innovación en términos de tipo de lanzamiento de amenazas y ataques y usar nuevos tipos de técnicas, etc. Así que ya lo hemos visto. Y desde la perspectiva de una defensa, nuevamente, apoyando al equipo de producto en términos de construir esas defensas que son IA de vuelta, así que sí, ya estamos viendo esto. Pero como dije, desde nuestra perspectiva organizacional, hay que tomar un enfoque como un paraguas a esto. Hay que mirar todos esos diferentes casos de uso, y también, cuál es el impacto, si alguno de ellos se ve afectado. Es crítico para nosotros como organización ya en términos de, nuevamente, controlar, gobernar el uso de IA. Y también tenemos regulación es, es ahora, ahora aquí también. Tenemos de la Ley de IA de la UE, que entró en vigor en agosto. Y también es interesante, porque hablo con otras organizaciones de manera regular, y a veces la retroalimentación que obtengo es: “Está bien, no necesitamos hacer nada durante tres años”. Y mi respuesta es: “Bueno, no, en realidad, el primer tipo de hito, y lo primero, la primera aplicación, llegará pronto, en febrero de 2025, ¿verdad? Entonces no podemos esperar”. En realidad, se está preparando para ese primer hito en torno al uso de IA, sistemas y servicios prohibidos. Entonces eso es, sí, eso es, creo que la regulación va a jugar un papel, pero en última instancia, es volver a lo que sabemos, ¿verdad? ¿Qué tenemos? ¿Cómo lo estamos asegurando? ¿Cómo nos aseguramos de que se aplique el gobierno?

29:35

Sí, absolutamente. Así que una especie de vinculación en esta conversación de IA con las conversaciones que estás teniendo con los CISO, y hablamos sobre algunas de las cosas que les entusiasman y sobre las que son positivas. ¿Con qué están luchando, verdad? ¿Por qué se frustran?

29:52

Sí, entonces pienso, sigo pensando que el número uno es, supongo, los retos del panorama regulatorio actual. Y también, sí, próximas nuevas regulaciones y cambios en estándares y marcos. Quiero decir, las hemos vivido por muchos años, ¿verdad? Pero sí, simplemente parece ser por el momento que hay un montón de regulaciones que están entrando en vigencia. ¿Cómo se alinean todos entre sí? Como, ¿hay superposiciones? Y qué es, qué tiene prioridad y ese tipo de cosas. Y, quiero decir, sí, trato con estas cosas de manera regular. He estado con NIS2 y DORA, por ejemplo, desde que se anunciaron por primera vez. Y la IA de la UE vuelve a actuar, escribí un artículo sobre esto allá allá por agosto, una vez que el texto se publicó formalmente en la revista de la UE. Entonces, todo ese tipo de cosas. Entonces, soy consciente de este tipo de cosas, pero es difícil. Es realmente difícil para las organizaciones de hoy en CISO entender lo que necesitan hacer en términos de la regulación. Entonces, pienso cómo resolver para esto, porque también estoy, me da gusto hablar de problemas y retos, pero también pienso, bueno, ¿cómo resolvemos tan rápido? Y nuevamente, la forma en que normalmente abordo esto es que construimos, o mejoramos, nuestro marco de control estándar actual. Por lo tanto, tenemos una serie de controles comunes que podemos aplicar, por ejemplo, que cumplen con los requisitos de muchas de estas regulaciones y estándares y marcos que están llegando. Y aplicando algo como un control organizacional o un control técnico, podemos cumplir con los requerimientos de eso. Pero es que no solo se aplica por regulación o marco estándar. Aplicas eso, y eso entonces, por lo tanto, se aplica a múltiples. Así que ese es el tipo de manera que en realidad he estado compartiendo. He escrito una serie de, bueno, mi equipo con el que trabajo en Netscape; todos hemos estado trabajando en esta serie de guías de cumplimiento de normas que, en última instancia, pueden ayudar a las organizaciones a entender lo que necesitan hacer. Considerando el tipo de fruta baja, como decimos, y también cómo, si aplica, si aplica este control, ¿qué impacto tiene eso en el panorama regulatorio? Entonces, sí, esos son los desafíos de los que estoy escuchando, y luego también la forma en que pensamos en ayudar a resolver algunos de esos desafíos.

31:53

Sí, y puedo ver absolutamente lo oneroso que puede llegar a ser cuando tienes tantas regulaciones diferentes para ir y esencialmente resolver, ¿verdad? Y cada uno de ellos pide una especie de lo mismo, pero un color ligeramente diferente. Y estás diciendo: “¿Necesito hacer todos los colores, o solo necesito hacer algunos de ellos?” Pero sí estoy de acuerdo, cierto, en que tener un tal vez algún tipo de marco consistente encima del cual se construye un tipo de regulaciones entonces, o simplemente extensiones de, entonces, al menos, entonces tienes el comentario diciendo: “Bien, bueno, si estoy adoptando este marco, bien, sé que tengo todos los conceptos básicos cubiertos”. Y siento, hasta cierto punto, y como que asiento con la cabeza hacia DORA, específicamente, en este caso, que mucho, apunta hacia la ISO 27001 y el marco de ciberseguridad del NIST como esencialmente una fuente de inspiración. Está construido sobre eso. ¿Ve que eso es un poco de que podríamos tener alguna esperanza en eso, en esa organización regulatoria diciendo que no necesitamos reinventar la rueda aquí, hay muchas cosas buenas, como estándares y marcos sobre los que construir, y así es como vamos a madurar, en lugar de inventar lo nuestro de manera individual?

33:04

Sí, también es la madurez. Y cuando también se lanzan nuevas versiones de estos estándares y marcos, siempre es bueno verlo. Quiero decir, estuve abanderando las actualizaciones de ISO 270001 durante muchos, muchos años para incluir cosas como la web y la nube y la seguridad de datos. Realmente no entré en los detalles de lo que eso realmente significaba. Entonces me emocioné mucho cuando, soy una de esas personas que se emociona cuando se lanza un nuevo estándar actualizado, se nota. Cuando lanzaron 2022, yo estaba como, genial, finalmente abordaron la seguridad web y la seguridad en la nube y la seguridad de los datos. Estuve defendiendo DLP, durante muchos, muchos años, desde que entró mi QSA y le mostré cómo DLP me estaba ayudando a identificar cualquier dato de tarjeta fuera del entorno de datos de mi tarjeta. Él estaba como, “Bien, ¿cómo se llama esa tecnología?” Yo dije: “Se llama DLP”. Él es como, “Interesante, tal vez podamos considerar eso como un control compensatorio”. Yo estaba como, sí, debería, sí, debería ser, de verdad, no debería”. Entonces eso fue, nuevamente, eso muestra mi edad ahora, eso fue a mediados de la década de 2000. Pero sí, es genial que los estándares y los marcos estén poniéndose al día con los controles que están disponibles. Y nuevamente, estoy completamente de acuerdo, si podemos, siempre necesitamos simplificar la seguridad. Es decir, la complejidad es siempre nuestro enemigo. Volviendo a la discreción del balón, tampoco hay una respuesta correcta, no hay ajuste perfecto. Entonces podemos tomar aunque vayamos, tenemos que cumplir con multitud de estándares y marcos de regulación, en muchos casos, todavía van a ser únicos para nosotros y nuestra organización. Entonces sí, es como los aplicamos, es cómo los consideramos. Así que sí, pero si estamos pasando la mayor parte de nuestro tiempo tratando de cumplir con los requisitos de cumplimiento de normas, entonces sí, desafortunadamente, no lo estamos, no siempre tenemos tiempo entonces para analizar la innovación y las últimas amenazas y datos, y sí, los avances en otras áreas también. Así que creo, sí, si, si puedes simplificar la pieza de cumplimiento, lo hará, pagará sus cuotas en términos de permitirte concentrarte en otras cosas también.

34:56

Absolutamente, ¿verdad? Creo que simplificamos absolutamente el cumplimiento y todos lo van a dar la bienvenida. Pero creo que también sería emocionante ver que el cumplimiento de normas impulsa la innovación más allá de simplemente facilitar la presentación de informes sobre el cumplimiento de normas. Que eso no es innovación, eso es simplemente un mejor reporting, sino realmente cumplimiento de normas como una forma de impulsar más innovación en el espacio de seguridad. Veo que hay oportunidad para eso. ¿Cuál es tu perspectiva?

35:20

Si. Quiero decir, leí la Ley de IA de la UE varias veces para entender realmente, nuevamente, cómo se podría aprovechar esto en una organización para garantizar que cumple con los requisitos. Pero también, asegurarse de que, por ejemplo, si estás implementando algún control de ciberseguridad que también vas a hacer sea acorde con la legislación. Entonces en ese sentido, por supuesto, es de muy alto nivel. Es muy vago en ciertas áreas, pero sí habla de cierto tipo de actividades, ciertos tipos de monitoreo, etc. Eso es en última instancia lo que se puede hacer si se basa en máquina en lugar de un humano inspeccionando ciertas cosas, ¿verdad? Así que, por supuesto, desde una perspectiva de innovación, es importante entender, pero también entender que, una vez más, puede usar IA/ML en su organización para ayudar a asegurar su organización. No lo es, no es tratar de llamar y enfocarse en eso no puedes hacer eso, por ejemplo, porque se considera perfilar o algo así, ¿verdad? Entonces eso es realmente importante. Creo que siempre hay excelentes guías de mejores prácticas por ahí hoy también. Cuando voy a un evento, y voy a ver, oigo hablar de uno de los oradores principales, o voy a una de las sesiones que me interesan, siempre hay mucha gente que ha pasado por esto y ha innovado, y tal vez han usado una plataforma para cumplir con un determinado requisito de cumplimiento, pero cómo, por ejemplo, han tomado, tal vez ese presupuesto que se asignó para ayudar a la organización a cumplir con ese requisito de cumplimiento, y luego cumplido el requisito de cumplimiento de normas, y luego haber utilizado o reutilizado parte del tipo de gasto, la inversión en tecnología también hacer otras cosas también. Y de nuevo, creo que es muy, muy importante para cualquier organización considerar esto, ¿verdad? Es otro cambio que he tenido. Escucho de los CISO es, de nuevo, que buscan consolidarse. Están buscando dónde pueden ver la reducción de costos. Y para mí, hay algunas grandes oportunidades para hacer eso. Es decir, recuerdo haber iniciado una organización que tenían como, 70 tecnologías, y miré alrededor del equipo y nosotros y teníamos como, 10 personas. Yo estaba como, bien, siete cada uno. Bien, incluso si solo los parcheamos y actualizamos y los mantenemos actualizados con las reglas y la configuración, no va a ser posible, ¿verdad? Vamos a tener que empezar a reducir el número de tecnologías que tenemos, diferentes proveedores, etc. Realmente tenemos que consolidarnos a un tipo de stack tecnológico más manejable, de verdad, y ahí es donde vi esta buena oportunidad como, bien, ¿cuál es el requisito de cumplimiento para tener esto? ¿Qué nos está ayudando desde una perspectiva de amenaza o protección de datos? ¿Cómo está asegurando esto nuestra infraestructura? ¿Cómo está esto asegurando a nuestra gente? Porque, sí, también necesitamos ayudar a asegurar a la gente. ¿De qué manera está ayudando a educar y crear conciencia? Así que preseleccioné los requisitos realmente cumpliendo esas áreas clave y luego pude, sí, absolutamente, comenzar a buscar reducir el número de proveedores de tecnología que estaba usando y, en última instancia, hacerlo más manejable. Y he tratado de hacer eso en todas las organizaciones a las que me he unido, para enfocarme realmente en eso. Porque mientras estés cumpliendo con esos requisitos, eso es genial, pero hay, hay mucha deuda técnica. Creo que esa es la frase común de la que todos hablamos como uno de los mayores retos. Hay formas en las que podemos buscar absolutamente reducir esa complejidad. Y creo que cuando reduces la complejidad, puedes empezar a concentrarte más tiempo. Prefiero que todo mi equipo se concentre más en otra vez, afinar, configurar, mejorar las tecnologías, dedicar más tiempo a mirar eventos y mirar métricas y tendencias y análisis y análisis y ese tipo de cosas, en lugar de tener que ir y sí, actualizar una pieza de tecnología, porque está programada para una actualización. Ese tipo de cosas, realmente quiero y eso, quiero decir, eso es, por supuesto, la alegría, la alegría de SSC y SASE es que en última instancia puedes dejar que tu proveedor haga eso y simplemente aprovechar el tiempo dedicado a, nuevamente, mantener y configurar esas políticas para que eso sea realmente, realmente importante, desde mi perspectiva. Nuevamente, la forma en que manejamos los recursos en nuestros términos.

39:17

Creo que una cosa que casi alrededor de esa consolidación, creo que también es una oportunidad, particularmente cuando hay un tipo de proveedores que vienen a decir: “Oye, tenemos esta capacidad”. A menudo, pienso, y sé que estando del lado del proveedor que el retroceso de los prospectos a los clientes es, “bueno, ya tengo otras 30 herramientas”, o en tu caso, dijiste otras 70 herramientas, ¿verdad? Pero creo que ese ejercicio de consolidación realmente le permite luego mapear exactamente qué capacidades tiene, porque creo que ese es el mayor desafío para las organizaciones cuando se les presenta una nueva tecnología, es que en realidad no tienen una comprensión de lo que hace su stack actual, ¿verdad? Donde proporciona valor y donde realmente se encuentra, a pesar de tener 70, todavía hay brechas en capacidades y capacidades clave. Y creo que ofrece una oportunidad para descubrirlos esencialmente y decir: “Ah, bien, ahora me doy cuenta de por qué necesito esto”.

40:11

Sí, exactamente. Entonces, quiero decir, es una de las primeras cosas que hice fue traer socios proveedores, en roles anteriores. O sea, lo grandioso es en Netskope, obviamente entré a Netskope, hace seis años y medio, siete años. Somos una empresa en la nube que proporciona un producto a la tecnología. Entonces, yo no tenía ese, ese tema. Pero eso es lo que tengo que decir en organizaciones anteriores, porque sé que esto es, este es un gran reto. Pero sí, traería proveedores y socios y diría: “Bien, tenemos una renovación próxima dentro de seis meses”. Y lo primero que siempre decían era: “Bien, nos pondremos en contacto contigo más cerca de la hora”. Y yo dije: “No, necesito saber por qué ahora estamos usando esta tecnología. ¿Qué beneficio estoy viendo de esta tecnología?” Y hemos tenido esa discusión, y por supuesto, voy a regresar y decir: “sí, probablemente podamos empezar a pensar en consolidar eso”. E incluso tengo una, quiero decir, todavía tengo la hoja de trabajo, y de hecho he trabajado con varias otras organizaciones, nuevamente, en Netskope, que han tenido ese mismo desafío. Y como que he dicho que tenemos esta lista de como 250 tecnologías diferentes, y algo de cómo en última instancia pueden ser, tal vez consolidarse, como en fases. Entonces tu fase uno será esta, fase dos, fase tres. Ahora puedes empezar a buscar consolidar, porque hay muchas cosas que se superponen, ¿verdad? Hay muchas capacidades cuando analizamos capacidades críticas que potencialmente se superponen con otras tecnologías que ya puede tener, estoy completamente de acuerdo con usted. No lo es, no siempre es visible para alguien. Y podría ser que escuches sobre esta cosa nueva, brillante, nueva, piensas, bien, eso, eso, eso sería genial, podemos traer eso, pero en realidad ahora que tal vez se superpone con algo más que tengo. Entonces, ¿necesito, como, reemplazar? Tengo esto como analogía. Tengo lo mismo con mi esposa y mi guardarropa es como, ya no puedo meterme más, así que si voy a traer algo nuevo, tengo que deshacerme de algo. Entonces, actualmente es, como, es muy similar a eso, ¿verdad? Pero en este caso, creo que desde nuestra perspectiva como CISO, es como, bueno, si traigo una cosa, probablemente necesito deshacerme de tres cosas. En última instancia, veo este punto dulce que tuve, tuvimos esta gran discusión la semana pasada, nuevamente, nuestro consejo asesor de clientes, y el punto dulce es estar por debajo de 10, ¿verdad? Si puede obtener menos de 10 tecnologías, todas están haciendo, nuevamente, todas están haciendo lo que pueden, y están integradas, y están abiertas, y están hablando entre sí, y están utilizando, por supuesto, los últimos beneficios de este tipo de cosas. Así que estás cubriendo esto desde una pila tecnológica, y lo estás reduciendo a ese tipo de nivel más manejable. Ese es un poco el punto dulce, de verdad. Sé que otras organizaciones dirán: “Bueno, sí, nunca podremos llegar a 10, pero vamos a tratar de bajar a 20". Eso es en última instancia donde tú, como que quieres estar. Y creo que el, creo que todavía hay necesidad de productos puntuales si tienes un caso de uso específico, pero ahora estás viendo toda esta consolidación y este juego de plataformas del que estamos hablando. Existe esta capacidad en la que todo se basa en microservicios y, en última instancia, puede ejecutar, sí, microservicios en plataformas. Es una forma más inteligente de hacer estas cosas.

42:57

Sí, absolutamente. Entonces nos quedan unos minutos, así que llegando al final. Obviamente hemos hablado de cosas como, como cosas que son emocionantes, e igualmente, cosas que son desafiantes. Pero, ¿qué pasa con las cosas que son inesperadas? ¿Qué tipo de te has encontrado en el último año o tal vez antes de eso? Es como si de alguna manera miraras y pensaras”, hmm, eso fue completamente lo contrario de lo que esperaba que sucediera”.

43:22

Sí, creo que con, quiero decir, puedo volver a la IA, y como que sabía que la IA iba a explotar. Sabía que la IA iba a despegar. Creo que escribí un artículo sobre esto en como, 2014 listo para la era de la IA. Y, sí, todos como que lo esperábamos, lo esperábamos, lo esperábamos, y era, “va a suceder pronto, va a suceder pronto”. Supongo que no fue, quiero decir, no este año, pero, sí, en años anteriores, bueno, no lo esperaba del todo, se sentía como si fuera, nunca iba a suceder quizás. Era como si los casos de uso no estuvieran ahí para, quiero decir, ML, sí, hemos tenido ML desde hace muchos, muchos años. Sabes, hemos visto valor ahí, por ejemplo. Pero todo el tipo de, cuando hablamos de cosas como GenAI, no lo hicimos, quiero decir, yo estaba usando un servicio GenAI hace muchos años, y fue, fue útil. Fui útil desde una perspectiva de nota y escribiendo en diario todo ese tipo de cosas. Es realmente súper útil. Y yo estaba como, genial. Este es un gran caso de uso. Pero realmente no esperaba de repente, este tipo de, la explosión del uso de GenAI y AI. Y sucedió así de rápido y casi como una sorpresa cuando sabía que iba a pasar. Pero supongo que eso fue algo inesperado, lo rápido que en cuestión de semanas, parecía que organizaciones enteras ahora estaban haciendo como originalmente, estaban haciendo evaluaciones de proveedores sobre proveedores de servicios en la nube y ese tipo de cosas. Y luego, dos semanas después, ahora están haciendo esto en nuevos proveedores, y luego también en proveedores existentes que siguen agregando nuevas características, lo que creo que es uno de los mayores desafíos. Entonces, como ahora es como cuando hablo con cualquier otro CISO, solo dicen que nuestro equipo solo está siendo inundado con nuevas tecnologías, o tecnologías existentes que han agregado esto. Es que, acaba de haber habido esta explosión. Entonces, supongo que ese fue el reto inesperado más reciente. Pero sí, así fue, eso fue hace unos años. No podíamos vivir eso hace unos años, pero todavía está aquí.

45:15

Bonito. impresionante. Espero que cuando hiciste esa predicción, espero que también hayas comprado una tonelada de acciones de Nvidia en ese entonces y haciéndola bien ahora. Terminemos, ¿verdad? Tienes una gran experiencia como CISO. Pasas un montón de tiempo conversando con otros CISO, CIO, tomadores de decisiones clave. Para alguien que está comenzando su carrera en el ciberespacio y tiene la ambición de algún día convertirse en un CISO o un CSO. ¿Cuál es el pequeño consejo que les darías?

45:43

Creo que para mí siempre sería, quiero decir, decir que sí cuando se te den oportunidades, aunque no sea tal vez pienses que es tu tipo de en tu trayectoria profesional, y quizás, le digas que sí. Y de nuevo, yo diría, definitivamente, que salgan. Habla con otros CISO, aprende de otros CISO, ¿verdad? Cuando empecé en esta carrera, ojalá lo hubiera hecho, realmente no teníamos CISO a los que pudiera preguntar. Teníamos que aprender en el trabajo. Sí, creo que ahora tenemos esta gran oportunidad para, y creo que la mayoría de los CISO son bastante abiertos, felices de compartir pensamientos, ¿verdad? Quiero decir, bueno, en este podcast, ¿verdad? Compartiendo pensamientos y experiencias y este tipo de cosas, estamos todos, creo que somos yo, para mí de todos modos, personalmente, me encantaría dejar la industria en un lugar mejor que cuando me uní a esta industria, ¿verdad? Eso siempre es una buena señal de que estás tratando de devolver. Entonces para mí, sería, sí, ir, si estás pensando y realmente quieres ser CISO, ve a hablar con otros CISO y trata de pasar tanto tiempo cerca de ellos. Pero también ir a eventos. Vaya a si tiene la oportunidad de ir incluso a una cena o algo así, y simplemente entienda cómo, escuche sobre los desafíos y comience a pensar en cómo podría ayudar potencialmente a resolver algunos de estos desafíos. Definitivamente necesitamos solucionadores de problemas en esta industria, ¿verdad? Cuantos más solucionadores de problemas, mejor. Si tienes ese tipo de conjunto de habilidades o ese apetito o ese interés en el campo, y eres un gran solucionador de problemas, entonces esta es definitivamente la carrera para ti.

47:05

Impresionante. Bueno, Neil, con eso, muchas gracias por tu tiempo de hoy y tú y tu sabiduría. Ha sido genial tener esta conversación contigo. Realmente lo agradezco. Avíos.

47:15

Sí, no. Gracias, Raghu.

‍