Reforçando a resiliência cibernética federal e demonstrando o ROI

0:05 Raghu Nandakumara: Bem-vindo ao podcast The Segment: A Zero Trust Leadership. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, uma empresa de segmentação Zero Trust. Hoje, estou acompanhado por Gerry Caron, Diretor de Informações e Inspetor Geral Adjunto do Departamento de Saúde e Serviços Humanos dos EUA. Com mais de 24 anos de experiência em tecnologia da informação, Gerry começou sua carreira no Exército dos EUA trabalhando em posições técnicas práticas. Ele ingressou no governo federal no Departamento de Estado em 2003 como administrador de sistemas e ocupou cinco cargos diferentes no departamento nas últimas duas décadas. Hoje, Gerry está se juntando a nós para discutir os desafios e a dinâmica do Zero Trust em nível federal. Descobriremos como gerenciar o risco operacional, o papel do mapeamento de dados em qualquer estratégia bem-sucedida de Zero Trust e demonstraremos o ROI de seus investimentos em Zero Trust. Então Gerry, como você acabou sendo Diretor de Informações do Gabinete do Inspetor Geral do Departamento de Saúde e Serviços Humanos?

01:12 Gerald Caron: Eu perdi uma aposta. Não, minha jornada é meio única. Eu sou do norte do Maine, na floresta. E eu entrei para o Exército. Depois de sete anos no Exército, trabalhei no Pentágono e decidi na época que a TI era a grande coisa e que lugar melhor para se estar do que em Washington, DC? Acabei me tornando empreiteiro em 2001 no Departamento de Estado, atendendo telefones em um help desk. A partir daí, trabalhei duro em alguns cargos gerenciais e depois me tornei membro do serviço executivo sênior em meu último emprego, em gerenciamento de redes corporativas no Departamento de Estado, onde basicamente fui responsável por toda a infraestrutura: Active Directory, a rede internacional e doméstica, a segurança de perímetro e muitas outras coisas. E eu me candidatei a esse emprego aqui como CIO do Gabinete do Inspetor Geral aqui no HHS, para tentar fazer algo diferente. Então, eu estou aqui há um ano e meio neste momento, e tem sido muito interessante.

02:10 Gerald Caron: Durante meu tempo no Estado, estive envolvido em alguns eventos e assumi o papel de líder de remediação e despejo em alguns desses eventos, o que me levou a ser evangelista há muitos anos, antes da publicação de ordens executivas e memorandos sobre o assunto, no Zero Trust. Então, eu também presidi alguns grupos de trabalho nessa área. Eu presido uma cadeira tripla com outros CIOs e alguém do Instituto Nacional de Ciência e Tecnologia, do NIST. E eu também sou uma organização sem fins lucrativos, que acredita muito no Zero Trust e na cibersegurança.

02:48 Raghu Nandakumara: E é exatamente por isso que estamos tão animados em ter você aqui hoje. Então, pouco antes de abordarmos especificamente o Zero Trust: você está na State, gerenciando 110.000 usuários, e agora está no HHS, que tem cerca de 2.000 usuários. Então, se eu fizer minhas contas corretamente, é quase 2% do que você estava fazendo na State a partir de uma perspectiva baseada no usuário. Quais são os desafios de segurança exclusivos desses dois ambientes?

03:18 Gerald Caron: Sim, não, essa é uma boa pergunta. Então, na State, eu administrava a infraestrutura central e coisas assim, mas todas as agências diferentes, e aqui é mais ou menos a mesma coisa no HHS, há, não quero dizer, necessariamente, autonomia, mas elas têm suas próprias missões exclusivas. Eles têm suas próprias necessidades de TI. Então, embora eu fornecesse recursos centrais, no que diz respeito a redes e coisas assim, tive que me acomodar. E em uma grande organização federada como essa, às vezes é difícil fazer as coisas funcionarem. Aqui no IG, a diferença é que possuímos e administramos totalmente nossa própria rede, sistemas e coisas assim. Estamos vendo as coisas como um serviço — estamos aproveitando o SOC-as-a-Service porque tenho recursos de TI limitados — mas, como resultado, podemos ser mais flexíveis e ágeis porque sou responsável por tudo e é praticamente centralizado. Já em uma grande organização, às vezes é difícil fazer as coisas acontecerem enquanto se tenta acomodar todas essas missões específicas. Enquanto que aqui estamos praticamente centralizados. Mas ainda podemos ser um bom exemplo de escalabilidade na arte do possível por meio de nossas implementações e compartilhar isso com uma agência maior ou com outras, porque somos capazes de agir de forma um pouco mais flexível e “ágil”. “Agilmente”, isso é uma palavra?

04:43 Raghu Nandakumara: Está tudo bem, está tudo bem. Vamos adicioná-lo ao Oxford English Dictionary no próximo ano. Não tem problema. Mas você fala sobre o Estado como sendo muito... Por ser uma organização gigantesca, como você disse, grande parte da infraestrutura ou sua execução é federada. Então, como garantir a consistência da postura de segurança em todos esses tipos de subagências federadas, se esse for o termo certo, ou subunidades? Como esse tipo de coisa é gerenciado, monitorado e governado?

05:15 Gerald Caron: Sim, uma das coisas que fizemos: na verdade, vendemos uma pequena ferramenta na minha loja chamada iPost. Então você tem muitas ferramentas, certo? Toda organização tem muitas ferramentas, mas o que acontece é que você as analisará em silos. E então você diz, ok, como estou me saindo com os patches? Tudo bem, o que fizemos e o que estamos fazendo aqui, e isso vai levar... É um dos nossos, como eu chamo, um dos nossos projetos fundamentais que faremos aqui, é integrar esses dados. Então, quando você está descentralizado e as pessoas do setor inferior são responsáveis pela segurança de TI, nós meio que reunimos todas essas informações, estabelecemos essas relações entre: “Tudo bem, aqui está o objeto de computador do Active Directory”. “Tudo bem, aqui estão todos os dados de patch para isso, aqui estão todas as vulnerabilidades, aqui estão todos os dados de verificação, aqui estão o software, as versões e o sistema operacional.” Você sabe, “isso está na lista de aprovados, que está aqui?” E construímos esse painel para isso... Então, basicamente...

06:11 Gerald Caron: E criamos esses grupos — poderiam ser um escritório ou uma embaixada ou algum local ou um grupo lógico de pessoas para um sistema — e reunimos tudo isso e colocamos essa metodologia sobre eles, e tivemos o que chamamos de “pontuação de risco operacional”. Você não precisava saber como usar as ferramentas, não precisávamos treinar as pessoas sobre como usar essas ferramentas, não precisávamos dar acesso a essas ferramentas, reunimos todos esses dados, os apresentamos de uma forma fácil de usar e dissemos: “Tudo bem, venha de manhã, você verá seu site e dirá: 'Ah, ei, minha pontuação de patch está muito alta e me foi dada... Isso me levou a um D esta manhã quando eu era um B ontem. Em que eu preciso prestar atenção? Oh, ok, aqui está exatamente... Preciso fazer esse patch nesses sistemas. '”

06:57 Gerald Caron: Então, apresentamos essa informação a eles dessa forma. Agora, faremos a mesma coisa aqui porque, novamente, eu, como CIO, não preciso saber qual é minha postura de risco operacional, como estamos nos saindo em geral? Então, vamos trazê-las, integrar as fontes de dados que podemos aproveitar, descobrir onde estão nossas lacunas, colocar essa metodologia de pontuação acima disso e, em seguida, criar esse painel para dizer: “Tudo bem, como estamos? Como estamos nos saindo operacionalmente com o gerenciamento de nossos riscos, desde correções até vulnerabilidades, configurações e todos esses equipamentos em fim de vida útil e tudo mais?” Então, vamos trazer esse conceito, vamos começar a fazer isso. Agora, por que eu digo que esse é um projeto fundamental para o Zero Trust — pense nisso. Precisamos fazer isso mais em tempo real posteriormente, então precisaremos de toda a telemetria de todas essas ferramentas para tomar essas decisões em mais tempo real. Agora, ferramentas diferentes vêm em ondas diferentes, por assim dizer, como uma a cada oito horas, uma a cada cinco minutos, depende.

07:55 Gerald Caron: Então, minimamente, se Raghu está entrando na minha rede e tentando acessar essa fonte de dados, tudo bem, o que eu sei sobre ele? Tudo bem, ele se autenticou dessa forma, ele está em um computador gerenciado, que eu conheço, entrando na VPN, a rede que eu estou gerenciando porque ele está no escritório. Ok, eu tenho informações suficientes para dizer que é muito seguro deixá-lo entrar pela porta da frente. Ele pode começar seu trabalho enquanto... Tudo bem, deixe-me verificar essas coisas secundárias e tomar decisões a partir delas. Portanto, estou fazendo uma verificação constante, não estou apenas dando acesso à porta, mas estou fazendo uma verificação constante em tempo real, tanto quanto possível, e as ferramentas podem acomodar a tomada de decisões com base nos meus limites de risco.

08:39 Raghu Nandakumara: A propósito, você sabia que este é um podcast do Zero Trust? Não tenho certeza se você está ciente.

08:42 Gerald Caron: Ah, não é?

08:44 Raghu Nandakumara: Você meio que naturalmente foi para o Zero Trust, tipo... Acho que reunir os dados de que você falou e fornecer essa visão consistente é uma parte muito importante para envolver todos nessa jornada de segurança e promover essa mudança cultural.

09:00 Gerald Caron: E acho que voltando à sua pergunta original sobre as diferenças em um ambiente descentralizado — e mesmo que seja centralizado — eu quero ver os bolsos, os bolsos lógicos de grupos de coisas. Talvez eu tenha empreiteiros responsáveis pelo sistema, e posso dizer como eles estão, com base no contrato, porque temos que responsabilizá-los. Então, há uma maneira de fazer isso também, na forma como você agrupa as coisas, criando esse agrupamento, eu acho, e reunindo essa telemetria para tomar essas decisões e então... Sim, naturalmente, cai em... É uma ótima coisa fundamental para... À medida que avançamos em direção ao Zero Trust. Porque você precisará de todas essas informações para tomar essas decisões.

09:35 Raghu Nandakumara: 100% porque a visibilidade completa de ponta a ponta é a base sobre a qual todas as suas decisões de segurança são tomadas. Então, quase sem anunciá-lo como um programa Zero Trust, apenas tê-lo implementado é um ótimo lugar para começar. Você tem ótimas analogias com o Zero Trust — que envolvem manteiga de amendoim, que eu adoro, e o cinema. E eu meio que gosto do cinema, se isso significa que tenho um balde de pipoca na minha frente. Então, vamos ouvir suas duas analogias, sua manteiga de amendoim e cinema, Zero Trust.

10:10 Gerald Caron: Sim, nós historicamente fizemos o... Todo mundo diz “fosso do castelo”, eu gosto de dizer o método “Tootsie Roll Pop” de cibersegurança. Exterior rígido e centro macio e pegajoso. E acho que a outra coisa é que nós também... Não importa se são as joias da coroa ou o sanduíche de mortadela, sempre tentamos fazer essa abordagem de pasta de amendoim, garantindo que a manteiga de amendoim seja espalhada uniformemente. O fato é que, se eu perder meu sanduíche de balogna, há bastante balogna e pão no mundo, provavelmente farei outro. Estou preocupado? Sim, porque é frustrante, eu tenho que fazer um novo. Mas minhas joias da coroa, se estiverem perdidas, é isso. Não há como recuperá-los, tipo de coisa.

10:48 Gerald Caron: Então, pensar que são dados é: “O que é mais importante e no que precisamos nos concentrar?” Então, se meu sanduíche de mortadela for roubado, tudo bem, minhas joias da coroa ainda estão protegidas? Eu evitei o movimento lateral. Isso é o que eu quero fazer. Eu não quero que eles se elevem às joias da coroa. Sim, meu sanduíche de mortadela foi roubado, estou preocupado. Então, a analogia com o cinema é que você vai ao cinema multiplex, mas compra um ingresso online e onde...

11:18 Gerald Caron: O exemplo que eu tenho e o cinema que eu frequentava — eu não vou mais lá, porque encontrei um novo e legal — mas eles escanearam seu ingresso no saguão. Então você entra pela porta da frente, eles escaneiam seu ingresso no saguão, agora eu posso entrar no cinema. Tenho acesso às concessões para pegar minha pipoca, os banheiros, as coisas gerais, se você puder entrar na porta da frente do cinema. Mas também consegui entrar em qualquer cinema. Por quê? Porque ninguém estava verificando minha passagem nas portas. Há 20 cinemas, não há 20 pessoas nas portas.

11:48 Gerald Caron: Então, basicamente, sendo uma boa pessoa ética, eu vou ao meu filme. Mas é claro, você poderia ficar lá o dia todo e ir ao cinema o quanto quisesse. E depois sentar em seu assento, porque não há porteiros verificando e tudo mais. Então, provavelmente, se a câmera quebrasse, você provavelmente teria que sair do cinema e procurar alguém para avisá-los. Historicamente, esse é o caminho, o tipo legado de segurança. Eles têm o perímetro, que é a porta da frente, entre no saguão e você entra. E eu posso me mover lateralmente para onde quiser - e o filme em si é esse dado, certo? Então eu poderia entrar e dizer: “Ei, o IMAX vai passar em cinco minutos, eu não comprei um ingresso para a tarifa. Vou usar a versão IMAX, é muito melhor.”

12:32 Gerald Caron: Então, com o Zero Trust, é aqui que isso se torna diferente. Ainda assim, vou escanear meu ingresso no saguão para ter certeza de que posso entrar no cinema, mas quando apareço no cinema e ainda tenho acesso à pipoca e aos banheiros, estou nesse perímetro, nesse perímetro maior. Agora, também estou escaneando meu ingresso quando apareço na porta do cinema. Agora, se eu estivesse tentando entrar no IMAX e tivesse um ingresso normal e eles o verificassem, volte para a bilheteria e faça o upgrade sozinho — então faça algum tipo de autenticação avançada e depois deixaremos você entrar — mas tudo bem, eu escaneio meu ingresso na porta. Sim, isso é válido. Você está autorizado a entrar, eu tenho um assento. E então você faz com que o porteiro entre e verifique constantemente. “O projetor está funcionando? A tela está desativada? As luzes estão fracas? As pequenas luzes na passarela são para que as pessoas não tropeçam lá? Os sinais de saída estão acesos? Está tudo funcionando?”

13:29 Gerald Caron: Verificando todos esses fatores constantemente, para ter certeza de que os dados que estou tentando consumir, sendo aquele filme, estão no lugar certo. Eu sou quem eu sou, estou onde eu deveria estar, e tudo está funcionando. E alguém está vindo e fazendo aquela verificação constante. E se algum limite for atingido, o projetor cair ou algo assim, boom, automaticamente, a automação ocorrerá e fará o que for necessário. Então esse é o tipo de analogia que eu uso para isso.

13:58 Raghu Nandakumara: Incrível, aí está. É assim que conectamos manteiga de amendoim, filmes, cinema e Zero Trust. Qual foi o... Você é claramente muito apaixonado pelo Zero Trust e vê o valor disso, certo? Então, como você está impulsionando a adoção do Zero Trust no OIG? Qual é o seu foco aí?

14:18 Gerald Caron: Quando entrei pela primeira vez, ninguém sabia sobre o Zero Trust. Existe essa mistificação e, sem ofensa a nenhum fornecedor, existem muitas definições diferentes agora. Acabou de ser um termo usado em demasia em que as pessoas se encolhem quando ouvem isso. Mas na verdadeira essência do Zero Trust, se você aprendeu com a Forrester ou ouviu John Kindervag, que é o pai do Zero Trust e tudo mais. Volte para esses cinco princípios, entenda esses cinco princípios. Então, notei algumas maneiras pelas quais a cibersegurança estava sendo feita e tudo mais, e eu a apresentei e, na verdade, eduquei minha equipe. Então, trouxe alguns vendedores na arte do possível, e foi como levar um cavalo até a água e eles simplesmente beberam. “Ei, isso resolve alguns dos nossos problemas se fizermos algo assim” ou “Caramba, isso vai encobrir algumas coisas. Teremos muito mais visibilidade.”

15:05 Gerald Caron: E então o que também fizemos foi que eu roubei esse gráfico do Departamento de Defesa, e está na estratégia Zero Trust do DoD que eles lançaram publicamente há algumas semanas. Há uma série de recursos funcionais sob os pilares — há os cinco pilares do usuário de dados de rede, mas eles também têm orquestração e análise, que eu também uso há mais de um ano. E eu disse, se eu não gastasse mais um centavo, como estamos fazendo essas coisas? E eles se autoavaliaram.

15:34 Gerald Caron: Eu também o dei a cada um dos fornecedores em que já investimos. Disse: “Se eu não gastar mais um centavo em sua tecnologia, o que você cobriu... Quer eu esteja fazendo isso ou não, o que posso cobrir?” Então eu soube, tudo bem, estamos fazendo essas coisas, temos algo, claro, poderíamos usar uma ajudinha nessa coisa, e... Ah, cara. Temos algumas lacunas. Então, com isso, criei cinco projetos fundamentais. Vimos o que eu odeio. As VPNs foram descritas para mim como uma forma maliciosa e segura de entregar uma carga maliciosa. Eu gostaria de ficar sem VPN de uma forma em que não queira depender da minha rede local. Quão ineficiente é para você se conectar a um dos meus data centers apenas para voltar para onde estamos colocando tudo — a nuvem e a Internet, é para lá que estão indo todos os nossos recursos. É tão ineficiente fazer esse bumerangue, então por que não posso te enviar mais diretamente? Portanto, temos o TIC 3.0, a Conexão Confiável à Internet, que tem mais flexibilidade. Existem soluções disponíveis que oferecem a segurança de telemetria de que você precisa, mas estou enviando meu pessoal de forma mais direta. Além disso, mapeamento de dados, mapeamento de dados, o que estou tentando proteger no final do dia com o Zero Trust?

16:38 Gerald Caron: Estou tentando proteger os dados. Esse é o ouro. Muitas pessoas dirão: “Fale sobre identidade”. E você sabe o que, a identidade é extremamente importante, porque quando falamos sobre Zero Trust, são os dados certos, as pessoas certas na hora certa, mas os dados precisam ter sua integridade. E se você fosse analista de segurança cibernética e eu fosse comprometido, acho que suas duas primeiras perguntas seriam: “A que eu tive acesso? E existe exílio?” Isso não é sobre mim; você está perguntando sobre os dados, na verdade. Mas quem tem acesso a esses dados é muito importante. Mas os dados são o que... Então, vamos fazer mapeamento de dados — e isso não é mapeamento de rede, são dados, pegando um aplicativo, a que ele está conectado, onde ele está compartilhando os dados, o que está compartilhando dados com ele? E então você está aprendendo onde os dados residem, vivem e para onde estão fluindo, porque, no final das contas, eu tenho que ser capaz de definir uma linha de base para saber como é o normal. E então, quando algo anormal acontece, eu tenho que agir.

17:36 Gerald Caron: Então, vamos fazer o mapeamento de dados; também estamos fazendo a integração dessas ferramentas. Como eu já falei sobre isso, para que possamos obter um perfil de risco operacional de todo o ambiente e amadurecer nosso gerenciamento de identidade para garantir que tenhamos uma verdadeira identidade autoritária, mesmo... Porque o que acontece lá é que temos novas soluções em nuvem, temos aplicativos, temos Active Directories. O que acontece é quantas IDs digitais você tem? Mesmo em uma agência pequena, há muitas identificações digitais porque cada uma delas tem uma identidade digital, então precisamos reuni-las para parecerem uma fonte de identidade confiável e, em seguida, colocar um pouco de automação e governança sobre elas, então também queremos amadurecer isso. Esses são nossos cinco projetos fundamentais, que acredito que, para nossas necessidades, são ótimos trampolins para as próximas áreas de maturidade.

18:32 Raghu Nandakumara: Essa, Gerry, é uma descrição incrível de como você construiu esse plano e dos detalhes reais que o envolvem, a estratégia abrangente, o tipo de etapas táticas que você está usando para executar essa estratégia. Acho que a única pergunta que tenho sobre isso é: como você está medindo o progresso? Como você sabe que está no caminho certo ou que precisa corrigir o curso? Como você está incorporando esse ciclo de feedback na execução?

19:00 Gerald Caron: Então, estabelecemos marcos que vamos acompanhar com critérios de sucesso em determinados estágios. E uma das coisas que eu também gostaria de fazer é não gostar, e é por isso que digo que use a abordagem de pasta de amendoim antes, e acho que cumprimos a FISMA e temos o NIST 800-53, os controles de segurança e outras coisas. E eles estão muito focados na conformidade ou é assim que são interpretados. Não necessariamente foi feito para ser assim, mas é assim que eles são interpretados. Gosto de usar o exemplo e ele é simplificado demais, mas um exemplo que eu uso é: “Ok, o controle pode dizer que você deve fornecer autenticação”. Eu posso dizer: “Tudo bem, nome de usuário e senha. Eu forneci autenticação. Estou em conformidade.”

19:42 Raghu Nandakumara: Sim. Sim.

19:43 Gerald Caron: Mas eu sou eficaz?

19:46 Raghu Nandakumara: Sim.

19:47 Gerald Caron: Não, eu não sou.

19:50 Raghu Nandakumara: Estou dizendo que sim porque a pergunta que você está fazendo está certa.

19:52 Gerald Caron: Sim. Não. Sim. Não. Não. Eficácia e conformidade são duas coisas diferentes. Essa tem sido a minha coisa que eu sempre disse.

20:00 Raghu Nandakumara: Eu concordo...

20:00 Gerald Caron: Como você mede a eficácia? Eu gostaria de poder entrar e fazer algum tipo de teste aberto ou teste do tipo equipe azul ou roxa de forma incremental. O que eu coloco em prática é eficaz? Está cumprindo, está cumprindo esses princípios, tipo de coisa. Então, eu quero incorporar isso, tenho que descobrir como fazer isso em termos de recursos. Mas espero que os aspectos do SOC-as-a-Service possam nos ajudar com isso. Mas eu quero ser capaz de medir essa eficácia periodicamente. Portanto, temos esses marcos incorporados para determinados marcos incrementais em nossa jornada. E então eu quero incorporar essa verificação de eficácia para garantir que façamos esse ato de testar. Tudo bem, isso atendeu a esse princípio?

20:39 Gerald Caron: São os dados certos, o usuário certo na hora certa? Você é capaz de se mover lateralmente, tipo de coisa. Então, esperamos incorporar essas coisas de forma incremental também. Não espere pelo fim e diga: “Tudo bem, vamos voltar ao começo” — porque eu não quero fazer uma reengenharia. Então, isso também foi muito importante em nossos pilares. Porque isso é uma arquitetura. Então, algumas pessoas falarão sobre: “Tudo bem, vamos nos concentrar apenas no pilar da identidade e fazer isso”. “Tudo bem, agora vamos passar para o próximo pilar.” Eu fico preocupado quando ouço isso porque isso é uma arquitetura, e eu sempre explico a arquitetura corporativa. Sou um grande fã da arquitetura corporativa. Algumas pessoas zombam disso às vezes. Há quatro áreas principais.

21:19 Gerald Caron: Existe o negócio, que são as finanças, e a missão impulsiona coisas assim. Depois, há a técnica, que é a implementação. Como você vai fazer isso? Mas há a segurança, como você está protegendo. E os dados - eu me concentro nessas quatro coisas. Então, ao fazer isso, quero ter certeza de que, sim, podemos estar trabalhando mais em um pilar do que no outro, mas sabemos quais são essas relações entre o pilar, não vamos voltar atrás e refazer a engenharia porque algo não funcionou porque eu chego tão longe nesse outro pilar, tipo de coisa. Então, conhecer esses relacionamentos de antemão, como eles devem interagir, quais são as capacidades que precisam existir entre eles, também sou muito cauteloso.

22:00 Raghu Nandakumara: Sim. Acho que esse é um ponto muito importante porque vemos muito na mídia de segurança, nas publicações de fornecedores e no marketing de fornecedores sobre como fazer um controle específico é a coisa mais importante a se fazer quando você está adotando o Zero Trust. Certo? Mas você disse corretamente que precisa realmente analisar de forma holística todo o seu conjunto de controle e fazer com que essas coisas se movam juntas em paralelo. Porque o poder é quase a combinação desses controles em oposição a uma coisa em particular. Porque, caso contrário, você está girando demais.

22:37 Gerald Caron: Sim. E quando falo sobre qual é a minha abordagem em relação ao Zero Trust, para simplificá-la demais, em primeiro lugar, o que estou tentando proteger são os dados. Tudo bem, então o que eu faço com os dados? Primeiro, preciso saber, como eu disse, o mapa de dados. Mas então eu quero construir o microssegmento. Eu quero microssegmentar isso, mesmo dentro de seu próprio banco de dados. Nem todos os dados são criados da mesma forma só porque estão em seu próprio banco de dados. Então, o que posso fazer com os dados? E então muitas pessoas dirão: tudo bem, dispositivos, temos que fazer dispositivos. Não, na realidade, o que facilita o acesso aos dados? Candidaturas. Então, o que fazemos com os aplicativos? Agora, os aplicativos precisam do que viver? Eles precisam de um dispositivo para viver. Eles têm que morar em algum lugar. Tudo bem, e eu não vou gerenciar todos os dispositivos. Certo?

23:20 Gerald Caron: Tenho sites públicos que podem precisar de autenticação. Não vou começar a gerenciar todos os dispositivos. Portanto, há níveis de risco diferentes para coisas diferentes nessas categorias. E então, os dispositivos precisam do que falar? Eles precisam de redes. O que eu faço nas redes? Estou gerenciando isso ou não? O que posso fazer que esteja sob meu controle? E depois, é claro, os usuários. Tudo bem, o que eu faço com o gerenciamento de identidades para garantir que os usuários certos tenham acesso aos dados certos no momento certo? Então eu meio que trabalho de dentro para fora dessa forma quando falo sobre isso. Então eu começo com os dados. É isso que estou tentando fazer no final do dia e depois superar tudo isso.

23:57 Raghu Nandakumara: Essa é realmente a maneira certa e a maneira certa, seja uma espécie de John [Kindervag] expressando como você impulsiona a maturidade do Zero Trust, é basicamente assim que ele imaginou uma estratégia de Zero Trust sendo executada. Tanto quanto uma visão holística. Porque, caso contrário, o que vemos é, acho que voltando à direita, é que está manchado pelo marketing de fornecedores dizendo: “Isso é o que você precisa fazer. Você deve começar com esse pilar e obter a perfeição...”

24:23 Gerald Caron: “Porque eu quero que você compre minhas coisas.”

24:25 Raghu Nandakumara: Exatamente. Certo. Exatamente. Então eu quero voltar. Você estava falando sobre um tipo de arquitetura corporativa. E você falou...

24:31 Gerald Caron: Mas eu vou dizer uma coisa antes de você entrar nisso. Eu vou dizer isso. No entanto, não podemos fazer isso sem os fornecedores.

24:37 Raghu Nandakumara: Sim, isso é verdade.

24:38 Gerald Caron: Eles têm as tecnologias, estão construindo as tecnologias. Mas o que estamos tentando fazer por meio do grupo de trabalho, por meio do ATARC, porque temos... Vamos entrar na fase dois. Demos a todos sua plataforma para algo específico. Mas na segunda fase, estamos dizendo que queremos nos unir e ver isso de ponta a ponta em todos os pilares. Você se junta a quem precisar. Se você está perdendo esse pilar ou essas funcionalidades, precisamos ver isso. Precisamos ver isso funcionar até o fim. Não nos mostre slides, não nos envie propostas de vendas, queremos... Agora, aqui estão seus casos de uso, mostre-nos. Então é isso que estamos tentando dirigir por enquanto.

25:12 Raghu Nandakumara: Mas acho que só falando sobre esse tipo de solução, o que é essa solução completa. A Carnegie Mellon celebrou o Dia da Indústria Zero Trust no início de setembro, quando, novamente, muitos acadêmicos integrados ao governo realmente promoveram essa abordagem integrada ao Zero Trust. E foi muito revigorante ver isso, e estou empolgado com os resultados disso. Quero voltar a algo que você disse sobre arquitetura corporativa. E uma das principais facetas disso é o alinhamento com a missão, o alinhamento com os objetivos de negócios. Então, como, em sua função, você alinhou o Zero Trust ou o programa Zero Trust, a estratégia Zero Trust com o tipo de razão de ser abrangente do OIG.

25:53 Gerald Caron: Estou feliz que você tenha feito essa pergunta, porque eu também falo sobre isso. Portanto, não vejo o Zero Trust apenas como um esforço de segurança cibernética ou de TI. Existe o negócio do IG e, às vezes, até lembro aos meus engenheiros que o OIG não foi criado nesta terra para fazer TI. Essa não é a missão principal. É o facilitador. Então, dizendo que, na verdade, fizemos uma apresentação sobre Zero Trust para toda a comunidade de usuários. Agora, meio que fazendo com que eles saibam que as coisas vão mudar. Aqui estão alguns benefícios que vamos oferecer a você. Nós vamos te enviar mais diretamente. Portanto, melhor desempenho, melhor interoperabilidade e login único. Algumas dessas coisas que vamos apresentar deixam os usuários muito mais felizes. Mas também qual é o objetivo. A pergunta que faremos ainda mais é: “Como você quer trabalhar?”

26:43 Gerald Caron: “Você precisa ser mais móvel? Você está perdendo coisas? O que funciona bem e o que não funciona? Por quê?” Porque podemos incorporar esses requisitos porque estamos nos modernizando. Em essência, estamos trazendo novas tecnologias, estamos trazendo novos recursos, estamos nos modernizando. Então, ao incluir seus requisitos, há muito menos atrito quando implementamos, porque ouvimos e vamos fazer isso. “Além disso, o que estou ganhando com isso? O que você precisa acessar? Quando você precisa ter acesso a ele?” Agora estou recebendo a validação do meu inventário de fontes de dados. Estou criando pessoas porque sei como as pessoas querem trabalhar ou como trabalham, quais dispositivos elas mais usam. Eles vêm de casa e das redes que eu gerencio ou estão vindo do escritório? Estou aprendendo sobre um monte de coisas. Agora estamos começando a entender coisas que também podemos alimentar nosso Zero Trust, porque é assim que eles querem trabalhar, essa é a missão que eles precisam cumprir, essas são as fontes de dados nas quais eles confiam.

27:38 Gerald Caron: Quais são essas fontes de dados? Eles têm PII, não têm PII? Eles estão disponíveis ao público? Eles não estão disponíveis ao público? E realmente entendendo que as pessoas em diferentes escritórios mencionam isso às vezes ou perguntam sobre isso. “O que isso vai parecer em um ambiente de Zero Trust”, tipo de coisa. E é bom, porque agora os fizemos pensar: “Sim, vai... As coisas vão mudar, mas eu vou ter acesso às minhas coisas. Vou ter integridade e o que estou acessando é trabalhar em casa.” “Caramba, eu não preciso conectar essa VPN. Eu vou direto para o meu negócio.” Sou eu, como CIO, ainda estou recebendo minha telemetria de segurança. Estamos dizendo a eles quais são os benefícios. E depois aquela comunicação sobre o que eles precisam, quando precisam, como querem trabalhar e incorporar isso, tornando-o mais um esforço de modernização do que esse esforço contínuo de segurança de TI.

28:26 Raghu Nandakumara: Sim, 100%. Esse é o tipo proativo de: “Aqui está como isso vai beneficiar você”. E “como você gostaria de trabalhar?” ou “o que você seria capaz de fazer?” Essas perguntas são realmente ótimas, e permitir isso é incrível. Mas também é que o ROI em investimentos em segurança é um dos grandes intangíveis. E voltando a dizer: “Sim, poderíamos fazer um teste de penetração antes e depois, ou poderíamos fazer um modelo de ameaça antes e depois e podemos dizer que, ok, agora remediamos essa ameaça e assim por diante”. Mas quando eles dizem ok, “Eu entendo, mas o que estou recebendo de volta?” Como você demonstra o ROI?

29:00 Gerald Caron: Na verdade, acabamos de receber essa pergunta do meu chefe outro dia. É como: “Tudo bem, você está pedindo esse dinheiro, você recebe esse dinheiro. Estamos fazendo alguma economia ou algo assim?” Eu odeio dizer economia. É sempre uma forma de evitar custos, porque eu nunca vou pedir um orçamento reduzido como resultado de algo. Vou gastá-lo em outro lugar. Mas eu digo evitar custos. Isso me fez pensar. E foi engraçado porque, na semana ou nas duas semanas anteriores, perguntei a alguém da nossa equipe de segurança: “Ei, qual é o custo de um incidente? Quanto custa um incidente?” Então, sim, estou investindo em segurança, e é um investimento e eu posso estar fechando algumas coisas, mas ainda vou gastá-lo nas coisas novas que estou implementando. Mas o que temos agora, e eu tenho que comparar alguns números em dólares, é que, tudo bem, há eventos pequenos, médios e críticos.

29:50 Gerald Caron: Normalmente, aqui está o que é necessário em horas de trabalho da equipe de operações, da equipe de segurança, para remediar essas coisas. O impacto e a perda de parar de trabalhar e coisas para a missão e coisas assim. Então, estamos montando esse gráfico para nos mostrar se algo acontece — e algo acontecerá em algum nível, seja um usuário não mal-intencionado, o que pode ser um pequeno incidente, ou se você alegar que está me ligando no suporte técnico e eu dou acesso ao meu PC e você começa a fazer qualquer coisa, ransomware ou qualquer coisa. Aqui está o custo de um incidente. Agora, você está investindo... Estou pedindo para investir tanto em comparação com isso, onde você não está fazendo nada. Não estamos apoiando a missão, só porque estamos limpando qualquer bagunça que tenha surgido. Na verdade, estamos montando esse gráfico agora para contar essa história porque passamos por alguns incidentes e uma pessoa com quem estou trabalhando que está em nossa loja de CISO agora também vem do estado.

30:49 Gerald Caron: Então, nós meio que temos uma boa ideia. Os recursos necessários, os efeitos colaterais, a interrupção do trabalho, os dias, as noites, as pessoas, a contratação de terceiros, as especialidades, dependendo da tecnologia comprometida, a experiência adquirida e depois o restante. Esse é o evento, mas o que você está fazendo para evitá-lo depois? Portanto, sempre há uma estratégia de longo prazo para — espero que você não se limite a resolvê-la — espero que você elabore uma estratégia. Agora, há um custo para fazer isso. Vamos nos antecipar a isso. Invista isso agora, porque provavelmente vai te custar mais.

31:24 Raghu Nandakumara: Exatamente.

31:25 Gerald Caron: Se esse evento acontecer, aqui está o valor em dólares em relação a isso.

31:29 Raghu Nandakumara: Exatamente.

31:30 Gerald Caron: E digamos que seja apenas um. Se não fizermos isso, você pode ter vários desse tipo de coisa. Então é isso que estamos nos reunindo agora. É engraçado você perguntar.

31:39 Raghu Nandakumara: Sim. Quero dizer, se ao menos não fosse necessário um incidente para atuar como uma função forçadora.

31:42 Gerald Caron: Sim. E, infelizmente, isso é o que eu vi em alguns lugares. É como se você pudesse avisar... É um garotinho que gritou lobo, tipo de coisa. O globo realmente aparece e adivinha? Ah, sim, devemos fazer algo sobre isso.

31:54 Raghu Nandakumara: Sim. Tão verdadeiro. Eu quero te perguntar sobre o lado de fora do OIG. E vemos que, digamos que o setor de saúde seja particularmente visto atualmente. E muitas vezes, eles, como um profissional de saúde, são forçados a basicamente parar de atender pacientes e, às vezes, a parar de prestar cuidados de emergência, cuidados intensivos, porque o ataque basicamente retirou o acesso a seus sistemas essenciais de TI. O que está acontecendo e, apenas perguntando sobre saúde por causa de para quem você trabalha, o que forçará um maior foco na resiliência dos profissionais de saúde, para que isso não seja uma repetição?

32:39 Gerald Caron: Sim. E isso é apenas uma opinião, acho que ainda existem alguns sistemas legados que suportam algumas dessas entidades das quais você está falando. E eu acho que o que é, tem que ser adotado pela organização. Não pode ser apenas o pessoal de TI. Tem que ser algo que seja compreendido e se foi o pessoal de TI que levantou isso. Eu li muitos artigos em que, em empresas privadas, como algumas delas às quais você está se referindo, há recomendações de que o CIO deveria fazer parte do conselho ou do CISO, ou seja, para que eles... porque quando você gerencia riscos, não é apenas uma questão de TI, mas também uma missão. Quais são os aspectos políticos do risco e das decisões que você está tomando? E isso também informa o risco de TI. Mas acho que é preciso entender bem que, voltando ao ROI, é por isso que esse é um bom investimento. Isso vai ajudar a mitigar esse risco.

33:34 Gerald Caron: Então, conte essa história e torne-a uma prioridade organizacional. E esse é o problema da ordem executiva que saiu no ano passado, “Fortalecendo a cibersegurança de TI do país”. E o Zero Trust foi um grande aspecto disso que resultou no OMB Memo 22-09. Foi adotado nos níveis mais altos. Agora, eles não estão apenas transformando isso em uma questão de TI, eles estão tornando isso uma responsabilidade da agência. Você deve fazer essas coisas. Então, todo mundo embarca. Agora, ele é priorizado no nível mais alto. Isso pode ser um pouco diferente no setor privado, como ele faz isso.

34:11 Gerald Caron: O governo federal, nesse sentido, sendo transparente dessa forma e mostrando que essa é uma prioridade para o governo federal, alguns também estão vendo isso, eu acho, e dizendo: “Sabe, o governo federal está um pouco à nossa frente”. Mas há alguns na área financeira que estão à nossa frente em termos de tecnologia e coisas assim. Mas acho que realmente precisa ser entendido, adotado como algo que não é de TI. Isso é uma coisa cultural para uma organização e precisa ser comunicada.

34:41 Raghu Nandakumara: E, como você diz, você enfatiza novamente o que agora é apenas um tema comum: a segurança precisa ser uma prioridade em nível de diretoria. Não pode ser apenas a alçada da organização de segurança ou da organização de TI. E você falou sobre a ordem executiva, o memorando OMB e as iniciativas Zero Trust das quais você está muito próximo. Você está confiante de que eles promoverão a mudança de cultura, a mudança de postura e a melhoria geral da resiliência cibernética que, pelo menos, eles esperam alcançar?

35:16 Gerald Caron: Sim, eu acho... Sou o tipo de pessoa que dá um passo à frente é melhor do que não dar nenhum passo. Acho que em diferentes agências, escritórios e coisas assim, estamos todos em coisas diferentes. Todos nós fizemos investimentos diferentes em coisas. Estamos todos em diferentes níveis de maturidade. Mas acho que todo mundo entendeu isso. Acho que as pessoas estão começando a entender. Acho que ainda há alguma educação, mas acho que todo mundo, pelo que vejo, está se movendo na direção certa com base em onde estão.

35:44 Gerald Caron: Agora, vamos todos chegar ao mesmo lugar ao mesmo tempo, ou vamos todos ter a mesma aparência no final do dia? Não, mas para mim, tudo se resume a... voltar a esses cinco princípios. Estou abordando esses cinco princípios no final do dia? Não importa como eu fiz isso, posso abordar esses cinco princípios e estou sendo eficaz em minha segurança cibernética? Posso provar isso? Sim. Sim ou não? Agora, como eu disse, todos nós vamos parecer diferentes no final do dia. Desde que entendemos esses cinco princípios, acho que é muito importante. Todo mundo está indo na direção certa. Acho que há algumas dificuldades em algumas áreas e sempre existirão, mas acho que há um bom avanço e, como eu disse, se você está dando um pequeno passo à frente, é melhor do que ficar parado sem fazer nada.

36:26 Raghu Nandakumara: Incrível. Então, falando apenas sobre pequenos passos ou mesmo passos gigantescos, o que mais o entusiasmo sobre o futuro da adoção do Zero Trust e do Zero Trust, seja no Fed ou globalmente?

36:42 Gerald Caron: O que me excita? Bem, o que me assusta é que tivemos uma discussão com um analista outro dia sobre computação quântica. E isso está chegando mais cedo do que pensamos. E não será uma implementação de soluções que a computação quântica possa ajudar a viabilizar, mas também serão agentes mal-intencionados que aproveitam a computação quântica e analisam a segurança de uma forma diferente da conformidade, fazendo as caixas de seleção. Acho muito importante não olhar para isso de forma holística, não ficar mais isolada, olhar para o outro lado, entender o que eu realmente possuo, o que é mais importante para mim e como estou protegendo. É isso que me entusiasma, que é quebrar essas barreiras. É uma abordagem holística. É uma abordagem voltada para a eficácia, como eu disse, e para ser mais eficaz. Porque coisas como computação quântica me assustam pra caramba.

37:41 Gerald Caron: Acho que estávamos conversando, ele estava nos dizendo que em 10 anos, será praticamente popular de alguma forma. E isso é assustador pra caramba. Agora, acho que também saiu uma ordem executiva sobre isso, onde acho que temos que sair do... Temos que agir para nos proteger contra isso. Então, temos que começar com essas coisas que nos tornam mais cibereficazes.

38:05 Raghu Nandakumara: Incrível. Quero dizer, Gerry, acabamos de falar muito hoje e, mais do que tudo, acho que temos uma visão geral muito boa de como você realmente conduziu um programa Zero Trust e, analisando todos esses detalhes e a forma muito organizada com a qual o aborda, acho que é apenas ouro para profissionais que estão prestes a embarcar ou talvez já tenham iniciado sua jornada com o Zero Trust. Então, muito obrigado pelo seu tempo hoje. Obrigado por reservar um tempo de sua agenda lotada para passar esse tempo conversando conosco. E sim, obrigado.

38:41 Gerald Caron: Sim, obrigado.

38:42 Raghu Nandakumara: Agradeço.

38:43 Gerald Caron: Obrigado por me receber, é ótimo conhecer você e eu realmente agradeço o tempo.

38:51 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter no Illumio. E se você gostou da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.