Escalando o Zero Trust

Raghu Nandakumara 0:41

Bem-vindo ao The Segment: A Zero Trust Leadership Podcast. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, uma empresa de segmentação Zero Trust. Neste episódio, estou acompanhado por Thomas Mueller-Lynch, diretor global de identidades digitais da Siemens, onde ele co-lidera o programa de confiança zero da empresa. Hoje, exploraremos os desafios e as vantagens estratégicas da implementação da confiança zero, especialmente no aprimoramento da segurança do produto e na otimização da arquitetura de TI. Thomas compartilhará ideias sobre o papel fundamental do gerenciamento de identidade e a importância da colaboração entre TI, cibersegurança e unidades de negócios para promover iniciativas de confiança zero. Efetivamente, com 27 anos na Siemens, Thomas traz uma vasta experiência em várias funções de TI, incluindo gerenciamento web e de documentos e tecnologias de infraestrutura de TI.

E antes de entrarmos no show, uma palavra rápida da Illumio.

A Illumio, líder em segmentação de confiança zero, acaba de ser nomeada líder em The Forrester Wave™: soluções de microsegmentação, terceiro trimestre de 2024!

Com as pontuações mais altas em ofertas e estratégias atuais, a Illumio está redefinindo a forma como as organizações se protegem, impedindo os invasores antes que eles possam aumentar as ameaças.

Como observa a Forrester, estamos vivendo na era dourada da microssegmentação, e a Illumio está liderando o processo. Saiba por que a plataforma e a visão estratégica da Illumio lideram o setor ao permitir a confiança zero. Clique no link em nossas notas do programa para baixar o relatório hoje mesmo.

Raghu Nandakumara 02:23

Hoje, estou particularmente empolgado porque temos alguém que está na vanguarda de um dos maiores programas de confiança zero do mundo. Então, é um grande prazer dar as boas-vindas ao The Segment, Thomas Mueller-Lynch, da Siemens. Thomas, bem-vindo ao The Segment.

Thomas Müller-Lynch 02:40

Obrigado por me receber aqui. Ótimo. Estou muito animado para falar sobre nosso programa de confiança zero junto com você.

Raghu Nandakumara 02:49

É um grande prazer. Então, Thomas lidera o programa de confiança zero da Siemen, ao lado de Achim Knebel e Peter Stoll, ele também é o diretor global de identidades digitais, gerenciando todos os sistemas de identidade, incluindo o Microsoft Active Directory local, o Enter ID e uma solução de identidade de clientes baseada em Okta. Com 27 anos na Siemens, Thomas ocupou várias funções de TI, incluindo gerenciamento de documentos e web e tecnologia de infraestrutura de TI. Então, Thomas, mais ou menos antes desta gravação, eu estava lendo uma postagem no LinkedIn que você escreveu para comemorar 25 anos de seu tempo na Siemens e, a partir disso, ficou muito claro que você definitivamente não começou em uma função de liderança de confiança zero há 25 anos; na verdade, você nem estava na área de TI. Então, um pouco sobre onde você começou na Siemens e como seguiu seu caminho até o que faz hoje.

Thomas Müller-Lynch 03:46

Sim, obrigado por identificar minha postagem no LinkedIn sobre isso. Bem, na verdade, eu nem comecei diretamente na área de TI. Estudei eletrotécnica em uma Universidade Técnica em Munique. Eu desenvolvi alguns semicondutores logo no início. Antes disso, finalmente pensei que talvez fosse uma boa ideia mudar para a TI, porque eu estava sempre entusiasmada desde o início com TI, com a automação e com as coisas de desenvolvimento desde o início. Onde comecei, na verdade, me tornei um webmaster que agora foi, sim, quase 20-25 anos atrás, ou algo parecido. E a partir daí, comecei a me aprofundar em muitas tecnologias da Microsoft logo no início, porque esse também era o sistema com o qual eu estava trabalhando, o Microsoft Information Server e o SQL Server e coisas assim. A partir daí, foi com o tempo, porque eu estava automatizando muitas coisas. Ficou entediante para mim antes de finalmente me dedicar a mais tópicos de infraestrutura. Eu assumi os tópicos do cliente, assumi o intercâmbio neste momento, o intercâmbio no local. A partir de então, cada vez mais pessoas na área de gerenciamento de documentos assumiram a responsabilidade pelo SharePoint Online, ou pelo SharePoint local no momento, não pelo SharePoint Online Exchange. E então eu finalmente acabei na segurança, na segurança da identidade. Na última década, eu diria que estava focando puramente nisso. E se você administra a identidade, e se você é responsável pela identidade, bem, pelo caminho, ou o caminho da identidade à confiança zero, isso obviamente não é, nem muito longo, nem tão longe. Antes disso, sim, junto com meus dois colegas, acabamos em um programa de confiança zero, onde estamos muito empolgados com isso.

Raghu Nandakumara 05:38

Incrível, e acho que, novamente, voltando a este post do LinkedIn, parafraseando algo que você escreveu, você disse: “Eu basicamente resolvi todos os problemas que recebi, e então fui até minha gerência e disse: 'Ok, bem, qual é o próximo conjunto de problemas que eu posso resolver? '” Você solucionou problemas praticamente ao longo de sua carreira e também trouxe muita automação e inovação para resolver esses problemas.

Thomas Müller-Lynch 06:11

Bem, um pouco sobre nossas pistas para nosso programa de confiança zero. Então, somos três líderes do programa. Eu sou o cara de TI, Stoll é o cara da cibersegurança. Achim é o representante comercial e também está muito, muito próximo de uma função de segurança cibernética na empresa. Mas agora, voltando ao seu solucionador de problemas, pessoa ou declaração, bem, estou sempre tentando me concentrar na solução de problemas com a tecnologia existente. Quando digo isso, não sou uma dessas pessoas que pensam estrategicamente. No entanto, para mim, sempre foi importante. Você tem um problema; você precisa resolvê-lo de alguma forma. E, especificamente, à confiança zero, que é uma arquitetura de alto nível, ou começa com uma arquitetura de alto nível. É que, em comparação com todas as outras grandes iniciativas que consegui executar na Siemens, essa foi talvez uma das maiores mudanças, eu diria, porque, apesar de todas as outras coisas, a maneira de chegar lá talvez fosse complicada e extensa, mas estava meio claro onde está o alvo. Ou você tem o contrário. Mas para a confiança zero, pelo menos para nossa arquitetura ou visão definida, funcionou nos dois sentidos, não estava claro, nem estava claro com qual tecnologia talvez possamos alcançar essa visão. E segundo, se você nem conhece a arquitetura ou a tecnologia, obviamente também não sabe exatamente como chegar lá. A combinação dessas coisas, sim, criou, no caminho, muitas dores de cabeça na estrada, para finalmente encontrar soluções. Mas, sim, é isso que eu gosto de fazer — fazer as coisas.

Raghu Nandakumara 08:00

Adoro como você resume isso, certo? É uma espécie de confiança zero ou a adoção de uma estratégia de confiança zero e, em seguida, executá-la apresentava problemas únicos, no sentido de que você não sabia necessariamente como chegar lá, não sabia necessariamente quais tecnologias aproveitar. Você não sabia quais seriam os resultados. Então, você tinha todas essas incógnitas, e ainda assim mergulhou nelas. Você leu sobre muitos outros colegas, etc., em outros setores e outras empresas que lutam até mesmo para começar um programa de confiança zero exatamente pelo mesmo motivo. Então, como você superou esses obstáculos e seguiu em frente?

Thomas Müller-Lynch 08:47

Quero dizer, tudo começou há cerca de quatro anos, quando algumas pessoas inteligentes estavam indo para o conselho da Siemens; não era só eu. Logo no início do programa de confiança zero, até mesmo outras pessoas finalmente entraram no conselho. Mas junto com Peter, já abrimos o caminho para a confiança zero, conforme implementamos com a Microsoft tecnologias para nossa força de trabalho, o ecossistema Microsoft. Não chamamos isso de confiança zero, mas efetivamente o que fizemos. Implementamos para a força de trabalho e para o uso do Office 365, implementamos a arquitetura de confiança zero. E esse foi o ponto de inflexão, o ponto de partida em que finalmente dissemos: “Ok, precisamos continuar com isso”. Bem, resumindo a história, algumas pessoas inteligentes foram ao conselho, à diretoria da Siemens, e explicaram de forma bastante transparente e clara: “Olha, nós nos protegemos no passado, principalmente na segurança baseada em perímetros”. Então, supondo que, se você estiver na intranet, tudo está bem e sempre quisemos proteger esse perímetro para garantir que agentes mal-intencionados de fora não entrem. Mas, finalmente, esse foi um dos principais argumentos. Essa suposição não é mais verdadeira, então, devido a todas as atividades na nuvem que já acionamos no momento, tivemos a primeira iniciativa da nuvem, tínhamos isso e aquilo. Mais e mais coisas foram para a nuvem do Office 365. Mais e mais coisas foram para a nuvem, o que significa que colocamos muitos, muitos buracos em nosso perímetro, e essa suposição de que podemos controlar esse perímetro da melhor maneira possível simplesmente não era mais verdade. Então, resumindo, convencemos o conselho de que faz sentido considerar a confiança zero porque ela aborda esse tópico de um nível muito alto. E também não contamos a eles nenhuma história como, você sabe, agora vamos fazer um programa de dois anos, e então terminamos, e então temos zero confiança. Dissemos que acreditamos que essa é a maneira correta de abordar o assunto. Fomos lá e obtivemos a aprovação por um ano com um orçamento de um ano. E também dissemos a eles: Olha, vocês podem nos parar a qualquer momento se acreditarem que esse investimento não faz sentido depois de um ano ou mesmo entre eles. E agora fizemos isso pelo quarto ano. Então, ano após ano, dissemos: “Ok, esse é o status atual”. E para ser sincero, logo no primeiro ano, fizemos arquitetura pura e convencemos todos os diferentes níveis da empresa. E, como você pode imaginar, não foram apenas alguns líderes de TI na empresa. Eram líderes de negócios, foi a cibersegurança, foram muitas pessoas. Foi nessa época que todo mundo começou a falar sobre confiança zero, mas era como um chavão. Todo mundo conhecia esse termo, mas ninguém realmente entendeu o que isso realmente significa em termos práticos de implementá-lo. Então, um ano, tentamos pavimentar o caminho com a comunicação, fazendo trabalhos de arquitetura e pensando sobre o que faz sentido e outros enfeites. Defina também o escopo, finalmente, e talvez isso também seja o que diferencia um pouco o que estamos fazendo de outras empresas que definimos por nós mesmos, ou dos nossos alvos, não apenas em TI, então, fazer a típica coisa horizontal de TI, como proteger alguns aplicativos com, sei lá, políticas, etc. Mas também, quero dizer, a Siemens tem, no total, quase 120 fábricas. E dissemos: “Ok, também queremos trazer confiança zero para nossas fábricas em OT”. O que significa ter confiança zero na OT? E fomos ainda mais longe, qual é a meta mais ambiciosa, se você quiser chamá-la, como podemos transformar ou trazer essa ideia de arquitetura de confiança zero em nossos produtos? O que significa ter zero confiança em um produto da Siemens, em um trem da Siemens, em um sistema de automação da Siemens, em um desses controladores? O que isso significa? E, obviamente, os ciclos de vida do produto são uma história completamente diferente. E quando você conversa com pessoas diferentes, você fala com diferentes partes interessadas, cronogramas, você tem argumentos diferentes para convencer as pessoas a pensar sobre eles. Então, se você conversar com um gerente de aplicativos que possui um aplicativo web moderno, foi assim que iniciamos a arquitetura de um ano.

A partir daí, no segundo ano, começamos a preparar nossos sistemas de back-end. E o que quero dizer com sistemas de back-end? Temos alguns dos principais parceiros de tecnologia com os quais começamos. Obviamente, a Microsoft é uma delas. Também somos um grande cliente da Zscaler. Também preparamos nosso ambiente Zscaler. Também fomos às fábricas e analisamos que tipo de tecnologia pode ser aproveitada e usada lá. Então, muitas atividades de back-end que realmente não resultaram diretamente em uma redução de risco ou em algo tangível, o que, aliás, também é um dos, eu não diria, aprendizados, mas foi um período difícil no segundo ano, porque se você gasta uma certa quantia de dinheiro, e não são apenas dois euros e 50, e você faz isso pelo segundo ano, e você não consegue, realmente, para mostrar o progresso em termos de, sei lá, migrei tantos aplicativos. Eu, sei lá, fiz isso e aquilo habilitaram fábricas. Então as pessoas começaram a perguntar se isso ainda faz sentido ou não, sabe? Mas então, no terceiro ano, nós realmente começamos de forma prática. Mostramos progresso na habilitação de aplicativos, na capacitação de fábrica. Tivemos o primeiro progresso no plantio dessa árvore muito pequena na área de desenvolvimento de produtos e, a partir daí, temos um painel ao vivo onde podemos mostrar à gerência sênior, onde estamos no escopo total de todas as diferentes atividades. Sim, foi assim que começamos e onde estamos.

Raghu Nandakumara 15:09

Quero dizer, esse é um resumo incrível, e acho que há cerca de quatro ou cinco coisas diferentes que você abordou, às quais poderíamos dedicar um episódio inteiro do podcast. Então, deixe-me realmente voltar ao ponto em que você começou a falar com a diretoria da Siemens e fazer com que eles basicamente assinassem este programa. Você é capaz de resumir como explicou a eles por que seguir o programa de confiança zero traria tantos benefícios para a empresa? Porque eu suponho que esse foi o cerne da discussão, foi ser capaz de articular os benefícios comerciais de fazer isso.

Thomas Müller-Lynch 15:57

Sim, quero dizer, um dos principais argumentos, e continua sendo o argumento principal, é que você pode revertê-lo quantas vezes quiser. Portanto, se você sempre argumenta contra uma melhoria na segurança cibernética, talvez tenha sucesso com ela, porque a gerência sênior entende que, se não estamos seguros, se nossas fábricas estão sendo violadas, seja o que for, nosso modelo de negócios está em perigo. Sem dúvida, esse foi um dos principais argumentos. No entanto, também houve alguns argumentos mais estratégicos — como convencemos as pessoas de que isso faz sentido. Obviamente, com o tempo, criamos uma complexidade tão extensa em nosso cenário de TI. Um dos argumentos também foi: se agora tratarmos todos, estejam eles trabalhando no local ou remotamente ou em qualquer lugar, com o mesmo conjunto de regras, essa é uma das ideias básicas por trás da confiança zero. Não importa onde você trabalha. Não importa com onde você esteja conectado. Você está na Internet sempre que qualquer comunicação com qualquer alvo é controlada por decisões políticas e pontos de fiscalização. Então, isso obviamente reduz drasticamente a complexidade da arquitetura. E a gerência sênior, obviamente, está sempre interessada em reduzir a complexidade. Prova futura: esse também foi um dos nossos principais argumentos. E finalmente, e essa foi uma das principais razões pelas quais nosso CEO, Roland Bush, acabamos de ter o prazer, um de nós, Peter, teve o prazer de conversar com ele há algumas semanas. Pessoas como Roland Bush e sua diretoria sênior e diretoria da Siemens também estão interessadas no desenvolvimento de produtos ou na capacitação de produtos com confiança zero. Acreditamos, obviamente, que a segurança de nossos produtos é um argumento principal na venda de produtos, certo? Ter produtos com zero trust, seja lá o que isso signifique, é, para nós, um argumento de diferenciação em relação aos nossos concorrentes.

Raghu Nandakumara 18:14

Isso é fantástico. Em primeiro lugar, eu meio que adoro o ângulo do produto, certo? De poder dizer que investimos na construção da melhor segurança possível. Mergulhe em nossos produtos e vemos isso como um diferencial em comparação com nossos concorrentes. Mas também, voltando ao que você disse sobre esse argumento de simplicidade, certo? Quando você para de pensar se alguém, essa carga de trabalho ou esse dispositivo conectado está na minha rede ou fora da minha rede? Em vez disso, diga: “Bem, se eu presumir tudo, trato tudo da mesma forma e tenho um conjunto de regras e, dependendo de seus atributos, posso atribuir a elas o nível de segurança e o acesso apropriados”. Certo? Isso simplifica. Quero dizer, é uma jornada para chegar lá, certo? Mas quando você chega a esse ponto, a partir daí, a tomada de decisões de segurança é muito mais fácil e eficiente. E eu acho que isso, como você, resumindo as coisas dessa forma, meio que engloba o que uma estratégia de confiança zero está tentando alcançar, certo? Não se trata de falta de confiança. Trata-se de fornecer isso, quase fornecer condições equitativas nas quais você pode atribuir o nível apropriado de confiança.

Thomas Müller-Lynch 19:36

Com certeza, sim, quero dizer, na realidade, e não quero, em nenhum caso, diminuir esse argumento agora, mas o que vimos na implementação e, finalmente, quero dizer, sim, o conjunto de regras fica menos complexo. No entanto, tratamos todos da mesma forma, exatamente da mesma maneira. São pessoas externas? São pessoas internas? É se eles estão no local ou fora do local? Quero dizer, há um certo componente, chamado tecnologia, que entra em ação, que nem sempre suporta isso, e isso, pelo menos nesse meio tempo ou em algum lugar a médio prazo. Isso não necessariamente reduz completamente toda a complexidade. Ele traz certos aspectos a serem considerados na peça. Vou te dar um exemplo. Então, um dos principais argumentos que estou abordando agora é o espaço de aplicativos novamente. Uma das principais ideias por trás da confiança zero é ter um ponto de decisão política intermediário. E fazemos isso com base na criticidade. Então, temos um processo de classificação de ativos que a Siemens. Dizemos que temos aplicativos restritos ou dados restritos, que é o nível mais baixo que temos com dados confidenciais, e temos dados estritamente confidenciais. Então, dependendo do nível, fazemos coisas diferentes e temos mais segurança ou um pouco menos de segurança. A propósito, nada disso é sem segurança. Temos níveis diferentes. Mas agora, se ele e um desses sinais, que incorporamos às decisões, são sempre. Obviamente, você quer ter uma boa autenticação. Você quer saber quem é. Você quer ter uma autenticação forte, MFA, autenticação multifatorial e coisas como essas entrem em jogo. Mas você também, o que você quer incluir é algo, o que chamamos de confiança do dispositivo ou conformidade do dispositivo, você escolhe. E isso funciona muito bem se você trabalha com pessoas internas, porque com pessoas internas, você pode fazer de tudo para garantir a confiança do dispositivo. Aliás, coisas muito novas entram em jogo, o que é novo para a força de trabalho de 320.000 funcionários da Siemens, o que traz segurança em tempo real. Se você voltar de férias, férias mais longas. Na Alemanha, pelo menos, ou na Europa, temos férias um pouco mais longas, normalmente do que você nos EUA, por exemplo. Mas se você voltar de férias mais longas, seu cliente pode não estar atualizado, o que finalmente acabará por não ter acesso direto aos aplicativos mais críticos. Isso traz segurança em tempo real. Então, novamente, isso funciona muito facilmente para pessoas internas, porque é exatamente isso que queremos. Queremos ter sistemas corrigidos. Queremos que tudo seja aplicado desse lado. No entanto, se você agora combinar os aplicativos essenciais com o acesso externo, como incluiria informações externas sobre confiança e conformidade de dispositivos? E, normalmente, a tecnologia funciona como se você precisasse ter um agente, algo que alguém precisasse avaliar a conformidade e enviá-lo para algum lugar. Você concorda que a Siemens lhe diga: “Por favor, instale um agente da Siemens em seu PC porque queremos trabalhar em um modelo colaborativo para trocar alguns dados? E eu gostaria de entender, em termos de tecnologia, qual é a conformidade do seu PC?” Você provavelmente diria, ou sua empresa diria: “Nunca, nunca serei um agente fazendo algo em meus sistemas”. Acho que essa é uma das coisas ou coisas centrais que os fornecedores precisam responder mais cedo ou mais tarde. Estamos em contato com a Microsoft. Estamos em contato com muitas outras empresas sobre esse assunto, mas esse é, se você me perguntar, um dos problemas não resolvidos até agora para funcionar perfeitamente e com menos complexidade em todos os diferentes casos de uso desse tópico.

Raghu Nandakumara 24:45

Sim, com certeza. Acho que, obviamente, aquele ponto em que o dispositivo, em particular, não é mais gerenciado pela sua empresa. Certo. Então, efetivamente, esse nível de flexibilidade que você tem, todas as várias alavancas essenciais que você precisa usar do ponto de vista de um atributo e de uma perspectiva de postura, sai pela janela, certo? Então, você quase precisa fazer suposições em que coloca uma barra muito alta, certo, ou coloca algum outro tipo de barra inferior que quase diz: “Ok, bem, eu meio que aceito o risco disso”, certo? Mas é uma decisão muito binária versus uma decisão muito mais contínua que você adoraria tomar.

Thomas Müller-Lynch 24:35

E, infelizmente, esses aplicativos de que estamos falando não são exclusivamente externos ou exclusivamente internos, porque então também seria fácil. Freqüentemente, ou quase todo mundo ou em qualquer lugar, você tem essa combinação de pessoas internas com pessoas externas. Então, agora, ou você diminui a segurança para todos, tanto interna quanto externa, ou finalmente decide ter a maior segurança, mas o que você vai fazer com as externas? Você pode então fornecer, obviamente, infraestrutura interna para os externos, mas isso também tem, novamente, algum impacto nos custos e qualquer impacto.

Raghu Nandakumara 25:16

Sim, com certeza, certo? E então você se afasta desse movimento em direção a muito mais flexibilidade e produtividade que estamos adotando, e quase volta para o que tínhamos há muitos anos, que era, bem, gerenciaremos toda a infraestrutura. Mas acho que você também estava abordando outro ponto interessante sobre confiança zero, que provavelmente não foi discutido com frequência, acho que é, na verdade, confiança zero no contexto da segurança de terceiros e da cadeia de suprimentos, certo? Como algumas das coisas sobre as quais você está falando aqui, bem, não são apenas nossos usuários internos — temos prestadores de serviços de servidor terceirizados que são essencialmente essenciais para a forma como operamos. E temos que encontrar uma maneira de proteger todos eles, e acho que esse tipo de gerenciamento de risco terceirizado e confiança zero, aplicação de confiança zero, é uma área interessante a ser explorada. Então, voltando para outra coisa que você disse quando estávamos falando sobre todo o tipo de como o programa se originou, como foi desenvolvido e como continuou a amadurecer. A outra coisa que você mencionou foi como a Siemens tem uma visão tão ampla sobre o que seu programa de confiança zero aborda e engloba. Desde sua infraestrutura principal de TI até os aplicativos de negócios. E o exemplo que você deu é que ele se estende até seus produtos, que são alguns, que são produtos de hardware, como trens. Então, e uma das coisas, eu acho, em uma das apresentações, acho que foi em uma conferência da KuppingerCole [Liderança em Cibersegurança], há alguns anos, quando você disse que é basicamente essa coisa sobre “pense grande, mas depois aja pequeno e melhore”. Então, você está pensando em grande escala. Mas como você é capaz de, então, pensar sobre as etapas táticas que você vai dar para chegar um passo mais perto desse sonho?

Thomas Müller-Lynch 27:20

Quero dizer, se você quiser atingir metas estratégicas ou visionárias, você precisa, antes de tudo, tê-las. Certo? A humanidade não estaria na lua em 1960 ou algo assim, alguém não teria pensado em, bem, vamos à lua. Mesmo nessa época, ninguém estava pensando que isso seria possível. Então, graças a Deus, não quero comparar Seimens e zero trust com ir à lua neste momento. Então, não me entenda mal, mas você precisa ter pessoas estratégicas pensando: Ok, o que poderíamos fazer mais? Então pense grande. Por outro lado, você facilmente perde tração e foco se não definir essas etapas intermediárias entre elas. E eu, a propósito, como eu disse antes, eu sempre fui um dos caras e disse: “Ok, precisamos cortar esse elefante.” Caso contrário, continuaremos com a arquitetura, seja qual for o pensamento, por três, quatro anos. E, finalmente, alguém da gerência executiva dirá: “Ok, agora você gastou tantos milhões, sem nenhum resultado tangível”. Então, o dinheiro está fechado, pronto, e então precisamos fechá-lo. E não é isso que queremos. Então você precisa mostrar progresso. E o progresso não significa necessariamente que temos um novo documento arquitetônico. Então, veja, essa é a nossa conquista. Então isso funciona por um ano, talvez na Siemens, mas não funciona mais no segundo ano, definitivamente. E, a propósito, não criamos apenas um único documento, mas também queremos fazer isso da maneira certa.

É por isso que você precisa encontrar seus parceiros, seus parceiros de tecnologia e também parceiros de implementação. Então, essa é uma grande iniciativa. Pense apenas para dar alguns números que temos, entretanto, sobre 8.000 aplicativos registrados, que estamos almejando. Temos 100, quase 120-130 fábricas, onde você também precisa ir lá, convencer as pessoas e dizer-lhes exatamente o que fazer. Se você for a uma fábrica e perguntar a eles: “Ei, somos do zero trust. Vamos fazer um trabalho arquitetônico de confiança zero em sua fábrica”, eles dirão: “Espere um minuto. O que significa material arquitetônico de confiança zero?” Quero dizer, sim, com certeza, sou responsável pela minha fábrica. Eu quero manter isso seguro. No entanto, essas pessoas são incentivadas principalmente pela produção de produtos com a melhor opção de custo, o que podem obter. Então, eles estão super focados na resiliência, obviamente. Eles não gostam de distúrbios. Eles não gostam de fechar algo por causa da implementação ou mesmo de experimentar algo. E é exatamente isso que você precisa ter certeza e clareza do que se espera da empresa, dos proprietários dos aplicativos. E então você precisa cortar esse elefante em pedaços tangíveis. Logo também começamos a criar painéis. Agora, algumas pessoas diriam: “Qual é a vantagem de um painel? Quero dizer, o painel em si não cria nenhuma melhoria de segurança.” Mas para nós, foi uma forma muito importante de mostrar progresso e também de deixar essa jornada continuar. Se você não é capaz, como programa, de mostrar esse progresso por meio de painéis, de coisas tangíveis, onde alguém possa contar, de onde alguém possa ver, você perde a confiança com o tempo, com aqueles que fornecem o dinheiro. E isso foi, sim, passo a passo, definindo modelos para todos os tipos individuais de aplicativos. Você não tem apenas aplicativos web modernos. Você tem aplicativos locais que falam sobre alguns protocolos estranhos que não são SAML, OLTC??? Algo completamente diferente. O que você faz lá? Entramos em fábricas, analisamos a configuração de rede lá. Mesmo que pareça contraditório, também trabalhamos muito na segmentação de rede, novamente, nas fábricas, porque queremos segmentá-las um pouco mais longe do resto da grande intranet. Coisas desse tipo. Também estão implementadas coisas como acesso remoto, como prestar serviços de fora ou de dentro de uma fábrica. A mesma arquitetura, novamente, se aplica a ter alguém trabalhando remotamente em casa, como eu. Acessando um aplicativo local. Portanto, do ponto de vista arquitetônico, não há grande diferença se eu acesso, como funcionário de escritório normal, um aplicativo que está no local ou se algum agente de serviço com acesso externo ou interno é alguma máquina na fábrica. Em essência, é a mesma coisa. Tem uma criticidade diferente, talvez em um foco diferente aqui e ali, mas, em essência, novamente, simplificar a arquitetura, é a mesma coisa.

Raghu Nandakumara 32:28

Sim, com certeza, eu acho que, mais ou menos topologicamente, o acesso é a mesma coisa; apenas os atributos associados a esse acesso são diferentes, nesse caso, certo? Porque a política de segurança que você aplica a ela é baseada nesses atributos que determinam o tipo de acesso, talvez o nível de acesso que esse indivíduo obtém, o que ele é capaz ou o que é capaz de fazer. E eu gosto muito da maneira como você pensa sobre painéis. Os painéis permitem que você avalie o progresso, certo? Mas não apenas permita que você meça o progresso e relate o progresso para aqueles que não estão necessariamente envolvidos no dia a dia do programa, mas que claramente têm interesse em seu progresso. E é mais ou menos o valor de criar o ROI, certo? E é isso que os painéis permitem que você se comunique de forma muito clara para depois obter, eu acho, a próxima rodada da próxima rodada de financiamento. Sim. Absolutamente, absolutamente.

Raghu Nandakumara 00:00

Então, vamos falar um pouco sobre... você é um especialista em identidade, certo? Então, vamos falar um pouco sobre identidade no contexto de confiança zero. E, a propósito, eu amo sua camisa que você está vestindo com seu logotipo do tipo Zero Trust, muito, muito apropriada para a conversa e também para o que você faz. Vamos começar com: o que significa identidade no contexto de confiança zero?

Thomas Müller-Lynch 33:53

Quero dizer, identidade é, na verdade, se você analisar essa arquitetura de confiança zero, esse é até mesmo o tópico central. Toda comunicação entre o remetente e o destinatário é baseada em identidade. Então, obviamente, você quer saber quem é o remetente, qual é a identidade desse remetente e também quer saber quem é o destinatário em quais condições essa comunicação deve acontecer e em quais não. Então, obviamente, você precisa ter uma identidade no remetente e uma identidade no destinatário. Isso é, novamente, voltar aos casos de uso horizontal típicos de TI, o que não é necessariamente algo completamente novo. Alguns aspectos novos entram em jogo, mas quero dizer, você tem uma conta, eu tenho uma conta. Estou fazendo login na minha máquina para que o sistema saiba quem eu sou. A MFA também não é algo completamente novo. Pelo menos para nós da Siemens, começamos a implementar a MFA em todos os lugares há alguns anos. Então todo mundo sabe disso. Sempre que você entra no espaço OT e sempre que entra em outras áreas que estão além desse usuário final normal, mesmo que você entre na área de comunicação máquina a máquina, isso começa a se tornar complicado, digamos, ou diferente, porque também lá, não está necessariamente claro qual é a identidade dessa conta funcional acessando algum outro sistema de back-end lá. Então, sim, você também tem contas. Mas tudo o que fazemos com confiança zero é baseado em identidade. É por isso que a identidade chega até mesmo a se cruzar e entrar no centro da arquitetura de confiança zero. O que é incrível, obviamente, para a identidade, para a identidade de pessoas como eu, porque eu posso contar uma história sobre isso/ A propósito, o que me vem à mente, agora sou responsável pela identidade por cerca de 10 anos, um pouco mais de 10 anos, aliás. Uma vez, comecei naquela época com identidade. A identidade era um tópico puro de back-end. Ninguém falou sobre identidade. Ninguém sequer estava interessado em coisas de identidade. Sim, então se você é muito responsável pelo AD local como um dos grandes sistemas de identidade, obviamente, todo mundo ficou feliz com ele depois de executado e sem problemas, certo? Depois de ter problemas, talvez você tenha alguma visibilidade. Mas depois de resolver isso, você voltou para o nada e ninguém sabia sobre você. Agora, até o nível do conselho, curiosamente, temos membros do conselho bastante técnicos, como Roland Bush, que tem doutorado em física. Eles começam a falar sobre identidade. Isso não é loucura? É incrível. Eles discutem com você tópicos de identidade; autenticação, autorização. Portanto, a identidade vem de uma questão puramente técnica de back-end, em que algumas pessoas estavam falando sobre chegar a um nível em que a gerência sênior fale com você ou comece com você sobre identidade, não sobre como proteger a identidade e por que a identidade é importante. Então, foi até surpreendente, também para mim, estando com identidade há 12 a 13 anos, que agora você tenha discussões com seu CIO, ou ainda mais, sobre identidade.

Raghu Nandakumara 37:30

Isso é incrível. Quer dizer, nem consigo imaginar essa conversa, porque a maioria das organizações está realmente lutando com: “Ok, como faço para transformar os benefícios da minha segurança, os benefícios óbvios do meu programa de segurança, em como ele beneficia a empresa?” E aqui você está falando sobre conversas sobre identidade no nível do CIO e do CEO, que é um nível diferente de apreciação, eu acho, da tecnologia em sua organização. Então, quando você pensa sobre identidade em todas as suas inúmeras formas, como você a cria e diz que ela está no centro de qualquer arquitetura de confiança zero. Então, como você concorda essencialmente que, ok, bem, essa será a fonte dourada da identidade, seja uma máquina, seja um usuário ou qualquer outro tipo de recurso? Como você concordou com isso?

Thomas Müller-Lynch 38:35

Quero dizer, na Siemens, temos uma longa história em, digamos, sistemas de back-end de identidade. Você tem os sistemas técnicos como os que eu já mencionei, como AD [Active Directory] e Entra ID, ou anteriormente conhecidos como Azure ID, e coisas assim. Mas também temos, quero dizer, se se trata de usuários naturais como você e eu, temos nossos sistemas de RH. Normalmente, as identidades nascem lá ou para o nosso exterior para as nossas pessoas externas. Também temos sistemas nos quais você registra esses externos, onde eles obtêm o chamado identificador global GID e, a partir daí, contas técnicas e identidades técnicas são criadas. Então, essa é a parte da identidade do usuário e também toda a parte da identidade funcional. Mas sempre que você entra na área de dispositivos, ela já está ficando um pouco diversa ou complicada. Quero dizer, novamente, você tem identidade, sistemas de identidade de dispositivos ou metadados, diretórios de metadados, que temos na Siemens, onde todos os dispositivos são registrados em algum lugar e onde dizemos: “Ok, essa é a única fonte de verdade sobre as identidades de nossos dispositivos”. A propósito, isso também criou algumas mudanças em relação ao passado. No passado, eu não diria, digamos, apenas exclusivamente, mas esses bancos de dados de registro de identidade de dispositivos eram vistos por pessoas normais ou usuários finais da empresa mais como um fardo, como algo que, além disso, eu preciso me registrar em algum lugar, mas não vejo nenhum benefício nisso, porque alguém da Central quer que isso seja registrado até o fim. Além disso, não houve nenhuma consequência, nenhuma consequência técnica real, independentemente de você ter sido registrado lá ou não. Era mais um banco de dados para talvez alguém fazendo algumas análises ou algumas coisas de dados. Agora, com zero confiança, vinculamos novamente esses diferentes bancos de dados, também o banco de dados de dispositivos, às consequências, às decisões técnicas e tecnológicas. Se você não estiver registrado lá mais cedo ou mais tarde, não terá acesso a nada nem a nenhum dado. E isso coloca agora, curiosamente, muita governança também nesses sistemas e nos proprietários desses sistemas ou também na empresa que registra suas coisas lá. O mesmo acontece com os aplicativos, se você não estiver registrado em um desses bancos de dados de aplicativos, mais cedo ou mais tarde terá problemas para colocar seu aplicativo em funcionamento. Então, também do ponto de vista da governança, o escritório do CIO, o escritório do CISO e a arquitetura de confiança zero são coisas muito interessantes de se entender sobre TI e ativos.

Raghu Nandakumara 41:30

Sim, com certeza, e definitivamente vemos isso também em nossos clientes. Esse é o tipo de entrar em um programa de confiança zero... bem, por causa dessa dependência de ter uma única fonte de verdade sobre como eles entendem seus ativos e seus usuários em toda a empresa. Isso força uma maior disciplina nos sistemas de registro que mais do que antes poderiam ter existido, certo? Porque muitas tomadas de decisão são baseadas na integridade desses dados. Portanto, é essencial que todos se empenhem em manter esse tipo de atualização e perene. E, na verdade, isso me leva a outra pergunta. No início, você falou sobre como essencialmente você, Achim e Peter desempenharam suas três funções consigo mesmo, muito focadas no lado da TI, Peter no lado da segurança cibernética e depois Ahim no lado comercial, certo? E acho isso muito interessante porque quando ouvimos especialistas em confiança zero falarem sobre as necessidades de um programa bem-sucedido de confiança zero, é muito importante reunir essas três disciplinas, certo? Porque é basicamente um esporte coletivo, em vez de a TI fazer suas próprias coisas, a segurança, fazer suas próprias coisas e a empresa fazer suas próprias coisas, certo?

Thomas Müller-Lynch 42:55

Aprendemos isso em outros programas. Então, confiança zero talvez seja um bom exemplo disso. Você não pode executar um programa de confiança zero exclusivamente a partir da TI. Você também não pode executá-lo, não exclusivamente por causa da cibersegurança. Além disso, se a empresa, ou pelo menos nossa organização, que é muito grande e tem muitas unidades de negócios diferentes, se cada uma dessas unidades de negócios começar com algo próprio, também não funcionará. Só funcionará como um trabalho em equipe. Portanto, a TI normalmente traz os serviços e o modelo operacional do serviço. A segurança cibernética traz as regras e, em parte, também o tipo de arquitetura e a TI, aliás. E a empresa obviamente possui todos esses ativos. Então, se você não os tiver na mesma mesa, na mesma mesa, não funcionará de jeito nenhum, porque então você tem exatamente essas coisas em que algumas pessoas centrais da torre de marfim querem revelar algo, e isso afeta, especialmente se você pensar em produtos, quero dizer, como você influenciaria produtos de TI ou de cibersegurança, se não estivesse na mesma mesa, os próprios negócios?

Raghu Nandakumara 44:06

Absolutamente Então, acho que, à medida que chegamos ao final dessa conversa, quero voltar para algo que você disse novamente mais cedo, certo? É sobre como você está vendo a adoção da influência da confiança zero, o que você faz com sua ampla gama de produtos, desde software até hardware, e sobre como você vê isso como uma vantagem competitiva, certo? Você pode descompactar isso um pouco mais? Porque eu acho fascinante a confiança zero, fornecendo a uma organização do tamanho da Siemens uma vantagem competitiva e uma razão para seus clientes e parceiros fazerem negócios com você.

Thomas Müller-Lynch 44:48

Bem, começamos a conversar com nossas unidades de negócios sobre arquitetura de confiança zero. E antes de tudo, precisávamos explicar, quero dizer, não se trata apenas de você não poder ir até eles e dizer: “Ok, vamos tornar seus produtos mais seguros” ou algo parecido. Primeiro, você precisa explicar o que é essa arquitetura de confiança zero? O que é tudo isso? E, a propósito, alguns regulamentos e alguns padrões também nos ajudam no caminho. Você tem a lei de resiliência cibernética, você tem a regra da ESC sobre isso, a regulamentação sobre isso e com isso. Onde também nossos vendedores, finalmente, são confrontados com, quero dizer, que começou agora, a atividade de pensar junto conosco, ok, o que isso significa para nossos produtos? Como podemos garantir que essas leis de cibersegurança e resiliência cibernética entrem em nossos produtos? E então você começa a falar sobre comunicação. Então você começa com a identidade, sobre dar uma identidade a um produto, como incorporá-la ou gravar essa identidade nos produtos, se pensar em nossos controladores e produtos como esses. A propósito, é um progresso lento, então não é exatamente que não tem a mesma velocidade, digamos, que gostaríamos de ver, e como a temos em algumas das outras áreas, porque é novo e também tem diferentes, digamos, reviravoltas no ciclo de vida, certo? Portanto, você não mudará facilmente os produtos existentes imediatamente por algo novo, o que é chamado de ativação de confiança zero, mas depois de falar sobre novos produtos ou novas versões de um produto, você pode pensar: é isso que estamos fazendo como parte de uma consultoria, digamos, e também de um treinamento. O que isso significa? Como superar essas regulamentações, ou não superar, como abordar as regulamentações na arquitetura do produto? E nós já tivemos alguns, alguns bons exemplos, alguns poucos, falando honestamente, mas alguns bons exemplos em que as pessoas entenderam que isso faz sentido para nós. Esse é um diferencial para nós, em comparação com os concorrentes, onde podemos ir ao mercado e dizer: “Olha, essa é a melhor segurança da categoria”.

Raghu Nandakumara 47:07

E você sabe que quando seus vendedores ficam entusiasmados com isso e querem usá-lo como uma forma de gerar mais vendas, você definitivamente deve estar fazendo algo certo. Bem, quero dizer, Thomas, eu sinto que tivemos uma conversa fantástica, e eu sinto que estamos começando muito. Sinceramente, como disse anteriormente, há muitas coisas que você compartilhou, e poderíamos ter entrado em detalhes sobre qualquer um desses aspectos, mas estou consciente de seu tempo e o respeito. Então, muito obrigado. Foi muito esclarecedor ouvir alguém que fez isso, entregou e continua oferecendo um programa de confiança zero em grande escala que está engajando a empresa e transformando a empresa por meio da transformação da segurança. Thomas, obrigado.

Thomas Müller-Lynch 47:51

Muito obrigado Agradeço o convite. Obrigada

Raghu Nandakumara 47:56

Felicidades.

‍