Fortalecendo nossa defesa coletiva

0:00:03.8 Raghu Nandakumara: Bem-vindo ao The Segment: A Zero Trust Leadership Podcast. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, tenho a companhia de Ann Johnson, vice-presidente corporativa de desenvolvimento de negócios de segurança da Microsoft. Veterana de 22 anos do setor de segurança cibernética que trabalhou na RSA Security, na Qualys e na Microsoft, Ann é uma reconhecida palestrante global, autora e defensora sincera da diversidade e do pertencimento na área de tecnologia e em todo o mundo. Além disso, Ann assessora e atua no Conselho de Administração de muitas organizações, incluindo a Seattle Humane Society, a Human Security e o Executive Women's Forum. Hoje, Ann se junta a nós para discutir IA, conversas diárias sobre Zero Trust, melhores práticas de resiliência cibernética e muito mais. Estamos muito honrados em ter você em nosso podcast, no The Segment. Como forma de introdução, você pode nos contar um pouco sobre sua experiência em cibernética e o que sua função atual na Microsoft envolve?

0:01:12.3 Ann Johnson: Sim. Obrigado Raghu. É maravilhoso ser um convidado. Eu lidero, hoje na Microsoft, nossas parcerias estratégicas e fusões e aquisições para cibersegurança. Portanto, é um trabalho maravilhoso. Acho que tenho um dos melhores empregos em segurança cibernética porque consigo ver tudo no setor, as coisas mais novas, as coisas que estão surgindo, e depois penso em como nos associamos a todos para realmente construir um ecossistema de segurança, porque acreditamos fundamentalmente que a segurança é um esporte coletivo. Estou na área cibernética há 23 anos desde que comecei com essa pequena empresa chamada RSA Security. Eu sou... todas as pessoas cibernéticas têm domínios de especialização. Na verdade, sou uma pessoa fraudulenta e identitária, então esse é o lugar de onde eu vim para a segurança cibernética por muito tempo. E estou na Microsoft há cerca de sete anos e fiz alguns trabalhos diferentes aqui, mas foi uma jornada extraordinariamente divertida e realmente superou nossas expectativas com nossa capacidade de oferecer aos clientes soluções que simplificarão sua segurança e, em última análise, os ajudarão a ficar mais seguros.

0:02:11.1 Raghu Nandakumara: Isso é incrível. Então você teve uma carreira tão histórica no mundo cibernético. O que continua mantendo você interessado e motivado para permanecer nesse domínio?

0:02:21.5 Ann Johnson: Isso muda todos os dias. Sou uma daquelas pessoas que seu cérebro nunca desliga e você está procurando coisas construtivas nas quais se concentrar, e o que eu acho é que as dimensões cibernéticas são dinâmicas e os atores que são os malfeitores mudam, os fios mudam e a paisagem muda. E à medida que as empresas estão se modernizando, isso fez uma grande mudança cibernética. Agora temos essa coisa chamada inteligência artificial, os modelos de linguagem natural e o ChatGPT que estão se tornando reais. Por isso, é tão dinâmico, divertido e está em constante evolução. Isso me mantém continuamente interessado.

0:02:53.5 Raghu Nandakumara: Você meio que mencionou a IA e esses modelos de linguagem natural e o ChatGPT. Então, na sua opinião, a ameaça potencial que eles representam e como podem ser aproveitados por agentes maliciosos é muito real ou, no momento, é apenas mais exagero do que realidade? Qual é a sua opinião sobre isso?

0:03:13.3 Ann Johnson: Sim. Então, eu não sei se é real hoje. Acho que, à medida que continuamos pensando em inteligência artificial e modelos de linguagem natural, eles obviamente serão abusados por malfeitores, e acho que de duas maneiras. A primeira maneira é aproveitar a tecnologia para lançar alguns de seus ataques. Eles descobrirão como aproveitar a tecnologia para facilitar ou acelerar o lançamento de ataques. A segunda coisa, porém, é que precisamos proteger os próprios modelos. Precisamos proteger os dados. Precisamos nos proteger contra o envenenamento de dados. Precisamos nos proteger contra o envenenamento por modelos. Porque se você pensar em IA, como a cibernética, os dados do mundo ficarão lá de uma forma ou de outra no futuro, e esse é um ótimo ambiente rico em alvos para qualquer pessoa mal-intencionada.

0:03:56.0 Raghu Nandakumara: Com certeza, e acho que esse sempre foi o desafio inicial do aprendizado de máquina e agora, como a IA, essa forma de inteligência está realmente sendo expressa, é, em última análise, baseada em quaisquer dados que você insere e compromete isso de alguma forma ou prejudica o que é produzido. Mas se analisarmos isso de uma perspectiva positiva, você mencionou como os agentes mal-intencionados podem aproveitar os modelos de IA. Mas você vê isso também como um potencial para essencialmente as equipes azuis, defensivas como nós, superarem os malfeitores, aproveitando esses modelos? Você também vê potencial para isso?

0:04:36.1 Ann Johnson: Sim, acho que há um potencial absolutamente enorme para nossas equipes azuis, vermelhas, mas também para aprendermos internamente com o que achamos que os atores farão. Sempre acreditei que nosso trabalho nesse setor é ficar um passo à frente deles e é por isso que sou otimista constantemente e acho que nossas equipes azuis e vermelhas podem aprender muito com esses modelos de linguagem natural. O que ele faz é torná-lo mais igualitário. Então, se você não é um programador, digamos que você não é alguém que escreveu muito código, agora você tem a capacidade de realmente enviar uma solicitação para um sistema e fazer com que ele execute algo para você, o que significa que isso abre o mundo para que, esteja você fazendo investigações ou fazendo uma equipe vermelha ou azul, de repente você abre o mundo para um público muito mais amplo.

0:05:19.6 Raghu Nandakumara: Acho que a maneira como você descreve isso é maravilhosa, igualitária, porque a cibersegurança muitas vezes pode parecer algo que pertence a alguns poucos e aquele exemplo clássico de, digamos, como um Mr. Robot com um capuz curvado sobre um teclado. Mas acho que, quando pensamos em segurança hoje e ouvimos falar de termos como democratização da segurança, é muito importante que toda a organização participe da viagem. Isso é algo com o qual você concorda muito?

0:05:52.3 Ann Johnson: Estou totalmente de acordo com isso. E tem duas dimensões para mim. Uma delas, eu já disse no passado que: “Sabemos que a segurança cibernética amadureceu como setor quando não há mais um grupo de segurança cibernética”. Agora, essa é uma afirmação extrema e, obviamente, eu a faço como uma forma de apenas cutucar um pouco. A segurança cibernética é o trabalho de todos e, quanto mais pudermos tornar as ferramentas mais fáceis de usar e realmente torná-las um trabalho de todos, mais seguros seremos. A segunda coisa é que temos essa linha de pobreza cibernética em todo o mundo. Haverá países que não terão a capacidade de se proteger dos ataques dos estados-nação. E como a guerra cibernética continua sendo um dos elementos de uma guerra cinética, é realmente um elemento de guerra, como vimos recentemente, teremos que encontrar uma maneira de dar a esses países as habilidades necessárias para que possam se defender. Essas pessoas que simplesmente não têm habilidades cibernéticas ou não têm dinheiro para ter habilidades cibernéticas. E chamamos isso de linha da pobreza cibernética. Então eu acho que são essas duas dimensões. Eu realmente acho que a IA, por mais que ajude nosso SOC e nossos defensores e [facilite] o trabalho dessas pessoas, sua democratização será, na verdade, uma mudança real para o setor.

0:07:00.1 Raghu Nandakumara: Ann, eu acho isso fascinante. E acho que parte disso também é justa, o que eu vejo, é o nivelamento de países individuais e, obviamente, de grupos de países. Por exemplo, aqui na UE, onde os países agem mais como um coletivo para elevar o nível da postura geral de segurança cibernética impulsionada pela legislação em nível nacional, o que só pode ser positivo. Vinculado a tudo o que você descreve com essa maior democratização. É assim que você vê?

0:07:30.0 Ann Johnson: É assim que eu vejo e acho que a democratização também tem que existir e que tem que haver padrões globais e tem que haver regulamentação global. Mas também tem que haver cooperação global, certo? Cooperação, setor privado, setor público-privado, setor público a público. Estamos vendo um aumento na colaboração e na cooperação, mas não estamos onde precisamos estar e a única maneira de realmente derrotar o inimigo ruim é com a defesa coletiva. E precisamos melhorar muito a defesa coletiva, e a IA deve ser apenas uma ferramenta no arsenal.

0:08:00.0 Raghu Nandakumara: Eu gosto disso. Gosto desse termo, defesa coletiva. Ok. Acho que passamos a primeira parte quase ansiosos pelo que o futuro nos reserva, então gostaria de voltar um pouco e perguntar: como, em seu tempo na área cibernética, você viu as prioridades e as abordagens cibernéticas evoluírem com o tempo? porque eu estava ouvindo seu podcast, acho que foi o episódio com Sounil Yu, onde ele descreveu as várias eras da cibersegurança. O que você acha dessas eras?

0:08:31.3 Ann Johnson: Acho que a primeira era da segurança cibernética foi que algumas pessoas criaram alguns firewalls, talvez usassem tokens para autenticação, tivessem alguns roteadores e alguns softwares antivírus. E foi tipo, “Ok. Estamos todos bem aqui.” Era como: “Mantenha tudo fora do meio ambiente”. Foi basicamente um: “Nossos funcionários estão todos vindo para o escritório. Eles estão trabalhando em dispositivos que nós os emitimos.” Talvez nem mesmo laptops, talvez alguns deles sejam de tela verde. E a maior preocupação do CIO era que alguém conectasse um servidor não autorizado no data center, certo? E então evoluímos para um mundo em que, ok, de repente nos tornamos mais móveis e as pessoas estão trabalhando em vários dispositivos e existe esse conceito de Traga seu próprio dispositivo. E, a propósito, começamos a presumir uma violação em algum lugar perto de... E provavelmente já faz cerca de 10 anos que começamos a presumir uma violação. Presumimos que alguém esteja em seu ambiente. Então, como podemos contê-los? Como minimizamos os danos? Como podemos encontrá-los? E como podemos expulsá-los? Então, as ferramentas começaram a mudar. Você não conseguia mais manter todo mundo fora. Na verdade, você tinha que dar acesso às pessoas porque elas queriam trabalhar de qualquer lugar em qualquer dispositivo. Como você faz isso com segurança?

0:09:33.1 Ann Johnson: Então foi como a segunda era. Essa terceira onda em que estamos entrando agora realmente foi amplamente acelerada pela pandemia, quando vimos 87 ou 90 por cento dos funcionários globais trabalharem em casa. De repente, tivemos esses ambientes híbridos que não eram necessariamente seguros, e tínhamos pessoas trabalhando em quiosques ou trabalhando no mesmo dispositivo em que seus filhos estavam essencialmente fazendo seus trabalhos escolares, e introduzimos todo esse outro vetor. Voltamos um pouco para o ponto em que agora você tem mais pessoas no escritório, algumas pessoas ainda em casa ou estão no escritório ou em casa parte do tempo, e você é verdadeiramente híbrido, mas também tem essa nova ferramenta de IA. Então, novamente, é como aconteceu o... O maior problema que os CISOs ainda me dizem hoje é a visibilidade. Então, como você vê que algo realmente ruim está acontecendo em seu ambiente, detecta isso rapidamente e impede que cause danos? E isso é como a terceira onda de ferramentas e tudo gira em torno dos dados. As pessoas não entram no seu ambiente apenas para passear. Na verdade, tudo gira em torno dos dados.

00:10:33.8 Raghu Nandakumara: Isso é muito interessante. E retomando a última coisa que você disse, tudo gira em torno da visibilidade. Quando penso nisso, quase sinto que a visibilidade deve ser a primeira coisa que você coloca em prática ao implantar uma nova tecnologia para obter uma compreensão completa do que está acontecendo ao seu redor. Por que essa ainda é uma lacuna significativa para tantas organizações? Por que eles não têm visibilidade suficiente nos lugares certos?

0:11:01.1 Ann Johnson: Porque é muito difícil. Se você pensar em dívidas técnicas, sistemas legados, sistemas díspares e ambientes de nuvem desonestos, pessoas que se inscrevem em aplicativos SaaS e pessoas trabalhando em seus próprios dispositivos e na necessidade de equilibrar produtividade com segurança, fica muito difícil obter visibilidade completa em todo o ambiente. Temos pessoas que ainda usam sistemas Windows NT ou Windows 95. Como você conseguirá visibilidade para eles se eles não estiverem conversando com os ambientes do tipo nuvem? Você tem linhas de fabricação que não têm conectividade com a nuvem. Você tem empresas de petróleo que têm sistemas de produção offshore, empresas de mineração em todo o mundo que seus caminhões de mineração automatizados estão a 3.000 milhas de distância de seus escritórios corporativos, mas têm 800 sensores. É muito difícil obter visibilidade e é com isso que as pessoas lutam, e a melhor coisa que o setor de segurança pode fazer é continuar melhorando a visibilidade para que nossos CISOs saibam pelo menos qual é a aparência de sua superfície de ataque e possam implementar os controles corretos.

0:12:00.0 Raghu Nandakumara: Então, quando você conversa com, em sua função, com líderes cibernéticos de vários setores e nações, etc., o que eles dizem ser a maior preocupação deles? Eles também se alinham com “Estou preocupado porque simplesmente não sei o que está acontecendo”, ou eles meio que subiram um pouco o nível?

0:12:19.1 Ann Johnson: Eles geralmente, e essa é uma afirmação muito geral, geralmente se sentem muito bem com as coisas que conhecem. As ameaças que eles conhecem, os dispositivos que podem ver, geralmente parecem ter bons controles de segurança. É o velho que não sabemos o que não sabemos. E a preocupação é que alguém possa ter estado em seu ambiente por 18 meses em algum tipo de sistema desonesto ou alguém tenha colocado um novo aplicativo SaaS on-line e não tenha contado à empresa como está compartilhando dados com ele. O ChatGPT entra nessa categoria. Muitas perguntas que recebemos são: “Não temos a visibilidade dos dados potencialmente confidenciais que nossos funcionários estão colocando em um sistema como esse”. Então, eles têm uma grande preocupação com isso. Precisamos ter a máxima produtividade para nossa organização, mas não temos visibilidade do que as pessoas estão fazendo. E se não tivermos visibilidade do que eles estão fazendo, não podemos protegê-lo.

0:13:05.0 Raghu Nandakumara: Certo. É mais ou menos como o catch-22, então. Preciso de produtividade, mas, para garantir isso, preciso de uma melhor visibilidade. Não tenho visibilidade, então não sei como garantir isso, então não sei como atender à sua necessidade de melhorar a produtividade. E você entra nesse ciclo. Então, eu meio que quero voltar a algo que você disse e falou, cerca de uma década atrás, que a mentalidade de supor violação está surgindo e não sendo apenas suficiente para se recuperar ou restaurar, mas realmente ser capaz de sobreviver. Então, eu gostaria de usar isso como uma continuação para falar sobre Zero Trust. Acho que a primeira pergunta para você é: quando você se deparou pela primeira vez com o termo Zero Trust? O que isso significa para você e como você se sente em relação a isso?

0:13:51.4 Ann Johnson: Então, algumas coisas. Primeiro, acho que o conceito de Zero Trust é um conceito maravilhoso. Quando eu vim pela primeira vez... Não me lembro de quando me deparei com o Zero Trust pela primeira vez, mas digamos que tenha sido há cinco a sete anos, vamos colocá-lo nesse período. Acho que o problema é que se tornou esse termo amorfo que ninguém realmente entende. Por algum tempo, foi um termo de marketing que as pessoas simplesmente diziam: “Ei, somos Zero Trust”, sem base em princípios. Portanto, temos princípios realmente explícitos em torno disso. A primeira coisa é verificar explicitamente. Tudo o que acontece em uma sessão precisa ser verificado. Qualquer coisa, seja um único dado passando pelo ambiente, autenticação, anomalias etc. A segunda coisa é que você usa o acesso com menos privilégios. Você precisa usar o acesso com privilégios mínimos para todos os seus usuários. A maioria dos usuários finais não precisa de direitos de administrador no laptop. Você precisa ter algum tipo de estação de trabalho administrativa segura. E essas políticas precisam ser adaptáveis para que as pessoas tenham o privilégio just-in-time de que precisam, quando precisam, e então ele desaparece e precisa ser registrado e auditado.

0:14:50.6 Ann Johnson: A terceira coisa é supor uma violação. Sempre suponha que alguém esteja em seu ambiente, suponha que você não tenha visibilidade total, e é aí que você entra em criptografia, proteção de dados e DLP e tem um programa realmente maduro sobre isso. E isso é muito difícil porque as pessoas não sabem onde estão todos os seus dados e é muito difícil proteger coisas que você não sabe onde estão. Então, Zero Trust para mim é fundamental para a segurança cibernética. E a maioria dos clientes, a propósito, quer saibam disso ou não, estão em uma jornada de Zero Trust. Eles já estão fazendo algumas partes disso e está realmente amadurecendo o programa. E há alguns programas que são mais maduros do que outros. São os primeiros adotantes típicos que são mais maduros do que outros. Mas as pessoas costumam me perguntar: “Por onde eu começo? O que eu faço?” E uma das coisas que eu digo a eles é que o acesso com menos privilégios é um ótimo lugar para começar e a autenticação multifatorial, para 100% das pessoas que acessam seu ambiente 100% do tempo, é o outro ótimo lugar para começar.

00:15:43.3 Raghu Nandakumara: Eu concordo E acho que só de ouvir a forma como você expôs isso e, se eu pensar no meu curso de graduação em ciência da computação e cursar alguns módulos sobre segurança, muito do que o Zero Trust realmente fala e prega são os axiomas da segurança do computador, da segurança da informação, como o menor privilégio. E para mim, é quase como: por que essas melhores práticas não foram seguidas desde o início e agora estamos quase fazendo engenharia reversa do que temos para acomodar algo que deveríamos estar fazendo em primeiro lugar? Por que essa lacuna se desenvolveu?

00:16:18.6 Ann Johnson: Sim, acho que as pessoas privilegiam demais o acesso porque não querem que nenhum de seus funcionários tenha problemas de produtividade. A propósito, eu sei disso. Portanto, o acesso é sobreprivilegiado apenas, literalmente, por motivos de produtividade, e você realmente precisa ser científico sobre como pensa sobre o acesso. Estamos em um ponto do setor em que todo mundo fala que supõe uma violação, acho que essa é muito conhecida, mas verificar explicitamente tudo o que acontece na sessão é a coisa mais difícil. Porque costumava ser, e você sabe disso, se alguém se preocupava com a segurança, autenticava fortemente, mas autenticava fortemente, e então havia algum tipo de controle de acesso baseado em funções e isso era bom o suficiente, certo? Agora estamos dizendo, não, isso não é bom o suficiente. Na verdade, cada transação que acontece na sessão de alguém precisa ser interrogada porque você pode ter um malware malicioso que está afetando o software. Você pode ter um malware malicioso que está afetando os dados. Alguém poderia ter invadido a sessão. Alguém poderia tê-los acompanhado até a sessão. Então, estamos dizendo que “verificar explicitamente tudo o que acontece em uma sessão” é difícil e é novo, mas para ter a máxima segurança, é o lugar onde você realmente quer estar.

0:17:25.9 Raghu Nandakumara: Então, o que isso se traduz no que os clientes estão pedindo e, em seguida, no que estão executando? Qual é aquela conversa típica que você teria? E acho que em seu papel, está basicamente nesse nível executivo. A conversa começa com a organização XYZ: “Queremos criar um programa Zero Trust. Como faço isso?” ou é mais ou menos assim: “Aqui está uma espécie de transformação que estamos prestes a empreender. Como devo garantir que a segurança seja a melhor opção para apoiar essa transformação?” Qual é a natureza dessa conversa que, em última análise, leva a “você precisa adotar o Zero Trust”?

0:18:06.5 Ann Johnson: Isso seria ideal, o último do que você disse seria ideal. “A empresa vai passar por algum tipo de grande transformação, vamos introduzir a segurança mais cedo” seria o ideal. Isso não acontece com a frequência que você gostaria. Estamos melhorando. A propósito, a segurança agora é uma conversa em nível de diretoria. As linhas de negócios estão ficando mais confortáveis com o fato de seus colegas de segurança não estarem tentando bloqueá-las, elas estão apenas tentando viabilizar negócios seguros. E a segurança deve ser um facilitador, certo? Então, idealmente, isso acontece quando a empresa está tentando fazer algo novo e você pensa praticamente em como eles vão fazer isso. A boa notícia sobre ter uma arquitetura Zero Trust é que você pode incorporar muito dela a ela. Se a arquitetura já existe, até mesmo trazer outras linhas de negócios não significa que você precise fazer algo diferente.

0:18:48.4 Ann Johnson: E executar coisas, vou dar um exemplo, executar coisas como o Microsoft Conditional Access, que analisa cada transação que acontece na sessão do ponto de vista do usuário, é uma das bases de ter uma estratégia Zero Trust muito boa. Coisas que analisam seus dispositivos, a saúde do seu dispositivo, o que seu dispositivo está fazendo nesta sessão, tecnologia que analisa isso. Então, se você puder permitir que a empresa não precise voltar sempre à segurança. Eles só precisam seguir os princípios do Zero Trust sempre que lançarem algo bom. E isso realmente se torna um facilitador de negócios e torna a segurança mais eficaz e a segurança mais simples. Essas são as medidas definitivas para ter um bom programa Zero Trust.

0:19:27.6 Raghu Nandakumara: E acho que, quero dizer, esse é realmente o estado ideal em que a consistência seja construída sob a responsabilidade da empresa ou dos desenvolvedores de aplicativos, etc. Saiba que, desde que cumpram os requisitos de segurança e os construam de acordo com eles, obterão a melhor segurança possível, o acesso com menos privilégios e que a transformação não será impedida de forma alguma. Então, do ponto de vista da Microsoft, quais são os principais facilitadores de tecnologia que você oferece aos clientes para dar suporte a isso?

0:20:05.8 Ann Johnson: Sim. Nossa estratégia Zero Trust, e todo mundo a aborda de uma maneira diferente, começa com nossa identidade. Como temos uma identidade muito forte e temos nosso Microsoft Entra Suite, nosso Zero Trust começa aí. E tudo começa com uma autenticação forte, o Windows Hello for Business ou o Azure Authenticator, temos terceiros com os quais estamos integrados. Então, tudo começa com a autenticação forte do usuário e, em seguida, passa a usar o acesso condicional, garantindo que todo o acesso ao seu aplicativo, todos os seus aplicativos estejam anexados ao acesso condicional. Desse ponto de vista, estamos analisando a integridade de tudo o que está acontecendo na sessão. Então, como você sabe, fazemos muitas parcerias. Fazemos uma quantidade enorme de parcerias. E nos espaços em que não temos uma tecnologia discreta ou explícita, sejam controles de rede ou esses tipos de controles, gateways web seguros, esses tipos de controles, e estamos afirmando que precisamos ter uma oferta Zero Trust muito robusta que seja alimentada com nosso ecossistema de parceiros e com algumas soluções primárias da Microsoft. Então você verá que, nos próximos 12, 18, 24 meses, avançaremos ainda mais nessa direção.

0:21:07.1 Raghu Nandakumara: E você vê isso... Se eu pensar na arquitetura Zero Trust do NIST, vejo esse conceito desse plano de controle unificado que é então ativado e aplicado por meio desses pontos de aplicação de políticas individuais, sejam eles quais forem. Você acha realista que, em algum momento no futuro, vejamos um verdadeiro tipo de avião de controle de política única que seja capaz de aplicar a aplicação do Zero Trust em todos os pilares? Digamos que, se nos referirmos à definição original de Zero Trust da Forrester e aos pilares sobre os quais eles falam, você vê isso como algo realista?

0:21:50.9 Ann Johnson: Há décadas que tentamos obter coisas que são painéis de vidro individuais para uma tonelada de controles. Idealmente, temos poucos controles, nos quais alguém precisa interagir ou ofuscamos a complexidade do usuário final, mesmo que haja... Para a Microsoft, mesmo que haja soluções de parceiros ocultas, ofuscamos a complexidade para o usuário final e para o administrador, para que eles possam fazer todo o gerenciamento de controle em um só lugar. Nós não estamos lá. Como indústria, não estamos lá. Sei que todos vocês estão trabalhando muito com o Zero Trust, mas quanto mais simples pudermos criar as soluções e quanto mais alinhados pudermos tornar os controles e a capacidade dos administradores trabalharem em um único console, melhor será o setor. Então, é uma ambição.

0:22:34.2 Raghu Nandakumara: E você vê o... Para chegar cada vez mais perto disso, e se forem alguns planos de controle diferentes capazes de interagir de alguma forma um com o outro, isso pode ser bom o suficiente. Mas o principal é dizer essencialmente... Zero Trust, a definição moderna de Zero Trust, fala, entre outras coisas, sobre a capacidade de definir políticas baseada em riscos e contextos. Então, isso é importante? Acho que é essencial que esses planos de controle compartilhem o mesmo contexto e a mesma visão de risco para poder fazer isso de forma consistente. Esse é, eu acho, o primeiro passo?

0:23:19.7 Ann Johnson: Então, se você pensa que sua plataforma de segmentação é um local de controle de usuário onde o usuário pode realmente ter visibilidade de todas as cargas de trabalho e dispositivos, você pode configurar suas políticas de segmentação granular de forma que possam funcionar abaixo ou paralelamente ao que estamos fazendo com nosso plano de controle Zero Trust, podemos simplesmente direcionar o usuário para o Illumio com um clique. Mas meu cenário ideal é que você tenha esse ecossistema e a Microsoft esteja na frente do ecossistema com nossa plataforma, com nossa plataforma Entra, e todos os dados cheguem até nós e passem por acesso condicional e, em seguida, estamos aproveitando, porque não seremos 100% da solução, estamos aproveitando lugares como o Illumio para realizar trabalhos específicos, mas estamos ofuscando a complexidade de o usuário final ter que criar um console diferente para ter que fazer esse trabalho. Isso é ideal.

0:24:10.3 Raghu Nandakumara: Sim, com certeza. Mas acho que o interessante é que acho que a forma como você expressou isso é tão precisa que, em última análise, existe o cenário ideal, mas o que é possível hoje em dia com a integração das melhores soluções e como você pode criar essa consistência, porque hoje nenhum cliente pode essencialmente ir a um mercado e dizer: “Ei, estou comprando a solução abrangente Zero Trust. Clique, pronto. Eu tenho Zero Trust.” Ninguém está fazendo isso hoje.

0:24:42.5 Ann Johnson: Não. Mas é por isso que nossa ambição é ser a plataforma e é a plataforma sobre a qual os outros constroem. Você cria suas soluções com base em nossa plataforma e, dessa forma, o tráfego chega até nós, passa por acesso condicional, e podemos nos alimentar com todos esses diferentes parceiros que estamos trazendo para nosso ecossistema Zero Trust. Nossa ambição é exatamente do que estamos falando aqui, mas ainda não chegamos lá e provavelmente estamos a 18, 24 meses de estarmos lá.

0:25:08.4 Raghu Nandakumara: Claro. Então, são 18, 24 meses emocionantes. Isso não está muito longe no horizonte. Então, eu meio que quero mudar de assunto e falar sobre como você vê o que está acontecendo do ponto de vista da legislação e da regulamentação, não apenas nos EUA, mas globalmente, que você acha que impulsionará ou acelerará a adoção do Zero Trust. Todo mundo fala sobre o mandato de Biden e o que está por trás disso, mas também estamos vendo coisas como, digamos, a UE, o NIS2 e o DORA. E estamos vendo uma regulamentação semelhante na APAC e assim por diante. Você acha que essa legislação e regulamentação serão benéficas para realmente acelerar a adoção de melhores práticas de segurança? Você acha que haverá um resultado positivo significativo?

0:25:55.2 Ann Johnson: Acho que na medida em que... Olha, a UE fez algo realmente interessante com seu conceito de quase ter uma cúpula cibernética e ter defesa coletiva dentro da UE. E esse tipo de regulamentação, esse tipo de requisitos e esse tipo de estrutura em andamento são realmente de alto impacto e significativos. Um dos desafios que nossos clientes enfrentam, que trabalham em ambientes globais, é a falta de consistência nas regulamentações. E eu vou usar um exemplo. A única grande vantagem do GDPR é que ele impulsionou a consistência. Se você gostou ou não, não é a conversa. A conversa é que você entendeu quais eram seus requisitos se estivesse na UE, do ponto de vista da privacidade. Então, acho que, na medida em que conseguirmos obter uma regulamentação mais alinhada e consistente, e o setor puder ajudar a educar os reguladores e os reguladores poderem conversar com os especialistas, acho que haverá um enorme valor nisso. Eu faço.

0:26:47.6 Ann Johnson: E agradecemos a oportunidade de ter conversas construtivas sobre regulamentação em todas as partes da tecnologia, incluindo IA, porque ela é necessária. Mas o que é desafiador é se você tiver... Acho que o número está em torno de 250. A Microsoft analisa diariamente cerca de 250 regulamentações exclusivas em todo o mundo para ver se precisamos estar em conformidade. Tem que haver mais consistência na região. É preciso que haja mais padrões globais porque, no final das contas, é muito difícil para as organizações trabalharem nesse ritmo na conformidade, mas também executarem um programa de segurança e administrarem seus negócios.

0:27:24.0 Raghu Nandakumara: Se você pensa em algo como DORA, e eu sei que você é muito apaixonado por falar sobre resiliência cibernética e avançar em direção a isso, você vê isso, algo assim, como trazer consistência a um setor específico? Ou ainda é que o desafio é que ainda precisa ser promulgado em nível nacional, o que meio que traz as complicações da rapidez com que será adotado e assim por diante?

0:27:51.8 Ann Johnson: Sim, acho que está certo. Acho que a singularidade dentro do país vai gerar uma complexidade que não é imaginada. Sua capacidade de se recuperar de um ataque é a coisa mais importante que você tem. Sua capacidade de colocar seus principais sistemas de negócios on-line após um ataque é uma das coisas mais importantes que você tem. Acho que qualquer regulamentação que realmente ajude as organizações a fazer isso sem adicionar muita sobrecarga é fantástica, mas a implementação real por país e por nível de negócio gerará muita complexidade.

0:28:27.0 Raghu Nandakumara: Então, se mudarmos isso um pouco, do ponto de vista de uma organização, no que ela deveria pensar quando pensa em resiliência cibernética? Como eles deveriam pensar em criar os controles certos para oferecer a eles um nível de resiliência cibernética que agrade à sua diretoria e que garanta um certo nível mínimo de produtividade?

0:28:48.9 Ann Johnson: Sim. E, Raghu, isso é algo sobre o qual, como você ouve meu podcast às vezes, eu falei muito, escrevi sobre isso, etc. Sou apaixonado por isso. A primeira coisa que as empresas precisam saber é onde estão seus principais sistemas de negócios. Quais são os três a cinco, 10 ou quaisquer outros sistemas que absolutamente precisam estar on-line para que sua empresa funcione? O que eles são? E isso é tudo, desde a folha de pagamento até seus clientes. O que mantém o negócio funcionando? Esse é o número um. Onde estão os dados para isso, é o número dois. Depois de identificar isso, você sabe o que... Muitos programas de segurança falam sobre isso, eles o consideram a joia da coroa porque podem não ter os recursos ou as pessoas para proteger tudo, mas precisam proteger essas coisas. Então, qual é o seu plano de failover? Digamos que esses sistemas estão todos inativos, onde está a redundância desses sistemas?

0:29:33.7 Ann Johnson: Você tem um ambiente de nuvem? Você tem redundância no exterior? Você tem redundância em um país diferente para esses sistemas? Como você vai se comunicar? Se seu sistema de e-mail foi comprometido, e isso significa que possivelmente seu sistema de mensagens também foi comprometido, como você se comunicará internamente em sua organização se tiver um evento? O que vai acontecer? Tem que existir. Quem vai falar com os reguladores e como eles vão falar com os reguladores? Quem vai falar publicamente e como eles vão falar publicamente? Quem vai se comunicar com seus advogados? Quem está falando com seus funcionários e como eles estão falando com seus funcionários? Você já tem um terceiro contratado em algum tipo de contrato de garantia para responder a incidentes? Você tem um terceiro contratado para reconstruir seus sistemas? Sei que parece muito tático, mas onde estão seus backups? Você já testou se pode se recuperar deles?

0:30:26.3 Ann Johnson: E seus backups estão alinhados para que possam ser comprometidos? Uma das coisas que os agentes de ransomware fazem é procurar seus backups porque querem realmente corromper esses backups. Então, todas essas coisas têm que ser... Portanto, não é apenas tecnológico, está no lado comercial. E então você realmente precisa fazer exercícios de mesa e presumir que já teve um evento como esse e precisa realmente planejar. Você precisa executar o plano algumas vezes. Todos nós fazemos equipes vermelhas, equipes azuis e equipes roxas, mas você faz um exercício de mesa que diz: “Seu ambiente está completamente inativo. E agora?” E você precisa fazer isso algumas vezes por ano, não apenas com o pessoal operacional, mas com seus executivos e, potencialmente, com seu conselho pelo menos uma vez por ano. São todas essas coisas que recomendamos como melhores práticas.

0:31:05.0 Raghu Nandakumara: O que eu gosto, e você abordou isso no final, é aquela mudança em direção ao que significa ser compatível com cibersegurança. Afastando-se de... E acho que o que você está insinuando, mas não quero colocar palavras na boca, é que deixar de fazer exercícios de caixa de seleção para exercícios realmente liderados por ameaças e de segurança ofensiva, sejam exercícios roxos em equipe, exercícios roxos reais em equipe ou exercícios de mesa que testam seus controles reais versus um conjunto de: “Ok. Está configurado para fazer X? Está configurado para fazer Y?” E assim por diante.

0:31:45.6 Ann Johnson: Isso mesmo. E eu diria que, como você disse, há muito o que desempacotar. A primeira pergunta é: “De quem é esse trabalho? Quem é o dono da resiliência cibernética da sua organização?” E o plano de resiliência cibernética, cada organização que eu possa imaginar, toda grande organização tem um plano de desastres naturais. Se você teve um desastre natural em sua região, você tem um plano de como colocar sua empresa on-line novamente, manter seus funcionários seguros, etc. Você precisa exatamente do mesmo plano cibernético. E então, de quem é esse trabalho? São as pessoas que fazem sua resiliência? É sua equipe cibernética? Todas essas decisões precisam ser tomadas agora, não depois de um evento.

0:32:24.2 Raghu Nandakumara: Além disso, quais são as principais coisas que os CISOs, sem dúvida, devem reportar ao Conselho, que realmente forneçam uma indicação clara ao Conselho, ao CEO, de como o programa de segurança se relaciona com os objetivos de negócios? Por exemplo, quais são essas, digamos, três coisas principais?

0:32:45.9 Ann Johnson: Sim. A primeira coisa que quero dizer é entender que sua diretoria não é formada por seguranças. Eles podem nem mesmo ser pessoas de tecnologia. Entenda isso primeiro, porque tudo o que você vai falar com a Diretoria, você precisa colocar em uma linguagem que eles entendam. A linguagem que um Conselho entende é risco. Portanto, tudo sobre o qual você fala deve estar relacionado ao risco do negócio. Este é apenas um exemplo muito básico. “Se não implementarmos a autenticação multifator em nossa organização, haverá um risco muito maior para nós, pois sabemos que o vetor de ataque número um ainda é o phishing e as pessoas que usam senhas fracas.” Portanto, esse é um risco que a empresa deve ser capaz de entender, especialmente quando você está tentando obter um orçamento para isso. Mas no nível da diretoria, você quer manter as coisas muito simples, analisar talvez seus 10 principais riscos, mantê-los nessa linguagem de risco e evitar: “Ei, quero falar sobre nossa estratégia de criptografia de ponta a ponta”. Fale sobre por que você tem uma estratégia de criptografia, o que ela vai fazer e como ela reduzirá o risco para a empresa. Isso é o que eu encorajaria os CISOs a fazerem. E os CISOs costumavam ter funções realmente técnicas. Agora, eles estão chegando ao ponto em que os CISOs precisam ser empresários realmente bons que entendam a tecnologia e a aplicação da tecnologia nos negócios.

0:33:58.9 Raghu Nandakumara: Então, isso é muito interessante. Absolutamente Essa evolução do CISO de muito técnico, interno, quase voltado para a tecnologia, para agora muito mais alinhado aos negócios, voltado para os negócios e capaz de casar esses dois. Mas você falou sobre comunicação com o Conselho e quase é como se você falasse sobre tecnologia e falasse sobre, digamos, criptografia e falasse sobre como isso proporciona um benefício comercial. Para mim, isso ainda parece um nível muito baixo para a Diretoria e é potencialmente uma terminologia e um conceito que eles não entenderiam. Então você pode falar um pouco mais sobre isso?

0:34:42.3 Ann Johnson: Sim. Deixe-me esclarecer o que eu disse. Não, eu não acho que você fale sobre criptografia para o Conselho. Acho que seja qual for a tecnologia de que você fala, você deve falar apenas sobre risco comercial. Qual é o seu programa de segurança de dados e como isso reduz o risco do seu negócio? Tudo sobre o qual você fala deve ser um risco comercial. Mas, não, eu não acho que você deva falar sobre criptografia com o Conselho, e esse é o argumento que eu estava tentando dizer. Não fale de tecnologia. Fale sobre riscos comerciais e como um programa reduzirá seus riscos comerciais.

0:35:08.4 Raghu Nandakumara: Sim. Não, entendi. Ok. Estou perfeitamente claro e não há ambigüidade nisso. Então, estamos falando sobre líderes cibernéticos e você já falou sobre a evolução do CISO que você viu em seu tempo na área cibernética. Para onde você vê essa evolução nos próximos anos? Como você vê essa função de CISO continuando a evoluir?

0:35:31.9 Ann Johnson: Acho que o papel do CISO continuará evoluindo e, obviamente, será muito mais exigente. Temos um ótimo CISO na Microsoft, Bret Arsenault, um CISO maravilhoso. A maioria dos CISOs que conheço são humanos maravilhosos que querem fazer as coisas certas e estão em um trabalho ingrato, porque você é culpado por tudo e obrigado por nada. Mas a função continuará evoluindo para esse nível de complexidade de negócios. Você precisa entender a regulamentação. Você precisa entender como os controles se aplicam à regulamentação. Você precisa ser capaz de falar com as pessoas que estão na linha de frente do SOC. Você precisa ser capaz de falar com sua diretoria. É um trabalho muito difícil. Mas quanto mais o CISO, assim como Bret, conseguir alinhar suas prioridades às prioridades da empresa, mais eficaz você será nessa função.

0:36:13.9 Raghu Nandakumara: Ann, para você, pessoalmente, o que o entusiasma e espera na área cibernética, seja uma evolução tecnológica, seja uma evolução das pessoas ou uma evolução da legislação? Com o que você está realmente empolgado nos próximos anos?

0:36:33.2 Ann Johnson: Eu vou te dizer, e eu não sou uma palavra da moda... Eu venho fazendo isso há tempo suficiente para não ficar muito animada. Na verdade, estou muito empolgado com a IA e os modelos de linguagem natural. A capacidade de estender as capacidades cibernéticas a um grupo muito mais amplo de talentos que poderiam realmente contribuir para o setor ajudará a reduzir nossa escassez de talentos, bem como a aplicação da própria tecnologia para raciocinar sobre milhões e trilhões de sinais que as pessoas veem em seu ambiente e, na verdade, dizer o que é um problema real. Isso lhe dá visibilidade muito mais rapidamente. Se isso resolver apenas essas duas coisas, dando visibilidade muito mais rapidamente e ajudando a resolver nossa escassez de talentos porque o pool de talentos se torna maior, em minha mente está cumprindo sua promessa.

0:37:13.5 Raghu Nandakumara: Ah, com certeza. E acho que basta reiterar o que você disse e vinculá-lo ao grande problema que você destacou, a falta de visibilidade. Se isso nos permitir melhorar a visibilidade, acho que, a partir disso, podemos levar a uma melhor tomada de decisão e maior segurança, que é, em última análise, o resultado que queremos.

0:37:32.7 Ann Johnson: Correto. Isso é exatamente correto.

0:37:34.9 Raghu Nandakumara: Incrível. Ann, foi um prazer falar com você hoje. E, claro, para nossos ouvintes, se você quiser saber mais sobre tendências, se quiser escolher um podcast de liderança em segurança que você absolutamente precisa ouvir, assista ao podcast Afternoon Cyber Tea with Ann Johnson, de Ann. Está no CyberWire, está em todas as plataformas usuais de podcasting. E ouça todas as edições anteriores, porque há muito conteúdo fantástico lá dentro. Ann, obrigado novamente pelo seu tempo. Eu realmente agradeço isso. E foi maravilhoso conversar com você.

0:38:10.9 Ann Johnson: Muito obrigado, Raghu. Eu agradeço. Foi uma ótima conversa. Tenha um dia maravilhoso.

0:38:15.0 Raghu Nandakumara: Obrigada Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter @illumio. E se você gostou da conversa de hoje, você pode encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.

‍