O manual do CISO

00:00

Tudo bem, então, ao encerrarmos a segunda temporada de The Segment, estamos no final do Mês de Conscientização sobre Segurança Cibernética deste ano. É ótimo ter como nosso convidado final desta temporada, um verdadeiro diretor de segurança da informação (CISO), CISO da EMEA aqui da Netskope, Neil Thacker. Neil, estou muito feliz por você se juntar a nós hoje.

00:21

Bem, é meu privilégio estar aqui. Obrigado, Raghu, pelo convite.

00:26

É um prazer nosso. É sempre bom ter a representação de um de nossos parceiros conosco. Então, obrigado em dobro por isso. Então, CISO, CSO (diretor de segurança), certo, é um título realmente, eu diria, de alto perfil e super importante hoje em dia em organizações de todos os tamanhos. Mas Neil, como você acabou se tornando um CISO?

00:50

Bem, foi uma longa jornada. Digamos que eu meio que cresci na era do computador, certo? Então, quando criança, me familiarizei com computadores. Os computadores eram uma espécie de novidade que chegava às casas, aos escritórios e a esse tipo de coisa. Então, eu meio que cresci e me familiarizei com o todo, como lidar com computadores e lidar com a era do viajante. E então, um dos meus primeiros papéis foi cuidar de conectar pessoas à internet. Então, eu meio que, meus primeiros passos na carreira foram na era da internet. Na época em que ainda tínhamos modems dial-up e esse tipo de coisa. E com o tempo, é claro, a segurança entrou, certo? Precisávamos garantir a forma como conectávamos as pessoas aos serviços, etc., e agora tínhamos trabalhadores remotos e todo esse tipo de coisa. Então, eu meio que vivi essa vida também. Na verdade, foi só em meados dos anos 2000 que eu meio que passei para o lado mais executivo do que apenas para o lado técnico. Eu ainda tenho uma formação técnica. Sim, eu meio que mudei para o lado executivo. E foi realmente por volta da era da nuvem que começamos a ver mais e mais organizações migrando para a grande hiperescala, seus data centers e seu tipo de futuro, sua estratégia estava na nuvem, certo? E então tivemos essa explosão do SaaS, e foi aí que, novamente, para mim, tornou-se um grande desafio fazer com que outra coisa protegesse as organizações para as quais eu trabalhava na época: garantir a adoção da nuvem. E é realmente assim, foi isso que foi uma das minhas primeiras funções de CISO naquela época. E, sim, ser experiente naquela época era muito importante. Então, sim, foi assim que eu meio que me mudei e me tornei CISO. Mas se eu relembrar minha experiência, trabalhei em uma central de serviços, aprendi e aprendi algumas habilidades muito boas em termos de comunicação e lidar com problemas e incidentes. E, obviamente, também é bom ter isso como CISO hoje. Eu meio que trabalhei em funções, onde, novamente, era sobre risco. Trabalho para grandes organizações de serviços financeiros que lidam com riscos, como se o resseguro tivesse tudo a ver com risco. Então, eu também trabalhei nessas funções para essas organizações. Então, eu meio que aprendi todos esses aprendizados nos últimos 25 anos. Eu ainda uso muitas dessas coisas no dia a dia, as coisas que aprendi, dia após dia em meu papel, novamente como CISO.

02:58

Adoro ouvir isso, certo? Você começou sua carreira conectando pessoas à Internet e agora trabalha para uma empresa que protege como elas acessam a Internet e como se proteger ao acessar o trabalho pela Internet. Está quase completando um círculo e se completando. Então, vamos falar sobre o papel do CISO. Em sua opinião, em sua experiência, à medida que você amadureceu nessa função ao longo dos anos e se desenvolveu, como essa função mudou e o quanto essencialmente permaneceu a mesma?

03:32

Sim, quero dizer, eu diria que, definitivamente, acho que passar pela era da nuvem definitivamente mudou as coisas, certo? Antes disso, tudo se resumia a proteger o perímetro, proteger a organização. Mais uma vez, tudo se resumia a garantir o que pudéssemos usando, é claro, o perímetro. Mas é engraçado porque eu realmente me lembro de me sentar; fui a um evento em meados dos anos 2000. Era um fórum de Jericó quando eles falaram sobre a dissolução do perímetro. E eles falaram sobre nuvem, embora não a chamássemos de nuvem naquele momento, era como antes da pré-nuvem. Mas, em última análise, isso é o que estava acontecendo. As organizações estavam vendo esse perímetro se dissolver. E acho que para mim, de qualquer forma, se tornou mais sobre menos foco em alguns aspectos técnicos e no conjunto de habilidades técnicas, e mais sobre uma melhor compreensão dos tipos de acordos, contratos e termos e condições. Mas também, em última análise, tudo sobre risco, certo? Então, foi interessante naquele momento que tivemos isso; tivemos discussões internas em uma de nossas organizações anteriores: confiamos na nuvem? E, claro, você então tem a mesma discussão em que é apenas o data center de outra pessoa, que nós temos, tínhamos terceiros que usamos antes disso, mas agora é como se estivesse crescendo em uma escala que talvez não tivéssemos previsto, e aconteceu muito rapidamente. E acho que é onde normalmente vejo até hoje. Vejo que o papel do CISO, novamente, é ter que se concentrar no risco, analisando novas tecnologias, novas inovações. Obviamente, lidamos com a IA há muitos anos. Mas é claro que houve uma explosão nos últimos anos em torno do uso da IA. Então, novamente, mas tudo isso se resume ao risco, em última análise. Além disso, tudo se resume a uma melhor compreensão dos dados. Eu sempre falo sobre isso, certo? É sobre dados e sobre risco. Se você puder, como CISO hoje, se você é ótimo em entender os riscos associados aos dados, então você já tem uma grande oportunidade como CISO e um plano de carreira, certo? Se você quer se tornar um CISO, apenas ter esse conhecimento é muito, muito impactante.

05:33

Concordo absolutamente. E acho que quando você fala sobre entender os dados, acho que o que você realmente quer dizer é entender como eles se relacionam com os objetivos de negócios, certo? É ser capaz de entender o tipo de coisas que você está protegendo? Por que elas são importantes para a empresa? Essa deve ser uma parte fundamental do papel das OSCs hoje.

05:53

Sim. Quero dizer, o fato é que sempre foi essa discussão. Era sobre: podemos proteger todos os dados? Todos os dados com os quais essa organização transaciona diariamente. Sim. Em última análise, o Nirvana é que você tenta fazer isso. Mas, em resumo, a única maneira real de fazer isso é priorizar. É analisar a priorização de riscos. Então, analisando quais, de onde vêm os maiores riscos, os maiores riscos, em termos do impacto que isso terá na minha organização se, por exemplo, eu perder o acesso a esses dados. Não tenho mais acesso a esses dados. Obviamente, tivemos isso com o ransomware por muitos e muitos anos. Mas também está por aí: qual é o valor desses dados? Porque se eu perder esses dados, qual é o verdadeiro impacto, do ponto de vista financeiro, por exemplo, em relação a esses dados, não apenas às multas e penalidades, mas, em última análise, novamente, estou perdendo propriedade intelectual? Estou perdendo reputação? Existe algum dano em termos disso? Então, para mim, está sempre falando sobre, novamente, colocar, sempre que possível, controles em torno dos dados. E, na sua opinião, sim, com certeza, estou ficando muito bom em identificar esses dados. Já vi várias organizações fazerem isso muito bem. Quero dizer, estou envolvido com ferramentas de classificação e prevenção de perda de dados há muitos e muitos anos, e acho que você realmente precisa quase rasgar o livro de regras quando se trata disso. É quase que, sim, a classificação é uma coisa boa de se fazer. Você precisa analisar a categorização de dados. Então, de qual categoria de dados estamos falando? Mas também, novamente, colocar controles em torno desses dados para que, em última análise, os controles sigam esses dados aonde quer que eles estejam, e você possa manter algum tipo de perímetro em torno desses dados. Mais ou menos, é assim que eu vejo os tipos de funções e responsabilidades das equipes de segurança mudando. E, é claro, como CISO liderando essa equipe, você precisa inovar e ser pioneiro nesse espaço.

07:39

Absolutamente, todo esse desafio de classificação e categorização para, então, conduzir, eu acho, a base sobre a qual você está, então, gerando os resultados que você está buscando obter. Isso é meio que fundamental para isso. Então, vamos falar sobre, do seu ponto de vista, os desafios que você teve que superar em sua função. Quero dizer, abordaremos alguns desafios no setor como um todo, mas vamos falar novamente, certo, sobre seu próprio caminho de desenvolvimento como CISO e coisas que você teve que superar.

08:09

Sim, eu acho, quero dizer, para mim, o primeiro foi por aí. Quer dizer, eu me lembro de voltar à minha primeira reunião do conselho há muitos anos. Eu assumi um papel e apresentei basicamente o que a pessoa anterior vinha apresentando há muitos anos. E acho que foi a oportunidade para a diretoria perguntar: “Por que você está apresentando isso?” E eu disse: “Bem, é uma continuação.” Eu era relativamente novo; acho que estou no cargo há seis ou sete semanas me preparando para esta reunião do conselho. Isso é o que foi apresentado hoje, e tive a oportunidade de entrar na sala de reuniões e apresentá-lo. E novamente, a primeira pergunta foi: “Por quê? Qual é a importância de tudo isso?” Então, presumo que essa pergunta não tenha sido feita antes. E eu fui muito claro. Eu fui muito sincero. Eu disse, novamente, a esse ponto, isso é o que foi apresentado anteriormente. Mas sim, podemos mudar isso se você estiver interessado em analisar outras métricas. E então tivemos essa discussão: qual é o valor da equipe de segurança? Então, foi uma, quero dizer, foi uma ótima primeira reunião do conselho, certo? Fui jogado no fundo do poço. Mas para mim, é claro, isso destacou que precisamos gostar de métricas e medições, precisamos estar mais alinhados aos negócios. Essa foi minha, essa foi minha primeira descoberta. Não se tratava de quantos sistemas corrigimos e quantos incidentes tivemos. Em última análise, era como está, por exemplo, a equipe de segurança apoiando a empresa, impulsionando a empresa e ajudando a empresa a avançar. Obviamente, voltei na próxima reunião do conselho e apresentei uma série totalmente diferente de métricas em relação a isso. Então essa foi minha primeira descoberta. Também percebi rapidamente que, é claro, na comunicação, nunca podemos realmente usar palavras-chave e siglas nesses ambientes. E eu passei provavelmente os últimos 10-15 anos lidando com esse tipo de terminologia. Então, eu preciso, eu sei, eu precisava rapidamente, melhorar minha comunicação. E, é claro, torne-o mais voltado para o valor comercial. E, finalmente, novamente, voltando a apoiar a empresa. Apoiando a empresa, em termos de novas fontes de receita, novas ideias, contratos do tipo M&A, com que rapidez poderíamos criar e proteger as organizações que conhecemos e adquirimos. E, finalmente, tornar isso apresentável novamente para um líder de negócios? Então, esses foram, talvez, alguns dos primeiros desafios e melhorias que senti que precisava fazer como CISO. Novamente, olhando para os últimos 10 a 15 anos, foi assim que vi valor em ter esses tipos de discussões, menos focar no lado técnico.

10:30

Esse é um ótimo argumento que você faz, porque, considerando que essa experiência ocorreu muito cedo em sua carreira de CISO, meio que remonta a mais de uma década. Ainda acho muito cansativo ver sempre que você vê um tipo de CISO em comentários invertidos, artigos sobre liderança inovadora e comentários sobre a necessidade de os CISO/OSCs estarem mais alinhados com as prioridades do conselho. Precisa se comunicar melhor com os conselhos e fazer com que eles entendam o porquê. Se essas perguntas estão sendo feitas a você 10 a 15 anos atrás, por que isso ainda é uma conversa, certo? Deveríamos ter superado isso, a necessidade disso, e ninguém deveria precisar ouvir ou redizer que isso é importante. Deve ser tomado conforme determinado. Por que esse debate ainda está acontecendo?

11:18

Sim, é um ponto muito bom. Quer dizer, eu, a propósito, ainda acredito que estamos de novo, estamos ouvindo. Estamos sendo educados pelo conselho das organizações. Eu ainda acredito que, como muitas outras funções de nível C, muitas outras funções também estão sendo educadas, certo? É como se eu estivesse em reuniões do conselho em que você não era a pessoa que foi denunciada por não fornecer o tipo certo de informação que eles querem ver. Então, é sempre uma curva de aprendizado. É sempre um aluno, por exemplo, entrando nessas sessões. E acho que também é importante que minha próxima função fosse entrar e não entrar com o mesmo tipo de informação, os mesmos tipos de métricas, e simplesmente entrar e perguntar na primeira reunião, entrar e perguntar: “O que você quer? Como posso ajudar a apoiar esta organização e fornecer as informações de que você precisa como conselho para, é claro, melhorar”. Então, acho que é aí que todos nós ainda estamos aprendendo, certo? Não há, eu acho, não há resposta. Não há uma resposta única para interagir com o conselho. É diferente em cada organização e há requisitos diferentes para cada organização, eu acho, e também em cada organização que tem seus próprios desafios ou tem seu próprio tipo de estratégia implementada. Sim, você não pode simplesmente levar isso para a próxima organização. Então, acho que essa é provavelmente a razão pela qual. Acho que mais discussões sobre isso não ser um problema. Mas alguns dos exemplos que ouvimos sobre isso, todos sobre os quais deveríamos falar, deveríamos falar e usar linguagens de negócios e usar esse tipo de nível de comunicação. Mas ninguém realmente dá exemplos. A propósito, existem alguns por aí. Mas sim, precisamos continuar colocando-os em primeiro plano para que as pessoas entendam, tipo, qual é uma boa métrica para comunicar ao conselho?

12:55

Sim, com certeza. Acho que exemplos seriam muito maiores do que apenas afirmar o óbvio de “fazer um trabalho melhor”. Mas eu gosto do seu tipo de coisa, voltando ao que você começou, somos quase um membro do conselho. A pergunta é, tipo, por que eu deveria me preocupar com isso, certo? E acho que essa é sempre uma boa pergunta para se ter em mente, não apenas para apresentações de diretoria, mas praticamente para qualquer apresentação: por que meu público deveria se importar com o que eu estou dizendo a eles? Pode ser a melhor ideia do mundo, mas se o público não se importa, não importa.

13:28

É aquele livro, certo? Comece com, por quê? Se você está apresentando usando um conjunto de slides, ou se está tendo uma discussão, é tudo, por que estamos falando sobre isso? Por quê? Por que isso é importante? Novamente, por que estamos investindo nosso tempo e nossa energia nisso? Esse é sempre um bom ponto de partida. Quero dizer, eu falo sobre isso em termos de, tipo, novas oportunidades de negócios, e quando começamos a pensar sobre isso, como até mesmo olhar para os negócios do futuro, bem, o que estamos tentando resolver em termos disso? Então, sim, é sempre bom começar. Por quê?

13:53

Sim, com certeza. Então, eu sei que quando estamos discutindo antes dessa conversa, você passa muito tempo. Quero dizer, é claro, você é um CISO da Netskope, mas também passa muito tempo conversando com os CISOs de seus clientes. Então, com o que eles estão empolgados? E eles acham que “Ei, na verdade, você sabe o que, estamos fazendo essas coisas da maneira certa”. Porque acho que uma mensagem positiva também é importante porque temos bastante negatividade no mundo cibernético.

14:20

Sim, é verdade, sim. Quero dizer, na verdade, na semana passada tivemos nosso conselho consultivo de clientes, o que me deu, novamente, uma ótima oportunidade de falar com, mais ou menos, meus colegas do setor, outros CISOs, em algumas organizações incríveis. É sempre interessante ouvir os dois lados, os desafios, mas também o que está funcionando, o que eles estão vendo em termos de coisas boas, como inovação em termos de segurança cibernética. E acho ótimo ver tantas organizações realmente começarem a consolidar muitas de suas tecnologias, sua pilha de segurança que talvez tenham tido no passado e que, em muitos casos, era complexa e difícil de gerenciar. Então, como exemplo, tivemos uma rápida discussão sobre como abandonar as redes corporativas e, novamente, se eu voltar 20 anos atrás, estávamos conversando sobre isso com o Jericho Forum e a Cloud Security Alliance quando falamos sobre a mudança para um mundo sem perímetro. E o interessante é que está acontecendo, certo? Agora, estamos vendo cada vez mais organizações absolutamente fazendo isso, dizendo que nossa meta, se ainda não estiver estabelecida, é finalmente remover nossa rede corporativa e, novamente, permitir que nossos funcionários e qualquer dispositivo que eles queiram usar tenham conectividade direta com os serviços que desejam consumir, sem precisar usar uma VPN e se conectar novamente às redes e depois aos seus serviços. Quero dizer, ainda existem alguns casos de uso e certos setores que talvez precisem manter isso, mas é ótimo ver, quero dizer, falando com uma das maiores organizações de serviços financeiros na semana passada, esse era o objetivo deles. Eles querem se afastar dessa rede corporativa difícil de gerenciar e de escalar. Então, isso foi bom, e estou vendo uma mensagem mais consistente sobre como as organizações fizeram isso e estou compartilhando como fizeram isso, como conseguiram fazer isso e também analisando todos os benefícios, como a redução de custos, a consolidação de custos em muitas áreas, analisando a redução de riscos e, finalmente, procurando melhorar a produtividade geral de seus funcionários e usuários finais.

16:16

Isso é uma coisa muito interessante e eu acho que todo o movimento de não ter perímetro ou se está se movendo em direção a microperímetros, tipo qualquer coisa, da maneira que você quiser, você meio que quer enquadrar isso. Eu acho que eles são essencialmente as duas faces da mesma moeda. Acho que o motivo pelo qual isso é eficiente do ponto de vista da segurança é que você não tem esse dilema de: isso é confiável? Isso não é confiável? Isso meio que desaparece, porque se, tipo, isso não for uma pista para o Zero Trust, isso virá mais tarde, certo? Mas eu acho que essa é a beleza disso, é que de repente você pode dizer, bem, tudo é acessado pela internet. Estou tratando tudo dessa maneira. Então, posso oferecer uma maneira muito consistente de aplicar a segurança. Quer dizer, eu posso usar todo o contexto, etc., certo? E algo vindo de um Starbucks pode ser tratado de forma diferente de algo vindo do saguão do hotel, certo? Mesmo assim, ainda posso aplicar os mesmos princípios em vez de ter que fazer suposições. E eu acho que esse é um tipo de lugar muito poderoso para se estar.

17:20

Sim, sim. Eu acho que, com certeza. Acho que quando falamos sobre os princípios do Zero Trust serem adotados em geral. Por exemplo, trabalhei com um bom amigo meu como CIO para uma organização grande, muito grande, e ele compartilhou uma ótima história. Obviamente, durante a pandemia, todos estavam trabalhando remotamente e estabeleceram todo esse conjunto de princípios e políticas de Zero Trust para proteger melhor seus trabalhadores remotos. E o que foi interessante foi quando ele disse: “Quando todos começaram a voltar ao escritório, percebemos que tínhamos uma segurança melhor quando todos estavam remotos por causa das mudanças que fizemos. Então, queríamos aplicar esses mesmos princípios à nossa rede interna. E então percebemos: “Bem, novamente, podemos simplesmente nos livrar de nossa rede interna, nossa rede corporativa.” E, em última análise, esse é o objetivo deles. Então, neste exemplo, essa organização viu isso como uma ótima maneira de justificar essa mudança, essa transformação nesse tipo de abordagem, porque, novamente, observando sua postura de segurança, analisando os controles de segurança, eles perceberam que, na verdade, tinham controles mais granulares e específicos para seus funcionários remotos. Então, a maneira como eles fizeram isso, e isso estava quase se tornando fundamental agora, está indo além da identidade como um meio de avaliar ou usar a identidade apenas como um sinal como parte do Zero Trust. Foi, claro, considerando o dispositivo que a pessoa está usando. É corporativo? É um dispositivo pessoal ou qualquer outro tipo de dispositivo, por exemplo, além de laptop e celular, etc.? Mas entendendo um pouco mais sobre o dispositivo em si, fazendo algumas verificações de postura no dispositivo, mas também entendendo o dispositivo e depois observando a localização. Então, de onde essa pessoa está se conectando e também para onde ela está se conectando e, em seguida, alguns detalhes sobre qual aplicativo? Porque agora tudo gira em torno da aplicação. Na verdade, não é; você não está se conectando a uma rede. Você está se conectando a um aplicativo. E então foi, bem, qual instância do aplicativo? Porque uma instância corporativa de um aplicativo é muito diferente de uma instância pessoal e, em alguns casos, é claro, elas são iguais. Se eu observar os exemplos óbvios, como o OneDrive e o Google Drive e todos esses tipos de coisas. Realmente importa a que tipo de instância você está se conectando. Se você está movendo dados corporativos para uma instância pessoal do OneDrive, isso provavelmente é um grande problema, certo? E então é a atividade. Então, o que aconteceu antes e depois? E depois, é claro, voltando ao dado. Nosso conselho consultivo, na semana passada, estávamos conversando sobre isso, e houve um comentário feito por aí, e quanto ao tempo? Como o tempo, os dados e o acesso aos dados em determinados momentos, obviamente, podem ser uma anomalia, mas também, em última análise, quando você está criando um conjunto de princípios do tipo Zero Trust, você também deve considerar o tempo porque os dados têm seu próprio ciclo de vida. Então, dados, pode haver certos ativos de dados, etc., que são altamente confidenciais em um determinado momento, mas talvez como qualquer tipo de trabalho em atividade de fusões e aquisições, mas depois desse momento, sim, talvez não sejam mais tão confidenciais. Portanto, o tempo também é um tipo de sinal que precisamos considerar como parte disso. Mas isso foi, como eu disse, que realmente abriu meus olhos para pensar sobre isso além da identidade. E, novamente, isso foi algo que adotamos, é claro, na Netskope e, como parte de nossa função de segurança interna, é um Zero Trust completo. E analisando esse modelo de maturidade e avançando o máximo possível em termos da postura ideal, incluindo todos esses sinais, porque todos são críticos.

20:41

Sim, não, eu concordo totalmente. E acho que a identidade é importante para eles, mas também acho que, de muitas maneiras, provavelmente houve uma rotação excessiva e um foco na identidade e um foco insuficiente em outros sinais e outros pilares. E enquanto você estava falando, e meio que examinando, várias outras fontes de sinais, rede, aplicativo, dispositivo, etc. Na verdade, isso me fez pensar que, quando pensamos nos pilares do Zero Trust, e temos, como o dispositivo, o aplicativo, o usuário, a rede, acho que é a carga de trabalho ou os dados, não consigo me lembrar. E muitas vezes falamos sobre um tipo de maturidade, de controles maduros em cada um desses pilares. Mas, como você está falando, na verdade, cada um desses pilares também são fontes de sinais. E como se você pensasse que ambas são propriedades de tudo, mas também coisas que você está protegendo, e há muita inter-relação entre as duas à medida que você constrói, à medida que você alinha e amadurece sua estratégia de Zero Trust, sim, eu concordo, certo? Pense além da identidade, certo, quando estiver pensando nesses sinais.

21:48

Eu dirigi uma equipe de operações de segurança por muitos anos, e você sempre quis contexto. Novamente, esse é um exemplo meio grosseiro, mas tivemos alguém que pegou dados, dados realmente confidenciais e de alto valor, e os colocou em uma unidade USB. Eles estavam prestes a deixar a organização, ligamos para ela e a identificamos. Dissemos: “Ok, precisamos da unidade USB de volta porque precisamos limpá-la com segurança”. Aparentemente, eles estavam fazendo isso para fins de backup, o que já acionou alarmes. Por que você faria backup em USB quando tinha servidores de arquivos, etc., e repositórios do GitHub, todo esse tipo de coisa. Isso estava, novamente, em uma função anterior, mas foi interessante, porque quando o dispositivo voltou, bem, era um dispositivo diferente do que estava realmente sendo usado para copiar os dados. Então isso foi, novamente, um alarme imediato, e nós realmente paramos a pessoa. Eles disseram: “Ah, sim, eu devolvi uma unidade USB diferente”. Mas, novamente, esse é apenas um exemplo real e grosseiro de por que esse contexto é realmente importante, porque na verdade paramos naquele momento em que isso seria considerado uma violação significativa de dados na organização. Impedimos que isso acontecesse. E, é claro, todos nós sabemos que, como profissionais de segurança, queremos impedir o maior número possível de violações porque sabemos o que acontece como parte da resposta à recuperação, etc.; isso também consome muito tempo e esforço. Então, é por isso que, novamente, da equipe de operações de segurança, e eu peço que qualquer equipe de operações de segurança com a qual eu trabalhe, eu me reúno e converso hoje novamente, analisando qual contexto você pode obter com essas coisas. E você meio que, sim, precisa ter pelo menos esses oito ou nove sinais, em alguns casos, para realmente determinar o impacto e a avaliação do evento.

23:22

Acho que você não deu a essa pessoa o benefício da dúvida. Acho que o que eles fizeram foi pegar o USB e depois fazer o backup em outro USB, que é o que eles deram a você. Então, eles estavam apenas fazendo backups redundantes, por precaução.

23:34

Era, claro, para esconder o fato de que eles tinham esses dados que estavam levando consigo. É claro que não queríamos que eles levassem consigo os dados corporativos. Esse foi, em última análise, o cenário que tivemos e que, sim, fomos capazes de mitigar isso. Mas, novamente, com base no contexto em que estava, você olha para o dispositivo e parece que, bem, esse não foi o dispositivo que acionou o alerta. Portanto, você sabe, imediatamente há um problema maior em jogo. Sim, acho que é o mesmo com a nuvem hoje. Tenho essa discussão com muitos outros CISOs falando sobre os desafios da nuvem — é como se nem sempre tivéssemos, ou no início, nem sempre tínhamos total visibilidade de quais serviços de nuvem estavam sendo usados por nossa organização, o que havia sido aprovado, o que havia passado por avaliações de fornecedores e avaliações de terceiros, etc. E ainda acho que hoje temos esse desafio para muitas organizações; esse é o feedback que elas me dão. Não sabemos exatamente o que está sendo usado. Temos nossos serviços de nuvem pública aprovados, como se fôssemos um Azure, AWS ou GCP, mas para SaaS, o feedback que geralmente recebo é que não sabemos realmente o que estamos usando em termos de SaaS, como se você não conseguisse obter um inventário abrangente do que está sendo usado no dia a dia em termos de serviços em nuvem. Mas é claro que existem ferramentas como a Netskope, por exemplo, que podem ajudar uma organização a identificar isso e, em seguida, colocar controles em torno disso. E eu acho que esse é um ponto de partida muito bom. Mas então tudo volta aos dados. Então, tudo bem, quais dados estão indo para esses serviços? Porque se eu perder o acesso a esses serviços, como esse serviço, não estará disponível. Qual é o impacto? Novamente, voltando à discussão em nível de diretoria, agora é disso que falamos: se perdermos o acesso a esses dados, qual é o impacto disso para nós como organização, estamos tendo a mesma discussão agora sobre serviços de IA. À medida que os serviços de IA estão se tornando mais incorporados aos processos de negócios, é como, bem, o que acontece se esse serviço não estiver mais disponível, qual é o impacto? Então, sim, temos que começar a pensar nessas formas. É claro que é uma forma de resiliência, mas agora está pensando: sei o quão resilientes meus serviços são e o que acontece se eles ficarem indisponíveis ou se forem comprometidos?

25:35

Só voltando ao que você disse sobre o uso da TI paralela, certo? E mais ou menos, digamos, meados dos anos 2010, quando essa era a infância do mercado de CASB. E eu me lembro de realmente ter visitado seu centro de desenvolvimento em Bangalore e conversado com membros de sua equipe de produto e dito: “Seria ótimo, estamos no meio de uma avaliação, eu seria ótimo se você pudesse fazer isso, isso e isso, porque isso me daria toda a visibilidade que eu precisava sobre o uso do SaaS”. Mas, como falamos, um tipo de IA, você meio que mencionou o uso da IA, certo? E eu acho que isso é muito interessante, porque acho que com a IA se tornando como os modelos de IA se tornando um componente essencial dos aplicativos de negócios, agora o modelo de IA é uma aplicação crítica. Então, precisamos pensar em como garantir isso da mesma forma que talvez teríamos aplicado se eu fosse um provedor bancário, meu sistema bancário principal, certo? Meu modelo de IA agora é fundamental para o A, o I e o C, certo? Preciso proteger todos os três no modelo de IA.

26:43

Sim. Novamente, como eu disse, vivi muitas eras, como a era do computador, a era da internet, a era da nuvem e a era da IA agora. Não sei se tenho outra idade em mim, para ser honesto. Posso até ser substituído pela IA, não sabemos. Mas eu acho que você está certo, toda vez que entramos em uma nova era, ou estamos em transição para outra era, começamos a pensar, bem, novamente, obviamente, como podemos garantir isso melhor? E eu tive a mesma discussão com a era da internet, onde na verdade era um caso de, bem, só vamos dar acesso à internet para certas pessoas. E, claro, em poucos meses, todos tiveram acesso. E o mesmo para a nuvem. É como se estivéssemos limitando apenas o número de serviços em nuvem que usamos. E então, em alguns meses, tivemos o problema da TI paralela. E acho que estamos vivendo, é claro, na era da IA agora. Quero dizer, uma coisa em que nos concentramos fortemente. Então, sou membro do nosso Comitê de Governança de IA e sou coautor de nossa política de IA responsável e nosso padrão de segurança de IA, além de trabalhar em estreita colaboração com nossas equipes na Netscape. Em termos de, novamente, nosso uso da IA, tanto do ponto de vista da empresa quanto do que temos em nosso produto. Temos um registro, temos um registro preciso do uso e vinculamos tudo isso aos casos de uso, por exemplo. Então, sim, temos essa grande capacidade de fazer isso, certo? Temos isso como organização. A IA é nosso foco principal para identificar e também garantir que implementemos controles, por exemplo, para proteger melhor o uso da IA. É claro que também trabalhamos em estreita colaboração com nossa equipe de pesquisa de ameaças e, é claro, vimos um aumento no uso da IA para impulsionar a inovação em termos de lançamento de ameaças e ataques e uso de novos tipos de técnicas, etc. Então, já vimos isso. E do ponto de vista da defesa, novamente, apoiando a equipe de produto em termos de reconstruir essas defesas que são IA, então, sim, já estamos vendo isso. Mas, como eu disse, da nossa perspectiva organizacional, você precisa adotar uma abordagem abrangente para isso. Você precisa analisar todos esses diferentes casos de uso e também qual é o impacto, se algum deles for afetado. Já é fundamental para nós, como organização, em termos de, novamente, controlar e governar o uso da IA. E nós também temos a regulamentação, está agora, agora está aqui também. Temos a Lei de IA da UE, que entrou em vigor em agosto. E também é interessante, porque falo com outras organizações regularmente e, às vezes, o feedback que recebo é: “Tudo bem, não precisamos fazer nada por três anos”. E minha resposta é: “Bem, não, na verdade, o primeiro tipo de marco, e a primeira coisa, a primeira fiscalização, está chegando em breve, em fevereiro de 2025, certo? Então, mal podemos esperar.” Na verdade, está se preparando para o primeiro marco em torno do uso de IA, sistemas e serviços proibidos. Então, sim, acho que a regulamentação desempenhará um papel, mas, em última análise, voltará ao que sabemos, certo? O que nós temos? Como estamos protegendo isso? Como podemos garantir que a governança seja aplicada?

29:35

Sim, com certeza. Então, meio que vinculando essa conversa sobre IA às conversas que você está tendo com os CISOs, conversamos sobre algumas das coisas que os entusiasmam e têm a ver com otimismo. Com o que eles estão lutando, certo? Com o que eles se frustram?

29:52

Sim, então eu acho que ainda acho que o número um são os desafios do cenário regulatório atual. E também, sim, futuras novas regulamentações e mudanças nos padrões e estruturas. Quero dizer, nós os vivemos há muitos anos, certo? Mas sim, parece que, no momento, muitas regulamentações estão entrando em vigor. Como todos eles se alinham uns com os outros? Tipo, existem sobreposições? E o que é isso, o que é prioritário e esse tipo de coisa. E, quero dizer, sim, eu lido com essas coisas regularmente. Estou com o NIS2 e o DORA, por exemplo, desde que eles foram anunciados pela primeira vez. E a lei de IA da UE, novamente, escrevi um artigo sobre isso em agosto, quando o texto foi formalmente publicado no jornal da UE. Então, todos esses tipos de coisas. Então, eu estou ciente desse tipo de coisa, mas é difícil. Atualmente, é muito difícil para as organizações CISOs entenderem o que precisam fazer em termos de regulamentação. Então, eu penso em como resolver isso, porque eu também estou feliz em falar sobre problemas e desafios, mas eu também penso, bem, como podemos resolver isso rapidamente? E, novamente, a maneira como eu normalmente abordo isso é construindo ou melhorando nossa estrutura de controle padrão atual. Portanto, temos uma série de controles comuns que podemos aplicar, por exemplo, que atendem aos requisitos de muitos desses regulamentos, padrões e estruturas que estão chegando. E aplicando algo como um controle organizacional ou um controle técnico, podemos atender aos requisitos desse controle. Mas você não se inscreve apenas de acordo com o regulamento ou a estrutura padrão. Você aplica isso, e isso, portanto, se aplica a vários. Então esse é o tipo de maneira que eu realmente tenho compartilhado. Escrevi uma série de, bem, minha equipe com a qual trabalho na Netscape; todos nós trabalhamos nessa série de guias de conformidade que podem, em última instância, ajudar as organizações a entender o que precisam fazer. Considerando o tipo de fruta mais fácil, como dizemos, e também como, se você aplica, se aplica esse controle, que impacto isso tem em todo o cenário regulatório? Então, sim, esses são os desafios dos quais estou ouvindo falar e também como pensamos em ajudar a resolver alguns desses desafios.

31:53

Sim, e eu posso ver o quão oneroso pode se tornar quando você tem tantas regulamentações diferentes para resolver, certo? E cada um deles pede a mesma coisa, mas com uma cor ligeiramente diferente. E você está dizendo: “Preciso fazer todas as cores ou só preciso fazer algumas delas?” Mas eu concordo, certo, que ter talvez algum tipo de estrutura consistente sobre a qual são então criados regulamentos, ou apenas extensões, então, pelo menos, você teria o comentário dizendo: “Ok, bem, se eu estiver adotando essa estrutura, certo, eu sei que tenho tudo o que é básico.” E eu sinto, até certo ponto, e eu meio que concordo com a DORA, especificamente, neste caso, que ela aponta para a ISO 27001 e a estrutura de cibersegurança do NIST como essencialmente uma fonte de inspiração. É construído sobre isso. Você vê que podemos ter um pouco de esperança, pois, nessa organização reguladora que diz que não precisamos reinventar a roda aqui, há muitas coisas boas, como padrões e estruturas, sobre as quais construir, e é assim que vamos amadurecer, em vez de criar nossas próprias coisas individualmente.

33:04

Sim, também é a maturidade. E quando novas versões desses padrões e estruturas também são lançadas, é sempre bom ver. Quer dizer, eu defendi as atualizações da ISO 270001 por muitos e muitos anos para incluir coisas como segurança na web, na nuvem e de dados. Eu realmente não entrei em detalhes sobre o que isso realmente significava. Então, fiquei muito empolgada quando sou uma daquelas pessoas que se empolga quando um padrão novo e atualizado é lançado, dá para ver. Quando eles lançaram 2022, pensei: ótimo, eles finalmente abordaram a segurança na web, a segurança na nuvem e a segurança de dados. Eu defendi o DLP por muitos e muitos anos, desde que meu QSA chegou e mostrei a ele como o DLP estava me ajudando a identificar qualquer dado de cartão fora do meu ambiente de dados de cartão. Ele disse: “Ok, como se chama essa tecnologia?” Eu disse: “É chamado DLP”. Ele diz: “Interessante, talvez possamos considerar isso como um controle compensatório”. Eu estava tipo, sim, deveria, sim, deveria ser, realmente, não deveria.” Então isso foi, novamente, isso mostra minha idade agora, que foi em meados dos anos 2000. Mas sim, é ótimo que os padrões e as estruturas estejam se adaptando aos controles que estão disponíveis. E, novamente, concordo plenamente que, se pudermos, sempre precisamos simplificar a segurança. Quero dizer, a complexidade é sempre nossa inimiga. Voltando ao critério da bola, também não há uma resposta certa, não há ajuste perfeito. Portanto, podemos considerar que, mesmo que partamos, precisamos cumprir uma infinidade de padrões e estruturas regulamentares. Em muitos casos, eles ainda serão exclusivos para nós e nossa organização. Então, sim, é como os aplicamos, é como os consideramos. Então, sim, mas se estamos passando a maior parte do tempo tentando atender aos requisitos de conformidade, infelizmente, não estamos. Nem sempre temos tempo para analisar a inovação e as ameaças e os dados mais recentes e, sim, os avanços em outras áreas também. Então eu acho que, sim, sim, se você puder simplificar a peça de conformidade, ela pagará suas dívidas em termos de permitir que você também se concentre em outras coisas.

34:56

Absolutamente, certo? Acho que é uma simplificação absoluta da conformidade e todos vão gostar disso. Mas acho que também seria empolgante ver a conformidade impulsionando a inovação, além de facilitar a elaboração de relatórios sobre conformidade. Isso não é inovação, é apenas melhores relatórios, mas, na verdade, conformidade como uma forma de impulsionar mais inovação na área de segurança. Eu vejo que há uma oportunidade para isso. Qual é a sua perspectiva?

35:20

Sim. Quer dizer, eu li a Lei de IA da UE várias vezes para realmente entender, novamente, como isso pode ser aproveitado em uma organização para garantir que você atenda aos requisitos. Além disso, certifique-se de que, por exemplo, se você estiver implementando algum controle de segurança cibernética, você também fará esteja de acordo com a legislação. Então, nesse aspecto, é claro, é de alto nível. É muito vago em certas áreas, mas fala sobre certos tipos de atividades, certos tipos de monitoramento, etc. Em última análise, isso é o que você pode fazer se for baseado em uma máquina e não em um humano inspecionando certas coisas, certo? Portanto, é claro que, do ponto de vista da inovação, é importante entender, mas também entender que, novamente, você pode usar IA/ML em sua organização para ajudar a protegê-la. Não é, não é tentar dizer e focar que você não pode fazer isso, por exemplo, porque é considerado criação de perfil ou algo parecido, certo? Então, isso é muito importante. Acho que sempre existem ótimos guias de melhores práticas hoje em dia. Quando vou a um evento e vejo, ouço falar de um dos palestrantes principais ou vou a uma das sessões que me interessam, sempre há muitas pessoas que passaram por isso e inovaram, e talvez tenham usado uma plataforma para atender a um determinado requisito de conformidade, mas como, por exemplo, aceitaram o orçamento que foi alocado para ajudar a organização a atender a esse requisito de conformidade e, em seguida, cumpriu o requisito de conformidade e, em seguida, usei ou reaproveitou parte do tipo de gasto, o investimento em tecnologia para também faça outras coisas também. E, novamente, acho que é muito, muito importante que qualquer organização considere isso, certo? É outra mudança que eu tive. Ouvi dizer que os CISOs, novamente, estão procurando se consolidar. Eles estão procurando onde podem procurar a redução de custos. E para mim, existem ótimas oportunidades de fazer isso. Quer dizer, eu me lembro de começar uma organização que tinha cerca de 70 tecnologias, e eu olhei ao redor da equipe e nós tínhamos, tipo, 10 pessoas. Eu estava tipo, ok, sete para cada um. Ok, mesmo que apenas os atualizemos e os mantenhamos atualizados com as regras e a configuração, isso não será possível, certo? Teremos que começar a reduzir o número de tecnologias que temos, diferentes fornecedores, etc. Precisamos realmente nos consolidar em um conjunto de tecnologias mais gerenciável, e foi aí que eu vi essa boa oportunidade: ok, qual é o requisito de conformidade para ter isso? O que isso está nos ajudando do ponto de vista da ameaça ou da proteção de dados? Como isso está protegendo nossa infraestrutura? Como isso está protegendo nosso pessoal? Porque, sim, também precisamos ajudar a proteger as pessoas. Como isso está ajudando a educar e aumentar a conscientização. Então, selecionei os requisitos que realmente atendiam a essas áreas-chave e, em seguida, pude, com certeza, começar a procurar reduzir o número de fornecedores de tecnologia que eu estava usando e, finalmente, torná-la mais gerenciável. E eu tentei fazer isso em todas as organizações às quais entrei, para realmente focar nisso. Porque, desde que você atenda a esses requisitos, isso é ótimo, mas há muita dívida técnica. Acho que essa é a frase comum sobre a qual todos falamos como um dos maiores desafios. Existem maneiras pelas quais podemos absolutamente procurar reduzir essa complexidade. E acho que quando você reduz a complexidade, você pode começar a se concentrar por mais tempo. Prefiro que toda a minha equipe se concentre mais em ajustar, configurar, melhorar tecnologias, passar mais tempo analisando eventos e analisando métricas, tendências, análises e análises e esse tipo de coisa, em vez de precisar atualizar uma peça de tecnologia, porque ela está programada para ser atualizada. Eu realmente quero fazer esse tipo de coisa e, claro, essa é a alegria, a alegria do SSC e do SASE é que, em última análise, você pode deixar seu provedor fazer isso e aproveitar o tempo gasto para, novamente, manter e configurar essas políticas, de modo que isso seja muito, muito importante, do meu ponto de vista. Novamente, como gerenciamos os recursos em nossos termos.

39:17

Acho que uma coisa é que, em torno dessa consolidação, também é uma oportunidade, especialmente quando você tem um tipo de fornecedor que diz: “Ei, temos essa capacidade”. Muitas vezes, eu acho, e sei que, estando do lado do fornecedor, a resistência dos clientes potenciais aos clientes é: “bem, eu já tenho 30 outras ferramentas” ou, no seu caso, você disse 70 outras ferramentas, certo? Mas acho que esse exercício de consolidação realmente permite que você mapeie exatamente quais recursos você tem, porque acho que o maior desafio para as organizações quando elas se deparam com uma nova tecnologia é que elas realmente não entendem o que sua pilha atual faz, certo? Onde ele fornece valor e onde está realmente, apesar de ter 70, ainda existem lacunas nas capacidades e nas principais capacidades. E acho que oferece uma oportunidade de essencialmente descobri-las e dizer: “Ah, ok, agora eu percebo por que preciso disso”.

40:11

Sim, exatamente. Então, quero dizer, uma das primeiras coisas que fiz foi trazer parceiros fornecedores em funções anteriores. Quero dizer, a melhor coisa é que na Netskope, eu obviamente entrei na Netskope, seis anos e meio, sete anos atrás. Somos uma empresa de nuvem que fornece um produto para a tecnologia. Então, eu não tinha isso, esse problema. Mas isso é o que eu tenho a dizer em organizações anteriores, porque eu sei que esse é um grande desafio. Mas sim, eu trazia fornecedores e parceiros e dizia: “Ok, temos uma renovação chegando em seis meses”. E a primeira coisa que eles sempre diziam era: “Ok, entraremos em contato com você mais perto da hora.” E eu disse: “Não, preciso saber por que agora estamos usando essa tecnologia. Que benefícios estou vendo com essa tecnologia?” E tivemos essa discussão e, claro, vou voltar e dizer: “Sim, provavelmente podemos começar a pensar em consolidar isso”. E eu até tenho uma, quero dizer, ainda tenho a planilha e, na verdade, trabalhei com várias outras organizações, novamente, na Netskope, que tiveram o mesmo desafio. E eu meio que disse que temos essa lista de cerca de 250 tecnologias diferentes e, em última análise, elas podem ser, talvez, consolidadas, como em fases. Então sua fase um será essa, fase dois, fase três. Agora você pode começar a procurar consolidar, porque há muitas coisas que se sobrepõem, certo? Quando analisamos os recursos essenciais que potencialmente se sobrepõem a outras tecnologias que você talvez já tenha, eu concordo totalmente com você. Não é, nem sempre é visível para alguém. E pode ser que você ouça sobre essa coisa nova, brilhante e nova, pense, ok, bem, que, isso seria ótimo, podemos trazer isso, mas, na verdade, agora isso talvez se sobreponha a outra coisa que eu tenho. Então, eu preciso, tipo, substituir? Eu tenho isso como uma analogia. Eu tenho a mesma coisa com minha esposa e meu guarda-roupa é tipo, eu não consigo mais entrar, então se eu vou trazer algo novo, eu tenho que me livrar de alguma coisa. Então, atualmente é muito parecido com isso, certo? Mas nesse caso, acho que, do nosso ponto de vista como CISO, é como se eu trouxesse uma coisa, provavelmente precisaria me livrar de três coisas. Em última análise, eu meio que vejo esse ponto ideal que tive, tivemos uma ótima discussão na semana passada, novamente, com nosso conselho consultivo de clientes, e o ponto ideal é ficar abaixo de 10, certo? Se você pode usar menos de 10 tecnologias, todas elas estão fazendo, novamente, todas elas estão fazendo o que podem, estão integradas, abertas, conversando umas com as outras e, é claro, estão utilizando os benefícios mais recentes desse tipo de coisa. Então, você está cobrindo isso de uma pilha de tecnologia e está reduzindo para esse tipo de nível mais gerenciável. Esse é o ponto ideal, na verdade. Sei que outras organizações dirão: “Bem, sim, nunca chegaremos a 10, mas vamos tentar reduzir para 20”. Em última análise, é onde você meio que quer estar. E acho que ainda há a necessidade de produtos pontuais se você tiver um caso de uso específico, mas agora você está vendo toda essa consolidação e esse jogo de plataforma de que estamos falando. Existe esse recurso em que tudo é baseado em microsserviços e, em última análise, você pode executar microsserviços em plataformas. É uma maneira mais inteligente de fazer essas coisas.

42:57

Sim, com certeza. Então, ainda temos alguns minutos, chegando ao fim. Obviamente, falamos sobre coisas que são empolgantes e, igualmente, sobre coisas que são desafiadoras. Mas e as coisas que são inesperadas? O que você encontrou no ano passado ou talvez antes disso? É como se você olhasse e pensasse: “Hmm, isso foi completamente o oposto do que eu esperava que acontecesse”.

43:22

Sim, acho que com, quero dizer, eu posso voltar para a IA, e eu meio que sabia que a IA ia explodir. Eu sabia que a IA ia decolar. Acho que escrevi um artigo sobre isso em 2014, pronto para a era da IA. E, sim, todos nós meio que esperamos por isso, esperamos por isso, e foi: “vai acontecer em breve, vai acontecer em breve”. Acho que não foi, quero dizer, não este ano, mas, sim, nos anos anteriores, bem, não esperava isso, parecia que era, talvez nunca fosse acontecer. Era como se os casos de uso não existissem para, quero dizer, ML, sim, temos ML há muitos e muitos anos. Você sabe, vimos valor lá, por exemplo. Mas, quando falamos sobre coisas como o GenAI, não usávamos, quero dizer, eu estava usando um serviço GenAI há muitos anos, e foi útil. Fui útil do ponto de vista de uma nota e anotei todos esses tipos de coisas. É realmente muito útil. E eu fiquei tipo, ótimo. Esse é um ótimo caso de uso. Mas eu realmente não esperava, de repente, esse tipo de explosão do uso de GenAI e IA. E aconteceu tão rápido e quase como uma surpresa quando eu soube que isso iria acontecer. Mas acho que isso foi algo meio inesperado. Em poucas semanas, parecia que organizações inteiras agora estavam fazendo como originalmente, estavam fazendo avaliações de fornecedores sobre provedores de serviços em nuvem e esse tipo de coisa. Duas semanas depois, eles agora estão fazendo isso com novos fornecedores e também com fornecedores existentes que continuam adicionando novos recursos, o que eu acho que é um dos maiores desafios. Então, como agora, é como quando falo com qualquer outro CISO, eles simplesmente dizem que nossa equipe está sendo inundada com novas tecnologias ou tecnologias existentes que adicionaram isso. É só que, acabou de acontecer uma explosão. Então, acho que esse foi o desafio inesperado mais recente. Mas sim, então isso foi, isso foi há alguns anos. Não poderíamos viver isso há alguns anos, mas ainda está aqui.

45:15

Bom, incrível. Espero que, quando você fez essa previsão, também tenha comprado uma tonelada de ações da Nvidia naquela época e as tenha cumprido agora. Vamos encerrar, certo? Você tem uma ótima experiência como CISO. Você passa muito tempo conversando com outros CISOs, CIOs e tomadores de decisão importantes. Para alguém que está começando sua carreira na área cibernética e tem a ambição de um dia se tornar um CISO ou CSO. Qual é o conselho que você daria a eles?

45:43

Acho que para mim sempre seria, quero dizer, dizer sim quando você tivesse oportunidades, mesmo que não seja, talvez você ache que é o seu tipo de carreira, e talvez diga sim a elas. E, novamente, eu diria, definitivamente, vá lá. Fale com outros CISOs, aprenda com outros CISOs, certo? Quando comecei essa carreira, eu gostaria de ter, nós realmente não tínhamos CISOs que eu pudesse perguntar. Tivemos que aprender no trabalho. Sim, acho que agora temos essa grande oportunidade para, e acho que a maioria dos CISOs está bastante aberta, feliz em compartilhar ideias, certo? Quero dizer, bem, neste podcast, certo? Compartilhando pensamentos e experiências e esse tipo de coisa, todos nós, acho que somos eu. De qualquer forma, pessoalmente, adoraria deixar o setor em um lugar melhor do que quando entrei nesse setor, certo? Isso é sempre um bom sinal de que você está tentando retribuir. Então, para mim, seria, sim, ir, se você está pensando e realmente quer ser um CISO, vá conversar com outros CISOs e tente passar o máximo de tempo com eles. Mas também vá a eventos. Se tiver a oportunidade de ir até mesmo a um jantar ou algo parecido, vá até mesmo entender como, ouvir sobre os desafios e começar a pensar em como você poderia ajudar a resolver alguns desses desafios. Definitivamente, precisamos de solucionadores de problemas neste setor, certo? Quanto mais solucionadores de problemas, melhor. Se você tem esse tipo de conjunto de habilidades, apetite ou interesse na área e é um ótimo solucionador de problemas, essa é definitivamente a carreira para você.

47:05

Incrível. Bem, Neil, com isso, muito obrigado por seu tempo hoje e por você e sua sabedoria. Foi ótimo ter essa conversa com você. Agradeço muito. Felicidades.

47:15

Sim, não. Obrigado, Raghu.

‍