Emily Wearmouth [00:00:01] Hallo und willkommen zu einer weiteren Ausgabe des Security Visionaries Podcasts. Audiostimulation für alle, die in der Cyber-, Daten- oder verwandten Branche tätig sind. Ich bin heute ein Ersatz, weil ich gebeten wurde, dieses Gespräch für meinen Co-Moderator Max zu moderieren, der von einem Virus befallen ist. Und der Klarheit halber meine ich nicht Malware und Max ist keine KI. Er ist ein richtiger Junge. Und gute Besserung. Ich muss sagen, dass ich wirklich froh bin, dass ich mich hier durchgesetzt habe, denn heute zücken wir unsere Kristallkugeln in der alljährlichen Tradition, Vorhersagen für das kommende Jahr zu treffen. Und ich habe zwei Gäste auf dem Hotseat, die beide bereit sind, zu Protokoll zu geben und einige Vorhersagen für uns zu treffen. Als Erstes haben wir Shamla Naidoo. Tun sie. Shamla war als CISO für Unternehmen wie Starwood Resorts und IBM tätig und ist außerdem außerordentliche Professorin für Rechtswissenschaften an der University of Illinois. Sie ist Mitglied mehrerer öffentlicher Gremien und leitet außerdem die Abteilung Cloud-Strategie und Innovation bei Netskope. Willkommen. Schamla.
Shamla Naidoo [00:00:54] Danke, Emily. Ich bin froh, hier zu sein.
Emily Wearmouth [00:00:56] Mein zweiter Gast ist Sherron Burgess, ebenfalls CSO einer sehr großen Organisation und auch Vorstandsmitglied. Und Sharon ist den Zuhörern vielleicht wegen ihrer Arbeit bekannt, die sie für die Vielfalt in unserer Branche leistet. Und tatsächlich ist eine ihrer Vorstandspositionen bei Cyversity, einer gemeinnützigen Organisation, die sich dafür einsetzt, die Präsenz unterrepräsentierter Minderheiten im Bereich der Cybersicherheit zu erhöhen. Wirklich wichtige Arbeit. Willkommen, Sherron.
Sherron Brugess [00:01:19] Danke, Emily. Froh hier zu sein.
Emily Wearmouth [00:01:21] Also ohne weitere Umschweife tauchen wir gleich ein. Polieren Sie die Kristallkugel. Shamla hat uns eine Vorhersage gemacht, die uns auf den Weg bringen soll. Was sollten wir im Jahr 2024 erwarten?
Shamla Naidoo [00:01:30] Wissen Sie, Emily, CISOs berichten seit vielen Jahren an Vorstände. Aber ich denke, was wir sehen werden, ist eine Veränderung in dieser Beziehung. Bislang kamen CISOs also meist, nicht ständig, aber hauptsächlich als Fachexperten in die Vorstandsetage. Die Beziehung lag größtenteils bei anderen Führungskräften wie dem CIO, dem Chief Risk Officer oder sogar dem Generalprüfer. Die Beziehung lag also im Besitz dieser Führungskräfte, während das Thema vom CISO kam. In den letzten Monaten sehen wir, dass die SEC nur ein Katalysator ist. Aber im Allgemeinen denke ich, dass die Vorstände allmählich begreifen, dass sich ihre Rolle stark von der Rolle des CFO unterscheidet. Der CISO ist ein operativer Leiter vor Ort. Und ich denke, was Sie sehen werden, ist, dass sich die Vorstände stärker auf den CISO stützen werden. Sie werden diese Beziehung wollen, weil der CISO die Person ist, die über die Informationen, die Aktualisierungen, das Wissen und auch über einen guten Gesundheits- und Wohlergehenszustand des Unternehmens in Bezug auf Cybersicherheit verfügt. Wissen Sie, wenn ich darüber nachdenke, ist eine damit verbundene Veränderung, die wir in der Branche erleben werden, die, dass Vorstände für die Arbeit, die sie im Rahmen dieser Rolle leisten, durch eine Versicherung für Direktoren und leitende Angestellte abgesichert sind. Und was wir gerade sehen, ist, dass CISOs beginnen, Deckung, Versicherungsschutz und andere Schutzmaßnahmen wie Entschädigungen für die Ausübung ihrer Arbeit zu fordern, weil wir glauben, dass gegen CISOs wegen der Ergebnisse in ihren Organisationen ermittelt wird. Ich denke, Sie werden sehen, dass die Vorstände diese Anfrage des CSO verstehen werden, weil sie sie haben. Und wenn der CISO nicht automatisch ein Beamter ist, möchte er eine Art Bestätigung in seiner Richtlinie haben, ihn in Untersuchungen einzubeziehen, wenn er seine Arbeit erledigt. Ich denke also, dass diese beiden Dinge wirklich gut zusammenpassen werden, wenn der Vorstand diese Beziehung wünscht. Sie haben auch Verständnis für die Bitte des CISO um Versicherungsschutz und Entschädigung für die Ausübung ihrer Arbeit. Das sehe ich in Bezug auf diese Beziehungen unmittelbar bevorstehen.
Emily Wearmouth [00:03:44] Es klingt Sherron, ich bin daran interessiert, Ihre Meinung zu erfahren. Es hört sich so an, als gäbe es fast einen Punkt der Spannung, an dem CISOs vielleicht eine stärkere Beziehung direkt zum Vorstand wünschen, aber vielleicht werden sie in der Mine zurückgehalten, weil ihnen dort nicht der gleiche Schutz geboten wird wie den anderen Vorstandsmitgliedern Versicherungen. Ist das etwas, auf das Sie gestoßen sind, oder Gespräche, die Sie mit Ihren Kollegen geführt haben, das es überhaupt berücksichtigt?
Sherron Brugess [00:04:05] Ja, ich glaube wirklich, dass es so ist. Ich meine, ich denke, was wir in den letzten anderthalb Jahren gesehen haben, ist, dass CISOs nun mit Hacks und Sicherheitsverletzungen konfrontiert werden. Und so ist es in vielen Fällen nicht unbedingt die Nachlässigkeit des CISO, sondern möglicherweise die Entscheidungsfindung des gesamten Vorstands im Hinblick auf die Risiken, die das Unternehmen eingeht. Und deshalb müssen die CISOs, wie Sie wissen, in der Gemeinschaft der Kollegen von CISOs darüber reden, wie wir unsere Arbeit erledigen, wie wir unsere Unternehmen, unsere Vorstände usw. beraten und konsultieren, aber trotzdem Schaffen Sie auch Raum für das, was das Unternehmen tun möchte, und bewahren Sie unsere Integrität als Fachleute. Und deshalb denke ich, dass wir, um dies zu erreichen und nicht nur zu versuchen, das zu kürzen, was wir bieten, die Anleitung, die wir geben, um in der Lage zu sein, als Fachkräfte zur Arbeit zu kommen, einen etwas mehr Schutz brauchen. Sollte vorhanden sein. Also, ja, das sehe ich. Und wissen Sie, offensichtlich ist die Situation mit Joe Sullivan und wenn man bedenkt, was in allen Fällen vor sich geht, sind nur die CISOs hier einer erhöhten Sensibilisierung ausgesetzt.
Emily Wearmouth [00:05:13] Gibt es wichtige Meilensteine, auf die wir achten sollten, wenn wir zeigen, dass wir Fortschritte in Richtung dessen machen, was Sie hier vorhersagen? Wird es bei einzelnen Versicherungsgesellschaften große Bewegungen geben? Wird es Änderungen in den Vorschriften darüber geben, wie Regierungen von Gremien verlangen, ihre Mitglieder zu organisieren und zu schützen? Oder ist es einfach etwas, das sich langsam und auf weniger greifbare Weise durchsetzen wird?
Shamla Naidoo [00:05:33] Wissen Sie, ich denke, große Meilensteine, die wir sehen werden, wären zum einen, dass CISOs anfangen, Fragen zu stellen: Bin ich ein Beamter und bin ich durch die abgedeckt? Versicherungen für Geschäftsführer und leitende Angestellte des Unternehmens und andere Arten von Schutzmaßnahmen? Wenn Sie kein Offizier sind, werden Sie es herausfinden. Und wenn Sie Beamter sind, werden Sie auch feststellen, dass Sie für die Ausübung Ihrer Arbeit versichert sind. Sobald Sie die Grenzen Ihres Jobs verlassen, werden Sie wahrscheinlich in Schwierigkeiten geraten, da Sie durch den Versicherungsschutz nicht vor Dingen geschützt werden, die nicht legal sind oder außerhalb Ihres Pflichtenbereichs liegen. Sie werden also feststellen, dass CISOs fragen werden: Bin ich ein Beamter? Sie werden auch Fragen stellen wie: Welchen Umfang habe ich bei der Entscheidungsfindung? Und wenn es nicht in meiner Entscheidungsbefugnis liegt und jemand anderes die Entscheidung treffen muss, weil ich keinen Versicherungsschutz für Entscheidungen bekomme, die ich treffe und die außerhalb meines Aufgabenbereichs liegen. Daher denke ich, dass Sie viel mehr Klarheit über CISOs, ihre Rollen und ihre Entscheidungsrechte sehen werden. Und dann erhalten Sie etwas mehr Klarheit darüber, was abgedeckt ist, was drin ist und was nicht, welche Versicherungsträger die Untersuchung des CSO ausschließen und nur die Cybersicherheitsverletzung sowie die Forensik und die Reaktion abdecken. Daher denke ich, dass sich die Herangehensweise der Unternehmensleiter an dieses Thema verändern wird. Sie werden einen Wandel in der Branche, insbesondere in der Versicherungsbranche, erleben, der Klarheit darüber schafft, was drin und was draußen ist. Und ich denke, dass CISOs nur die Nutznießer dieser Veränderungen sein werden. Und die Meilensteine werden sein: Haben CISOs das Gefühl, angemessen unterstützt zu werden? Und sie haben das Gefühl, dass sich um ihre geistige Gesundheit gekümmert wird, weil sie diese Klarheit haben, sie haben den Schutz und sie haben die Möglichkeit und den Raum, ihre Arbeit zu erledigen und einen wirklich guten Job zu machen. Im Vergleich zu heute ist die Angst groß. Es gibt eine gesunde Portion Stress in der Organisation, weil so viel davon unbekannt ist.
Sherron Brugess [00:07:45] Und vielleicht kann ich dem etwas hinzufügen? Denn, wissen Sie, es ist wie mit der psychischen Gesundheit. Es ist lustig. Wenn wir über die psychische Gesundheit eines CISO sprechen, ist es so, als ob das nicht existiert, richtig, wenn Sie diese Frage haben. Ja, ich bekomme immer diese lustigen Fragen von Verkäufern, zum Beispiel: Was hält Sie nachts wach? Es ist, als ob mich alles auf Trab hält, weil so viel los ist. Wissen Sie, ich denke, was hier passiert, betrifft auch die Umgebung einiger Meilensteine. Ja, ich denke, die Versicherung der Beamten, die Ernennung zum Beamten und der Versicherungsschutz. Ich denke jedoch, dass es zu weiteren Nuancen gehören kann, sicherzustellen, dass Sie das Recht auf eine eigene rechtliche Vertretung haben. In vielen Fällen, in denen Sie eine Beamtenversicherung haben, ist es gut, dass Sie abgesichert sind, solange Sie sich an die Linie Ihres Unternehmens halten. Daher denke ich, dass diese zusätzlichen Nuancen wichtig sein werden. Ich denke auch, dass es immer mehr Verträge mit Arbeitsverträgen geben wird. Sind diese Dinge in den Verträgen ausdrücklich festgelegt? Es ist eine Sache, in der Versicherung genannt zu werden, aber ich denke, der andere Teil ist, wissen Sie, als Praktiker ist es auch sehr wichtig, Kopien dieser Versicherung anzufordern und dies ausdrücklich in Ihrem Arbeitsvertrag festzuhalten. Mir gefällt auch, wie Sie diese Entscheidungsbefugnis erwähnt haben. Ich denke, das ist super wichtig. Wissen Sie, wenn dies außerhalb meiner Entscheidungsbefugnis liegt, dann bin ich hier nicht abgedeckt, also werde ich diese Entscheidung nicht treffen. Ich denke auch, dass es die Möglichkeit gibt, zu eskalieren, wenn es in dem Fall, wissen Sie, eine Art Gesetzgebung und SEC-Regeln gibt, die besagen, dass man das Recht oder sogar die Pflicht hat, über Ereignisse zu berichten Wenn Ihr Vorstand dies nicht verlangt oder Ihr Unternehmen sagt, dass dies nichts ist, sollten Sie dies tun. Diese Fähigkeiten, ohne Schaden oder Strafe zu eskalieren, werden ebenfalls sehr interessant sein.
Emily Wearmouth [00:09:40] Ich wusste also nicht, wann wir über Vorhersagen sprechen würden, dass es für unseren Zuhörer so unmittelbar hilfreich sein würde. Ich denke, dass hier einige wirklich interessante Punkte angesprochen wurden. Ein tolles. Shana, und nun zu dir, Sherron. Was ist Ihre Prognose für uns für 2024?
Sherron Brugess [00:09:54] Ja, meine Prognose wäre also, dass es einen Wettlauf um qualifiziertere Talente und dieses Wachstum der Cyber-Arbeitskräfte geben wird. Im vergangenen Jahr hat das Weiße Haus eine Strategie zur Personalentwicklung ausgearbeitet. Es gibt den Ruf nach öffentlich-privaten Partnerschaften, um Cyber-Talente fördern zu können. Und was nun wirklich interessant ist, ist die Idee, dass jeder Einzelne und ich würde sagen Amerika, aber jeder Einzelne über grundlegende Cybersicherheits- oder sicherheitsbezogene Kenntnisse verfügen muss. Ich denke, das wird insofern sehr interessant sein, als es jetzt Universitäten und Schulen, sogar K- bis 12-Einrichtungen, darüber informiert, dass Schüler Cyber-bewusst sein müssen, damit sie einen Beitrag zur allgemeinen Gesellschaft leisten können.
Emily Wearmouth [00:10:44] Wenn Sie K bis 12 sagen, haben wir nur einige internationale Zuhörer. Welche Altersgruppe ist das?
Sherron Brugess [00:10:48] Von der Zeit, in der Sie in die Grundschule kommen, über Ihre jüngeren Jahre bis hin zur Universität und dergleichen. Wir werden also viel mehr davon sehen, wie sicherheitsrelevante Fähigkeiten in Ihre Ausbildung, in die formalisierte Grundschulbildung und dergleichen eingebettet werden. Aber auch auf Unternehmensseite wird es interessant sein, dass man in der Vergangenheit, wenn es so etwas gibt, über all diese verfügbaren Jobs spricht. Sie sprechen davon, dass wir mehr Talente brauchen, um diese Stellen zu besetzen. In der Vergangenheit haben wir Ressourcen ausgetauscht. Man sieht also, dass Einzelpersonen von Unternehmen zu Unternehmen springen, und Unternehmen haben nicht in die Entwicklung ihrer eigenen Talent-Pipelines investiert, sondern versuchen oft, ihre Ressourcen ins Ausland oder in die Nähe von Unternehmen zu verlagern, um diese Talente nicht entwickeln zu müssen. Ich denke, was wir sehen werden, ist, dass es größere Investitionen geben wird, um Menschen aus anderen Branchen in die Cybersicherheit einzubeziehen. Daher streben Berufsübergänger auch nach einer Weiterentwicklung aus den Reihen der Universitäten und Hochschulen oder jüngeren Altersgruppen und beginnen auch, Talente mit nicht-traditionellem Hintergrund mitzubringen. Sie werden also nicht nur unterschiedliche Hintergründe sehen, sondern, glaube ich, auch eine Zunahme an Junior-Colleges oder diesen zweijährigen oder fachschulbezogenen Ausbildungen sehen, die dazu führen werden, dass Sie sich in der Branche immatrikulieren.
Shamla Naidoo [00:12:28] Ich denke, was Sharon mit einer Vorhersage gemacht hat, ist, dass sie lediglich einen Aufruf zum Handeln erstellt und den Hintergrund und einige der Branchenveränderungen angegeben hat, die passieren werden, um diese Vorhersage zu stützen. Und das ist meiner Meinung nach sehr klug. Vielen Dank, Sharon, dass du das getan hast, denn wir müssen über dieses Talentgespräch sprechen. Und ehrlich gesagt sagen wir schon seit langem, dass Cybersicherheit ein Mannschaftssport ist. Wir verwenden, wie Sie wissen, Analogien wie: „Es dreht sich nicht alles nur um das Cybersicherheits-Führungsteam.“ Die gesamte Organisation muss einbezogen werden usw. Aber ich denke, Ihre Vorhersage ist, dass der Handlungsaufruf für die Operationalisierung darin besteht, wie wir tatsächlich vorgehen werden, Sie wissen schon, mit der Frage umgehen, ob Sie als junges Kind in die Schule kommen, ob Sie an der Universität sind, ob Sie ein Berufsanfänger sind oder ob Sie zu spät kommen professionell, Sie sind eine Führungskraft. Auf allen Ebenen muss ein grundlegendes Verständnis für dieses Thema vorhanden sein. Wie Sie wissen, denke ich darüber nach. Ja, es ist eine Vorhersage und es ist eine sehr kluge Vorhersage, aber es ist ein Aufruf zum Handeln, denn lasst uns alle mobilisieren, um dies Wirklichkeit werden zu lassen, denn das müssen wir unbedingt tun. Und es reicht nicht mehr aus zu sagen, dass wir bis 2030 4 Millionen Arbeitsplätze verlieren werden. Solche Kennzahlen sind nicht hilfreich, weil wir sagen, dass wir in den letzten fünf Jahren oder sogar einem Jahrzehnt keine großen Fortschritte gemacht haben. Deshalb müssen wir jetzt unsere Taktik ändern, um noch näher heranzukommen.
Emily Wearmouth [00:14:03] Im Moment habe ich meine Hausaufgaben gemacht. Ich habe hier so etwas wie eine festliche Goodie-Bag, und sie ist gefüllt mit Vorhersagen von einigen der Fachexperten der nächsten Gruppe. Bevor er krank wurde, ging Max, mein Co-Moderator, durch die Korridore und spukte durch die Slack-Kanäle, um die Leute dazu zu bringen, die Zukunft vorherzusagen. Lassen Sie mich also ein wenig metaphorisch stöbern. Hier ist ein gutes Exemplar. Ich habe eine von Neil Thacker, unserem CISO aus der EMEA-Region, ausgewählt, und er prognostiziert meiner Meinung nach ziemlich sicher. Zunächst einmal werden die vorgeschlagenen KI-Vorschriften im Jahr 2024 auf den Prüfstand gestellt, und ich hoffe, dass er Recht hat. Aber interessanterweise fragt er sich, ob irgendein Land versuchen wird, durch absichtliche Verzögerung seiner eigenen Vorschriften im Wettbewerb einen Vorsprung zu gewinnen, um sich einen Vorsprung in diesem KI-Wettrüsten zu verschaffen. Und ich denke, es ist frech, denn die Hälfte davon ist, wie ich schon sagte, weniger eine Vorhersage, sondern eher ein Grübeln. Und ich bin gespannt, wie das auf Sie zutrifft, und zwar ganz genau, und Sie könnten eine allgemeine Frage beantworten, aber wenn Sie genauer sein könnten: Wo erwarten Sie schnelle Regulierungsschritte und welche Märkte geben Ihrer Meinung nach Auftrieb? Anzeichen dafür, dass sie etwas langsamer sein könnten? Das werde ich dich zuerst fragen, Sherron.
Sherron Brugess [00:15:09] Ja, ich meine, ich stimme zu. Ich denke, dass es wirklich interessant sein wird, denn ich denke, die Leute versuchen immer noch zu verstehen, was das, wissen Sie, was verspricht, wissen Sie, ich denke, im Moment ist es ein großes Modewort. Weißt du, die Leute sagen: „Oh, es ist so, als ob du acht bekommen solltest, und das löst alle deine Probleme und alles wird gut.“ Rechts. Und deshalb denke ich erstens, dass es einfach an dem mangelt, was KI ist, und an einer Definition dessen, was es ist. Und Sie wissen, was die Leute vorschlagen, was es bewirken wird. Wissen Sie, ich denke, es ist ein wirklich interessanter Punkt. Werden sie die Regulierung hinauszögern, um zu sehen, ob sie tatsächlich umgesetzt wird? Wissen Sie, es ist auch interessant festzustellen, dass, wenn sie Regulierungen einführten, alle langsamer würden, damit sie Schritt halten könnten. Alle entwickeln und iterieren also gleichzeitig. Was ich sehe, ist, wissen Sie, dass viele Arbeitsgruppen entstehen, um einfach ein paar Ideen und Überlegungen darüber zu machen, was vor sich geht. Ich denke, dass das Weiße Haus oder das Amt für Wissenschaft, Technologie und Politik hier in den USA diese KI-Grundrechteverordnung eingeführt hat, und Sie sehen, dass viele bestehende Praktiker, CISOs, Sie wissen schon, solche akzeptablen Nutzungsrichtlinien entwickeln Und, wissen Sie, ich versuche nur, ein paar Leitplanken anzubringen. Aber ich denke, dass die Leute beim ersten Mal versuchen werden, so viel wie möglich innerhalb der Grenzen zu erreichen. Und ich habe tatsächlich diese Gelegenheit, als globaler CISO zu sitzen, und, wissen Sie, welche Bereiche oder Länder würde ich aus regulatorischer Sicht erwarten? Wissen Sie, vor dem Hintergrund der DSGVO wäre ich natürlich sehr daran interessiert zu sehen, was Deutschland tun wird. Sie stehen in der Regel an erster Stelle, wenn es um Datenschutzrechte und dergleichen geht. Und ich denke, es wird sehr interessant sein zu sehen, was diese Idee der KI und, wissen Sie, einige der Konzepte zu diskriminierenden Praktiken oder, wissen Sie, die Idee der Privatsphäre und des Rechts, vergessen zu werden, und dergleichen, einige davon bereits haben regulierte Länder werden in diesem Bereich tun. Aber ich denke, mein erster Versuch würde bedeuten, dass jeder versuchen wird, so schnell wie möglich vorzugehen und alle jeweiligen Anwendungsfälle zu bestimmen, bevor er einige dieser Vorschriften einbaut, um alle zu verlangsamen, ich möchte nicht langsam sagen alle unten. Aber ich denke, sobald es in größerem Maßstab missbraucht wird, werden die Leute meiner Meinung nach versuchen, es so schnell wie möglich zu iterieren.
Emily Wearmouth [00:17:38] Was ist mit dir, Shamila? Was denken Sie über diese Vorhersage?
Shamla Naidoo [00:17:40] Also ich stimme Ihnen zu und ich stimme allem zu, was sie gesagt hat. Und ich denke, dass Neils Vorhersage sehr solide ist. Das ist der Grund, warum diese Industrieländer, die sich auch für den Datenschutz einsetzen und in vielerlei Hinsicht Protektionisten sind, meiner Meinung nach etwas übertreiben werden, weil sie mit der Regulierung die ersten sein wollen und auf uns schauen und schauen Sie sich unsere Disziplin an, schauen Sie sich unsere Struktur usw. an. Ich denke, die Kehrseite davon ist meine Schwäche, denn jetzt haben Sie die Innovation einfach unterdrückt. Sie haben auch die Möglichkeit geschaffen, in Ihrer eigenen Gesellschaft einzubrechen, während andere möglicherweise, wie Sie wissen, sehr schnell vorankommen. Deshalb müssen wir aufpassen, dass wir die großartigen Chancen, die uns die KI bieten könnte, nicht zunichtemachen. Wissen Sie, ich mag das Konzept, keinen Schaden anzurichten, und wenn wir also ein soziales Bewusstsein dafür schaffen können, keinen Schaden anzurichten, so kommerziell tragfähig Ihre Lösung auch sein mag. Ich denke, das ist wahrscheinlich der Ausgangspunkt. Und dann, wissen Sie, fängt man an, zu nuanciert zu werden, man kann das machen, aber man kann das nicht, das wird zu diesem Wettbewerb von okay, wissen Sie, führen, während die industrialisierte Welt anfängt, in Bezug auf dieses Regulierungskonstrukt irgendwie zu schwanken, andere wird beginnen, die Technologie zu nutzen, um bessere Ergebnisse zu erzielen, sowohl kommerzielle als auch soziale Ergebnisse. Und wir könnten zurückbleiben. Deshalb mache ich mir Sorgen, dass wir die Regulierung in einen Kontext stellen müssen, wenn wir darüber nachdenken. Regulierung bedeutet, für schlechte Ergebnisse zu regulieren. Und ehrlich gesagt kennen wir die schlechten Ergebnisse noch nicht. Wir haben einige unangenehme und unbequeme Ergebnisse erlebt, aber wir haben keine katastrophalen Ergebnisse gesehen. Was mir also Sorgen macht, ist, dass man, wenn man auf die Bremse tritt, bevor man überhaupt weiß, dass man ein Gaspedal hat, wirklich nicht weiß, wie stark man auf die Bremse treten muss. Und wir müssen stärker darüber nachdenken, Innovationen immer zu unterdrücken, nicht nur in unseren eigenen Ländern und Gemeinden. Aber unterdrücken wir Innovationen für die Gesellschaft?
Sherron Brugess [00:19:44] Ich möchte eines sagen: Wissen Sie, es ist etwas über KI, das ich wirklich interessant finde. Und vor kurzem wurde dem Wörterbuch eine neue Definition hinzugefügt, nämlich die Vorstellung von Halluzination. Und die Vorstellung, dass KI Schlussfolgerungen zieht, ist im Grunde genommen falsch. Es war die Antwort. Rechts. Ich denke, die KI hat einige schöne Aspekte. Und es ist so cool, wenn man an die Innovation, die Geschwindigkeit und all diese Dinge denkt, die viele Leute und viel Rechenleistung erfordern würden, um durchzukommen. Was mich aus KI-Sicht immer beunruhigt, sind die gesellschaftlichen Auswirkungen und was das bedeuten könnte. Wissen Sie, ich habe zufällig eine Teenagerin, und wenn sie an den Punkt gelangt, an dem sie ein produktiver Erwachsener in der Gesellschaft ist, werden zu diesem Zeitpunkt, wissen Sie, Maschinen viele Entscheidungen treffen. Daher befürchte ich, dass die Gesellschaft ihre Verantwortung verlieren wird, Maschinen zu überprüfen und wirklich zu verstehen, was real ist und was nicht. Und ich denke, das ist so etwas wie das Ethos, über das wir nachdenken müssen, wenn wir in diese neue Welt eintauchen und das Versprechen dessen, was KI ist. Wir müssen darüber nachdenken, wie wir uns nicht davon verzehren lassen. Wie nutzen wir sie für Innovationen und Ähnliches, aber wie stellen wir auch sicher, dass wir das Gleichgewicht zwischen dem wahren und dem, was nicht, dem, was wahr ist und dem, was nicht, aufrechterhalten? Und diese Art der Erkundung von dieser Seite, wissen Sie, persönlich und gesellschaftlich, wird meiner Meinung nach hier ein wichtiger Faktor sein. Wissen Sie, ich weiß nicht, wie Länder oder Regulierungen das messen werden, aber ich denke, es wird wirklich wichtig sein, wenn wir uns ansehen, was KI und Maschinen und all diese Dinge aus Innovationssicht für uns tun können.
Shamla Naidoo [00:21:39] Und weißt du, Emily, ich möchte diesem Gespräch etwas hinzufügen, denn es ist nicht unbedingt eine Vorhersage, aber ich denke, es ist wieder so, es ist eine Art Aufruf zum Handeln. Ich habe viele, viele KI-Vorschriften gesehen, die sich auf die Ergebnisse konzentrieren. Ich würde mir wünschen, dass sich die Regulierungsbehörden auf den Input konzentrieren, denn der einzige Ort, an dem Sie noch eine regulatorische oder andere Kontrolle haben, ist der Ursprungspunkt, also welche Daten ich zum Trainieren meiner Basismodelle verwende? Welche Daten werde ich verwenden, um für meine eigene Organisation ein Selbstlernverfahren durchzuführen? Und wissen Sie, ich möchte nicht, dass Menschen und insbesondere Regulierungsbehörden versuchen, mir vorzuschreiben, wie ich meine eigenen Daten verwenden soll. Aber ich möchte sicherstellen, dass die Grundmodelle erhalten bleiben. Die wurden gelehrt. Diese wurden mit Daten erstellt, die Integrität und Authentizität aufweisen. Daten, die ihren Ursprung bei jemandem haben, sind dafür verantwortlich, sodass wir wissen, woher sie stammen und dass sie echt sind. Und so stelle ich fest, dass die Regulierungsbehörden es eilig haben, die Ergebnisse zu regulieren. Nun, tun Sie das nicht. Tu das nicht. Aber nur wenige reden tatsächlich darüber, dass wir am Ursprungsort regulieren sollten. Wo in einer KI-Welt Sie die meiste Kontrolle haben. Sobald es in ein Modell gelangt ist, liegt es außerhalb Ihrer Kontrolle. Und alle von uns, die es verwenden, werden gegen die Vorschriften verstoßen, weil wir das ursprüngliche Modell nicht trainiert haben und daher die Voreingenommenheit bereits vorhanden ist. Die Halluzinationen sind bereits da. Deshalb würde ich mir wünschen, dass die Regulierungsbehörden überdenken, wo sie regulieren, und nicht, was sie regulieren.
Emily Wearmouth [00:23:21] Ihr könnt nicht anders. Sie nehmen eine Vorhersage und verwandeln sie in einen Aufruf zum Handeln.
Sherron Brugess [00:23:26] Das ist ein ausgezeichneter Punkt.
Emily Wearmouth [00:23:28] Na dann. In Ordnung. Ich gehe zurück zu meiner Geschenktüte und habe das Gefühl, dass ich dabei einen Papierraschel-Soundeffekt hören sollte. Das nächste kommt von James Christiansen und er geht davon aus, dass wir sehen werden, wie Organisationen Versprechungen darüber hinterfragen, was Null bei Zero Trust bedeutet, und dass sie nach Möglichkeiten suchen werden, kontinuierliches adaptives Zero Trust auf viel detailliertere Weise umzusetzen. Also, wo sollen wir hier anfangen? Was zum Teufel meint er mit kontinuierlichem adaptivem Vertrauen? Kannst du uns da helfen, Shamla? Helfen Sie uns, die Vorhersage zu verstehen.
Shamla Naidoo [00:23:56] Ja. Wissen Sie, fangen wir einfach damit an, dass die Gesellschaft ohne Nullvertrauen nicht funktionieren kann. Irgendwann müssen wir jemandem etwas anvertrauen, damit wir funktionieren können. Diese Idee von Zero Trust, Zero Trust ist also kein Ziel. Es ist der Ausgangspunkt dafür, wie wir darüber nachdenken, wie wir mit Technologie interagieren. Wir wollen nichts standardmäßig vertrauen. Wir wollen ihm nicht für immer, jederzeit und überall vertrauen. Diese Idee des Nullvertrauens ist also der Ausgangspunkt. Und wissen Sie, normalerweise vertrauten wir einem Benutzer, der sich mit einem Netzwerk verbinden wollte. Es handelte sich also um ein Gerät, das eine Verbindung zum Netzwerk herstellte. Und wir würden sagen: Wir vertrauen Ihrem Laptop und lassen Sie daher eine Verbindung zum Netzwerk herstellen. Und sobald Sie ein vertrauenswürdiger Benutzer mit den richtigen Anmeldeinformationen und ein vertrauenswürdiges Gerät waren, waren Sie mit dem Netzwerk verbunden und konnten alles tun, was Sie wollten, solange entweder diese Sitzung andauerte oder für einen Tag, eine Woche oder einen Monat. was auch immer du erlaubt hast. Ich denke, James spricht von der Idee, dass man, wenn man dort anfängt, einfach darauf vertraut, dass das Gerät und die Person tun, was sie wollen. Nun, es könnte später zu schlechten Ergebnissen kommen, weil wir nicht in einer Welt leben, in der alles so klar definiert ist. Und diese Idee des adaptiven Vertrauens besteht darin, dass ich Ihnen im Moment und in den jeweiligen Umständen vertrauen möchte. Und später möchte ich mein Vertrauen zurücksetzen und den ganzen Prozess von vorne beginnen. Zusammen mit dem Workflow. Ich werde das Maß an Vertrauen, das ich Ihnen entgegenbringe, anpassen. Ich denke also, dass die Idee darin besteht, es nicht auf einmal geschehen zu lassen und es dann für immer fortzusetzen, sondern vielmehr, auf dem Weg ein paar Satzzeichen einzubauen.
Emily Wearmouth [00:25:40] Schön. Okay. Das verstehe ich jetzt. Der Gedanke, dass wir im Jahr 2024 vielleicht ein wenig mit der Besessenheit über dieses Zero-Trust-Label aufhören oder zumindest ein paar Nuancen zulassen, winkt mir so verlockend zu. Sherron, was denken Sie über diese Vorhersage?
Sherron Brugess [00:25:54] Ich denke auch, dass es darum geht, was in Ihrer Kontrolle liegt. Es gibt so vieles, das nicht in Ihrer Kontrolle liegt. Rechts. Wenn Sie also über diese Ideen nachdenken, vertrauen Sie durch föderierte Systeme, indem Sie darauf vertrauen, dass Sie einige Ihrer, Sie wissen schon, einige Ihrer sozialen Aspekte in Ihr Unternehmen einbinden Leben. Mehr von dieser Mischung sehen Sie hier. Wissen Sie, wie viel können Sie verwenden oder was können Sie verwenden, um zu sagen: Ja, das ist die Person, ja, sie sollte diesen Zugriff haben und ja, sie kann Zugriff auf diese Ressourcen haben. Ich denke also, dass es eine etwas andere Art sein wird, verschiedene Modalitäten zu nutzen, um dieses Vertrauen, diese Art von Vertrauensdiskussion zu unterstützen. Ich denke, das werden wir bald sehen. Es sollte also wirklich interessant sein, was in diesem Bereich passiert. Aber ja, ich meine, wir haben uns mit dieser Idee des Nullvertrauens in den Wahnsinn getrieben. Und wieder ein Gespräch mit dem Vorstand. Ja. Sie wollen es tun, wir werden Zero Trust machen, so wie wir es wirklich tun, wir wollen das wirklich tun. Daher denke ich, dass es in Zukunft noch weitere Gespräche und unterschiedliche Möglichkeiten geben wird, wie wir mit Vertrauen umgehen.
Emily Wearmouth [00:26:59] Okay. Zero Trust wird also bestehen bleiben, aber es wird weniger binär sein und wir werden ein besseres Verständnis für die Elemente aufbauen, die zur Vertrauensentscheidung führen. Ist das eine faire Sichtweise?
Shamla Naidoo [00:27:11] Ja, ich denke schon, denn, wissen Sie, es verschwindet nicht. Aber was es zeigt, ist, dass man insbesondere für einen CISO nicht immer damit anfängt, jedem zu vertrauen. Sie müssen wissen, der Ausgangspunkt ist, dass Sie niemandem, nirgendwo und keinem Gerät vertrauen, weil die Welt so integriert ist. Um das Vertrauen zu stärken, sind mehrere Schritte und mehrere Entscheidungen sowie mehrere Kontrollen und mehrere Lösungen erforderlich. Und wenn Sie all das ergänzen, werden Sie das Vertrauen stärken. Und wir wissen, dass Vertrauen das Geschäft beschleunigt. Deshalb ist es unser Ziel, so viel Vertrauen wie möglich in das System zu setzen. Aber wir können dorthin nur gelangen, wenn wir über all diese verschiedenen Ebenen und Schichten und Orte für Kontrollen verfügen, die wir validieren, überprüfen und ausgleichen usw. können. Das Ziel besteht jedoch darin, das Vertrauen zu stärken, indem man mit Null-Vertrauen beginnt.
Emily Wearmouth [00:28:08] Richtig. Das gefällt mir genauso gut. Eine positivere Art, darüber nachzudenken, richtig. Ich denke, ich kann sehen, dass unser Produzent mir zuwinkt, dass wir auf dem Weg zur Zeit sind. Ich denke also, dass ich heute Nachmittag einen Platz aufsuchen könnte, wenn Sie darauf wetten können. Das alles scheint eine wirklich nützliche Information für das kommende Jahr zu sein. Und wenn diese Episode ausgestrahlt wird, werde ich mir wahrscheinlich auch den LinkedIn-Beitrag ansehen, denn ich habe die Vermutung, dass die meinungsstarken Massen in den sozialen Medien darüber nachdenken werden, womit sie einverstanden sind, womit sie nicht einverstanden sind und was Vielleicht werden sie uns dafür beschimpfen, dass wir das Wichtigste vergessen haben, worüber wir hätten sprechen sollen, da bin ich mir sicher. Vielen Dank, dass Sie sich heute die Zeit genommen haben.
Sherron Brugess [00:28:38] Danke.
Shamla Naidoo [00:28:39] Danke. Emily, es war großartig.
Emily Wearmouth [00:28:41] Sie haben den Podcast „Security Visionaries“ gehört und ich war Ihre Ersatzmoderatorin, Emily Weymouth. Wenn Ihnen diese Episode gefallen hat, teilen Sie sie bitte und abonnieren Sie sie auf Ihrer bevorzugten Podcast-Plattform. Es gibt bereits viele andere interessante Episoden und wir veröffentlichen alle zwei Wochen eine neue, einige von mir moderiert, andere von Max. Wir holen dich das nächste Mal.
Warum Netskope? 
){kind=icon}
