Predicciones 2024

Emily Wearmouth [00:00:01] Hola y bienvenido a otra edición del podcast Security Visionaries. Estimulación de audio para cualquier persona en la industria cibernética, de datos o relacionada. Hoy seré suplente porque me pidieron que fuera el anfitrión de esta conversación para mi copresentador Max, que ha sido afectado por un virus. Y para mayor claridad, no me refiero al malware y Max no es una IA. Él es un niño de verdad. Y además se recuperará pronto. Debo decir que estoy muy contento de haberme metido en este camino porque hoy estamos sacando nuestras bolas de cristal en la tradición anual de hacer predicciones para el año que viene. Y tengo dos invitados en el banquillo, los cuales están preparados para dejar constancia y hacer algunas predicciones para nosotros. En primer lugar, tenemos a Shamla Naidoo. Ellas hacen. Shamla se ha desempeñado como CISO para empresas como Starwood Resorts e IBM, y también es profesora adjunta de derecho en la Universidad de Illinois. Forma parte de varias juntas públicas y también es jefa de estrategia e innovación en la nube en Netskope. Bienvenido. Samla.

Shamla Naidoo [00:00:54] Gracias, Emily. Me alegro de estar aquí.

Emily Wearmouth [00:00:56] Mi segunda invitada es Sherron Burgess, también CSO de una organización muy grande y también miembro de la junta directiva. Y Sharon puede resultar familiar para los oyentes por el trabajo que realiza defendiendo la diversidad en nuestro sector. Y, de hecho, uno de sus puestos en la junta directiva es en Cyversity, una organización sin fines de lucro que se dedica a aumentar la presencia de minorías subrepresentadas dentro del campo de la ciberseguridad. Trabajo realmente importante. Bienvenido, Sherron.

Sherron Brugess [00:01:19] Gracias, Emily. Encantado de estar aquí.

Emily Wearmouth [00:01:21] Entonces, sin más preámbulos, vamos a sumergirnos de lleno. Pule esa bola de cristal. Shamla nos hizo una predicción para ponernos en marcha. ¿Qué es lo que deberíamos esperar ver en 2024?

Shamla Naidoo [00:01:30] Ya sabes, Emily, durante muchos años, los CISO han estado informando a las juntas directivas. Pero creo que lo que vamos a ver es un cambio en esa relación. Hasta ahora, los CISO han entrado a las salas de juntas en su mayoría, no todo el tiempo, pero sí principalmente como expertos en la materia. La relación era en gran medida propiedad de otros ejecutivos como el CIO, el director de riesgos o incluso el auditor general. Y entonces la relación era propiedad de esos líderes, mientras que el tema provenía del CISO. En los meses más recientes, lo que estamos viendo es que la SEC es solo un catalizador. Pero en términos generales, creo que las juntas directivas están empezando a comprender que su función es muy diferente a la del director financiero. El CISO es un líder operativo sobre el terreno. Entonces creo que lo que verán es que las juntas directivas se apoyarán más en el CISO. Querrán esa relación porque el CISO es la persona que tiene la información, las actualizaciones, el conocimiento y también un buen estado de salud y bienestar de la organización en lo que se refiere a la ciberseguridad. Entonces, ya sabes, mientras lo pienso, un cambio relacionado que vamos a ver en la industria es que las juntas directivas están cubiertas por un seguro para directores y funcionarios por el trabajo que realizan en el alcance de esa función. Y lo que estamos viendo ahora es que los CISO están empezando a pedir cobertura, cobertura de seguro y otras protecciones como indemnización por hacer su trabajo, porque creemos que los CISO están siendo investigados por los resultados en sus organizaciones. Lo que creo que veremos es que las juntas directivas entenderán esa solicitud de la CSO porque la tienen. Y cuando el CISO no sea automáticamente un funcionario, querrán tener algún tipo de respaldo en su política para incluirlos en investigaciones cuando estén haciendo su trabajo. Así que creo que esas dos cosas se van a unir muy bien y la junta directiva querrá esa relación. También entienden la petición del CISO de cobertura de seguro e indemnización por hacer su trabajo, eso es lo que veo inminente con respecto a esas relaciones.

Emily Wearmouth [00:03:44] Parece Sherron, me interesa saber tu opinión. Parece que hay casi un punto de tensión en el que los CISO tal vez quieran tener una relación más directa con la junta directiva, pero tal vez estén siendo retenidos en la mina porque no cuentan con las mismas protecciones que tienen los demás miembros de la junta directiva en estos seguros. ¿Es algo con lo que te has topado o conversaciones que has tenido con tus compañeros que influyen en algo?

Sherron Brugess [00:04:05] Sí, realmente creo que sí. Quiero decir, creo que lo que estamos viendo durante el último año, año y medio, es que hemos visto a los CISO ahora en la tabla de cortar asociada con ataques e infracciones. Entonces, en muchos casos, no es necesariamente la negligencia del CISO, podría ser la toma de decisiones de la junta directiva en su conjunto en términos de los riesgos que asume la empresa. Y entonces los CISO necesitan tener, ya sabes, entre la comunidad de pares de CISO, estamos hablando de cómo hacemos nuestro trabajo, cómo asesoramos y consultamos con nuestras empresas, con nuestras juntas directivas, etc., pero aún así también dejar espacio a lo que la empresa quiere hacer y mantener nuestra integridad como profesionales. Y entonces creo que para hacer eso, y en lugar de simplemente tratar de recortar lo que nosotros, la orientación que brindamos para poder trabajar plenamente haciendo nuestro trabajo como profesionales, es necesario que haya un poco más de protección. Debería estar en su lugar. Entonces sí, lo estoy viendo. Y ya sabes, obviamente la situación con Joe Sullivan y viendo lo que está sucediendo en todos los casos, solo los CISO están más conscientes aquí.

Emily Wearmouth [00:05:13] ¿Hay algún hito importante al que debamos prestar atención para demostrar que estamos progresando hacia lo que estás prediciendo aquí? ¿Habrá grandes movimientos por parte de determinadas compañías de seguros? ¿Habrá cambios en las regulaciones sobre cómo los gobiernos exigen que las juntas organicen y protejan a sus miembros? ¿O es simplemente algo que veremos filtrarse lentamente de maneras menos tangibles?

Shamla Naidoo [00:05:33] Sabes, creo que los grandes hitos que veremos serían, uno, que los CISO comiencen a hacer preguntas sobre si soy un oficial y si estoy cubierto por el ¿Seguros para directores y funcionarios de la empresa y otros tipos de protecciones? Bueno, si no eres oficial, lo descubrirás. Y si es funcionario, también descubrirá que tiene cobertura para realizar su trabajo. Tan pronto como salga de los límites de su trabajo, es probable que se meta en problemas porque la cobertura no lo protegerá por hacer cosas que no son legales o que están fuera del alcance de sus funciones. Entonces, lo que encontrará es que los CISO preguntarán: ¿Soy un oficial? También me harán preguntas como: ¿cuál es el alcance de mi autoridad para tomar decisiones? Y si no está en mi autoridad para tomar decisiones y alguien más necesita tomar la decisión porque no obtengo cobertura por decisiones que tomo y que están fuera del alcance de mis funciones. Por eso creo que veremos mucha más claridad sobre los CISO, sus funciones y sus derechos de decisión. Y luego obtendrá un poco más de claridad sobre lo que está cubierto, lo que está dentro y lo que está fuera, qué compañías de seguros excluyen la investigación del CSO y solo cubren la violación de la seguridad cibernética, los análisis forenses y la respuesta. Por eso creo que veremos cambios en la forma en que los ejecutivos de las empresas abordan esto. Verán un cambio en la industria, especialmente en la industria de seguros, creando claridad sobre lo que está dentro y lo que está fuera. Y creo que los CISO serán los beneficiarios de estos cambios. Entonces, los hitos que van a tener los CISO, ya sabes, ¿sienten que cuentan con el apoyo adecuado? Y sienten que se está cuidando su salud mental porque tienen esta claridad, tienen la protección y tienen la oportunidad y el espacio para hacer su trabajo y hacer un trabajo realmente bueno. A diferencia de hoy, lo que se ve es que hay mucha ansiedad. Hay una buena dosis de estrés en la organización porque gran parte de esto se desconoce.

Sherron Brugess [00:07:45] ¿Y tal vez pueda agregar algo más a eso? Porque, ya sabes, es como salud mental. Es gracioso. Cuando hablamos de salud mental para un CISO, es como si eso no existiera, cierto, cuando tienes esa pregunta. Sí, siempre recibo preguntas divertidas de los proveedores, como ¿qué te mantiene despierto por la noche? Es como si todo me mantuviera despierto porque están sucediendo muchas cosas. Sabes, creo que lo que está sucediendo aquí también en el espacio alrededor de algunos de los hitos. Sí, creo que el seguro de los oficiales y ser nombrado oficial y estar cubierto por eso. Pero creo que otros matices pueden incluir asegurarse de que usted tenga derecho a su propia representación legal. Entonces, en muchos casos en los que tienes un seguro relacionado con oficiales, es bueno, siempre y cuando sigas la línea con tu compañía, eso te cubrirá. Por eso creo que ese tipo de matices adicionales serán importantes. También creo que empezaremos a ver más contratos y más contratos con, ya sabes, tipos de contratos de trabajo. ¿Estas cosas se describen explícitamente en el contrato? Una cosa es estar nombrado en el seguro, pero creo que la otra parte es, ya sabes, que los profesionales soliciten copias de ese seguro y tenerlo escrito explícitamente en su contrato de trabajo también es muy importante. También me gusta cómo mencionaste esa autoridad para tomar decisiones. Creo que eso es súper importante. Sabes, si esto está fuera de mi autoridad para tomar decisiones, entonces, ya sabes, no estoy cubierto aquí, así que no voy a tomar esa decisión. Pienso también en la capacidad de escalar, ya sabes, si en el caso de que haya algún tipo de legislación y reglas de la SEC que digan, bueno, tienes el derecho o estás obligado a informar sobre los eventos, incluso si su junta directiva o su empresa no lo exigen, está diciendo que no es algo que deba hacer. Estas habilidades para escalar sin daño o sin penalización también serán muy interesantes.

Emily Wearmouth [00:09:40] Así que no sabía cuándo íbamos a hablar sobre predicciones que serían de ayuda tan inmediata para nuestro oyente. Creo que en este se han tocado algunos puntos realmente interesantes. Uno genial. Shana, y ahora te toca a ti, Sherron. ¿Cuál es su predicción para nosotros para 2024?

Sherron Brugess [00:09:54] Sí, entonces mi predicción sería que habrá una carrera por talentos más calificados y este crecimiento de la fuerza laboral cibernética. Durante el año pasado, la Casa Blanca lanzó una estrategia para el desarrollo de la fuerza laboral. Existe un llamado a la creación de asociaciones público-privadas para poder desarrollar el talento cibernético. Y ahora, lo que es realmente interesante es la idea de que cada individuo y yo diría que Estados Unidos, pero cada individuo necesita tener algunos conocimientos básicos de ciberseguridad o relacionados con la seguridad. Creo que va a ser muy interesante porque ahora informa a las universidades y escuelas, incluso a las instituciones desde jardín de infantes hasta 12, que los estudiantes deben ser ciberconscientes para poder contribuir a la sociedad en general.

Emily Wearmouth [00:10:44] Cuando dices desde jardín de infantes hasta 12, simplemente tenemos algunos oyentes internacionales. ¿Qué grupo de edad es ese?

Sherron Brugess [00:10:48] Desde el momento en que comienzas la escuela primaria hasta tu juventud y luego hasta la universidad y cosas por el estilo. Así que comenzaremos a ver mucho más de esa incorporación de habilidades relacionadas con la seguridad como parte de su educación, educación formalizada en la escuela primaria y similares. Pero también en el lado corporativo, lo que será interesante es que, históricamente, cuando ocurre esto, se habla de todos estos trabajos que están disponibles. Hablas, ya sabes, de que necesitamos tener más talento para cubrir estos puestos de trabajo. Históricamente, hemos estado intercambiando recursos. Por lo tanto, se ve a personas saltando de una empresa a otra, y las empresas no han estado invirtiendo en el desarrollo de sus propios canales de talento, y a menudo buscan deslocalizar o cerca de la costa sus recursos para no tener que desarrollar ese talento. Creo que lo que comenzaremos a ver es que habrá una mayor inversión para atraer a personas de otras industrias a la ciberseguridad. Entonces, aquellos en transición de carrera también buscan desarrollarse más a partir de esas universidades y colegios o de edades más jóvenes y también comienzan a traer talento de entornos no tradicionales. Por lo tanto, no solo verán orígenes diversos, sino que también verán, creo, un crecimiento en la universidad junior o en estas capacitaciones relacionadas con la escuela técnica o de dos años que comenzarán a matricularse en la industria.

Shamla Naidoo [00:12:28] Creo que lo que Sharon hizo con una predicción es simplemente crear un llamado a la acción y también proporcionó los antecedentes y algunos de los cambios de la industria que se producirán para respaldar esta predicción. Y creo que eso es muy astuto. Gracias, Sharon, por hacer eso, porque necesitamos hablar sobre esta conversación sobre talentos. Y, francamente, durante mucho tiempo hemos estado diciendo que la ciberseguridad es un deporte de equipo. Usamos, ya sabes, usamos analogías como, ya sabes, no todo se trata solo del equipo de liderazgo en ciberseguridad. Es necesario involucrar a toda la organización, etc. Pero creo que su predicción es que el llamado a la acción sobre cómo poner en práctica es cómo vamos realmente a abordar, ya sabes, si usted, un niño pequeño que comienza la escuela, está en la universidad, es un profesional temprano, llega tarde. profesional, eres un ejecutivo. En todos los niveles, es necesario que exista un nivel básico de comprensión de este tema. Pienso en esto, como sabes. Sí, es una predicción y es una predicción muy astuta, pero es un llamado a la acción para movilizarnos todos para hacer esto realidad, porque es absolutamente necesario. Y ya no basta con decir: bueno, vamos a perder 4 millones de puestos de trabajo para 2030. Ese tipo de métricas no son útiles porque hemos estado diciendo que durante los últimos cinco años o incluso más cerca de una década, no hemos logrado grandes avances. Así que ahora tenemos que cambiar nuestras tácticas para acercarnos.

Emily Wearmouth [00:14:03] Ahora mismo he hecho mi tarea. Tengo una especie de bolsa de regalos festivos aquí, y está llena de predicciones de algunos de los expertos en la materia del próximo grupo. Antes de enfermarse, Max, mi copresentador, caminaba por los pasillos y frecuentaba los canales de Slack, acorralando a la gente para que predijera el futuro. Así que permítanme rebuscar un poco metafóricamente. Aquí tienes uno bueno. Elegí uno de Neil Thacker, nuestro CISO de la región EMEA, y creo que predice con bastante seguridad. Para empezar, las regulaciones propuestas sobre IA serán objeto de escrutinio en 2024, y espero que tenga razón. Pero, curiosamente, se pregunta si algún país intentará adelantarse competitivamente retrasando deliberadamente sus propias regulaciones para tomar ventaja en esta carrera armamentista de la IA. Y creo que es descarado porque la mitad, como digo, es menos una predicción y es más una reflexión. Y me interesa ver cómo les afecta eso y con mucha precisión, y podrían responder a una pregunta general, pero si pueden ser más precisos, ¿dónde esperan ver las medidas rápidas para regular y qué mercados creen que están dando ¿Hay indicios de que podrían ser un poco más lentos? Voy a preguntarte eso primero, Sherron.

Sherron Brugess [00:15:09] Sí, quiero decir, estoy de acuerdo. Creo que va a ser realmente interesante, porque creo que la gente todavía está tratando de entender lo que sabes, las promesas de, ya sabes, creo que en este momento es una palabra de moda. Ya sabes, la gente dice, oh, es como si tuvieras ocho y eso soluciona todos tus problemas y todo va a estar bien. Bien. Entonces creo que, número uno, simplemente falta qué es la IA y una definición de lo que es. Y sabes lo que la gente propone que va a lograr. Sabes, creo que es un punto realmente interesante, ya sabes, ¿van a retrasar la regulación para ver si realmente se desarrolla? Sabes, también es interesante descubrir que si impusieran una regulación para frenar a todos para que puedan mantener el ritmo. Entonces todos están desarrollando e iterando al mismo tiempo. Lo que estoy viendo es que están surgiendo muchos grupos de trabajo para dar algunas ideas y reflexiones sobre lo que está pasando. Creo que la Casa Blanca o la Oficina de Ciencia, Tecnología y Política aquí en los EE. UU. han implementado esta declaración de derechos de la IA, y estamos viendo a muchos profesionales existentes, CISO, ya sabes, desarrollando este tipo de políticas de uso aceptable. y, ya sabes, simplemente estoy tratando de poner algunas barandillas a su alrededor. Pero creo que la primera vez que salgan, la gente intentará hacer todo lo que pueda dentro de los límites. Y de hecho, tengo esta oportunidad en el rol de CISO global y, ya sabes, ¿cuáles son algunas de las áreas que esperaría o países que esperaría que surgieran desde un punto de vista regulatorio? Sabes, por supuesto, teniendo en cuenta los antecedentes del RGPD, me interesaría mucho ver qué va a hacer Alemania. Por lo general, son los primeros en términos de derechos de privacidad y cosas por el estilo. Y creo que esta idea de la IA y, ya sabes, algunos de los conceptos relacionados con las prácticas discriminatorias o, ya sabes, la idea de la privacidad y los derechos al olvido, será muy interesante ver lo que algunos de ellos ya qué van a hacer los países regulados en este espacio. Pero creo que mi primer intento diría que todos intentarán ir lo más rápido que puedan y determinar todos los casos de uso respectivos antes de implementar algunas de esas regulaciones para ralentizar a todos, no quiero decir lento. todos abajo. Pero creo que una vez que se abuse de él a mayor escala, la gente intentará repetirlo lo más rápido que pueda.

Emily Wearmouth [00:17:38] ¿Qué hay de ti, Shamila? ¿Qué piensas de esa predicción?

Shamla Naidoo [00:17:40] Así que estoy de acuerdo contigo y estoy de acuerdo con todo lo que dijo. Y creo que, ya sabes, la predicción de Neil es muy sólida. He aquí por qué estos países industrializados, que también son defensores de la privacidad y, ya sabes, proteccionistas en muchos sentidos, creo que lo que van a ver es que exageran porque quieren ser los primeros en salir con regulación y nos miran a nosotros. y mira nuestra disciplina y mira nuestra estructura, etc. Creo que la otra cara de la moneda es donde yo vengo, que es, ya sabes, pero ahora acabas de sofocar la innovación. También has creado una oportunidad para irrumpir en tu propia sociedad, mientras que otros podrían, ya sabes, avanzar muy rápido. Por eso debemos tener cuidado de no detener las grandes oportunidades que la IA podría brindarnos. Sabes, me gusta el concepto de no hacer daño, por lo que si podemos crear una conciencia social de no hacer daño, por muy viable comercialmente que pueda ser tu solución. Creo que ese es probablemente el punto de partida. Y luego, ya sabes, empezar a matizar demasiado el hecho de que puedes hacer esto, pero no puedes hacer aquello, creará esta competencia de bueno, ya sabes, mientras el mundo industrializado comienza a vacilar en este concepto de regulación, otros comenzará a aprovechar la tecnología para obtener mejores resultados, tanto comerciales como sociales. Y es posible que nos quedemos atrás. Por eso me preocupa que, al pensar en esto, tengamos que poner la regulación en contexto. La regulación consiste en regular los malos resultados. Y, francamente, todavía no conocemos los malos resultados. Hemos visto algunos resultados incómodos e inconvenientes, pero no hemos visto ningún resultado catastrófico. Entonces, lo que me preocupa es que cuando pisas el freno antes de saber que tienes el pedal del acelerador, realmente no sabes con qué fuerza pisar ese freno. Y debemos pensar más en si siempre debemos sofocar la innovación, no sólo en nuestros propios países y comunidades, pero ¿estamos sofocando la innovación para la sociedad?

Sherron Brugess [00:19:44] Quiero decir una cosa, que es algo sobre la IA que creo que es realmente interesante. Y recientemente, se agregó una nueva definición al diccionario, que es la idea de alucinación. Y la idea de que la IA está sacando conclusiones que son esencialmente falsas. Inventó la respuesta. Bien. Creo que la IA tiene algunas partes hermosas. Y es genial cuando piensas en la innovación, la velocidad y todas estas cosas que requerirían, ya sabes, mucha gente y mucha potencia informática para lograrlo. Lo que siempre me preocupa desde el punto de vista de la IA son las implicaciones sociales y lo que eso puede significar. Y entonces, ya sabes, tengo una adolescente y cuando llegue a este lugar de ser un adulto productivo en la sociedad, para ese momento, ya sabes, las máquinas tomarán muchas decisiones. Y de ahí la idea de que me preocupa que la sociedad pierda su responsabilidad de controlar las máquinas y de comprender realmente qué es real y qué no. Y entonces creo que eso es algo así como el espíritu en el que tenemos que pensar a medida que nos adentramos en este nuevo mundo y la promesa de lo que es la IA. Tenemos que pensar en cómo no dejarnos consumir por ello. ¿Cómo lo aprovechamos para la innovación y cosas similares, pero cómo nos aseguramos también de mantener el equilibrio entre lo que es real y lo que no lo es, lo que es verdad y lo que no lo es? Y ese tipo de idea de exploración desde ese lado, ya sabes, personal y socialmente, creo que será un factor importante aquí. Entonces, ya sabes, no sé cómo los países o las regulaciones medirán eso, pero creo que será realmente importante a medida que veamos lo que la IA y las máquinas y todas estas cosas pueden hacer por nosotros desde un punto de vista de innovación.

Shamla Naidoo [00:21:39] Y sabes, Emily, quiero agregar algo a esta conversación porque no es necesariamente una predicción, pero creo que lo es nuevamente, es una especie de llamado a la acción. He visto muchas, muchas regulaciones de IA que se centran en los resultados. Lo que me gustaría que hicieran los reguladores es centrarse en los datos de entrada, porque el único lugar donde todavía hay algún control regulatorio o de otro tipo es en el punto de origen, que es ¿qué datos tengo que utilizar para entrenar mis modelos básicos? ¿Qué datos voy a utilizar para realizar un autoaprendizaje en mi propia organización? Y, ya sabes, no quiero que la gente, y los reguladores en particular, intenten decirme cómo debo usar mis propios datos. Pero quiero asegurarme de que se hayan conservado los modelos de base. Esos han sido enseñados. Estos han sido creados con datos que tienen integridad y datos que tienen autenticidad. Los datos que tienen un punto de origen con alguien son responsables de ellos para que sepamos de dónde vienen y sepamos que son reales. Y entonces encuentro que los reguladores se apresuran a regular los resultados. Bueno, no hagas esto. No hagas eso. Pero pocos hablan realmente de regular en el punto de origen. En un mundo de IA, tienes el mayor control. Tan pronto como entra en un modelo, queda fuera de tu control. Y todos los que lo usamos vamos a incumplir la regulación porque no entrenamos el modelo original y, por lo tanto, el sesgo ya está ahí. Las alucinaciones ya están ahí. Por eso me gustaría que los reguladores reconsideraran dónde regulan, no qué regulan.

Emily Wearmouth [00:23:21] Ustedes no pueden evitarlo. Tomas una predicción y la conviertes en una llamada a la acción.

Sherron Brugess [00:23:26] es un punto excelente.

Emily Wearmouth [00:23:28] Bueno, entonces. Está bien. Voy a volver a mi bolsa de regalos y siento que debería tener un efecto de sonido de crujido de papel mientras hago esto. El siguiente es de James Christiansen, y postula que veremos a las organizaciones cuestionar las promesas de lo que significa cero en la confianza cero, que buscarán formas de implementar una confianza cero adaptativa continua de maneras mucho más granulares. Entonces, con este, ¿por dónde deberíamos empezar? Bueno, ¿qué quiere decir con confianza adaptativa continua? ¿Puedes ayudarnos allí, Shamla? Ayúdanos a entender la predicción.

Shamla Naidoo [00:23:56] Sí. Ya sabes, comencemos diciendo que la sociedad no puede funcionar sin confianza. Tenemos que confiar en alguien en algo en algún momento para que podamos funcionar. Así que esta idea de confianza cero no es un objetivo. Es el punto de partida para pensar en cómo interactuamos con la tecnología. No queremos confiar en nada por defecto. No queremos confiar en él para siempre, en ningún momento ni en ningún lugar. Entonces esta idea de confianza cero es el punto de partida. Y, ya sabes, normalmente solíamos confiar en un usuario que quería conectarse a una red. Y entonces era un dispositivo que se conectaba a la red. Y diríamos, bueno, confiamos en su computadora portátil, por lo tanto, le permitiremos conectarse a la red. Y una vez que eras un usuario confiable con las credenciales correctas y eras un dispositivo confiable, estabas conectado a la red y podías hacer lo que quisieras mientras esa sesión permaneciera o durante el día, la semana o el mes, lo que sea que permitiste. Creo que de lo que James está hablando es de la idea de que si empiezas por ahí y simplemente confías en el dispositivo y en la persona para hacer lo que quiera. Bueno, podrías tener algunos malos resultados más adelante porque no vivimos en ese mundo donde todo está tan bien definido. Y entonces esta idea de confianza adaptativa es, ya sabes, quiero confiar en ti en el momento, en las circunstancias. Y luego, quiero restablecer mi confianza y comenzar todo el proceso nuevamente. Junto con el flujo de trabajo. Voy a adaptar las cantidades de confianza que te doy. Entonces creo que la idea no es dejar que esto suceda de inmediato y luego continuar para siempre, sino más bien tener alguna puntuación a lo largo del camino.

Emily Wearmouth [00:25:40] Encantadora. Bueno. Lo entiendo ahora. Me saluda tan tentadoramente con la idea de que podríamos dejar de obsesionarnos un poco con esta etiqueta de confianza cero en 2024, o al menos permitir algunos matices a su alrededor. Sherron, ¿qué piensas sobre esta predicción?

Sherron Brugess [00:25:54] También creo que se tratará de lo que está bajo tu control. Hay tantas cosas que no están bajo tu control. Bien. Entonces, cuando piensas incluso en estas ideas de, ya sabes, estás confiando a través de sistemas federados en el sentido de que estás confiando incluso usando algunos de tus, ya sabes, ya sabes, incorporando algunos de tus aspectos sociales a tu empresa. vida. Verás más de esa mezcla aquí. Ya sabes, cuánto puedes usar o qué puedes usar para decir, sí, esa es la persona, sí, debería tener ese acceso y sí, puede tener acceso a estos recursos. Por eso creo que será una forma diferente de utilizar distintos tipos de modalidades para respaldar esa confianza, ese tipo de debate sobre la confianza. Creo que eso es lo que empezaremos a ver. Entonces debería ser realmente interesante lo que sucede en ese espacio. Pero sí, quiero decir, nos volvimos locos con esta idea de confianza cero. Y de nuevo, otra conversación con la directiva. Sí. Si quieres hacer, vamos a hacer confianza cero, como realmente queremos hacer. Por eso creo que habrá más conversaciones y diversas formas de abordar la confianza en el futuro.

Emily Wearmouth [00:26:59] Está bien. Así que la confianza cero se mantendrá, pero será menos binaria y vamos a desarrollar una mayor comprensión de los elementos que conducen a la decisión de confiar. ¿Es esa una forma justa de verlo?

Shamla Naidoo [00:27:11] Sí, eso creo, porque, ya sabes, no desaparece. Pero lo que sí demuestra es que para un CISO en particular, no se comienza confiando en todos todo el tiempo. Tienes que saber que el punto de partida es no confiar en nadie, en ningún lugar ni en ningún dispositivo, porque el mundo está muy integrado. Para aumentar la confianza, tendrá que seguir múltiples pasos, múltiples decisiones, múltiples controles y múltiples soluciones. Y a medida que agregue todo eso, aumentará la confianza. Y sabemos que la confianza acelera los negocios. Por eso, nuestro objetivo es tener tanta confianza como podamos depositar en el sistema. Pero sólo podemos llegar allí si tenemos todos estos diferentes niveles, capas y lugares para controles que podamos validar, verificar y equilibrar, etc. Pero el objetivo es aumentar la confianza empezando con confianza cero.

Emily Wearmouth [00:28:08] Correcto. Eso me gusta mucho. Una forma más positiva de pensarlo, ¿verdad? Creo que puedo ver que nuestro productor me está señalando que nos dirigimos hacia el tiempo. Así que creo que podría reservar un lugar esta tarde si apuestas. Todo parece información realmente útil para el próximo año. Y cuando se transmita este episodio, también creo que lo estaré viendo en la publicación de LinkedIn porque tengo el presentimiento de que las masas obstinadas de las redes sociales tendrán ideas sobre con qué están de acuerdo, con qué no están de acuerdo y con qué Quizás nos reprenderán por olvidar lo más importante que deberíamos haber discutido, estoy seguro. Así que muchas gracias a ambos por dedicar tiempo hoy.

Sherron Brugess [00:28:38] Gracias.

Shamla Naidoo [00:28:39] Gracias. Emily, ha sido genial.

Emily Wearmouth [00:28:41] Has estado escuchando el podcast Security Visionaries y yo he sido tu presentadora suplente, Emily Weymouth. Si disfrutó este episodio, compártalo y suscríbase en su plataforma de podcast favorita. Encontrarás muchos otros episodios interesantes ya disponibles, y publicamos uno nuevo cada dos semanas, algunos presentados por mí y otros por Max. Te veremos la próxima vez.