Dan Lohrmann: Quiero decir, siempre se trata de la comunicación y de cómo te comunicas. ¿Quién va a hablar con quién? ¿Cuando? ¿Qué haces primero? ¿En qué orden? ¿Cómo lo haces? ¿Estas preparado? ¿Cómo funcionan tus manuales? Traes esos ejercicios, esas mesas, esos ejercicios a gran escala, tus libros de jugadas para que casi practiques la perfección, ¿verdad?
Dan Lohrmann: Y entonces, al igual que un equipo de bomberos practicaría apagando incendios, no quieres que alguien que se pone el traje por primera vez venga a tu casa cuando tu casa se está quemando, quieres que sepan lo que están haciendo. estás haciendo y sabes adónde ir, qué hacer y cómo hacerlo en función de diferentes situaciones.
Orador 2: Hola y bienvenido a Security Visionaries, presentado por Jason Clark, CSO de Netskope. Acaba de escuchar al invitado de hoy, Dan Lohrmann, director de seguridad de la información de Presidio.
Orador 2: La idea de estar preparado para cualquier cosa no surge mágicamente de la noche a la mañana, requiere práctica, repetición y diligencia. Y los malos actores siempre estarán ahí, con nuevas formas de probar qué tan preparado estás. Como líderes de seguridad, nuestro trabajo es estar preparados incluso para los desafíos más inesperados. Así como un bombero no entraría corriendo a un edificio en llamas sin la preparación adecuada, los líderes de seguridad deben ver los incendios digitales de la misma manera. Ponerse en la mente del hacker requiere entrenamiento y juego de roles, trate de estar varios pasos por delante en todo momento, porque ninguna empresa quiere verse atrapada en el primer incendio sin haberse probado el traje. Entonces, antes de sumergirnos en la entrevista de Dan, aquí hay unas breves palabras de nuestro patrocinador.
Orador 3: El podcast Security Visionaries está desarrollado por el equipo de Netskope. Netskope es el líder de SASE y ofrece todo lo que necesita para brindar una experiencia de usuario inteligente en la nube y centrada en los datos rápida al ritmo de los negocios actuales; obtenga más información en netskope.com.
Orador 2: Sin más preámbulos, disfrute del episodio de seis Visionarios de la seguridad con Dan Lohrmann, director de seguridad de la información de Presidio, y su anfitrión, Jason Clark.
Jason Clark: Bienvenido a Visionarios de la seguridad. Soy su anfitrión, Jason Clark, director de estrategia y seguridad de Netskope. Hoy me acompaña un invitado muy especial, Dan Lohrmann. Dan, ¿cómo estás?
Dan Lohrmann: Lo estoy haciendo de maravilla. Gracias, Jason.
Jason Clark: Creo que tú y yo probablemente nos conocemos desde hace unos 15 años.
Dan Lohrmann: Exactamente. Recuerdo haberte conocido por primera vez en los días de Websense. Y cuando yo era director de seguridad de la información de Michigan y usted era un gran ejecutivo centrado en el cliente, sé que todavía lo es hoy, así que es genial estar con usted.
Jason Clark: Eso es algo que me encanta de hacer todos estos podcasts: es volver a conectarme con todos. Y especialmente durante los tiempos locos de la pandemia. Entonces, comenzaremos con: ¿cuál fue tu primer trabajo en ciberseguridad, Dan?
Dan Lohrmann: Entonces terminé la universidad en la Universidad de Valparaíso, me gradué en informática y comencé en la Agencia de Seguridad Nacional. El viejo cliché que utilizamos es que si te digo lo que hice, tendría que matarte. Pero yo estaba en redes informáticas y esto está de guardia sin clasificar, pero mi primer trabajo a finales de los 80 fue realmente trabajar con una variedad de diferentes proveedores, interoperabilidad.
Dan Lohrmann: En aquellos días no todo era TCP/IP o IP versión cuatro, IP versión seis y toda esa palabrería. Pero era como S&A, y teníamos DECnet, y teníamos todos esos diferentes. Básicamente, conectar redes entre sí desde IBM a DEC, a estaciones digitales, a Sun SPARC y todo ese tipo de cosas. Y yo estaba dirigiendo ese laboratorio. Y realmente estábamos implementando redes en todo el mundo antes de que existiera Internet, lo cual fue genial.
Jason Clark: Eso se parece mucho a mi trabajo cuando comencé en el ejército. Se trataba simplemente de hacer que las cadenas hablaran. Era un baniano pesado. Y luego nos estábamos convirtiendo a NT 4.O y al directorio activo. Y fue muy divertido. Es muy diferente cuando gestionas la tecnología que cuando eres un CSO. Hay días que probablemente te lo pierdas, estoy seguro. Le dices qué hacer y no lo hace.
Dan Lohrmann: Estoy de acuerdo. Y una pieza práctica, me la perdí. Pero después de eso fuimos a Inglaterra, no contaré toda la historia allí, solo cómo todas las manos en las redes y algunas historias locas sobre cómo casi derribamos un satélite. Y eso fue bastante aterrador, pero todo estuvo bien. Y también me encantan las cosas prácticas, extraño algo de eso.
Jason Clark: Vi las noticias sobre el nuevo puesto en Presidio. Entonces, definitivamente me encantaría escuchar sobre eso.
Dan Lohrmann: Sí. Gracias. Soy el director de seguridad de la información de campo y realmente me enfoco en el sector público. Entonces, como saben, he desempeñado muchos roles diferentes en funciones de CSO en el gobierno de Michigan y CTO en el gobierno de Michigan. Los últimos seis o siete años estuve en Security Mentor como director de seguridad.
Dan Lohrmann: Entonces, en este rol, Presidio realmente se asocia con Netskope y una variedad de otras compañías que brindan realmente orientación a la alta dirección centrada principalmente en SLED, educación gubernamental estatal, local, pero también trabajé con otros gobiernos. Y realmente simplemente escuchar cuáles son sus problemas y brindar soluciones, trabajar con socios para brindar una solución integral a sus necesidades cibernéticas.
Dan Lohrmann: Estoy muy emocionado. Estoy bebiendo de una manguera contra incendios ahora mismo. Solo he estado aquí durante unas cinco semanas, pero amo el trabajo, amo a la gente y ya estoy aprendiendo mucho. Así que sí. Es genial.
Jason Clark: Entonces, históricamente siempre se ha sabido que los gobiernos, especialmente SLED, se mueven mucho más lentamente en la adopción de tecnología y transformación. ¿Cómo se ve eso ahora? ¿Cómo está cambiando eso, especialmente con algunas de las nuevas órdenes ejecutivas sobre ciberseguridad? En general, me encantaría conocer su perspectiva.
Dan Lohrmann: Sí. Quiero decir, al igual que todos los demás, en primer lugar, el panorama de amenazas se está volviendo loco. Entonces, nos vemos muy afectados por el ransomware y otras cosas así, y los ciberataques. Y es emocionante, la buena noticia. Quiero decir, no recibimos muchas buenas noticias en cibernética. Pero la buena noticia es que acabamos de recibir nuevas subvenciones cibernéticas específicas para los gobiernos estatales y locales: mil millones de dólares en cinco años. Creo que eso realmente ayudará a muchos gobiernos estatales y locales.
Dan Lohrmann: Honestamente, en este momento, el mayor problema que lo está matando es este sangriento gobierno estatal y local: no pueden retener el talento de la gente. Y ahí es donde cruzan el tablero. También estamos viendo eso en el sector privado. Pero escucho a CSO decir: "Dan, simplemente no podemos".
Dan Lohrmann: Quiero decir, un equipo que conozco, el gran estado, perdió a la mitad de su gente en el equipo cibernético desde principios de este año. Así que eso es simplemente un gran desafío. Creo que lo están entendiendo, deben entenderlo realmente porque con Colonial Pipeline, todas las cosas diferentes que han estado sucediendo este año, están muy al frente y al centro y la transformación digital que hemos visto durante COVID ha sido tan enorme.
Dan Lohrmann: Entonces, la necesidad está ahí, el cambio a trabajar desde casa está ahí, todo eso está ahí, sigue siendo un desafío realmente difícil en este momento.
Jason Clark: Entonces, cuando hablamos de mil millones de dólares, ¿verdad? Cuando miras a SLED y al gobierno federal en general, ¿cuál crees que es la mayor vulnerabilidad que tienen y de la que no son conscientes en este momento? Es una especie de pregunta de dos partes: o no lo saben, o ¿dónde deberían poner la mayor parte de esos dólares?
Dan Lohrmann: Creo que la visibilidad. El viejo cliché que solíamos decir en la NSA todo el tiempo: no sabes lo que no sabes. Y entonces, saber que ha habido un gran movimiento hacia la nube, lo cual ha sido fantástico, y que ahora todo irá a la nube.
Dan Lohrmann: Quiero decir, la resistencia a la nube simplemente no se parece en nada a lo que era hace una década. Quiero decir, todo va a la nube y eso es genial. Es solo que creo que los desafíos son no saber dónde están todos sus datos. Entonces, la visibilidad de los datos, sin conocer todos los diferentes tipos de partes de ese viaje de principio a fin. Y creo que la gente quiere confiar en cero. Quieren hacer SASE. Quieren hacer eso. Y puedo decir que creo que los desafíos que enfrentan en este momento están relacionados con las personas. Siempre es gente procesando tecnología. Es siempre es eso.
Dan Lohrmann: Pero como sabes muy bien por lo que haces, simplemente digo: "Lo colocaremos en la nube y se lo entregaremos a Microsoft". Se lo entregaremos a AWS." No resuelve el problema. Es como si oyera eso mucho. Bueno, conozco AWS o Microsoft, y son buenas empresas. No voy a criticar a nadie. Sólo digo. Piensan, bueno, son más grandes y más poderosos, por lo que pueden hacerlo mejor que nosotros, y tal vez puedan, pero realmente hay que pensar en las configuraciones. Realmente tienes que pensar de principio a fin. Realmente hay que pensar en el conjunto, en los puntos finales y, por supuesto, en la gestión de identidad, en toda la pieza de principio a fin. Y creo que ahí es donde realmente están los desafíos. Y algunos lo están haciendo bien, siempre hay líderes, seguidores y rezagados. Hay tres grupos. Hay algunas personas a las que les va muy bien y otras a las que les está costando mucho.
Jason Clark: Sí. Quiero decir, como acaba de decir, acaba de hablar de las grandes empresas a medida que avanzamos hacia la nube. Hay algo extraño, como que a veces entiendes que yo llamo CIO. Bueno, asumimos que ellos obtuvieron la seguridad, ¿verdad? En cambio, no, tú eres el responsable de tus datos. No se responsabilizan de la seguridad de sus datos, como ejemplo de sus configuraciones.
Jason Clark: Y creo que es necesario generar más conciencia en torno a eso. Con suerte, gran parte de, como dijiste, es visibilidad. Está obteniendo visibilidad total, especialmente a medida que las cosas se trasladan a la nube.
Jason Clark: ¿Cuánto del esfuerzo se centra en la gente? De esos mil millones de dólares, ¿hay algo dirigido a, bueno, pagarle más a la gente o ayudarlo a subcontratar más? Quiero decir, como dijiste, es el problema número uno. Entonces, ¿cómo se destinan esos mil millones de dólares a eso?
Dan Lohrmann: Bueno, creo que la orientación está por llegar. Lo único que dice la ley, el acto firmado por el presidente es que hay que tener un plan. Lo que es bueno. Mucha gente no tiene planes. Entonces, no está claro si cada estado tendrá que tener un plan y luego los municipios podrán incorporarlo al plan estatal, o si cada ciudad, cada condado, cada municipio tendrá su propio plan. Eso todavía no está claro por parte del DHS y la CSA, todavía está bajando.
Dan Lohrmann: Creo que se basará en los resultados. Y creo que parte de esto se dividirá por población, y habrá listas de cosas en las que puedes gastar el dinero, y cosas que son elegibles y cosas que no. Y habrá partes competitivas de esto que digan: "Está bien, el estado que tenga el mejor plan para hacer X, Y, Z puede obtener más dinero".
Dan Lohrmann: Creo que muchos de esos detalles estarán disponibles. Lo aplaudo. Porque está dedicado al ciber. Y sé que en el pasado otras subvenciones a lo largo de los años podrían usarse para cibernética, pero muchos estados no pudieron obtener ese dinero. Fue usado para otras cosas. También creo que es realmente un pago inicial, Jason, porque creo que esto durará, diría, una década, probablemente el resto de nuestras vidas, ese es el problema. Estará disponible, y los estados y los locales tendrán que contribuir con parte de eso también. Tendrán que tener 90, 10, 80, 20 partidos cada año. Sube un 10% lo que tienen que ceder los locales.
Dan Lohrmann: Pero tampoco va a ser realmente una pieza operativa para pagar eso después de que se instalen las cosas nuevas. Entonces creo que va a ayudar. Creo que moverá la pelota por el campo de fútbol. Probablemente no sea todo.
Jason Clark: Cambiando un poco de tema, Dan. Quiero hablar sobre algo que es emocionante para ti y ese es tu nuevo libro. Y eso acaba de salir a la luz en noviembre con Wiley. Y se llama Cyber Mayday y el día después. Me encanta el nombre. Definitivamente voy a leerlo. Aún no lo tengo. Voy a hacer una versión audible, como hablamos. Pero solo quiero conocer su perspectiva sobre de qué se trata y por qué todos deberían leerlo.
Dan Lohrmann: Sí. Muchas gracias. Y estoy muy entusiasmado con esto. Es Cyber Mayday y el día después, y luego la segunda parte, el título en letra pequeña, Una guía para líderes para prepararse, gestionar y recuperarse de interrupciones comerciales inevitables.
Dan Lohrmann: Y tan solo un breve resumen del libro. Soy coautor de Shamane Tan. Shamane está en realidad en Sydney, Australia. Ella es realmente la estrella de la Mujer Cibernética del Año. Acaba de ganar de nuevo otro premio en Australia por su liderazgo cibernético. Y comenzó reuniones cibernéticas en toda Australia, Japón y Singapur. Entonces ella es muy grande en Asia. Y escribió su primer libro. Contribuí a eso con un montón de historias de mis días como CSO. Y ella dijo: "Dan, trabajemos juntos en algo".
Dan Lohrmann: Hace aproximadamente un año, en realidad fue el 20 de agosto, justo en medio de COVID. Ella extendió la mano. Hablamos de ello, pero esto es antes de que llegara SolarWinds, esto es antes de que llegara Colonial Pipeline, antes de que llegara JBS Meats. ¿Sobre qué queremos escribir? Y lo que pensábamos que realmente faltaba incluso en ese momento con todos los ataques de ransomware, los ataques cibernéticos, son historias reales de lo que realmente les sucede, no solo a los CSO, los ejecutivos de seguridad o CTO, los ejecutivos de tecnología, sino también a los líderes empresariales. -¿suite? ¿Qué sucede cuando te ataca un ransomware, cuando sufres un ciberataque, cuando estás en medio?
Dan Lohrmann: Hay muchas listas de verificación disponibles. Hay muchos recursos gratuitos. De hecho, hacemos referencia a todos ellos al final del libro. No todos esos. No puedo decirlo todo. Muchos de los grandes que existen, por lo que son recursos gratuitos. Y hay muchas listas de verificación, guías y documentos técnicos excelentes. Intentamos hacer referencia a tantos de ellos como podemos y le indicamos la dirección correcta.
Dan Lohrmann: Pero pensamos que realmente la idea aquí es unir tres partes antes, durante y después de un incidente. Entonces, ¿qué puedes hacer antes? Cuatro capítulos del libro tratan sobre la preparación y todo, desde tener libros de jugadas y hacer ejercicios, ejercicios de mesa e historias reales. Lo que la gente aprendió y lo bueno, lo malo lo feo.
Dan Lohrmann: Luego, durante los incidentes, en el medio, historias reales sobre eso. Y al final, ¿qué pasa después? Como en el último capítulo, se trata de convertir los ciberlimones en limonada organizacional. Entonces, realmente la idea es cómo podemos tomar lo que aprendimos y luego incorporarlo a nuestro plan, a nuestros manuales, a nuestros escenarios, y mejorar y mejorar. Y el objetivo era realmente ayudar a las personas a aprender de lo que otras personas han experimentado: 35 historias reales de todo el mundo, aproximadamente la mitad de ellas son gubernamentales, la otra mitad son organizaciones del sector privado, pequeñas, medianas y grandes. Y realmente el objetivo es ayudar a las personas a caminar una milla en los zapatos de otra persona, por así decirlo, pero ¿realmente pequeños fragmentos de lo que sucedió cuando te golpearon?
Jason Clark: Eso es asombroso. Bueno, de todas las organizaciones que existen, ¿verdad? Llamémoslo cualquiera que sea grande. ¿Qué porcentaje, si solo dispararas desde la cadera, qué porcentaje de ellos crees que están bien preparados?
Dan Lohrmann: Bien preparado. Guau. Es realmente difícil... ¿Y ésta es una organización grande, o es todo esto?
Jason Clark: Yo diría que cualquier organización con más de 5.000 personas.
Dan Lohrmann: Voy a decir sólo la mitad, disparando desde la cadera.
Jason Clark: Yo pensaría que es menos. De hecho, probablemente creo que es incluso menos que eso.
Dan Lohrmann: Bueno, también depende de lo que entiendas por bien preparado, porque crees que estás listo, pero nunca estás listo para exactamente lo que sucede. Y hay tantas historias de... Incluso cuento la historia, un par de historias son mías personalmente. Como si me remontara a mucho tiempo atrás y la mayoría de ellos son más recientes. Pero incluso si nos remontamos al apagón de 2003 y a lo que sucedió cuando yo estaba en el gobierno de Michigan, creo que usted y yo hemos hablado de eso en el pasado.
Dan Lohrmann: Pero en el noreste perdió todo su poder y eso no fue un ataque cibernético. Aunque había muchos componentes cibernéticos en eso. Y adónde íbamos, qué hicimos, teníamos nuestros planes para el año 2000, teníamos este plan, habíamos hecho algunos ejercicios prácticos. Entonces, al final, terminamos saliendo bastante bien, no fue como si fuéramos atacados por ransomware. Eso fue diferente. Pero hubo cosas buenas, malas y feas. Por eso creo que algunas organizaciones están más preparadas que otras. Entonces tal vez sea menos del 50%.
Jason Clark: Tal vez dé otro ejemplo de una de sus historias favoritas.
Dan Lohrmann: Déjame leerte uno. Porque solo quiero leerte una sección. Y esto es del capítulo cinco. Les leeré dos páginas muy rápido. Intentaré leer rápido. Pero el título del capítulo es ¿Dónde estabas cuando sonaron las sirenas? Pero esto es de una historia real.
Dan Lohrmann: "Su red ha sido bloqueada. ¡Tienes que pagar 30 millones de dólares ahora!" La siguiente fue una negociación de la vida real entre una banda de ransomware y una empresa víctima de 15 mil millones de dólares en EE. UU. que recibió una demanda de rescate de 28,75 millones de dólares en enero de 2021.
Dan Lohrmann: Después de algunas rondas, la empresa víctima contaba con 2,25 millones, lo que fue recibido con desprecio por la respuesta de los delincuentes de ransomware. Parafraseando aquí, es muy divertido ver a algunos de sus administradores intentar instalar el servidor Ms Exchange en tres días y no pueden hacerlo. Hemos cifrado 5.000 de los 6.000 de sus servidores; si hacemos algunos de los cálculos simples, su gasto es como, digamos, $50 por hora, o tal vez incluso sea generoso con $65 por hora. Entonces, las 24 horas dedicadas a restaurar un servidor se multiplican por la cantidad de servidores cifrados por nosotros, es decir, 10 millones de dólares solo en gastos de mano de obra.
Dan Lohrmann: Es interesante observar cómo se ha encontrado que estas bandas de ransomware son una forma efectiva de comunicar el impacto financiero de la interrupción del negocio causada por los ataques cibernéticos y demostrar cómo sus víctimas reducirán sus pérdidas al cumplir con sus demandas. Continuaron, pero no olvides que dedicaste todo el tiempo a la instalación. Vaya, ni siquiera puedes restaurar ninguno de tus datos. ¿Puede? Porque desaparecerá durante los próximos mil años. Agregaron la presión del factor tiempo al final del mensaje, pero al mismo tiempo mostraron algo de misericordia.
Dan Lohrmann: El cronómetro corre y en las próximas ocho horas su precio aumentará a 60 millones de dólares. Entonces, o acepta nuestra generosa oferta y nos paga 28,75 mil millones, o invierte en computación cuántica para acelerar el proceso de descifrado. Cuando la empresa pidió tiempo adicional, los delincuentes contaron corriendo, no lo creo, no erais pobres y no sois niños. Si estás jodido, tendrás que afrontar las consecuencias.
Dan Lohrmann: Un día después, cuando la empresa finalmente consiguió que la autoridad pagara 4,75 millones, el extorsionador aceptó reducir su demanda a 12 millones. La condición de que el importe restante se abone en un plazo de 72 horas. Después de algunos mensajes adicionales, llegaron a un acuerdo en el que los delincuentes prometieron cuatro cosas rápidas. Los piratas informáticos no lanzarían ningún nuevo ataque. La empresa obtendría las herramientas para descifrar completamente los datos. Los piratas informáticos abandonarían completamente la red y nunca volverían a atacarlos. Los piratas informáticos le darían a la empresa acceso a los datos para que los borraran ellos mismos. Los datos nunca serían publicados ni revendidos. Y los piratas informáticos proporcionarían un informe completo sobre sus acciones, cómo entraron en la red, cómo se llevó a cabo el ataque ahora, incluidos consejos para mejorar la seguridad de la organización y contra la penetración de otros piratas informáticos. La empresa finalmente pagó un rescate de 11 millones de dólares." Nos detendremos ahí. Pero esa es una historia, continúa y entra en algunos detalles más. Pero sí.
Jason Clark: Recientemente tuve una reunión con un CIO de viajes, voy a tratar con dos empresas específicas, de viajes y de ocio. Y tienen ransomware en el medio, y son grandes, en medio de la pandemia. Estás hablando como mayo, junio del año pasado. Y les pidieron 20 millones de dólares, la respuesta del CIO fue: "Tenemos cero ingresos en este momento, sin proyecciones de ingresos para el futuro. No tenemos nada que perder en este momento. No tenemos dinero. No tenemos clientes".
Jason Clark: Entonces fue más un bloqueo del sistema que información confidencial. No fue PII. Pero sí, terminaron pagando como 10 de los grandes debido al COVID. Pero me encanta, quiero decir, creo que darle vida a esas historias es una de esas cosas que no quieres que solo las personas de seguridad y las OSC lean, sino que quieres que los líderes empresariales lean esto.
Dan Lohrmann: Esto está realmente escrito para la alta dirección, pero también para cualquier líder empresarial. Si tienes una pequeña empresa, quiero decir, podrías tener... Mi hermano, Steve, fue atacado por ransomware hace unos años. Ahora tiene una copia del libro. Tiene 20 propiedades en Ocean City, Maryland, tiene 10 empleados y fue atacado por ransomware. Y afortunadamente en ese momento eran los primeros días. Y tuvo que pagar 1.200 dólares. Eso fue hace unos tres o cuatro años.
Dan Lohrmann: Quiero decir, la cuestión es que esto le puede pasar a cualquiera. Y esto realmente está escrito para la comunidad empresarial, así como para la comunidad tecnológica y de seguridad.
Jason Clark: ¿Cuánto tiempo te llevó escribir este libro?
Dan Lohrmann: Entonces lo empezamos, escribimos la propuesta. Acordamos que lo íbamos a hacer en octubre pasado. Cada uno escribimos un capítulo, armamos la propuesta. Ambos habíamos escrito libros antes. Así que este es mi tercer libro. Hicimos la propuesta en invierno, la analizamos y teníamos tres editores que querían hacerlo. Wiley. Teníamos un acuerdo con Wiley y terminamos el primer borrador del libro el 1 de mayo. Y el Oleoducto Colonial golpeó. Las ediciones llegaron yada, yada. El manuscrito final se realizó el 1 de julio.
Dan Lohrmann: Escribimos la mayor parte en unos tres meses. Pero realmente todo el proceso duró unos nueve meses. Y lo actualizamos a través de JBS Meats y Colonial Pipeline y SolarWinds, pero el límite fue julio de este año.
Jason Clark: Quiero decir, lo hace extremadamente relevante para todos en este momento.
Dan Lohrmann: Oh, pasa por Colonial, por JBS y Solar Winds y algunos otros. La cuestión es, Jason, que la gente no se da cuenta de que el testimonio en el Congreso acaba de decir más ransomware en 2021, en los últimos 10 años combinados, lo que me parece una locura. Por cierto, eso no está en el libro, apareció hace un par de semanas en un testimonio ante el Congreso. Esos números me dejan boquiabierto, porque sé lo grande que era 19 y lo grande que era 20. Y fueron grandes años para el ransomware. Y en este momento la situación está empeorando. Desafortunadamente, además de eso, los rescates están aumentando y están pidiendo más. Sin duda, es un gran problema al que se enfrentan las organizaciones.
Jason Clark: Quiero decir, esto es un robo a un banco, ¿verdad? Esto es simplemente un impulso de los robos a bancos, recién reinventado ahora. Entonces, cambiando ligeramente de tema en el mismo tema y hablando de esto, entonces, ¿por qué los ejercicios de mesa e incluso los ejercicios cibernéticos a gran escala son tan importantes que planificar y ejecutar esto?
Dan Lohrmann: Quiero decir, en primer lugar, involucrar a todos. Porque la mayor parte de esto es que ciertamente tienes las piezas técnicas, tienes la más grande y todo eso. Pero quiero decir, el problema más importante es realmente la comunicación. ¿Y cómo se comunica entre la alta dirección? ¿Cómo se comunica en toda la empresa? ¿Cómo se comunica hacia arriba, hacia abajo, hacia los lados, todo a sus inversores, a la comunidad, al público? Cómo se comunica, y les diré, eso se remonta a 20 años atrás, y cualquiera ha estado en esta gestión de emergencias por incendios, inundaciones, tornados, la gente diría que cientos de años. Quiero decir, siempre se trata de la comunicación y de cómo te comunicas. ¿Quién va a hablar con quién? ¿Cuando? ¿Qué haces primero? ¿En qué orden? ¿Cómo lo haces? ¿Estas preparado? ¿Cómo funcionan tus manuales?
Dan Lohrmann: Traes a esos ejercicios, esas mesas y esos ejercicios a gran escala, tus libros de jugadas para que realmente casi la práctica sea perfecta, ¿verdad? Y así, al igual que un equipo de bomberos practicaría apagando incendios, no quieres que alguien que se pone el traje por primera vez venga a tu casa cuando tu casa se está quemando, quieres que sepan lo que están haciendo. y saber adónde ir, qué hacer y cómo hacerlo en función de diferentes situaciones y diferentes escenarios, e inyecciones y todo eso. Eso es lo que realmente necesitas hacer.
Dan Lohrmann: Y mucha gente piensa, oh, tenemos una copia de seguridad de nuestros datos. Una breve historia. Les contaré que sí, pero les iba a tomar seis semanas restaurarlo, porque no tenían el ancho de banda, no tenían las conexiones. Así que terminaron teniendo que pagar el rescate, porque realmente no habían pensado de principio a fin. Pensaron que tenían una solución, pero en realidad nunca habían pasado por todo el proceso. Y simplemente no sabían lo que no sabían.
Jason Clark: ¿Qué porcentaje de empresas cree que pagan y qué porcentaje no pagan?
Dan Lohrmann: Creo que ahora pagan más del 50%. Lo que es tan difícil para Jason son los que no informan.
Jason Clark: Que es más.
Dan Lohrmann: Exactamente. Y estoy diciendo los que el FBI... Los números que tenemos, como cuando ves que salen todos estos informes, y todas las revistas técnicas, Forbes y todo lo demás, cuántos ataques de ransomware, verás los informes de fin de año. Hago mi blog de predicción anual. Y todas estas cifras de fin de año se basan en lo que sabemos. Pero si una pequeña empresa paga un rescate de 20.000 dólares y nunca lo informa a las autoridades, ni siquiera se cuenta. Y eso eleva ese número a más del 50%. Quiero decir, creo que el 70, el 80%, debido a los que no conocemos.
Jason Clark: Y tal como mencionaste, las cifras de 2021 se dispararán 10 veces más que nunca. Creo que es significativamente mayor.
Dan Lohrmann: Es más alto de lo que sabemos.
Jason Clark: Sólo un poco de comprensión de eso. Porque acabas de mencionar tus predicciones. Entonces, ¿cuáles son tus predicciones favoritas para el próximo año?
Dan Lohrmann: Quiero decir, puedo darte muchísimos. Estoy repasándolos todos ahora mismo. Entonces, como usted sabe, usted y yo hemos hablado de esto un par de años seguidos, pero antes que nada, estas no son las predicciones de Dan Lohrmann. Recopilo lo que considero los mejores informes de predicción de las principales empresas. Entonces, de Trend Micros y FireEyes, y no estoy diciendo estos.
Dan Lohrmann: Hay ciertas empresas que publican informes de predicción realmente excelentes y que gastan literalmente decenas y cientos de miles de dólares en estos informes, y están realmente bien hechos. Y no es sólo como meterse la mano en la oreja y adivinar que mañana podría nevar. Quiero decir, realmente investigan y realmente intentan conectar los puntos y decir: "Quiero decir, claramente habrá más violaciones de datos". Es evidente que habrá más ransomware. Es evidente que vamos a sufrir más ataques a infraestructuras críticas". Cada año siempre hay predicciones sobre un importante ciberataque del 11 de septiembre, y la gente quiere oír hablar de algo espectacular.
Dan Lohrmann: Eso se ha atenuado un poco en los últimos años, porque nadie quiere escuchar que Internet se va a caer o que miles de personas van a morir en algún hospital. Porque, bueno, creo que hablaremos más adelante de las OSC, pero el mensaje de moda no es un mensaje exitoso. Quiero decir, nos gusta ser un poco más específicos sobre qué tipo de ataques dirigidos se dirigen a usted. Muchos de los informes, y mis predicciones favoritas en este momento, giran en torno a cómo la inteligencia artificial y los malos actores están utilizando el aprendizaje automático, la inteligencia artificial para perseguir de manera muy sofisticada a estas empresas y apuntar de diferentes maneras. Y no entraré en detalles específicos desde una perspectiva tecnológica ahora.
Dan Lohrmann: Pero al buscar esas vulnerabilidades, los días cero conocidos, los problemas conocidos y luego simplemente buscar en Internet, como si estuviéramos mirando, podemos decir que es un diamante en bruto o que estamos buscando esa aguja en el pajar. Pero si tienes las herramientas adecuadas desde la perspectiva del aprendizaje automático y la inteligencia artificial, son muy, muy efectivas.
Dan Lohrmann: Entonces, los ataques son cada vez más dirigidos, más específicos. La gente está haciendo su tarea, y no es como si estuviera muy lejos de donde estaba hace una década cuando te conocí, como enviar spam al mundo y esperar que alguien haga clic. Hay algo de eso que todavía está funcionando, algo de eso todavía está funcionando. Pero gran parte de ello está mucho más dirigido a objetivos específicos. Y hace poco escuché que la web oscura está llena de contraseñas y credenciales, y que la gente todavía no usa la autenticación de dos factores, lo cual es una locura, o la autenticación multifactor, MFA. Y luego ni siquiera están pirateando, simplemente inician sesión con las credenciales, lo cual es una locura, pero está sucediendo. Futuro
Jason Clark: Y cualquiera que escuche, quiero decir, cada aplicación que tenga debe ser multifactorial, punto.
Dan Lohrmann: Absolutamente.
Jason Clark: Honestamente, en términos de seguridad, no estás haciendo tu trabajo.
Dan Lohrmann Correcto.
Jason Clark: En ese período. Porque eso es un-
Dan Lohrmann: Bien dicho. Eso es totalmente correcto.
Jason Clark: Y tienes razón. Existe. Hay muchos productos que son muchas aplicaciones SaaS que ni siquiera son compatibles con MFA. Porque son tempranos, son jóvenes, tienen 28 empleados que crearon una aplicación de recursos humanos, digamos, pero prestan servicios a empresas muy grandes. Porque en realidad todo está impulsado por TI en la sombra, y finalmente la seguridad se entera y dice: "Amigo, te cortaremos el acceso a menos que puedas crear esta funcionalidad". Tiene que estar integrado a nuestra solución como pago Okta, etc. ¿Bien?
Dan Lohrmann: Totalmente. Y en ese mismo punto, recuerdo que hace un año estuve con un... No voy a nombrar el banco. Estuve en un banco en el que literalmente subí en la cadena. Quiero hacer multifactor, no tenían autenticación multifactor en un banco. Y fui hasta el CSO y terminé siendo agregado a su piloto. Y de hecho sigo con eso. Ahora tienen MFA en todos los ámbitos. Pero si tiene algún seguro de institución financiera, algún tipo de cuentas financieras o operaciones comerciales, y no es multifactorial, busque a otra persona.
Jason Clark: Ahora voy a hacer la transición un poco más como profundizar en IR. Has hecho muchas cosas diferentes. Ha trabajado en todo tipo de aspectos de la seguridad. ¿Cuál es tu dominio favorito? Porque también hiciste mucho en torno a la concientización sobre la seguridad. ¿Cuál es tu dominio favorito en ciberseguridad?
Dan Lohrmann: Me gustó mucho la concienciación sobre la seguridad. Estuve en eso durante siete años. Y Security Mentor es una gran empresa y hay pocos mensajes secundarios. Pero todavía los amo, son una gran compañía. Lo que me gustó fue que era muy práctico para el usuario cotidiano. Podría hablar con la gente de mi iglesia, de mi comunidad y con la gente que conocí en las fiestas de Navidad, ¿cuáles son tres cosas que podría hacer ahora mismo? Quiero decir, una autenticación multifactor, active 2FA para Facebook y Gmail.
Dan Lohrmann: Y eso me gustó porque era relevante para el cien por ciento de la sociedad donde empiezas a hablar de muchas de las cosas que ustedes hacen con un gran trabajo en Netskope y las empresas con las que estoy trabajando ahora mismo en Presidio. , y Netskope es uno de ellos, pero ciertamente AWS, CrowdStrike y diferentes personas, Okta y otros. Y lo real es explicarle eso a la gente es más difícil desde la perspectiva de un profano. Lo que me gusta de mi puesto actual, y me lo preguntarán dentro de uno o dos años, es que es más amplio. Y es realmente, vuelvo a la capacidad de tipo de alcance completo.
Jason Clark: Conjunto completo de soluciones.
Dan Lohrmann: Sí, exactamente.
Jason Clark: Puedes ayudar a la gente con todo. Tienes un problema, puedo resolverlo, ¿verdad?
Dan Lohrmann: Eso es todo. Exactamente. Y eso me encanta. Escuche, me encanta tener conversaciones honestas con CSO y CIO. Y tengo que decirles que, para bien o para mal, la gente dice que estoy loco porque probablemente hay mucho más dinero, y lo hay en el sector privado.
Dan Lohrmann: Pero he estado en ambos desde mis días en la NSA, incluso en Inglaterra con Lockheed y ManTech, y luego con el Estado de Michigan, realmente me concentro mucho en el gobierno, y me encanta el gobierno y ayudar. Quiero decir, simplemente la pasión por ayudar a mejorar la sociedad. Entonces, para mí, no cuentan con recursos suficientes, son desvalidos en muchos sentidos, pero debo decirles que tener conversaciones honestas y abiertas con el sector público y el gobierno también me apasiona. Porque quiero decir, son héroes los que están en primera línea en este momento. Y es difícil. Es duro. Y trabajan largas siete horas, siete días a la semana, 14 o 16 horas al día, y están sudando. Y lo siento por ellos. Es un trabajo duro.
Jason Clark: Es un trabajo muy duro, por eso generalmente no duran muchos años y cambian mucho de trabajo. Y el estrés es inmenso. Es. Es como si no pudiera encontrar personas, la amenaza está evolucionando muy rápido y el negocio se está trasladando a la nube, pero aún así hay que protegerse localmente. Y ahora tienes el doble de ataque, la superficie triplica el ataque, pero no el triple ni el doble del presupuesto. Quiero decir, es un trabajo muy, muy, muy duro, y de eso no hay duda.
Dan Lohrmann: Lo es. Y luego pierdes a tus mejores personas. Armas un equipo y dices: "Este equipo es..." Y luego pudimos, todavía me encanta, fueron días de gloria, pero hace 14 años cuando escribí mi primer libro. Teníamos un equipo en el gobierno de Michigan; en aquellos días era una economía muy diferente, un mundo cibernético muy diferente. Sé que teníamos un gran equipo porque todas esas 10 personas que podría nombrar son todas OSC que ahora están en todo el mundo haciendo grandes cosas.
Dan Lohrmann: Entonces es como si ya no se pudiera mantener unido a un equipo así. Quiero decir, simplemente no puedo hacerlo porque van a tener ofertas a diestra y siniestra. Y especialmente en el gobierno, es muy difícil, hay que ser un motivador también. Tienes que ser un animador y un motivador.
Jason Clark: En realidad, se sabe que persigue el talento del gobierno y también del estado. Contraté a Jonathan Troll de Colorado porque es brillante y siempre puedes permitírtelo la primera vez.
Jason Clark: Hablando de tipo de talento, ¿verdad? Y como si fueras un cráter de OSC, como acabamos de hablar. Fue una de las cosas más importantes, creo que, como medida del éxito personal, a veces es cuántas personas se convierten en ejecutivos inmediatamente después de trabajar para usted, ¿verdad? Ese es uno de nuestros trabajos: hacer crecer la base de talentos y ayudar a las personas en sus carreras. Pero, ¿cuál sería su principal consejo para un CSO por primera vez?
Dan Lohrmann: Encuentre un mentor. Para exactamente lo que acabas de decir, Jason, busca un mentor en quien puedas, con suerte, fuera de tu organización actual, pero alguien en quien puedas confiar, en quien puedas, sin intentar venderte algo. Quiero decir, no estoy hablando de un mentor que, con suerte, al menos si es un vendedor, puede salirse de ese rol y simplemente darle algo de voz a su vida y hablarle a usted. Simplemente lo arriesgas, porque han caminado una milla en tus zapatos. Ellos saben cómo es. Hay política involucrada. Hay política de oficina. No me refiero a republicanos y demócratas. Quiero decir, eso también entra en juego a veces. Pero quiero decir, cualquier organización tiene política.
Jason Clark: Cada empresa tiene políticas, punto. Por cierto, creo que una de las principales cosas con las que luchan todas las OSC es el lado político de las cosas. Porque tienes que poner fricción en el negocio, por lo que no puedes simplemente tener fricciones. Van a hacer cualquier cosa. Y así tener ese equilibrio. Hay muchas OSC con las que hablo y me dicen: "Oh, sí, camino por el pasillo y la gente me dice: se dan vuelta y empiezan a caminar en dirección contraria porque me tienen miedo". Pensé: "Eso no es algo bueno".
Dan Lohrmann: Sí. Y eso sería lo segundo. Quiero decir, te daré cuatro o cinco. Pero me refiero a relaciones, relaciones, relaciones. Quiero decir, es la importancia de eso. Nuestro calcetín original en Michigan se llamaba Batcueva. No te quedes en la Baticueva todo el tiempo. Este tipo dice: "Eso es genial". Estoy en la Baticueva".
Dan Lohrmann: Pero hay que tener relaciones 360. Por lo tanto, lo juzgarán por cómo trabaja con su gente, cómo trabaja con sus pares, cómo trabaja con su gerencia, por supuesto, pero cómo trabaja con la comunidad de proveedores y cómo trabaja con los clientes. Y por eso, esas relaciones son clave.
Dan Lohrmann: Y es difícil. Quiero decir, no hay muchas OSC. Y a veces luché. Y sé que es difícil tener buenas relaciones con todos, como cualquier cosa en la vida, no puedes ser amigo de todos. Pero tener buenas relaciones 360 es otra cosa. Y es fácil decirlo, todo el mundo lo dice, pero es difícil hacerlo. Y es muy difícil hacerlo bien. Y lleva años. Se necesita experiencia.
Dan Lohrmann: Uno no llega a un nuevo trabajo como CSO y no es un veterano de cinco años, porque no ha pasado por cinco ciclos presupuestarios, no ha pasado por cinco Navidades y el final del ceremonias de premiación del año. O sea, se aprende lo bueno, lo malo y lo feo, se aprende. Y espero que tengas tiempo para crecer realmente en tu rol.
Dan Lohrmann: Pero ahí es donde un mentor puede ayudar. Un mentor puede ayudarlo a atravesar una especie de pantano, porque usted hará algunas cosas bien, hay cosas que la mayoría de las OSC hacen bien al principio, pero hay otras con las que generalmente tienen dificultades.
Jason Clark: ¿Qué harías diferente si pudieras retroceder en el tiempo?
Dan Lohrmann: Hay una historia que se remonta aproximadamente a 2004, cuando yo era CSO en el estado de Michigan y Teri Takai era mi jefa. Y Teri era CIO en Michigan. Luego se convirtió en CIO en California. Luego pasó a convertirse en CIO del Departamento de Defensa de Estados Unidos. Muy famoso. Trabajó para muchos gobernadores, Arnold Schwarzenegger y Jennifer Granholm, que ahora es secretaria de Energía.
Dan Lohrmann: De todos modos, dicen que en cualquier relación nueva con una CSO, siempre hay algo así como formar, atacar, normar y actuar, ¿verdad? Bueno, esta era nuestra cara de tormenta. De todos modos, Teri y yo, para contarles el final, terminamos haciéndonos buenos amigos.
Dan Lohrmann: Pero de todos modos. En medio de esto, Teri quería que pusiera Wi-Fi en todas nuestras salas de conferencias estatales. Y yo estaba en contra del Wi-Fi. Soy el tipo de la NSA. Y tenía todos estos documentos técnicos. Había hecho todos mis deberes. Y había ido a la CIA, la NSA, el FBI. Tenía todos estos documentos técnicos. La mala idea del Wi-Fi. Estábamos conduciendo, la gente estaba robando en el Home Depot.
Jason Clark: [diafonía 00:38:10].
Dan Lohrmann: Todo eso. De todos modos, en resumen, asistí a esta reunión. Teri dijo: "Está bien, Dan..." Había como 10 personas alrededor de esta gran sala de conferencias del gobierno. Es la reunión del personal de Teri a unos 20 minutos de esta sala de conferencias, una reunión semanal del personal. Y tenemos el foro del tema de la agenda. Y ella dice: "Dan, entonces, ¿cómo vamos a hacer esto?" Y dije: "Bueno, Teri, esto es una mala idea. Vamos a cancelar este proyecto". Y entonces, entregué estas hojas de papel y las pasé por la habitación. Y dije: "Tengo todos estos documentos técnicos aquí para respaldar esto". Sólo quiero resumir por qué esto no es algo que deberíamos hacer".
Dan Lohrmann: Entonces Teri dice: "Para. Quiero que todos salgan de la habitación, menos Dan." Entonces, todos se levantan y salen corriendo de la habitación. Nunca había visto al gobierno [inaudible 00:38:55] salir tan rápido. De todos modos, para resumir, ella me mira a los ojos y dice: "Dan, si esa es tu respuesta, no puedes ser el CSO en Michigan". Y dije: "Bueno, espera un minuto, Teri, déjame explicarte". Ella dijo: "No, no, no pares". Ella dijo: "Sabemos que eres inteligente. Tienes una maestría, sí, sí, de la NSA, nosotros obtenemos todo eso". Ella dijo: "Pero he estado en Dow Ford, Chrysler y GM, y todos tienen Wi-Fi en sus salas de conferencias. ¿Qué saben ellos que tú no sepas?".
Dan Lohrmann: Ella dijo: "Te doy una semana para averiguarlo o quiero tu renuncia". Y ese fue un momento impactante para mí. Quiero decir, fue un momento que cambió la vida. Quiero decir, mi carrera fue como pasar ante mis ojos. Por supuesto, volvimos, hablamos con Dow Ford, Chrysler, GM. Recibimos Wi-Fi en todas las salas de conferencias estatales. Dos años después, ganamos el premio a la red Wi-Fi de máxima seguridad otorgado por el gobierno a nivel nacional, yada yada, yada. Pero la lección más importante para mí fue que hay que llegar a un sí pero, o un sí y hay que buscar opciones. Tienes que dar oro, plata, bronce. Y obviamente no se trata sólo de Wi-Fi, esto podría ser la nube. Esto podría ser-
Jason Clark: Siempre hay una manera.
Dan Lohrmann: Exactamente. Es la nube, el IoT o la IA, cualquiera que sea el nuevo tema candente. La respuesta de seguridad es siempre no. Y tienes que descubrir qué saben otras personas y tú no. A veces la respuesta puede ser no, Jason, ya hablamos de eso antes. Pero el punto es que realmente tienes que... Y realmente cambió mi forma de pensar. ¿Cómo puedo ser un facilitador? A partir de ese momento, tenía razón en los artículos. O5 una palabra. ¿Cómo se cambian las culturas para tener una ciberseguridad propicia? Y sé que Netskope también hace lo mismo. ¿Cómo permite que las personas utilicen la nube de forma segura?
Jason Clark: Gran consejo, Dan. Entonces, eso es todo para lo que tenemos tiempo hoy. Dan, esto ha sido increíble. Y gracias. Y siento que fácilmente podríamos haber hecho esto durante muchas, muchas más horas. Pero antes de dejarte ir, primero, ¿dónde puede encontrarte la gente y conseguir tu libro? Y además, ¿algo más que quieras dejarle a alguien?
Dan Lohrmann: Claro. Bueno, muchas gracias. Y Jason, de nuevo, gracias. Gracias a Netskope. Gracias por invitarme, de verdad, es un honor estar en su programa. Y usted es un verdadero líder intelectual y un experto en la industria. Así que soy un gran admirador tuyo y de lo que has hecho.
Dan Lohrmann: Cyber Mayday and the Day After es el nombre del libro. Puedes conseguirlo en Amazon. Está ahí afuera. También escribo para revistas gubernamentales de tecnología. Entonces tengo un blog semanal. Sube todos los domingos y lunes. Es el artículo principal de los lunes por la mañana para la revista Government Technology. Puedes verme allí Lohrmann sobre ciberseguridad. También @govcso en Twitter. GOVCSO, @govcso es mi cuenta de Twitter.
Dan Lohrmann: Y también puedes conectarte conmigo en LinkedIn porque me encanta conectarme con profesionales de la industria e incluso con gente nueva en la industria. No puedo ser mentor de todos. Recibo muchas solicitudes para ser mentor de personas. Soy mentor de algunas personas, pero me encantaría conectarme con usted. Así que no dudes en comunicarte con Dan Lohrmann en LinkedIn.
Jason Clark: Sí. Escuchen todos, definitivamente se conectan con Dan. Todo lo que quiere hacer es ayudar a la gente. Quiere mejorar esta industria y ayudar a las comunidades. Eso es algo que me encanta de Dan. Se trata de la comunidad. Así que gracias Dan. Y os veré a todos en una semana.
Dan Lohrmann: Muchas gracias, Jason. Te lo agradezco.
Orador 3: El podcast Security Visionaries está desarrollado por el equipo de Netskope. Si busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital, la nube de seguridad de Netskope le ayuda a conectar de forma segura y rápida a los usuarios directamente a Internet, desde cualquier dispositivo a cualquier aplicación. Obtenga más información en Netskope.
Orador 2: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa, y compártelo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas. Y nos vemos en la próxima.